Ytterst välgjort om jag fattar det rätt. Flera års förberedelser, där man bland annat innan exploiten kommit på plats begärt ändringar i googles fuzzer för att den inte ska upptäcka problemet. Koden på github är tydligen Ok, men tar-bollarna som distributioner laddar ner för sina byggen har en extra rad, där man injecerar för mig totalt obegriplig kod i bygget via en xz-komprimerad testfil. OpenSSH i sig är felfritt, men drabbas eftersom distributioner patchar OpenSSH och patchar in xz för att fungera med systemd, så inget OpenSSH-folket kunde förväntas hitta i sina tester. Man verkar medvetet ha väntat tills Ubuntus merge-fönster har varit nära stängning för att få in det där.
Tyvärr har det om jag förstår det rätt funnits i Debian testing ett (kort) tag två månader. Det är ju rätt välanvänt.