Macht nix - mir war auch nicht bewußt, daß Suse den Fix auf die alten Versionen zurückportiert. Ich hatte angenommen, daß (zumindest Tumbleweed) auf die neuste, offiziell gefixte Version 7 aktualisiert wird.
Und weil es keine Patch-Notes und bei den CVEs keine Erwähnung von Tumbleweed gab, war ich etwas verunsichert über das Procedere.
Hallo zusammen,
danke für die vielen fundierten, hilfreichen Antworten.
Alero, Trekkie00
Ein weiteres Repo wollte ich nicht anbinden, wenn nicht unbedingt notwendig. Die neue Version brauche ich ja nicht unbedingt, sofern die alte entsprechend gefixt wird (siehe unten) Will ja nicht, daß die Kiste beim nächsten Upgrade die Grätsche macht. 
So lange Tumbleweed out-of-the-box gepflegt und aktuell gehalten wird, ist ja alles gut.
wn48z
Bei Tumbleweed sieht das so aus:
# zypper list-patches --cve
Loading repository data...
Reading installed packages...
No matching issues found.
# zypper list-patches --cve=2016-0777
Loading repository data...
Reading installed packages...
No matching issues found.
# zypper list-patches
Loading repository data...
Reading installed packages...
No updates found.
Zu Patches und Tumbleweed habe ich nichts finden können, war ja auch bei den Security-Announcements (Link oben) nicht erwähnt.
https://www.suse.com/security/cve/ -> Das ist wohl die Antwort auf meine Frage, auch wenn es natürlich wenig hilfreich ist, daß Tumbleweed/Factory nirgends explizit erwähnt wird (kein Wunder, daß Google dann nichts findet)...
#grep -i "openssh|" /var/log/zypp/history
2015-01-16 13:31:30|install|openssh|6.6p1-8.1|x86_64|root@cloud111|InstallationImage|a9f0baf12cd1147076b03800fddc458c81e5401b1e27456356912fd8a8cdefb3|
2015-01-26 12:09:14|install|openssh|6.6p1-9.1|x86_64||repo-oss|633b52d857f0c8e49767f5dc2a8778d5b480d682|
2015-02-04 09:10:26|install|openssh|6.6p1-9.2|x86_64||repo-oss|1499bcfd01fd551219b649f8493bd05f1f38543e|
2015-07-09 09:53:33|install|openssh|6.6p1-9.4|x86_64||repo-oss|4b5f359287753f55fdd2442206a7f2987160aebb|
2016-01-18 10:22:27|install|openssh|6.6p1-10.1|x86_64||repo-oss|f754414cd3f2292298190b4a49e9ef0f08111d22|
Am 18.1. wurde auch eine neue Version installiert (die hoffentlich den Fix enthält).
Dann kann ich ja nun wieder beruhigt schlafen. 
Grüssle,
eMaze
PS: mit ssh -v user@server konnte ich verifizieren, daß die Version gefixt worden ist (Roaming wird nirgends erwähnt). Puh...
Hallo Leute,
wie einige sicher aus der einschlägigen Presse wissen, gibt es aktuell ein paar Lücken in OpenSSH (CVE-2016-0777 und CVE-2016-0778 ). Die sollen mit Version Version 7.1p2 behoben sein.
Nun finde ich allerdings kein entsprechendes Update (neuste angebotene Version ist 6.6p1-10.1). Auch gibt es keine Patches für Tumbleweed, wohl aber für alle anderen aktuellen Versionen (Leap, Evergreen, 13.1, 13.2, etc...): Security-Announcements
Ich nutze Tumbleweed jetzt seit etwas über einem Jahr und dachte bisher, diese Version wird auch bezüglich der Sicherheit voll unterstützt. Hab ich etwas verpasst, ist Tumbleweed schon wieder out?
Meine Repos sehen so aus: zypper lr
# | Alias | Name | Aktiviert | GPG-Überprüfung | Aktualisieren
--+-------------------------------------+--------------------------+-----------+-----------------+--------------
1 | http-download.opensuse.org-eb0e095b | isv:heinlein-support | Ja | (r ) Ja | Ja
2 | openSUSE-20150115-0 | openSUSE-20150115-0 | Nein | ---- | Ja
3 | repo-debug | openSUSE-Factory-Debug | Nein | ---- | Ja
4 | repo-non-oss | openSUSE-Factory-Non-Oss | Ja | (r ) Ja | Ja
5 | repo-oss | openSUSE-Factory-Oss | Ja | (r ) Ja | Ja
6 | repo-source | openSUSE-Factory-Source | Nein | ---- | Ja
7 | repo-update | openSUSE-Factory-Update | Ja | (r ) Ja | JaPS: "UseRoaming no" habe ich natürlich gesetzt.
Grüssle,
eMaze