4.3p1はconfigureまわりに問題があるので、4.3p2がじきにでるようですね。

>>773- 以降で議論したscp の local-to-remote, remote-to-local のコマンド挿入の
問題について、セキュリティの問題として openssh@openssh.com に連絡しようと思います。
(なぜ openssh@openssh.com かは ttp://www.openssh.com/report.html を参照)
反対意見がなければ、日曜か月曜に送ります。

メールの内容は長いので
ttp://unixuser.org/%7Eharuyama/security/openssh/tmp/openssh_scp_command_injection.txt
におきました。