Wie heute auf dem Heise Ticker zu lesen war, hat GnuPG ein Problem bei der Überprüfung von Signaturen, die nicht “detached” sprich separat sind. Man kann GnuPG dadurch Daten unterschieben ohne das die Signaturprüfung das merkt.
Siehe dazu auch:
Also habe ich mich mal hingesetzt und ein deb-Paket mit der neuen Version 1.4.2.2 von gnupg geschnürt:
- gnupg_1.4.2.2-0poedi1_i386.deb
- gnupg_1.4.2.2-0poedi1_i386.changes
- gnupg_1.4.2.2-0poedi1.diff.gz
- gnupg_1.4.2.2-0poedi1.dsc
- gnupg_1.4.2.2.orig.tar.gz
Das Paket ist aus dem Upstream GnuPG 1.4.2.2 tarball und dem Debian patch für GnuPG 1.4.1 unter Abänderung eines Patches entstanden.
UPDATE! UPDATE!
Laut Martin ‘Joey’ Schulze ist ein offizielles debian-security-Update in Arbeit und Stand 2006-03-10 14:30 fehlt auch nur noch eine Architektur zur Veröffentlichung!