Vielen Dank an goofy für den Tipp. Er hat den Artikel bei heise entdeckt.
QUOTE:
In E-Mails oder Dateien, die eine PGP-Signatur tragen, lassen sich zusätzliche Daten so einschmuggeln, dass GnuPG trotzdem eine gültige Signatur anzeigt. Betroffen sind alle GnuPG-Versionen vor dem soeben veröffentlichten 1.4.2.2; bei GnuPG
1.9.x tritt der Fehler nur auf, wenn zusätzlicher, als "deprecated"
gekennzeichneter Code aktiviert wurde. Auch Skripte und Applikationen,
die GnuPG selbst oder die Bibliothek GPGME
nutzen, um Signaturen zu prüfen, lassen sich täuschen.
Ist die Signatur in einer separaten Datei abgelegt (detached), wie es
beispielsweise bei signierten Programm-Paketen häufig der Fall ist,
sind die Manipulationen nicht möglich. .........
Die Seite von gnupg unter der Rubrik Download steht: "Pakete für Debian GNU/Linux sind auf der DebianHomepage verfügbar." Entweder bin ich blinder als ich dachte, oder zu dumm es dort zu finden.
Wenn GnuPG mit apt installiert wurde, dann sollte ein apt-get update && apt-get upgrade bzw. wenn du das nicht möchtest, auf ein apt-get install GnuPG (exakter paketname) Die gefixte Version installieren. PS: @ Wespe: Du bist weiter als ich, ich schiebe die GnuPG-Geschichte immer vor mir her
Och, in Sachen gpg hab ich auf einem Treffen, das schon seehr lange zurückliegt mal einen Vortrag gehalten. Fast alle, die damals da waren nutzen seit dem auch gpg.
Das war doch das erste Treffen, daß in Deiner Behausung stattfand. Februar 2005 wenn ich nicht irre. Wo Ecki doch aufbrechen mußte, weil einer seiner Zwillis nicht ohne Papas Gute-Nacht-Küßchen schlafen wollte. :-p
GnuPG gibt es wie alle offiziellen Debian-Pakete nicht nur über apt, sondern auch über die offizielle Paketsuchseite:
http://www.debian.de/distrib/packages
Für sarge z.B.:
http://packages.debian.org/stable/utils/gnupg
Ja dort habe ich auch geschaut, aber die neueste Version 1.4.2.2 nicht entdeckt.