security http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000211.html:title

さっき流れてきたメール。えらいこっちゃ。

Background:
===========

If a file with arbitrary data, for example 64 times the character 0xCA, is used as the detached signature, any data file will lead to gpg exiting with 0 (success). There won't be any messages indicating that the signature is valid or false: 

  $ fortune >x.txt
  $ perl -e 'print "\xca"x"64"' >x.txt.sig
  $ gpgv x.txt.sig x.txt
  $ echo $?
  0

Cleary this should not return success.

過去の全てのバージョンのGnuPGにおいて、分離した署名ファイルでファイルを検証する場合に、無意味なデータを64バイト連ねた署名ファイルを使うと、gpgv(とgpg --verify)が無条件に戻り値0(検証成功)を返す。スクリプトなどで戻り値だけを判断材料にして処理を行っている場合に危険。--status-fdで詳しい情報を受け取って処理していれば問題ない。GPGMEは影響なし。
最新の安定版バージョン1.4.2.1に置き換えを推奨。開発版は未修正。緊急回避用のパッチが併記されている(けど、これほんとに緊急回避ですね…)。

Vine LinuxでもErrata出ました。