Обнаружено, что uscan, инструмент для сканирования/отслеживания исходных кодов на предмет новых выпусков программного обеспечения, включенн…

Обнаружено, что uscan, инструмент для сканирования/отслеживания исходных кодов на предмет новых выпусков программного обеспечения, включенный в состав devscripts (набор скриптов, облегчающих жизнь сопровождающему пакеты Debian), пропускает проверку OpenPGP, если исходный код уже загружен из предыдущего запуска, даже если проверка завершилась неудачей ранее [1]. Это происходит, когда uscan не может проверить подпись из-за проблем с ключом OpenPGP, используемым для подписи, например, если он использует устаревший алгоритм, такой как SHA-1. В результате, даже если проверка подписи завершилась неудачей, файл считается успешно загруженным и проверенным при последующих запусках. Для устранения этой проблемы предлагается либо загружать файл во временное хранилище до успешной проверки подписи, либо не пропускать проверку при последующих запусках. Проблема была признана важной и ей был присвоен идентификатор CVE-2025-8454. Источники: - [1] https://bugs.debian.org/1109251