BREAKING NEWS: F-Droid fixt größeres Zertifikatsproblem in v2.3.5

Die lange schwelenden Konflikte rund um Best Practice bei F-Droid zeitigen nun erste, konstruktive Früchte. So fixt die ganz frische Version 2.35 Probleme rund um v1-only-Signaturen. Update wärmstens empfohlen.

Fdroid v2.35 ist raus und behebt Sicherheitsprobleme in Verbindung mit v1-only-Signaturen. Ein zeitiges Update wird daher angeraten. Calling all F-Bots…

💱 Changelog:

• Behebung eines Problems, bei dem APKs mit reinen v1-Signaturen und
• targetSdkVersion < 30 in böser Absicht erstellt werden konnten, um AllowedAPKSigningKeys zu umgehen !1588
• Ignoriere  apksigner v33.x, es hat Fehler bei der Überprüfung von APKs mit v3/v3.1-Signaturen. !1593
• Synchronisiere Übersetzungen für: ca cs de es fr ga ja pt_BR pt_PT ru sq sr uk zh_Hans

s3n🧩net wünscht viel Vergnügen mit Ihrem freien Androiden

⏰ Update: Noch nicht ALLE Problemchen gefixt. Stay tuned…

⏰ Update: Es ist kompliziert

Weitere Infos: https://www.openwall.com/lists/oss-security/2025/01/20/1

⏰ Update: Es ist wirklich kompliziert

Noch mehr Infos: https://www.openwall.com/lists/oss-security/2025/01/20/1

Message-ID: <Z42Y1FjRnsbw5GZD@nihonium>
Date: Mon, 20 Jan 2025 01:29:08 +0100
From: Fay Stegerman <flx@...usk.net>
To: oss-security@...ts.openwall.com
Subject: fdroidserver AllowedAPKSigningKeys certificate pinning fundamentally
 unreliable

Hi!

Another update for [1,2,3], still published at [4]: another PoC (bringing
the total to 6) and a lot of new background information.  I've attached the
new and updated files and included the new sections from the README with the
updates below.

- Fay

[1] https://www.openwall.com/lists/oss-security/2024/04/08/8
[2] https://www.openwall.com/lists/oss-security/2024/04/20/3
[3] https://www.openwall.com/lists/oss-security/2025/01/03/1
[4] https://github.com/obfusk/fdroid-fakesigner-poc

Stay tuned…