<div dir="ltr">Hi Werner, <br><br>Thank you for the clarification!<br>I want to say that I didn't open this CVE, I only came across it and looked at the code. If you say it should be <br>disputed, I'll follow your guidance on that.<br><br>However, since I was already looking at the code, I noticed this comment from commit 976e9d608<br>that I wanted to ask about:<br><div style="color:rgb(228,228,228);background-color:rgb(24,24,24);font-family:Menlo,Monaco,"Courier New",monospace;font-size:12px;line-height:18px;white-space:pre"><div><span style="font-style:italic">             * To make sure that a truncated line triggers a bad</span></div><div><span style="font-style:italic">             * signature error we replace a removed LF by a FF or</span></div><div><span style="font-style:italic">             * append a FF.  Right, this is a hack but better than a</span></div><div><span style="font-style:italic">             * global variable and way easier than to introduce a new</span></div><div><span style="font-style:italic">             * control packet or insert a line like "[truncated]\n"</span></div><div><span style="font-style:italic">             * into the filter output.</span></div></div><br>The code inserts '\f' when lines are truncated, but I didn't<br>find where '\f' is detected during verification to trigger the "bad signature <br>error" mentioned in the comment.<br><br>Is this intentionally not implemented, or is there something that I'm missing?<br><br>Shalom-Salam,<br>Shani</div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, 15 Jan 2026 at 16:05, Werner Koch <<a href="mailto:wk@gnupg.org">wk@gnupg.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi!<br>
<br>
On Wed, 14 Jan 2026 14:28, Shani Yosef said:<br>
<br>
> I'm submitting a fix for CVE-2025-68972, a signature verification bypass<br>
> in GnuPG 2.4.x documented at <a href="https://gpg.fail/formfeed" rel="noreferrer" target="_blank">https://gpg.fail/formfeed</a>.<br>
<br>
Please see <a href="https://gnupg.org/blog/20251226-cleartext-signatures.html" rel="noreferrer" target="_blank">https://gnupg.org/blog/20251226-cleartext-signatures.html</a><br>
which explains why this (and most of the other reported bugs) are<br>
invalid because this is wrong usage of a tool or social engineering.<br>
<br>
Never ever output arbitrary data to the terminal unless you can be sure<br>
that all control characters are filtered out (e.g. using less(1)).<br>
<br>
> The attached patch (CVE-2025-68972.patch) adds form feed detection in the<br>
> cleartext signature<br>
<br>
If you do that you should also remove all other control characters as<br>
well as Unicode control characters.<br>
<br>
<br>
Shalom-Salam,<br>
<br>
   Werner<br>
<br>
<br>
p.s.<br>
Whoever created that CVE should go to Mitre and have it invalidated.<br>
<br>
-- <br>
The pioneers of a warless world are the youth that<br>
refuse military service.             - A. Einstein<br>
</blockquote></div>