Auf einem der vom Einbruch betroffenen Rechner befindet sich ein Schlüssel zum Signieren von Fedora-Softwarepaketen (Linux-Magazin Online berichtete). Es gibt zwar keine Hinweise, dass der Angreifer die passende Passphrase in Erfahrung gebracht hat, Fedora möchte den Schlüssel aber auf jeden Fall austauschen.

Der Red-Hat-Mitarbeiter und Fedora-Gründer Warren Togami hat nun auf der Release-Engineering-Mailingliste eine Vorgehensweise vorgeschlagen.Sein Plan sieht vor, dem Schlüssel noch kurz zu trauen und die Anwender mit einem damit signierten Fedora-Release-Paket zu versorgen. Es konfiguriert die Paketverwaltung jedoch auf ein neues Repository mitsamt neuem Schlüssel um. Nach und nach sollen alle Pakete für Fedora 8 und 9 sowie die Update- und Testing-Pakete mit dem neuen Schlüssel signiert werden und im neuen Repository angeboten werden. Ein-RPM-Update schließlich soll den alten Schlüssel von den Rechnern der Anwender entfernen. Laut Togamis Mail ist dieser Migrationsplan vom Security-Team abgesegnet. Fedora 10 soll einen eigenen, neuen Schlüssel verwenden.