s/forrásába/mirrorszerveren kicserélték a tar.gz csomagot, amiben átírták a fájl(oka)t/
Az eddigi infók szerint a szó szoros értelmében a forrása (CVS) nem érintett.
Hasonló eset pedig történt már mással is, ennél biztonságra jobban gyúró projekteknél is:
Niels Provos: OpenSSH Security Advisory: Trojaned Distribution Files
--
trey @ gépház