> Das Problem ist, dass ein mirror-paket das security-Paket überschreibt, wenn die Metadaten sagen, es sei aktueller, auch wenn das heruntergeladene Paket dann eine alte Version ist (openssl!).
Nein, weil die Versionsnummer von dem kaputten Paket ja dann kleiner ist. Und die kann man nicht ändern ohne die Signatur kaputtzumachen (wenn die Metaliste signiert ist, bei Debian und Ubuntu weiß ich dass sie es ist. Außer in den PPAs, aber dass die unsicher sind braucht man nicht drüber reden).