k3c 曰く、

gnupg-announceメーリングリストに流れたアナウンスによれば、GnuPGのバージョン1.0.2以降における、署名可能なEIGamal鍵(gpg --gen-keyあるいは--edit-key→addkeyで4番を選択して生成されるもの)を用いた署名機能に問題があり、この署名から数秒で(!)秘密鍵を手に入れられるとのこと。特に主鍵に署名可能なEIGamal鍵を用いている場合は、公開鍵に自己署名しているため、たとえ他のデータに署名したことがなくても既に秘密鍵が漏洩していると考えるべきだとアナウンスでは警告している。バージョン1.0.2でEIGamal鍵による署名を効率化した際に脆弱性を組み込んでしまったそうだ。
署名可能なEIGamal鍵は、gpg --list-keyコマンドで「1536G/B5A18FF4」のように、鍵長のあとに大文字の"G"が付いているもの。なお、デフォルトの選択肢であるDSA+EIGamal鍵(アルファベットの"g"が付いている)は、EIGamal鍵では暗号化のみ可能となっているため、今回の脆弱性の影響を受けない。
署名可能なEIGamal鍵を1.0.2より前のバージョンで作成し、1.0.2以降のバージョンで署名に用いていない場合はまだ大丈夫だが、アナウンスでは全ての署名可能なEIGamal鍵をrevokeすることを推奨している。現在、このような鍵は公開鍵サーバに主鍵で848個、副鍵で324個登録されており、全体の0.4%程度だそうだ。
次のバージョンからは署名可能なEIGamal鍵の生成と署名はできなくなる予定で、既に最新バージョン1.2.3に適用可能なパッチが公開されている。さっさと最新バージョンにアップグレードしてパッチを適用し、署名可能なEIGamal鍵を破棄する、のが急ぐヒト用の対応策ということになるだろう。
…以上、長々と書いたが、ワタシの理解が間違っているかも知れないので詳細が気になるヒトはアナウンスを確認の上、ツッコミよろしく。