Η επιθετική ασφάλεια προειδοποίησε τους χρήστες του Kali Linux να εγκαταστήσουν με μη αυτόματο τρόπο ένα νέο κλειδί υπογραφής αποθετηρίου Kali για να αποφευχθεί η εμπειρία αποτυχιών ενημέρωσης.
Η ανακοίνωση έρχεται μετά από το Offsec έχασε το παλιό κλειδί υπογραφής repo (ED444FF07D8D0BF6) και αναγκάστηκε να δημιουργήσει ένα νέο (ED65462EC8D5E4C5) υπογεγραμμένο από τους προγραμματιστές Kali Linux χρησιμοποιώντας υπογραφές διαθέσιμες στο Ubuntu OpenPGP Key Server. Ωστόσο, δεδομένου ότι το κλειδί δεν διακυβεύτηκε, το παλιό δεν αφαιρέθηκε από το μπρελόκ.
Όταν προσπαθείτε να αποκτήσετε τη λίστα των τελευταίων πακέτων λογισμικού στα συστήματα που εξακολουθούν να χρησιμοποιούν το παλιό κλειδί, οι χρήστες θα δουν “λείπει το κλειδί 827C8569F2518CC677FECA1AED65462EC8D5E4C5, το οποίο απαιτείται για να επαληθεύσει τα σφάλματα υπογραφής”.
Ενώ η offsec δεν μοιράστηκε την ημερομηνία που συνειδητοποίησε ότι το κλειδί χάθηκε, η εταιρεία πρόσθεσε ότι το Kali Linux Repo καταψύχθηκε στις 18 Φεβρουαρίου.
“Την επόμενη μέρα, σχεδόν κάθε σύστημα Kali εκεί θα αποτύχει να ενημερώσει. [..] Αυτό δεν είναι μόνο εσείς, αυτό είναι για όλους, και αυτό είναι εντελώς δικό μας λάθος. Χάσαμε πρόσβαση στο κλειδί υπογραφής του αποθετηρίου, οπότε έπρεπε να δημιουργήσουμε ένα νέο “, η εταιρεία είπε.
“Ταυτόχρονα, πάγωσε το αποθετήριο (ίσως έχετε παρατηρήσει ότι δεν υπήρχε ενημέρωση από την Παρασκευή 18η), οπότε κανείς δεν είχε ακόμη επηρεαστεί, αλλά θα ξεπεράσουμε το αποθετήριο αυτή την εβδομάδα και τώρα έχει υπογραφεί με το νέο κλειδί”.
Για να αποφευχθεί η εμπειρία αυτών των προβλημάτων ενημέρωσης, το Offsec συμβουλεύει τους χρήστες να κατεβάζουν με μη αυτόματο τρόπο το νέο κλειδί υπογραφής αποθετηρίου χρησιμοποιώντας την ακόλουθη εντολή:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg
Το Offsec παρέχει επίσης λεπτομέρειες σχετικά με τον τρόπο ελέγχου ότι το έλεγχο του αρχείου ταιριάζει και προβάλλει τα περιεχόμενα του ενημερωμένου Keyring. Εκείνοι που δεν εμπιστεύονται χειροκίνητα την ενημέρωση του Keyring μπορούν επίσης να επανεγκαταστήσουν το Kali στα συστήματά τους χρησιμοποιώντας εικόνες που ενημερώνονται με το νέο Keyring.
Δεν είναι η πρώτη φορά που οι χρήστες Kali Linux έπρεπε να ενημερώσουν με μη αυτόματο τρόπο το μπρελόκ τους για να αποφύγουν την ενημέρωση των προβλημάτων. Τον Φεβρουάριο του 2018, ο Kali Devs επίσης Αφήστε το κλειδί GPG να λήξει και ζήτησε από τους χρήστες να ενημερώσουν το νέο κλειδί με μη αυτόματο τρόπο.
“Εάν δεν ενημερώνετε τακτικά το Kali (*βήχας*), τότε το πακέτο αρχειοθέτησής σας είναι ξεπερασμένο και θα πάρετε βασικές αναντιστοιχίες όταν εργάζεστε με τα αποθετήρια μας.
VIA: bleepingcomputer.com
