Η Offensive Security προειδοποίησε τους χρήστες του Kali Linux να εγκαταστήσουν χειροκίνητα το νέο κλειδί υπογραφής του αποθετηρίου του Kali, ώστε να αποφύγουν αποτυχίες κατά την ενημέρωση του συστήματος.
Δείτε επίσης: Μάθετε τα πάντα για το λειτουργικό σύστημα Kali Linux!
Η ανακοίνωση αυτή ήρθε μετά την απώλεια του παλαιού κλειδιού υπογραφής του αποθετηρίου (ED444FF07D8D0BF6) από την OffSec, η οποία αναγκάστηκε να δημιουργήσει νέο κλειδί (ED65462EC8D5E4C5), το οποίο υπογράφηκε από προγραμματιστές του Kali Linux χρησιμοποιώντας υπογραφές που είναι διαθέσιμες στον διακομιστή OpenPGP του Ubuntu. Επειδή το παλιό κλειδί δεν παραβιάστηκε, δεν αφαιρέθηκε από το keyring.
Σε συστήματα που συνεχίζουν να χρησιμοποιούν το παλιό κλειδί, κατά την προσπάθεια λήψης της λίστας με τα πιο πρόσφατα πακέτα λογισμικού, οι χρήστες θα δουν σφάλματα όπως: «Λείπει το κλειδί 827C8569F2518CC677FECA1AED65462EC8D5E4C5, το οποίο απαιτείται για την επαλήθευση της υπογραφής».
Δείτε ακόμα: Το Kali Linux 2024.4 κυκλοφόρησε με 14 νέα εργαλεία
Αν και η OffSec δεν αποκάλυψε την ημερομηνία κατά την οποία διαπίστωσε την απώλεια του κλειδιού, ανέφερε ότι το αποθετήριο του Kali Linux «πάγωσε» στις 18 Φεβρουαρίου. Για να αποφευχθούν τα προβλήματα ενημερώσεων, η OffSec συνιστά στους χρήστες να κατεβάσουν και να εγκαταστήσουν χειροκίνητα το νέο κλειδί υπογραφής του αποθετηρίου, χρησιμοποιώντας την εξής εντολή:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg
Η OffSec παρέχει επίσης οδηγίες για το πώς να επαληθευτεί ότι το άθροισμα ελέγχου (checksum) του αρχείου ταιριάζει και πώς να προβληθούν τα περιεχόμενα του ενημερωμένου keyring. Όσοι δεν εμπιστεύονται τη χειροκίνητη διαδικασία μπορούν να επανεγκαταστήσουν το Kali στα συστήματά τους χρησιμοποιώντας εικόνες που έχουν ήδη ενημερωθεί με το νέο keyring.
Δεν είναι η πρώτη φορά που οι χρήστες του Kali Linux χρειάστηκε να ενημερώσουν χειροκίνητα το κλειδί υπογραφής για να αποφύγουν προβλήματα με τις ενημερώσεις. Τον Φεβρουάριο του 2018, οι προγραμματιστές του Kali είχαν αφήσει να λήξει το GPG κλειδί και ζήτησαν από τους χρήστες να το ενημερώσουν χειροκίνητα.
Δείτε επίσης: Το Linux 6.14 κυκλοφόρησε με 500.000 γραμμές τροποποιημένου κώδικα
Ένα σημαντικό στοιχείο που σχετίζεται με τα παραπάνω είναι ότι τα κλειδιά υπογραφής αποθετηρίων (repository signing keys) παίζουν κρίσιμο ρόλο στην ασφάλεια των ενημερώσεων λογισμικού στο Linux. Χρησιμοποιούνται για να επαληθεύεται ότι τα πακέτα που κατεβάζει ο χρήστης δεν έχουν αλλοιωθεί και ότι προέρχονται πράγματι από αξιόπιστη πηγή. Εάν ένα τέτοιο κλειδί χαθεί ή λήξει και δεν αντικατασταθεί σωστά, οι χρήστες μπορεί να βρεθούν με σύστημα που δεν μπορεί να ενημερωθεί ή—ακόμη χειρότερα—να εκτεθεί σε επιθέσεις μέσω κακόβουλων πακέτων, αν το νέο κλειδί δεν εγκατασταθεί με ασφαλή τρόπο.
Πηγή: bleepingcomputer
