Offensive Security เตือนผู้ใช้ Kali Linux ให้ติดตั้ง signing key repository ใหม่ด้วยตนเอง เพื่อหลีกเลี่ยงการประสบกับปัญหาในการอัปเดต Fail
การประกาศนี้เกิดขึ้นหลังจากที่ OffSec สูญเสีย repo signing key เก่า (ED444FF07D8D0BF6) และต้องสร้าง signing key ใหม่ (ED65462EC8D5E4C5) ที่ signed โดยนักพัฒนา Kali Linux โดยใช้ signatures ที่มีอยู่ใน Ubuntu OpenPGP key server อย่างไรก็ตาม เนื่องจากคีย์ไม่ได้ถูกบุกรุก คีย์เก่าจะยังไม่ถูกนำออกจาก keyring
เมื่อพยายามเรียกใช้รายการ software packages ล่าสุดในระบบที่ยังใช้คีย์เก่า ผู้ใช้จะเห็น errors "Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5, which is needed to verify signature"
แม้ว่า OffSec จะไม่ได้เปิดเผยวันที่พบว่าคีย์สูญหาย แต่ทางบริษัทได้ระบุว่า repository ของ Kali Linux ถูกระงับไว้ตั้งแต่วันที่ 18 กุมภาพันธ์
บริษัทระบุว่า “ในอีกไม่กี่วันข้างหน้า แทบทุกระบบของ Kali จะไม่สามารถอัปเดตได้สำหรับทุกคน และนี่เป็นความผิดของเราทั้งหมด เราสูญเสียการเข้าถึง signing key ของ repository ดังนั้นเราจึงจำเป็นต้องสร้างคีย์ใหม่ขึ้นมา”
“ในขณะเดียวกัน เราได้หยุดการทำงานของ repository เอาไว้ (อาจสังเกตได้ว่าไม่มีการอัปเดตตั้งแต่วันศุกร์ที่ 18) ดังนั้นจึงยังไม่มีใครได้รับผลกระทบ แต่เราจะยกเลิกการหยุดทำงาน repository ภายในสัปดาห์นี้ และตอนนี้ repository ได้รับการเข้าระบบด้วยคีย์ใหม่แล้ว”
เพื่อหลีกเลี่ยงปัญหาในการอัปเดต OffSec แนะนำให้ผู้ใช้ดาวน์โหลด และติดตั้ง signing key ใหม่ของ repository ด้วยตนเอง โดยใช้คำสั่งดังต่อไปนี้:
OffSec ยังให้รายละเอียดเกี่ยวกับวิธีตรวจสอบว่า checksum ของไฟล์ตรงกันหรือไม่ และวิธีดูเนื้อหาของ keyring ที่ได้รับการอัปเดตแล้ว สำหรับผู้ที่ไม่ไว้ใจการอัปเดต keyring ด้วยตนเอง ก็สามารถติดตั้ง Kali ใหม่โดยใช้ image ที่ได้รวม keyring เวอร์ชันใหม่ไว้แล้ว
นี่ไม่ใช่ครั้งแรกที่ผู้ใช้ Kali Linux ต้องอัปเดต keyring ด้วยตนเองเพื่อหลีกเลี่ยงปัญหาในการอัปเดตระบบ ในเดือนกุมภาพันธ์ 2018 ทีมพัฒนา Kali ก็เคยปล่อยให้ GPG key หมดอายุ และขอให้ผู้ใช้อัปเดต key ใหม่ด้วยตนเองเช่นกัน
ทีมงาน Kali ระบุในขณะนั้นว่า “ถ้าหากไม่ได้อัปเดต Kali เป็นประจำ (cough) แพ็กเกจ archive-keyring ของคุณก็อาจจะเก่าเกินไป และจะเจอปัญหา key ไม่ตรงกันเมื่อใช้งานกับ repository ของเรา แต่อย่างน้อยคุณยังสามารถอัปเดตด้วยตนเองได้”
ที่มา : bleepingcomputer
You must be logged in to post a comment.