Apt düzeltmek nasıl: Anahtar ile imza zayıf sindirim algoritması (SHA1) kullanıyor?

129

Depoları ekleyerek sudo apt-get updatekurulum yapmaya başladım ve diğer yazılımları yüklemeye başlamadan önce tekrar çalışmaya başladım ve İmza anahtar satırlarını alıyorum ve duruyor. Bu yüzden aslında şimdi hiçbir paketi güncellememe izin vermiyor.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Bunu daha önce hiç görmedim ve Ubuntu'da bir şeyler kurmaya başladığımda görmedim. Yapabileceğim başka bir şey var mı?

apt

— dlchang
kaynak

2

Aynı problemi yaşıyor olmak. Sanırım yalnızca Google’ın tarafında düzeltilebilir veya "zayıf güvenlik algoritmaları" olan depolardaki güncellemeleri kontrol etmeye izin verebilir, ancak güvenlik riskinin nasıl ve ne kadar muhtemel olacağını bilmiyorum. Bu blogda belirtildiği gibi , hareket Debian'daki dengesizlikten kaynaklanıyordu ve Canonical bunu içeriyordu çünkü:> Xenial (Ubuntu 16.04 LTS) 5 yıl boyunca desteklenecek ve peyzaj önümüzdeki 5 yıl içinde çok değişebilir. Bu arada, Launchpad'de [burada] dosyalanmış bir hata var ( bugs.launchpad.net/ubuntu

— Erwinstein

Sadece Google ile değil, Samsung sürücüleri ve Virtualbox ile aynı problemi

— yaşıyorum

1

Geçici bir geçici çözüm olarak, neredeyse tüm amaç ve amaçlar için, çoğunlukla aynı krom tarayıcıyı deneyebilir ve yükleyebilirsiniz. Kanonik repolardan geldiğinden, bu sorun olmamalıydı.

— arielf

Sorunu Google Chrome deposuyla düzeltmek için bunu Google’a bildirmek için uygun yer neresidir?

— orschiro

@arielf Ya, Google’dan bir düzeltme beklerken bunu yapmayı bitirdim, çünkü forumlarda yaptığım aramalardan yapılabilecek tek şey bu gibi görünüyor.

— dlchang

63

Google kaynağındaki sorun Google’ın sonunda, ancak apt-getsorunu yalnızca bir uyarı olarak bildiriyor. Bu sorun paketleri yükseltmenizi engellemez.

Kullanıyorsunuz apt-getve gördükleriniz çalıştırdıktan sonra normal davranıştır update: güncellemeyi gerçekleştirir ancak ek bilgi sağlamaz.

Sen izlemeniz gerekir sudo apt-get updateile sudo apt-get upgradeherhangi paket güncellemesi olup olmadığını görmek için.

Yeni sudo apt update(sadece bunun farkında apt) sonuçları hakkında geri bildirimde bulunur.

Kullanarak apt, mesajınızı göreceksiniz.

All packages are up to date

veya

The following packages will be upgraded:

Ayrıca bkz apt list --upgradeable.

— chaskes
kaynak

1

Oh, yeni olanı bilmiyordum sudo apt update, teşekkür ederim bunu deneyeceğim. Ve sanırım hiç işe yaramadığını düşündüm, çünkü son satırların İmza satırları olduğu ve bundan sonra durduğunu, yani güncelleme olmadığını varsaydım. Yani bu sadece bu konuda bir uyarı, ancak diğer güncellemelere müdahale etmeden devam ediyor mu?

— dlchang

1

@dlchang Bu doğru. :)

— chaskes

Chrome, önümüzdeki on yılın IE'si ... yine de, "Tüm paketler güncel" aptkonusunda doğru değil, aynı uyarıları alıyorum. Chrome, son birkaç aydır bunun gibi birçok sorunu yaşadı, şaşırtıcı linux kullanıcıları bile kullandı (maalesef webdev için mecbur kaldım).

— Todd

3

@Todd Google deposu, amortismana tabi tutulmuş bir SHA1 anahtarıyla imzalandığından hala uyarıları alacaksınız. Bunun nedeni, SHA1'in güvenliğini kabul edilemez derecede zayıflatan etkin gücünü azaltan çarpışmalara sahip olmasıdır. Aynı sebepten dolayı, ironik olarak krom içeren tarayıcılar, SHA1 kullanarak SSL sertifikaları hakkında şikayette bulunacaklar. Etkili gücü sadece yaklaşık 2 ^ 60-2 ^ 70 işlemdir ya da 20'den fazla TFLOPS GPU hesaplama makinesinin yeterince ucuz olduğu düşünüldüğünde artık yeterince iyi değildir.

— MttJocy

aptaçıkladığınız gibi benim için çalışmıyor. 7 paket yükseltilebilir

— musiKk

32

Debian ve Ubuntu SHA256, Mart ayından bu yana Sürüm ve / veya Paket dosyalarındaki girdileri zorlar veya daha yüksek tutarlar . Bunları barındıran depoların sahipleri tarafından düzeltilmesi gerekir.

Debian wiki'sindeki bozuk depolara genel bir bakış var .

— webwurst
kaynak

19

@Chaskes'ın dediği gibi bu, bilgisayarınızda değil depoda bir sorun.

@webwurst, altta yatan soruna iyi bağlantılar içeriyor. İmzalarla ilgili bir açıklama da var.

Bu hataları veren bir depo barındırıyorsanız. Çözelti varsayılan değiştirmektir cert-digest-algoolmak SHA256. Varsayılan olarak kullanmak için gnupg varsayılanlarıSHA1

Bu sorunu düzelttikten sonra bir sonraki uyarı, imzanın "zayıf özet algoritması (SHA1) kullandığı" ve bunun için de ayarlayabileceğiniz düzeltmeleri digest-algoolacaktır SHA256.

Bu değerler, deponun kullandığı depo sunucusuna gider gpg.conf.

Kısa el eklemek

cert-digest-algo SHA256
digest-algo SHA256

sizin için ~/.gnupg/gpg.confdosyanın.

Projemiz, dağıtım mekanizmamız için nasıl düzeltileceğine dair bir örnek olması gereken burayı işaretlemiştir .

— Tully
kaynak

4

Bu hatayı önlemek için depoyu kaldırabilirsiniz.

Deponun kaldırılmasının Chrome'un önemli güvenlik güncellemeleri dahil olmak üzere herhangi bir güncelleme almasını engelleyeceğini unutmayın !
Bu, tarayıcınızı zaman içinde artan tehditlere karşı savunmasız bırakacaktır !

Depoyu gerçekten tamamen kaldırmak veya devre dışı bırakmak istiyorsanız, Chrome'u kaldırmayı ve açık kaynak kodlu bir türevi gibi farklı bir tarayıcıya geçmeyi düşünmelisiniz chromium.

_{Bu not ByteCommander tarafından eklenmiştir .}

Software and UpdatesDash için ilk aramada . Aç ve Other Softwaresekmeye geç.

Orada bunun gibi bir giriş arayın:

http://dl.google.com/linux/earth/deb/dists/stable/

ve çıkarın.

Sonunda Authenticationsekmeye gidin ve "Google" denilen bir şey bulacaksınız, onu da kaldırın.

Depolarınızı şimdi güncellemeye çalıştığınızda, bu can sıkıcı hata mesajını göstermeyi bırakmalıdır.

— Hayet Mahamud
kaynak

12

Bu, gelecekteki güncellemeleri Google OP’de de günceller.

— edwinksl

Not: Krom ppa şimdi düzeltildi.

— starbeamrainbowlabs