A Offensive Security alertou os usuários do Kali Linux para instalarem manualmente uma nova chave de assinatura do repositório Kali para evitar falhas de atualização.
O anúncio vem após a OffSec perder a chave de assinatura do repositório antigo (ED444FF07D8D0BF6) e ser forçada a criar uma nova (ED65462EC8D5E4C5) assinada pelos desenvolvedores do Kali Linux com assinaturas disponíveis no servidor de chaves OpenPGP do Ubuntu.
No entanto, uma vez que a chave não foi comprometida, a antiga não foi removida do chaveiro.
Ao tentar obter a lista dos pacotes de software mais recentes em sistemas ainda utilizando a chave antiga, os usuários verão erros de "Chave faltante 827C8569F2518CC677FECA1AED65462EC8D5E4C5, que é necessária para verificar a assinatura".
Embora a OffSec não tenha compartilhado a data em que percebeu a perda da chave, a empresa adicionou que o repositório do Kali Linux foi congelado em 18 de fevereiro.
"Nos próximos dia(s), praticamente todos os sistemas Kali lá fora falharão na atualização. Não é só você, é para todos, e isso é inteiramente nossa culpa. Perdemos o acesso à chave de assinatura do repositório, então tivemos que criar uma nova", disse a empresa.
"Ao mesmo tempo, congelamos o repositório (você deve ter notado que não houve atualização desde a sexta-feira, dia 18), então ninguém foi impactado ainda.
Mas vamos descongelar o repositório esta semana, e agora está assinado com a nova chave."
Para evitar esses problemas de atualização, a OffSec aconselha os usuários a baixarem e instalarem manualmente a nova chave de assinatura do repositório usando o seguinte comando:
A OffSec também fornece detalhes sobre como verificar se o checksum do arquivo corresponde e visualizar o conteúdo do chaveiro atualizado.
Aqueles que não confiam na atualização manual do chaveiro também podem reinstalar o Kali em seus sistemas usando imagens atualizadas com o novo chaveiro.
Esta não é a primeira vez que os usuários do Kali Linux tiveram que atualizar manualmente seu chaveiro para evitar problemas de atualização.
Em fevereiro de 2018, os desenvolvedores do Kali também deixaram a chave GPG expirar e pediram aos usuários para atualizar a nova chave manualmente.
"Se você não atualiza o Kali regularmente (*cof*), então seu pacote archive-keyring está desatualizado, e você encontrará incompatibilidades de chave ao trabalhar com nossos repositórios. Ruim para você, mas pelo menos você pode atualizar manualmente", disse a equipe do Kali na época.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...