Kali

Offensive Security 社は Kali Linux ユーザーに、アップデートの失敗を避けるために新しい Kali リポジトリ署名キーを手動でインストールするよう警告した。

この発表は、OffSec が古いリポジトリ署名キー(ED444FF07D8D0BF6)を紛失し、Ubuntu OpenPGP キーサーバーで利用可能な署名を使用して Kali Linux 開発者が署名した新しいキー(ED65462EC8D5E4C5)を作成せざるを得なくなったことを受けて行われた。しかし、鍵は漏洩していないため、古い鍵はキーリングから削除されませんでした。

古い鍵をまだ使用しているシステムで最新のソフトウェアパッケージのリストを取得しようとすると、ユーザは「Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5,これは署名を検証するために必要です」というエラーを見ることになる。

OffSecは鍵の紛失に気づいた日付を共有していないが、同社はKali Linuxのレポが2月18日に凍結されたと付け加えた。

“今後1日(複数日)、世の中にあるほとんどすべての Kali システムがアップデートに失敗するでしょう。[これはあなただけでなく、すべての人の問題であり、すべて私たちの責任です。私たちはリポジトリの署名キーへのアクセスを失いました。

「同時に、リポジトリを凍結しました(18日金曜日から更新がなかったことにお気づきかもしれません)。しかし、今週中にリポジトリの凍結を解除し、新しいキーで署名する予定です。”

このようなアップデートの問題を回避するため、OffSecは以下のコマンドを使用して新しいリポジトリの署名キーを手動でダウンロードし、インストールするようユーザーに助言している:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

OffSecは、ファイルのチェックサムが一致することを確認し、更新されたキーリングの内容を表示する方法の詳細も提供しています。手動でキーリングを更新するのが不安な人は、新しいキーリングで更新されたイメージを使ってシステムにKaliを再インストールすることもできる。

Kali Linuxユーザーがアップデートの問題を避けるためにキーリングを手動で更新しなければならなかったのは、今回が初めてではない。2018年2月にも、Kaliの開発者はGPGキーの有効期限を切らせ、新しいキーを手動で更新するようユーザーに求めた。

“もしあなたがKaliを定期的にアップデートしないなら(*cough*)、あなたのarchive-keyringパッケージは古く、私たちのリポジトリで作業するときにキーのミスマッチが発生します。しかし、少なくとも手動でアップデートすることはできます」とKaliチームは当時述べている。