​Offensive Security a averti les utilisateurs de Kali Linux d’installer manuellement une nouvelle clé de signature du référentiel Kali pour éviter les échecs de mise à jour.

L’annonce intervient après qu’OffSec a perdu l’ancienne clé de signature du référentiel (ED444FF07D8D0BF6) et a été contraint d’en créer une nouvelle (ED65462EC8D5E4C5) signée par les développeurs Kali Linux en utilisant les signatures disponibles sur le serveur de clés Ubuntu OpenPGP. Cependant, comme la clé n’a pas été compromise, l’ancienne n’a pas été retirée du trousseau de clés.

En essayant d’obtenir la liste des derniers progiciels sur les systèmes utilisant encore l’ancienne clé, les utilisateurs verront les erreurs « Clé manquante 827C8569F2518CC677FECA1AED65462EC8D5E4C5, nécessaire pour vérifier la signature ».

Bien qu’OffSec n’ait pas communiqué la date à laquelle il s’est rendu compte que la clé avait été perdue, la société a ajouté que le dépôt Kali Linux avait été gelé le 18 février.

« Dans les prochains jours, à peu près tous les systèmes Kali ne parviendront pas à se mettre à jour. [..] Ce n’est pas seulement vous, c’est pour tout le monde, et c’est entièrement de notre faute. Nous avons perdu l’accès à la clé de signature du référentiel, nous avons donc dû en créer une nouvelle », a déclaré la société.

« En même temps, nous avons gelé le référentiel (vous avez peut-être remarqué qu’il n’y avait pas de mise à jour depuis le vendredi 18), donc personne n’a encore été impacté. Mais nous allons débloquer le dépôt cette semaine, et il est maintenant signé avec la nouvelle clé. »

Pour éviter de rencontrer ces problèmes de mise à jour, OffSec conseille aux utilisateurs de télécharger et d’installer manuellement la nouvelle clé de signature du référentiel à l’aide de la commande suivante:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

Offset fournit également des détails sur la façon de vérifier que la somme de contrôle du fichier correspond et d’afficher le contenu du trousseau de clés mis à jour. Ceux qui ne font pas confiance à la mise à jour manuelle du trousseau de clés peuvent également réinstaller Kali sur leurs systèmes en utilisant des images mises à jour avec le nouveau trousseau de clés.

Ce n’est pas la première fois que les utilisateurs de Kali Linux doivent mettre à jour manuellement leur trousseau de clés pour éviter d’avoir des problèmes de mise à jour. En février 2018, les développeurs de Kali ont également laissé la clé GPG expirer et ont demandé aux utilisateurs de mettre à jour la nouvelle clé manuellement.

« Si vous ne mettez pas Kali à jour régulièrement (tousse), votre package archive-keyring est obsolète et vous obtiendrez des incompatibilités de clés lorsque vous travaillerez avec nos référentiels. Ça craint pour vous, mais au moins vous pouvez mettre à jour manuellement », a déclaré l’équipe Kali à l’époque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *