Os utilizadores do popular sistema operativo Kali Linux estão a ser alertados pela Offensive Security (OffSec) sobre uma falha iminente nas atualizações. A causa? A perda da chave de assinatura do repositório, o que obriga a uma intervenção manual para garantir o acesso aos pacotes de software mais recentes.
O que aconteceu à chave do repositório?
A OffSec, entidade responsável pelo desenvolvimento do Kali Linux, comunicou recentemente que perdeu o acesso à anterior chave de assinatura do repositório (identificada como ED444FF07D8D0BF6). Em resposta a este incidente, foi necessário criar e implementar uma nova chave (ED65462EC8D5E4C5). Esta nova chave foi devidamente assinada pelos programadores do Kali Linux, com as assinaturas disponíveis no servidor de chaves OpenPGP do Ubuntu.
É importante notar que, segundo a OffSec, a chave antiga não foi comprometida por terceiros, apenas se tornou inacessível para a equipa. Por essa razão, a chave antiga não foi removida do conjunto de chaves ("keyring") do sistema. Para minimizar o impacto imediato nos utilizadores, a OffSec tomou a precaução de "congelar" o repositório do Kali Linux a 18 de fevereiro, o que significa que não foram disponibilizadas novas atualizações desde essa data. Contudo, o repositório será reativado em breve, já com as assinaturas da nova chave.
Erro 'Missing key': O sintoma do problema
Quando os utilizadores tentarem atualizar o seu sistema Kali Linux sem terem adicionado a nova chave, irão inevitavelmente deparar-se com erros. A mensagem de erro específica que surgirá será algo como "Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5, which is needed to verify signature". Este erro indica claramente que a nova chave é necessária para verificar a autenticidade dos pacotes de software provenientes do repositório.
Como resolver o problema e atualizar o Kali Linux
Felizmente, a resolução deste problema é relativamente simples, embora exija uma ação manual por parte de cada utilizador. A Offensive Security recomenda a execução do seguinte comando no terminal para descarregar e instalar corretamente a nova chave de assinatura no sistema:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg
Após executar este comando, é uma boa prática verificar a integridade do ficheiro descarregado (kali-archive-keyring.gpg). A OffSec disponibiliza detalhes sobre como confirmar se o checksum do ficheiro corresponde ao esperado e como visualizar o conteúdo do "keyring" atualizado.
Para os utilizadores que possam sentir-se menos confortáveis em executar comandos manuais para atualizar chaves de segurança, ou que simplesmente prefiram uma solução mais "limpa", existe uma alternativa: reinstalar o sistema operativo Kali Linux utilizando as imagens de instalação mais recentes. Estas novas imagens já incluem a chave de repositório atualizada.
Um déjà vu para utilizadores mais antigos
Esta situação pode soar familiar para os utilizadores mais antigos do Kali Linux. Não é a primeira vez que é necessária uma intervenção manual para corrigir problemas com chaves de repositório. Em fevereiro de 2018, um incidente semelhante ocorreu quando a chave GPG da altura expirou, obrigando também os utilizadores a atualizá-la manualmente para poderem continuar a receber atualizações.
A OffSec lamenta o inconveniente causado por esta situação, sublinhando que a responsabilidade pela perda da chave é inteiramente sua. Recomenda-se a todos os utilizadores do Kali Linux que apliquem a correção indicada o mais rapidamente possível para evitar interrupções e garantir a segurança e funcionalidade do seu sistema.
Nenhum comentário
Seja o primeiro!