17 marzo 2016

APT 1.2.7 e l'errore "weak digest" su Ubuntu 16.04 e Debian unstable: non fatevi prendere dal panico


A seguito dell'arrivo di APT 1.2.7 su Ubuntu 16.04 LTS (e derivate) e su Debian unstable è apparso un inquietante messaggio di errore riguardante i repository di terze parti (come Chrome) o i PPA. Vediamo di capire perché nasce l'errore e perché noi utilizzatori non dobbiamo farci prendere dal panico.


L'aggiornamento e il messaggio di errore

Gli utenti Debian unstable e Ubuntu 16.04 LTS (e derivate) hanno da poco ricevuto l'aggiornamento 1.2.7 di APT.
A seguito di questo aggiornamento, in caso di update dei repository di terze parti, apparirà un messaggio di avviso che recita più o meno così

per gli utenti Debian unstable

W: gpgv:/var/lib/apt/lists/apt.example.com_debian_dists_sid_InRelease: The repository is insufficiently signed by key
1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)
per gli utenti Ubuntu 16.04 LTS (e derivate)

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_nomeppa_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key
1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)
Nel mio caso l'errore si è manifestato sia con il repository di Google Chrome con un messaggio:
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release  No Hash entry in Release file /var/lib/apt/lists/dl.google.com_linux_chrome_deb_dists_stable_Release, which is considered strong enough for security purposes

che sul repository di launchpad del tema Paper (è l'unico PPA che ho aggiunto):

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_snwh_pulp_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key D320D0C30B02E64C5B2BB2743766223989993A70 (weak digest)

seguito da 
E: Impossibile scaricare alcuni file di indice: saranno ignorati o verranno usati quelli vecchi.

Cosa significa?

A chiarire la vicenda è arrivato lo sviluppatore Julian Andres Klode che, sul suo blog ha postato alcune informazioni a riguardo. Stando a quanto si apprende il messaggio di errore è legato ad alcuni cambiamenti che sono stati apportati ad APT 1.2.7 che ora considera il supporto SHA-1 non più affidale. Le firme SHA-1 saranno ancora utilizzate in aggiunta a quelle SHA-2 ma come conseguenza apparirà tale messaggio di avviso.
Il passaggio al nuovo algoritmo SHA-2 e la disattivazione totale del supporto a SHA-1 per le firme GPG avverrà, su Ubuntu 16.04 LTS, a Gennaio 2017. 

Gli utenti comuni non devono preoccuparsi o farsi prendere dal panico in quanto il tutto sarà risolto quanto prima a monte.

Nessun commento:

Posta un commento

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.