Opsi repository Weak SHA1

Antworten
shibumi
Beiträge: 51
Registriert: 16 Sep 2016, 14:43

Opsi repository Weak SHA1

Beitrag von shibumi »

Hallo,
Das Opsi-Repository nutzt noch SHA1. Dadurch kommt es beim updaten via apt zu einer Warning-Message.
Die Checksum sollte man mal gegen etwas modernes tauschen wie zb: sha256-sum oder sha512-sum.

SHA1 gilt seit 2016 offiziell als "geknackt".

Mehr Informationen gibt es dazu hier: https://shattered.io/
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: Opsi repository Weak SHA1

Beitrag von SirTux »

Das Problem ist bekannt, aber anscheinend außerhalb des Einflußbereiches von UIB. Also sollte man sich besser bei SUSE beschweren, damit sich endlich mal was tut.
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1515
Registriert: 10 Jun 2015, 12:19

Re: Opsi repository Weak SHA1

Beitrag von m.radtke »

SirTux hat geschrieben:Das Problem ist bekannt, aber anscheinend außerhalb des Einflußbereiches von UIB. Also sollte man sich besser bei SUSE beschweren, damit sich endlich mal was tut.
Genau.

Wir melden uns regelmäßig bei den Suse Leuten. Da kommt aber nichts konstruktives zurück
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
shibumi
Beiträge: 51
Registriert: 16 Sep 2016, 14:43

Re: Opsi repository Weak SHA1

Beitrag von shibumi »

wieso hosted ihr nicht einfach ein eigenes repository?!
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Opsi repository Weak SHA1

Beitrag von ueluekmen »

Hi,

es hat mehrere Gründe warum wir das nicht selber Hosten. Aber ja, wir denken mittlerweile sehr intensiv darüber nach es selber zu hosten und sind mit unserem Hoster auch im Gespräch. Es ist leider nicht damit getan die Repos zu spiegeln, da muss noch einiges mehr gemacht werden. Im Moment ist auch Ubuntu 16.04 das einzige Betriebssystem, was sich darüber beschwert. Wir haben schon mal ein Abbild dieses Repos auf der download.uib.de veröffentlicht aus unserem internen Buildsystem. Da ist der Key nicht mehr weak und die Tests sahen eigentlich gut aus.

Kurzum wir sind dran, aber können noch nicht sagen wann und wie das in Zukunft gelöst wird. Wir melden uns aber frühzeitig, wenn fest steht, ob es einen Umzug gibt.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
shibumi
Beiträge: 51
Registriert: 16 Sep 2016, 14:43

Re: Opsi repository Weak SHA1

Beitrag von shibumi »

ueluekmen hat geschrieben: Im Moment ist auch Ubuntu 16.04 das einzige Betriebssystem, was sich darüber beschwert.
Das neue Debian 9 sollte sich nun auch beschweren. Auszug aus dem changelog:

https://www.debian.org/releases/stable/ ... s-new.html

Code: Alles auswählen

On the security side, APT now rejects weaker checksums by default (e.g. SHA1)
Nur so als kleine vorwarnung falls sich jemand beschwert ;)
Antworten