Seite 1 von 1
Opsi repository Weak SHA1
Verfasst: 26 Mai 2017, 12:34
von shibumi
Hallo,
Das Opsi-Repository nutzt noch SHA1. Dadurch kommt es beim updaten via apt zu einer Warning-Message.
Die Checksum sollte man mal gegen etwas modernes tauschen wie zb: sha256-sum oder sha512-sum.
SHA1 gilt seit 2016 offiziell als "geknackt".
Mehr Informationen gibt es dazu hier:
https://shattered.io/
Re: Opsi repository Weak SHA1
Verfasst: 26 Mai 2017, 13:50
von SirTux
Das Problem ist
bekannt, aber anscheinend außerhalb des Einflußbereiches von UIB. Also sollte man sich besser bei SUSE beschweren, damit sich endlich mal was tut.
Re: Opsi repository Weak SHA1
Verfasst: 26 Mai 2017, 18:27
von m.radtke
SirTux hat geschrieben:Das Problem ist
bekannt, aber anscheinend außerhalb des Einflußbereiches von UIB. Also sollte man sich besser bei SUSE beschweren, damit sich endlich mal was tut.
Genau.
Wir melden uns regelmäßig bei den Suse Leuten. Da kommt aber nichts konstruktives zurück
Re: Opsi repository Weak SHA1
Verfasst: 20 Jun 2017, 23:47
von shibumi
wieso hosted ihr nicht einfach ein eigenes repository?!
Re: Opsi repository Weak SHA1
Verfasst: 21 Jun 2017, 10:32
von ueluekmen
Hi,
es hat mehrere Gründe warum wir das nicht selber Hosten. Aber ja, wir denken mittlerweile sehr intensiv darüber nach es selber zu hosten und sind mit unserem Hoster auch im Gespräch. Es ist leider nicht damit getan die Repos zu spiegeln, da muss noch einiges mehr gemacht werden. Im Moment ist auch Ubuntu 16.04 das einzige Betriebssystem, was sich darüber beschwert. Wir haben schon mal ein Abbild dieses Repos auf der download.uib.de veröffentlicht aus unserem internen Buildsystem. Da ist der Key nicht mehr weak und die Tests sahen eigentlich gut aus.
Kurzum wir sind dran, aber können noch nicht sagen wann und wie das in Zukunft gelöst wird. Wir melden uns aber frühzeitig, wenn fest steht, ob es einen Umzug gibt.
Re: Opsi repository Weak SHA1
Verfasst: 22 Jun 2017, 11:20
von shibumi
ueluekmen hat geschrieben: Im Moment ist auch Ubuntu 16.04 das einzige Betriebssystem, was sich darüber beschwert.
Das neue Debian 9 sollte sich nun auch beschweren. Auszug aus dem changelog:
https://www.debian.org/releases/stable/ ... s-new.html
Code: Alles auswählen
On the security side, APT now rejects weaker checksums by default (e.g. SHA1)
Nur so als kleine vorwarnung falls sich jemand beschwert