Kali Linux alerta sobre falhas de atualização após perda da chave de assinatura do repositório

A Offensive Security, responsável pela distribuição Kali Linux, emitiu um alerta crítico aos seus usuários, recomendando a instalação manual de uma nova chave de assinatura do repositório para evitar falhas no processo de atualização do sistema operacional.

O aviso foi divulgado após a empresa constatar a perda da chave de assinatura anterior do repositório (ED444FF07D8D0BF6), o que a forçou a gerar uma nova chave (ED65462EC8D5E4C5). A nova chave foi assinada pelos desenvolvedores do Kali Linux utilizando assinaturas disponíveis no servidor de chaves OpenPGP do Ubuntu. A Offensive Security esclareceu que, apesar da perda, a chave antiga não foi comprometida e, portanto, não foi removida do conjunto de chaves.

Usuários que tentarem obter a lista dos pacotes de software mais recentes em sistemas que ainda utilizam a chave antiga encontrarão mensagens de erro indicando que a "Chave ausente 827C8569F2518CC677FECA1AED65462EC8D5E4C5 é necessária para verificar a assinatura". A Offensive Security não especificou a data exata em que a perda da chave foi identificada, mas informou que o repositório do Kali Linux foi temporariamente congelado em 18 de fevereiro.

Em comunicado, a empresa lamentou o ocorrido: "Nos próximos dias, praticamente todos os sistemas Kali disponíveis não serão atualizados. [...] Isso não é só com você, é com todos, e a culpa é inteiramente nossa. Perdemos o acesso à chave de assinatura do repositório, então tivemos que criar uma nova." Para solucionar o problema e garantir a continuidade das atualizações, a Offensive Security instrui os usuários a baixarem e instalarem manualmente a nova chave de assinatura do repositório através do seguinte comando no terminal: sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg.

A empresa também forneceu orientações sobre como verificar a integridade do arquivo baixado e visualizar o conteúdo do conjunto de chaves atualizado. Para usuários que preferem uma solução mais direta, a reinstalação do Kali Linux utilizando imagens atualizadas que já incluem a nova chave também é uma opção recomendada. Este não é o primeiro incidente desse tipo, já que em fevereiro de 2018 os desenvolvedores do Kali Linux também precisaram solicitar aos usuários que atualizassem manualmente seu chaveiro devido à expiração da chave GPG anterior.

Via - BC