Author Topic: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore (Read 6700 times)

devil · « **on:** 2016/03/16, 09:45:17 »

Seit dem heutigen Dist-Upgrade werden in der Ausgabe von apt update Warnungen für Repos von Dritten auftauchen. Dies sind keine Fehlermeldungen. Hier etwas Hintergrund: http://www.pro-linux.de/news/1/23358/debian-und-ubuntu-vertrauen-sha1-nicht-mehr.html

----

Since todays dist-upgrade APT does not trust signatures from SHA1 anymore. That will lead to warnings in apt update for third party repos that are not trusted anymore until they up their security using SHA2 or 3 or some other trusted hash function. My above link also holds 2 links in EN for fürther detail.

greetz
devil

DeKa · « **Reply #1 on:** 2016/03/16, 12:17:22 »

Hallo @devil,

vielen Dank für die Meldung.
Ich habe gestern erst ein dist-upgrade durchgeführt und keine Fehler vorgefunden.
Es liegt wohl daran das ich nicht viele zusätzliche Quellen im System aktiviert habe, nur solche die Vertrauenswürdig sind.

devil · « **Reply #2 on:** 2016/03/16, 14:18:07 »

Vetrauenswürdig gegenüber wem? Debian vertraut derzeit weder Google oder Steam, openSuse oder irgendeinem anderen Drittrepo. Falls Du noch kein APT 1.2.7. hast, wirst Du auch nichts bemerken.

greetz
devil

DeKa · « **Reply #3 on:** 2016/03/16, 15:02:28 »

Kontrolliere ich nachher, glaube das apt dabei war.

DeKa · « **Reply #4 on:** 2016/03/16, 17:19:50 »

Du hast mal wieder recht, ist noch Version 1.2.6, habe aber auch kein Update zur Auswahl.

Code: [Select]

root@siductionbox:/home/deka# apt-cache policy apt
apt:
  Installiert:           1.2.6
  Installationskandidat: 1.2.6
  Versionstabelle:
 *** 1.2.6 500
        500 http://ftp2.de.debian.org/debian unstable/main amd64 Packages
        500 http://ftp.de.debian.org/debian unstable/main amd64 Packages
        500 http://ftp.is.debian.org/debian unstable/main amd64 Packages
        100 /var/lib/dpkg/status
/

Habe ein apt update vergessen, mein Fehler.

Code: [Select]

root@siductionbox:/home/deka# apt-cache policy apt
apt:
  Installiert:           1.2.6
  Installationskandidat: 1.2.7
  Versionstabelle:
     1.2.7 500
        500 http://ftp2.de.debian.org/debian unstable/main amd64 Packages
        500 http://ftp.de.debian.org/debian unstable/main amd64 Packages
        500 http://ftp.is.debian.org/debian unstable/main amd64 Packages
 *** 1.2.6 100
        100 /var/lib/dpkg/status

terroreek · « **Reply #5 on:** 2016/03/28, 15:36:14 »

Hi All,

I reached out to the Insync support team let them know that their about their Sid repo using SHA-1 and they have fixed it.

assuming you are using the following repo.

Code: [Select]

deb http://apt.insynchq.com/debian sid non-free contrib
Now they haven't made these changes to there Jessie or Wheezy repos.

DeKa · « **Reply #6 on:** 2016/03/28, 17:12:42 »

Gibt es für Google noch eine andere Quelle?

Code: [Select]

update-pepperflashplugin-nonfree --install --unverified --beta
ERROR: failed to retrieve status information from google : W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
More information might be available at:
  http://wiki.debian.org/PepperFlashPlayer

jdhedden · « **Reply #7 on:** 2016/03/28, 22:34:54 »

Quote from: DeKa on 2016/03/28, 17:12:42

Gibt es für Google noch eine andere Quelle?
Code: [Select]
update-pepperflashplugin-nonfree --install --unverified --beta ERROR: failed to retrieve status information from google : W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1) More information might be available at: http://wiki.debian.org/PepperFlashPlayer

I have tried the following patch for this, and it works: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=818540#20
From what I gather of the thread, this patch should be part of its next release.

DeKa · « **Reply #8 on:** 2016/03/29, 12:11:09 »

thanks, you are my hero.

KrunchTime · « **Reply #9 on:** 2016/03/30, 19:14:38 »

I've been getting the warnings on my machine for the Videolan and Vivaldi repos for the past 10 days. I just haven't made time to look into the issue. Thank you for the heads up, devil, and thank you also for translating your post in English.

pit · « **Reply #10 on:** 2016/04/03, 18:46:25 »

@jdhedden
Thx for your patch! It works perfectly.

Code: [Select]

patch update-pepperflashplugin-nonfree < update-pepperflashplugin-nonfree.patch
...
# update-pepperflashplugin-nonfree --status
WARNING: W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
Flash Player version installed on this system  : 21.0.0.197
Flash Player version available on upstream site: 20.0.0.306

Author Topic: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore (Read 6700 times)

devil

APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

DeKa

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

devil

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

DeKa

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

DeKa

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

terroreek

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

DeKa

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

jdhedden

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

DeKa

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

KrunchTime

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore

pit

Re: APT vertraut SHA1 nicht mehr Apt does not trust SHA1 anymore