Hi, zwei Rechner, beide Leap 15.5: Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ... Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle beim anderen Rechner lautet die entsprechende URL: http://download.opensuse.org/update/leap/15.5/sle/ Hort bekomme ich diese Meldung nicht. Die URL zeigen wohl auf unterschiedliche Hosts. # dig +short cdn.opensuse.org dualstack.n.sni.global.fastly.net. 146.75.121.91 # dig +short download.opensuse.org download1.opensuse.org. 195.135.223.226 # Irgendwie möchte ich die Meldung nicht ignorieren. (-> SupplyChain Attack) Umbauen auf download.opensuse.org wäre ja kein Aufwand, würde aber den wohl stattfindenden Umbaumaßnahmen bei openSUSE zuwider laufen. Irgendwelche Empfehlungen? Bernd
... Ein zypper ref -s hat nun anscheinend einen Schlüssel importiert. Damit ist die Meldung nun weg ... Kann ich irgendwo nachlesen wie ich die Schlüssel auslesen und mit einer vertrauenswürdigen Quelle vergleichen kann? Bernd Am 02.05.24 um 10:08 schrieb bnacht:
Hi,
zwei Rechner, beide Leap 15.5:
Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ...
Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle
beim anderen Rechner lautet die entsprechende URL: http://download.opensuse.org/update/leap/15.5/sle/ Hort bekomme ich diese Meldung nicht.
Die URL zeigen wohl auf unterschiedliche Hosts. # dig +short cdn.opensuse.org dualstack.n.sni.global.fastly.net. 146.75.121.91 # dig +short download.opensuse.org download1.opensuse.org. 195.135.223.226 #
Irgendwie möchte ich die Meldung nicht ignorieren. (-> SupplyChain Attack) Umbauen auf download.opensuse.org wäre ja kein Aufwand, würde aber den wohl stattfindenden Umbaumaßnahmen bei openSUSE zuwider laufen.
Irgendwelche Empfehlungen?
Bernd
In meinem Update-Script mache ich als ersten zypper-Befehl: zypper --gpg-auto-import-keys ref Joachim Weber, Bonn Retired IT-Dinosaurier Am 02.05.24 um 10:13 schrieb bnacht:
... Ein zypper ref -s hat nun anscheinend einen Schlüssel importiert. Damit ist die Meldung nun weg ...
Kann ich irgendwo nachlesen wie ich die Schlüssel auslesen und mit einer vertrauenswürdigen Quelle vergleichen kann?
Bernd
Am 02.05.24 um 10:08 schrieb bnacht:
Hi,
zwei Rechner, beide Leap 15.5:
Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ...
Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle
beim anderen Rechner lautet die entsprechende URL: http://download.opensuse.org/update/leap/15.5/sle/ Hort bekomme ich diese Meldung nicht.
Die URL zeigen wohl auf unterschiedliche Hosts. # dig +short cdn.opensuse.org dualstack.n.sni.global.fastly.net. 146.75.121.91 # dig +short download.opensuse.org download1.opensuse.org. 195.135.223.226 #
Irgendwie möchte ich die Meldung nicht ignorieren. (-> SupplyChain Attack) Umbauen auf download.opensuse.org wäre ja kein Aufwand, würde aber den wohl stattfindenden Umbaumaßnahmen bei openSUSE zuwider laufen.
Irgendwelche Empfehlungen?
Bernd
Nein, da zypper die Keys ja aus den Repos holt. Da ich den Returncode von zypper abfrage und den Befehl maximal 3x wiederhole, wenn etwas nicht passt, ist da noch nie etwas Ungewolltes passiert. Mein Script (erst in REXX, jetzt in Python) läuft bei mir schon ein paar Jahre Joachim Weber, Bonn Retired IT-Dinosaurier Am 02.05.24 um 11:45 schrieb bnacht:
Am 02.05.24 um 10:19 schrieb Joachim Weber:
In meinem Update-Script mache ich als ersten zypper-Befehl:
zypper --gpg-auto-import-keys ref
... und prüfst du die auch? (Wenn ja wie?) Oder akzeptierst du alles was da kommt?
Bernd
Am Donnerstag, 2. Mai 2024, 10:08:40 CEST schrieb bnacht:
Hi,
zwei Rechner, beide Leap 15.5:
Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ...
Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle
Hängt vielleicht mit : https://www.heise.de/news/Content-Delivery-Network-JSDelivr-Ausfall-trifft-z... wt_mc=rss.red.security.security.atom.beitrag.beitrag zusammen. Wobei, wenn ich das so sehe. Javascript, cloudflare. Das soll besser sein? Das soll Datenschutzkonform sein? Gruß Eric
Eric Schirra schrieb:
Hängt vielleicht mit :
https://www.heise.de/news/Content-Delivery-Network-JSDelivr-Ausfall-trifft-z... wt_mc=rss.red.security.security.atom.beitrag.beitrag
zusammen.
Wobei, wenn ich das so sehe. Javascript, cloudflare. Das soll besser sein? Das soll Datenschutzkonform sein?
Ja klar. Weil andere die Arbeit machen. Und andere dran schuld sind, wenn vergessen wird, ein Zertifikat zu verlängern. Damit ist das ganze nicht mal mehr in Incident im eigenen Haus. SCNR! -- Manfred Härtel, DB3HM mailto:Manfred.Haertel@rz-online.de http://rz-home.de/mhaertel
Hallo Bernd, hallo zusammen, Am Donnerstag, 2. Mai 2024, 10:08:40 MESZ schrieb bnacht:
zwei Rechner, beide Leap 15.5:
Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ...
Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle
Du warst nicht der einzige mit diesem Problem - und inwischen hat sich herausgestellt, dass für repomd.xml eine zu lange Cache-Lebensdauer konfiguriert war. Das wurde jetzt behoben - das Problem sollte also gelöst sein. Falls wider Erwarten der Fehler wieder auftritt, schreib bitte eine Mail an admin@opensuse.org. Gruß Christian Boltz PS: Falls jemand mehr Details wissen will - das Ticket dazu ist https://progress.opensuse.org/issues/159108 -- Weil ich einen Airbag im Auto habe fahre ich ja auch nicht dauernd mit Vollgas gegen einen Baum nur um zu wissen das der Airbag funktioniert. [Uwe Drießen in postfixbuch-users]
participants (5)
-
bnacht -
Christian Boltz -
Eric Schirra -
Joachim Weber -
Manfred Haertel, DB3HM