Download aqui

Fundador · por **Holmes** » 20 Abr 2013, 23:08 • MS 1

a equipe do Manjaro soltou uma nota importante e todos devem ler o conteúdo abaixo

==========

Enviamos, desde a introdução do pacote de assinatura de chaves privadas estáticas nas nossas mídias de instalação, um invasor que é capaz de obter ou adivinhar essas chaves podem assinar pacotes que o pacman vai aceitar como válidos. Essas chaves estáticas tem gerados durante a criação de nossas mídias de instalação pelo ManjaroISO. Isso não deve comprometer, mas afeta a segurança de seus discos de instalação. O risco que você tem é iniciado durante a usar essas teclas, uma vez que eles são conhecidos pelo público.

Criamos um pacote chamado pacman-init, baseado no código encontrado em ArchISO. É um serviço para systemd que inicializa uma nova chave GnuPG aleatória a cada inicialização. /etc/pacman.d/gnupg agora é armazenado na memória RAM usando tmpfs e para os mesmos não persistente. Com essa mudança, o par de chaves PGP armazenado lá é exclusivo para sua máquina. Essa correção já é adicionada no ManjaroISO e serão automaticamente aplicada em nosso sistema com a próxima atualização de pacote, você deve fazer em breve.

Recomendamos atualizar o seu sistema ou regenerar suas chaves gpg com:

Código: Selecionar todos: $ rm -rf /etc/pacman.d/gnupg $ pacman-key --init $ pacman-key --populate archlinux manjaro

Certifique-se de chaves PGP pacman em /etc/pacmac.d/gnupg são aleatórias e permanecem em segredo.

Sem Pierre Schmitz, o criador do ArchISO, teríamos esse risco de segurança por muito tempo. Nós não somos prefeito – essas coisas não devem acontecer em todos. Uma vez que muitos de nossos usuários já geraram essas chaves por conta própria, o risco deve ser mínimo e não deve afetar muito a nossa comunidade.

==========

aqui atualizei e foi instalado o pacote pacman-init-4.1.0-2, então, é só atualizar com

Código: Selecionar todos: sudo pacman -Syyu

ps: in Pacma-int fixes security risk.

vlw fwi, Holmes

Membro · por **matt** » 20 Abr 2013, 23:34 • MS 2

Dica muito importante cara. Sempre é bom atualizar e corrigir o sistema para evitar esse tipo de vulnerabilidades. Muito obrigado.

att,
matt

Aprendiz · por **josh** » 20 Abr 2013, 23:41 • MS 3

Nossa valeu ai por avisar a gente eu já estou fazendo os procedimentos que você nos passou valeu Holmes

Fundador · por **Holmes** » 20 Abr 2013, 23:49 • MS 4

aqui somente atualizei e não fiz o procedimento para regenerar as chaves gpg.

vlw fwi, Holmes

Aprendiz · por **josh** » 21 Abr 2013, 00:03 • MS 5

na hora de atualizar deu erro

Código: Selecionar todos: [[email protected] josh]# sudo pacman -Syyu :: Sincronizando a base de dados de pacotes... basis 81,0 KiB 37,0K/s 00:02 [######################] 100% platform 97,1 KiB 36,7K/s 00:03 [######################] 100% addon 55,1 KiB 36,8K/s 00:01 [######################] 100% extra 1479,8 KiB 33,5K/s 00:44 [######################] 100% community 1915,3 KiB 32,5K/s 00:59 [######################] 100% basis-multilib 5,6 KiB 45,4K/s 00:00 [######################] 100% multilib 99,6 KiB 36,8K/s 00:03 [######################] 100% :: Os seguintes pacotes precisam ser atualizados antes : manjaro-system :: Você deseja cancelar a operação atual :: e atualizar estes pacotes agora? [S/n] s resolvendo dependências... procurando por conflitos inter-relacionados... Pacotes (3): haveged-1.7.a-1 pacman-init-4.1.0-2 manjaro-system-20130420-1 Tamanho total download: 0,04 MiB Tamanho total instalado: 0,33 MiB Alteração no tamanho: 0,31 MiB :: Prosseguir com a instalação? [S/n] s :: Obtendo pacotes ... pacman-init-4.1.0-2-any 1676,0 B 9,74K/s 00:00 [######################] 100% manjaro-system-2013... 2,1 KiB 69,3K/s 00:00 [######################] 100% haveged-1.7.a-1-x86_64 37,1 KiB 42,1K/s 00:01 [######################] 100% (3/3) verificando chaves no chaveiro [######################] 100% (3/3) verificando integridade do pacote [######################] 100% erro: haveged: signature from "Bartlomiej Piotrowski <[email protected]>" is unknown trust :: Arquivo /var/cache/pacman/pkg/haveged-1.7.a-1-x86_64.pkg.tar.xz está corrompido (pacote inválido ou corrompido (assinatura PGP)). Deseja apagá-lo? [S/n] s erro: pacman-init: signature from "Philip Müller (Called Little) <[email protected]>" is unknown trust :: Arquivo /var/cache/pacman/pkg/pacman-init-4.1.0-2-any.pkg.tar.xz está corrompido (pacote inválido ou corrompido (assinatura PGP)). Deseja apagá-lo? [S/n] s erro: manjaro-system: signature from "Philip Müller (Called Little) <[email protected]>" is unknown trust :: Arquivo /var/cache/pacman/pkg/manjaro-system-20130420-1-any.pkg.tar.xz está corrompido (pacote inválido ou corrompido (assinatura PGP)). Deseja apagá-lo? [S/n] s erro: falha em submeter a transação (pacote inválido ou corrompido (assinatura PGP)) Ocorreram erros e, portanto, nenhum pacote foi atualizado. [[email protected] josh]#