APT 1.2.7 e l’errore “weak digest” su Ubuntu 16.04 e Debian unstable: non fatevi prendere dal panico

di Marco Giannini · 17 Marzo 2016

A seguito dell’arrivo di APT 1.2.7 su Ubuntu 16.04 LTS (e derivate) e su Debian unstable è apparso un inquietante messaggio di errore riguardante i repository di terze parti (come Chrome) o i PPA. Vediamo di capire perché nasce l’errore e perché noi utilizzatori non dobbiamo farci prendere dal panico.

L’aggiornamento e il messaggio di errore

Gli utenti Debian unstable e Ubuntu 16.04 LTS (e derivate) hanno da poco ricevuto l’aggiornamento 1.2.7 di APT.

A seguito di questo aggiornamento, in caso di update dei repository di terze parti, apparirà un messaggio di avviso che recita più o meno così

per gli utenti Debian unstable


W: gpgv:/var/lib/apt/lists/apt.example.com_debian_dists_sid_InRelease: The repository is insufficiently signed by key


1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)

per gli utenti Ubuntu 16.04 LTS (e derivate)


W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_nomeppa_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key


1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)

Nel mio caso l’errore si è manifestato sia con il repository di Google Chrome con un messaggio:

W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release No Hash entry in Release file /var/lib/apt/lists/dl.google.com_linux_chrome_deb_dists_stable_Release, which is considered strong enough for security purposes

che sul repository di launchpad del tema Paper (è l’unico PPA che ho aggiunto):

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_snwh_pulp_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key D320D0C30B02E64C5B2BB2743766223989993A70 (weak digest)

seguito da

E: Impossibile scaricare alcuni file di indice: saranno ignorati o verranno usati quelli vecchi.

Cosa significa?

A chiarire la vicenda è arrivato lo sviluppatore Julian Andres Klode che, sul suo blog ha postato alcune informazioni a riguardo. Stando a quanto si apprende il messaggio di errore è legato ad alcuni cambiamenti che sono stati apportati ad APT 1.2.7 che ora considera il supporto SHA-1 non più affidale. Le firme SHA-1 saranno ancora utilizzate in aggiunta a quelle SHA-2 ma come conseguenza apparirà tale messaggio di avviso.

Il passaggio al nuovo algoritmo SHA-2 e la disattivazione totale del supporto a SHA-1 per le firme GPG avverrà, su Ubuntu 16.04 LTS, a Gennaio 2017.

Gli utenti comuni non devono preoccuparsi o farsi prendere dal panico in quanto il tutto sarà risolto quanto prima a monte.

Per maggiori informazioni

Link al blog di Julian Andres Klode

Il bug su Launchpad:

Pagina Wikipedia sul Secure Hash Algorithm https://it.wikipedia.org/wiki/Secure_Hash_Algorithm

Visited 1 times, 1 visit(s) today

Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.

Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.