Saya mencoba memahami do-release-upgrade
prosesnya yaitu cara Ubuntu meminta saya untuk meningkatkan ke rilis Ubuntu musim semi atau musim gugur berikutnya.
Setelah membaca sumber untuk ubuntu-release-upgrader
saya menemukan file / etc / update-manager / rilis-meta di sistem saya. File ini muncul menggunakan URL HTTP untuk menunjuk ke http://changelogs.ubuntu.com/meta-release di mana berbagai rilis Ubuntu dari Warty 04.10 ke Raring 13.04 terdaftar. File ini mencantumkan rilis, status dukungannya, tanggal rilis dan memiliki tautan ke Release
file tersebut.
Sekarang Release
file tersebut memiliki tanda tangan GPG yang sesuai dan sha1sum dari Packages
file yang, pada gilirannya, memiliki sha1sum dari masing-masing biner DEB yang diinstal. Rilis terbaru juga memiliki skrip pemutakhiran dan tanda tangan GPG yang sesuai untuk ini juga. Semua terdengar bagus.
Pertanyaan saya adalah tentang meta-release
file itu sendiri. Itu tidak dilayani melalui HTTPS dan saya tidak dapat menemukan tanda tangan GPG untuk itu. Jika seseorang mengganti file ini, apakah mereka dapat menyebabkan mesin saya meng-upgrade ...
- ... untuk rilis yang ditandatangani yang belum melalui pengujian keamanan?
- ... untuk rilis lama yang tidak didukung dan memiliki kerentanan keamanan yang belum diperbaiki?
UpgradeToolSignature
masih ada di sana, jadi itu hanya akan meningkatkan menggunakan alat yang ditandatangani oleh Canonical (tapi ya, itu tidak mengurangi masalah yang Anda miliki).