Fehlender öffentlicher Schlüssel für verinicepro-manual-1.27.0-v20231218133752.noarch.rpm

cmsippel · 4. Januar 2024 um 09:31

Hallo zusammen,

falls das der erste Forumsbeitrag des Jahres 2024 sein sollte wünsche ich zuerst noch ein gutes neues Jahr. Neues Jahr - neue verinice Version

Beim Versuch unser verinice.PRO System unter CentOS7 von 1.26.1 auf 1.27 kommt folgende Fehlermeldung für das verinicepro-manual RPM Paket:

Downloading packages:
warning: /var/cache/yum/x86_64/7/verinice/packages/verinicepro-manual-1.27.0-v20231218133752.noarch.rpm: Header V4 RSA/SHA256 Signature, key ID f2d9f969: NOKEY

Public key for verinicepro-manual-1.27.0-v20231218133752.noarch.rpm is not installed

Alle anderen Pakete werden akzeptiert.
Ich habe auch nochmals mittels rpm --import https://update.verinice.org/pub/verinice/rpm/verinice-key.public den verinice public Key importiert, aber das hat keine Änderung gebracht.

Gibt es da etwas was ich auf unserem System ändern kann (außer ggpcheck disablen) oder muss das Paket neu signiert werden?

Viele Grüße

Carl Martell Sippel

cmsippel · 4. Januar 2024 um 09:52

Nachtrag:
Auch wenn im ersten Schritt nur ein RPm Paket moniert wurde betrifft es wohl doch alle.

# rpm -K /var/cache/yum/x86_64/7/verinice/packages/verinicepro-*
/var/cache/yum/x86_64/7/verinice/packages/verinicepro-1.27.0-v20231218133752.noarch.rpm: RSA sha1 (MD5) PGP md5 NICHT OK
/var/cache/yum/x86_64/7/verinice/packages/verinicepro-clients-1.27.0-v20231218133752.noarch.rpm: RSA sha1 (MD5) PGP md5 NICHT OK
/var/cache/yum/x86_64/7/verinice/packages/verinicepro-manual-1.27.0-v20231218133752.noarch.rpm: RSA sha1 (MD5) PGP md5 NICHT OK
/var/cache/yum/x86_64/7/verinice/packages/verinicepro-update-repo-1.27.0-v20231218133752.noarch.rpm: RSA sha1 (MD5) PGP md5 NICHT OK

Im Vergleich dazu ein RPM von Version 1.26.1:

# rpm -K verinicepro-manual-1.26.1-v20230727090642.noarch.rpm 
verinicepro-manual-1.26.1-v20230727090642.noarch.rpm: rsa sha1 (md5) pgp md5 OK

cmsippel · 4. Januar 2024 um 10:28

Noch ein Nachtrag:
So wie es aussieht sind die neuen Pakete mit dem neueren Schlüssel signiert, der auch bei der Installationsanleitung für AlmaLinux 8 und RHEL 8 angegeben ist (verinice-key**-rpm**.public).
Wenn ich den importiere…

rpm --import https://update.verinice.org/pub/verinice/rpm/verinice-key-rpm.public

…dann gibt es auch keine „Beschwerden“ mehr über die Pakete in Version 1.27.

Wenn das so beabsichtigt ist, dann wäre ein Hinweis dazu in den Release Notes ganz nützlich. Oder ich habe das komplett übersehen…

fducke · 10. Januar 2024 um 14:13

Hallo und ebenfalls noch ein frohes neues Jahr,

Der von ihnen beschriebene Prozess ist korrekt und auch so angedacht. Die Release Notes sind dahingehend bereits angepasst worden. Unter dem letzten Punkt (Neue AlmaLinux-Appliance) geben wir nochmal einen Hinweis auf den Paketschlüssel und die entsprechende Anleitung.

Entschuldigen Sie die Verwirrung und vielen Dank für den Beitrag!

Mit freundlich Grüßen
Felix Ducke