包时间戳变更

作者：Tim Hall / 产品
2021 年 8 月 20 日

发生了什么？

2021 年 8 月 16 日大约 17:30 UTC，我们通过自动化手段启动了更改，以保持我们的软件包仓库更新。逻辑中的一个边缘情况导致 InfluxDB、Telegraf 和 Chronograf RPM 软件包签名发生了意外且非幂等的更改。这些签名更改**仅与时间戳相关，软件包的内容本身没有变化**。

哪些特定软件包受到影响？

• chronograf-1.9.0..rpm for x86_64, arm64, armel, i386
• influxdb-1.8.9..rpm for aarch64, x86_64, armel, armv7hl, i386
• influxdb2-2.0.8..rpm for aarch64, x86_64
• telegraf-1.19.2-1..rpm for aarch64, x86_64, armel, i386

如何验证软件包？

验证此情况的示例

# Using influxdb 1.8.9 on Centos 7 for this example
# Download the rpm from the package repository
$ cd /home/centos
$ cat <<EOF | sudo tee /etc/yum.repos.d/influxdb.repo
[influxdb]
name = InfluxDB Repository - RHEL \$releasever
baseurl = https://repos.influxdata.com/rhel/\$releasever/\$basearch/stable
enabled = 1
gpgcheck = 1
gpgkey = https://repos.influxdata.com/influxdb.key
EOF
$ sudo yum install --downloadonly --downloaddir=/home/centos/influxdb.repo.rpm influxdb

# Download rpm from dl.influxdata.com
$ curl -o influxdb.s3.rpm https://s3.amazonaws.com/dl.influxdata.com/influxdb/releases/influxdb-1.8.9.x86_64.rpm

# Use rpm to check and compare the signatures on each file
$ rpm -Kv ./influxdb.s3.rpm
./influxdb.s3.rpm:
    Header SHA1 digest: OK (911f8471b1220ae2ea615a4415b791164f254b3a)
    MD5 digest: OK (fc25eacdd74fd71f019e4128a3f19308)
$ rpm -Kv ./influxdb.repo.rpm/influxdb-1.8.9.x86_64.rpm
./influxdb.repo.rpm/influxdb-1.8.9.x86_64.rpm:
    Header V4 RSA/SHA256 Signature, key ID 2582e0c5: OK
    Header SHA1 digest: OK (911f8471b1220ae2ea615a4415b791164f254b3a)
    V4 RSA/SHA256 Signature, key ID 2582e0c5: OK
    MD5 digest: OK (fc25eacdd74fd71f019e4128a3f19308)

我们将采取什么措施防止这种情况再次发生？

在正常情况下，除非我们根据标准程序轮换签名密钥，否则我们不会重新签名软件包。我们已经修补了触发这种不良行为的逻辑错误。