程序包时间戳更改

作者：Tim Hall / 产品
2021年8月20日

发生了什么？

2021年8月16日UTC时间大约17:30，我们通过自动化启动了一项更改，用于保持我们的程序包存储库更新。逻辑中的一个边缘情况导致对 InfluxDB、Telegraf 和 Chronograf RPM 程序包的签名进行了意外的、非幂等的更改。这些签名更改仅与时间戳相关，程序包本身的内容没有更改。

哪些特定的程序包受到影响？

• chronograf-1.9.0..rpm，适用于 x86_64、arm64、armel、i386
• influxdb-1.8.9..rpm，适用于 aarch64、x86_64、armel、armv7hl、i386
• influxdb2-2.0.8..rpm，适用于 aarch64、x86_64
• telegraf-1.19.2-1..rpm，适用于 aarch64、x86_64、armel、i386

如何验证程序包？

如何验证的示例

# Using influxdb 1.8.9 on Centos 7 for this example
# Download the rpm from the package repository
$ cd /home/centos
$ cat <<EOF | sudo tee /etc/yum.repos.d/influxdb.repo
[influxdb]
name = InfluxDB Repository - RHEL \$releasever
baseurl = https://repos.influxdata.com/rhel/\$releasever/\$basearch/stable
enabled = 1
gpgcheck = 1
gpgkey = https://repos.influxdata.com/influxdb.key
EOF
$ sudo yum install --downloadonly --downloaddir=/home/centos/influxdb.repo.rpm influxdb

# Download rpm from dl.influxdata.com
$ curl -o influxdb.s3.rpm https://s3.amazonaws.com/dl.influxdata.com/influxdb/releases/influxdb-1.8.9.x86_64.rpm

# Use rpm to check and compare the signatures on each file
$ rpm -Kv ./influxdb.s3.rpm
./influxdb.s3.rpm:
    Header SHA1 digest: OK (911f8471b1220ae2ea615a4415b791164f254b3a)
    MD5 digest: OK (fc25eacdd74fd71f019e4128a3f19308)
$ rpm -Kv ./influxdb.repo.rpm/influxdb-1.8.9.x86_64.rpm
./influxdb.repo.rpm/influxdb-1.8.9.x86_64.rpm:
    Header V4 RSA/SHA256 Signature, key ID 2582e0c5: OK
    Header SHA1 digest: OK (911f8471b1220ae2ea615a4415b791164f254b3a)
    V4 RSA/SHA256 Signature, key ID 2582e0c5: OK
    MD5 digest: OK (fc25eacdd74fd71f019e4128a3f19308)

我们正在采取哪些措施来防止这种情况再次发生？

正常情况下，除非我们作为标准程序的一部分轮换签名密钥，否则我们不会重新签名程序包。我们已经修复了触发此不良行为的逻辑错误。