J'essaie de comprendre le do-release-upgrade
processus, c'est-à-dire la façon dont Ubuntu me demande de passer à la prochaine version d'Ubuntu au printemps ou à l'automne.
Après avoir lu les sources de, ubuntu-release-upgrader
j'ai trouvé le fichier / etc / update-manager / meta-release sur mon système. Ce fichier semble utiliser une URL HTTP pour pointer vers http://changelogs.ubuntu.com/meta-release où les différentes versions d'Ubuntu de Warty 04.10 à Raring 13.04 sont répertoriées. Ce fichier répertorie les versions, leur état de prise en charge, la date de sortie et contient un lien vers le Release
fichier.
Maintenant, le Release
fichier a une signature GPG correspondante et le sha1sum du Packages
fichier qui, à son tour, a le sha1sum des binaires DEB individuels qui sont installés. Les versions récentes ont également un script de mise à niveau et une signature GPG correspondante pour ceux-ci également. Tout sonne bien.
Ma question concerne le meta-release
fichier lui-même. Il n'est pas servi sur HTTPS et je ne trouve pas de signature GPG pour cela. Si quelqu'un remplace ce fichier, pourrait-il provoquer une mise à niveau de ma machine ...
- ... vers une version signée qui n'a pas encore subi de tests de sécurité?
- ... vers une ancienne version non prise en charge et présentant des failles de sécurité non corrigées?
UpgradeToolSignature
est toujours là, donc il ne sera mis à niveau qu'en utilisant un outil signé par Canonical (mais oui, cela n'atténue pas vos préoccupations).