Estoy tratando de entender el do-release-upgrade
proceso, es decir, la forma en que Ubuntu me pide que actualice a la próxima versión de Ubuntu de primavera u otoño.
Después de leer las fuentes ubuntu-release-upgrader
, encontré el archivo / etc / update-manager / meta-release en mi sistema. Este archivo parece utilizar una URL HTTP para apuntar a http://changelogs.ubuntu.com/meta-release donde se enumeran las diversas versiones de Ubuntu de Warty 04.10 a Raring 13.04. Este archivo enumera los lanzamientos, su estado de soporte, la fecha de lanzamiento y tiene un enlace al Release
archivo.
Ahora el Release
archivo tiene una firma GPG correspondiente y el sha1sum del Packages
archivo que, a su vez, tiene el sha1sum de los binarios DEB individuales que se instalan. Los lanzamientos recientes también tienen un script de actualización y una firma GPG correspondiente para estos también. Todo suena bien
Mi pregunta es sobre el meta-release
archivo en sí. No se sirve a través de HTTPS y no puedo encontrar una firma GPG para ello. Si alguien reemplaza este archivo, ¿podrían de alguna manera hacer que mi máquina se actualice ...
- ... a un lanzamiento firmado que aún no ha pasado por las pruebas de seguridad?
- ... a una versión anterior que no es compatible y tiene vulnerabilidades de seguridad sin reparar?
UpgradeToolSignature
todavía está allí, por lo que solo se actualizará utilizando una herramienta firmada por Canonical (pero sí, eso no mitiga las preocupaciones que tiene).