MySQL repository: GPG Keys expired

In den letzten Tagen habe ich bei einer CentOS 7 Maschine beobachtet, das yum cron nicht sauber ausgeführt wird. Das ganze spiegelte sich natürlich auch im Qualys wieder, so das ich mir den folgenden Fehler mal ansehen musste:

Auf der MySQL Seite gibt es dazu auch einen passenden Case.

Das ganze lässt sich mit einem vorübergehenden Workaround relativ schnell beheben und die aktuellste Version installieren. In der Datei /etc/yum.repos.d/mysql-community.repo einfach die Zeile gpgcheck=1 auf gpgcheck=0 ändern, damit werden Pakete aus dem Repo erstmal nicht mit dem GPG Schlüssel validiert, nach einem yum update sollte der Schlüssel jedoch wieder aktiviert werden und für die neuere Installation der Key importiert werden: rpm –import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022

Link für cPanel Autofix: https://support.cpanel.net/hc/en-us/articles/4419382481815?input_string=gpg+keys+problem+with+mysql+5.7

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Qualys und Centos 8 / Centos 8 Stream

Aktuell habe ich mehrer Probleme mit dem Qualys Vulnerability Scanner und Centos 8 / Centos 8 Stream festgestellt. Zuerst viel mir das Problem auf, das Centos 8 Server keinerlei Schwachstellen über den Cloud Agenten zurückmeldeten. Zwar wurden „Informational“ und ein Remote detektiertes openSSH Finding (QID 38773) angezeigt, aber keinerlei Vulnerabilitäten der Kategorie 1-5. Auch Qualys konnte hierzu bisher (Stand: 26.01.2022) keine guten Erklärungen liefern.

Getestet habe ich (mit Agent und Authenticated Scan via Appliance):

  • Centos 8.4.2105 -> Unpatched
  • Centos 8.5.2111 -> Unpatched
  • Centos 8 Stream -> Unpatched

Alle Systeme zeigen auch keine Fixed Findings an, was darauf schließen lässt, das Qualys Centos 8 nicht richtig unterstützt. Erstaunlicherweise habe ich das gleiche Bild in einem Kundenprojekt gefunden, wo man sich fälschlicherweise auf das Qualys Ergebnis verlassen hat.

Centos 8 Stream ohne Sicherheitsupdates

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de