RPM Package is not signed! - Githubissues

mediathekview / MediathekView

Das Programm MediathekView durchsucht die Online-Mediatheken verschiedener Sender

https://mediathekview.de

GNU General Public License v3.0

855 stars 95 forks source link

RPM Package is not signed! #583

Closed thomasmerz closed 2 years ago

thomasmerz commented 3 years ago

When installing RPM from https://mediathekview.de/download/ directly with zypper on OpenSUSE 15.2 I got the following "error", because RPM file isn't signed at all so nobody can verify that this package is "ok" :-(

✔ ~/dev/github/MediathekView [master|✔] 
18:27 $ zypper in https://download.mediathekview.de/stabil/MediathekView-latest-linux.rpm
Loading repository data...
Reading installed packages...
Resolving package dependencies...

The following NEW package is going to be installed:
  MediathekView

1 new package to install.
Overall download size: 126,1 MiB. Already cached: 0 B. After the operation, additional 221,9 MiB will be used.
Continue? [y/n/v/...? shows all options] (y): y
Retrieving package MediathekView-13.7.0-1.i386                                                                                                 (1/1), 126,1 MiB (221,9 MiB unpacked)
MediathekView-latest-linux.rpm:
    Package is not signed!

MediathekView-13.7.0-1.i386 (Plain RPM files cache): Signature verification failed [6-File is unsigned]
Abort, retry, ignore? [a/r/i] (a):

Please provide signatures for your RPM files and a signature file for download.

derreisende77 commented 3 years ago

@alex1702 Gibt es hier einen Sachstand zu?

thomasmerz commented 2 years ago

Buhu, das war doch für 13.7.1 vorgesehen und nun ist schon 13.8.0 releast und nix ist geschehen 👎🏻

🦎🖥  thomas@merz-nimbus:~ [0/6019]
09:24 $ zypper in -f https://download.mediathekview.de/stabil/MediathekView-latest-linux.rpm
Loading repository data...
Reading installed packages...
Forcing installation of 'MediathekView-13.8.0-1.i386' from repository 'Plain RPM files cache'.
Resolving package dependencies...

The following package is going to be reinstalled:
  MediathekView

1 package to reinstall.
Overall download size: 122.8 MiB. Already cached: 0 B. No additional space will be used or freed after the operation.
Continue? [y/n/v/...? shows all options] (y): y
Retrieving package MediathekView-13.8.0-1.i386                                                       (1/1), 122.8 MiB (219.1 MiB unpacked)
MediathekView-latest-linux.rpm:
    Package is not signed!

MediathekView-13.8.0-1.i386 (Plain RPM files cache): Signature verification failed [6-File is unsigned]
Abort, retry, ignore? [a/r/i] (a): a
Problem occurred during or after installation or removal of packages:
Installation has been aborted as directed.
Please see the above error message for a hint.

thomasmerz commented 2 years ago

@alex1702 , @Nicklas2751 , gibt es hier schon was Neues dazu? Vielleicht mit 13.8.1 oder 13.9? 🤔

alex1702 commented 2 years ago

Ich bin aktuell dran, denke ich kann die Versionen alle nachsignieren und zukünfigte dann auch signieren. Klar sollte aber sein, dass man manuell die Signatur vorher in sein System laden muss und ab da sind die Pakete dann gültig signiert. Die Download Seite muss dementsprechend erweitert werden.

thomasmerz commented 2 years ago

Das klingt doch gut so. Danke :-)

thomasmerz commented 2 years ago

@alex1702 Ich habe übrigens "zufällig" den gpg-pubkey von https://download.mediathekview.de/stabil/MediathekView-rpm-signature-2021.pub gefunden und schon installiert. Besteht hier ein Zusammenhang mit #641? 🤔

thomasmerz commented 2 years ago

@alex1702 , FYI: https://github.com/mediathekview/MediathekView/pull/642

alex1702 commented 2 years ago

Eigentlich meinte ich hier: ^^ https://github.com/mediathekview/MediathekViewDE/blob/master/content/download.md

thomasmerz commented 2 years ago

Na, das ist jetzt aber ein total anderes Repo 😉 Aber bitte schön: https://github.com/mediathekview/MediathekViewDE/pull/66