Recientemente me han alertado sobre enlace .
El sitio afirma que "Acquire :: AllowInsecureRepositories" está habilitado de forma predeterminada y esta opción hace que el primer acceso a un repositorio sea vulnerable a la eliminación de firmas.
Mis preguntas son: ¿Se extiende esta vulnerabilidad al cambio de los Espejos del repositorio? ¿Esto implica que un ISP paciente puede eventualmente piratear cualquier sistema basado en debian?
Nota al pie: El sitio también presiona para SSL como la solución universal. Estoy en desacuerdo .