https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ 2020年7月BootHole漏洞描述。
检查脚本来自 eclypsium, https://github.com/eclypsium/BootHole 两年前报告 BootHole 的人。我很惊讶 Jammy (22.04) 上仍然存在这个问题。我的笔记本电脑已经运行 Ubuntu 多年了,所以全新安装可能会有所不同。
该脚本的工作原理是将问题证书生成为 TXT 文件。然后它使用 sbverify 检查
sbverify --cert /tmp/ubuntu_cert.txt /boot/efi/EFI/ubuntu/shimx64.efi
签名验证成功
这是在声称我的 shimx64.efi 是由应该已淘汰的旧 Microsoft 证书签名的。
这是真的吗?Ubuntu 仍在使用旧的 Microsoft 证书吗?如何检查哪个证书签署了我的 shim?