我有 8 台类似的台式电脑(FUJITSU FMVD3000RP),现在用作 Ubuntu 22.04 服务器,用于内部培训目的。
我们决定尝试最新版本的 Ubuntu,因此通过 将其中一个更新为 Ubuntu23.10 do-release-upgrade
。升级很顺利。现在更新后,fwupdmgr
登录时会通知我有关固件升级的信息。
❯ fwupdmgr get-updates
Devices with no available firmware updates:
• CT2000P2SSD8
• System Firmware
FUJITSU FMVD3000RP
│
└─UEFI dbx:
│ Device ID: 362301da643102b9f38477387e2193e57abaa590
│ Summary: UEFI revocation database
│ Current version: 220
│ Minimum Version: 220
│ Vendor: UEFI:Linux Foundation
│ Install Duration: 1 second
│ GUIDs: 8b0c62fa-23e7-518d-b3b5-140d8afa6079 ← UEFI\CRT_C315E37690D6847D6603DB8C6F7B4C20AAE7C89AF3BF5E8E41C48416EA1DA5B4
│ d1264ba7-d302-581c-a295-9eb50889d4ba ← UEFI\CRT_C315E37690D6847D6603DB8C6F7B4C20AAE7C89AF3BF5E8E41C48416EA1DA5B4&ARCH_X64
│ 4696463d-7b1c-5677-82bc-60365e2300b6 ← UEFI\CRT_3ADD1AE6861BFAEFFE8AAA37C4F5A96EBD1140E20A6C444D8862F83CB1FD52E5
│ 02f1b3c1-65ae-50f5-8c3c-3f3bef6d3a51 ← UEFI\CRT_3ADD1AE6861BFAEFFE8AAA37C4F5A96EBD1140E20A6C444D8862F83CB1FD52E5&ARCH_X64
│ 79b5a78e-39ff-527a-bcd8-22cc2492a7b7 ← UEFI\CRT_F03AD42F22177A4CAD97EF3ACA1A66D62DE02C5F73E7DF42AA61BD8086563049
│ 906322dd-ef74-53ef-b4ea-3d35b662cf49 ← UEFI\CRT_F03AD42F22177A4CAD97EF3ACA1A66D62DE02C5F73E7DF42AA61BD8086563049&ARCH_X64
│ c6682ade-b5ec-57c4-b687-676351208742 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503
│ f8ba2887-9411-5c36-9cee-88995bb39731 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503&ARCH_X64
│ Device Flags: • Internal device
│ • Updatable
│ • Supported on remote server
│ • Needs a reboot after installation
│ • Device is usable for the duration of the update
│ • Only version upgrades are allowed
│ • Signed Payload
│
└─Secure Boot dbx Configuration Update:
New version: 371
Remote ID: lvfs
Release ID: 35287
Summary: UEFI Secure Boot Forbidden Signature Database
Variant: x64
License: Proprietary
Size: 21.2 kB
Created: 2023-05-09
Urgency: High
Tested by DMC Group:
Tested: 2023-07-11
Distribution: fedora 38 (workstation)
Old version: 211
Version[fwupd]: 1.9.2
Tested by Jabra:
Tested: 2023-07-03
Distribution: ubuntu 22.04
Old version: 220
Version[fwupd]: 1.9.3
Vendor: Linux Foundation
Duration: 1 second
Release Flags: • Trusted metadata
• Is upgrade
Description:
Insecure versions of the Microsoft Windows boot manager affected by Black Lotus were added to the list of forbidden signatures due to a discovered security problem.This updates the dbx to the latest release from Microsoft.
Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures.Applying this update may also cause some Windows install media to not start correctly.
Issue: CVE-2022-21894
Checksum: fc3feb015df2710fcfa07583d31b5975ee398357016699cfff067f422ab91e13
之前也应用过类似的更新,因此我没多想就升级了固件。
更新后,机器无法启动。POST 检查运行正常,然后完全停止。按下按键(ESC、DEL、F1...)进入 BIOS/UEFI 设置不起作用(它显示正在进入设置,但没有继续)。我通过移除内置电池进行了 CMOS CLEAR。它工作正常,重启时发出哔声并更改了启动屏幕,但仍然无法启动。
我从死机中移除了所有磁盘和内存,然后将它们放在运行 Ubuntu22.04lts 的同型号 PC(FUJITSU FMVD3000RP)中 - 然后一切都启动正常。22.04/23.10 之间唯一值得注意的区别是 23.10 通知我相同的固件更新。
死机的 PC 无法启动到 BIOS/UEFI 屏幕,也无法从另一台机器、Ubuntu 或 Windows 上运行的任何磁盘启动 - 似乎没有办法让它启动。
我现在有几个问题希望有人能回答:
有没有什么办法可以让死机的 PC 恢复运行?它在 POST 后就停止运行,无法进入 BIOS 设置,也无法从 USB 驱动器启动。
有没有办法停止
fwupdmgr
通知我有关主板 UEFI 更新(本次更新以及可能的未来更新)?向 Ubuntu 开发人员报告此潜在危险更新的最佳方式是什么?
除了用作门挡之外,您还能想到什么有趣的方法将坏掉的 PC 用于其他用途吗?
答案1
太不酷了,我很抱歉发生了这样的事情。超过 1000 万人应用了这个 dbx 更新,这是我听说的第一个导致机器变砖的案例。这听起来要么是运气太差,要么更可能是坏的系统固件耗尽了 nvram 空间。
您能否在 fwupd GitHub 上打开上游错误,并包含来自完全相同类型的工作机器(任何 Ubuntu 版本)的“sudo fwupdtool hwids”和“sudo fwupdtool get-devices”的输出。
我们可以阻止此特定硬件上的更新。至于恢复;我认为最好的办法是尝试使用 OEM 工具进行固件更新或恢复——这可能会将 nvram 重置为出厂设置。