gui 上提示“安全启动 dbx 配置更新”,但终端显示一切都是最新的。它是什么?安装安全吗?

gui 上提示“安全启动 dbx 配置更新”,但终端显示一切都是最新的。它是什么?安装安全吗?

在使用我的 debian 系统时,我收到了来自 gnome 的重要更新提示。当我打开它时,我看到的是我以前从未见过的更新。这是完整的描述。

Device Firmware
Secure Boot dbx Configuration Update
83 > 217

Version 217:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. If the installation fails, you will need to update shim and grub packages before the update can be deployed.

Once you have installed this dbx update, any DVD or USB installer images signed with the old signatures may not work correctly. You may have to temporarily turn off secure boot when using recovery or installation media, if new images have not been made available by your distribution.

Version 211:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

Version 190:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

我想检查要通过终端更改哪些软件包,所以我尝试了sudo apt-get upgrade。但是apt-get说没有什么可以升级的。

Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

过去,当 gnome 通知我有关“重要更新”时,我总是可以在终端中进行检查,并且它总是需要重新启动的内核更新。但是,此更新在 GUI 上可见,但在终端上不可见。它是什么?更新安全吗?我很担心,因为它谈论启动,而我不希望我的任何安装驱动器或 debian 本身变得无法启动。

以下是我的操作系统。

uname -a
Linux debian 5.10.0-20-amd64 #1 SMP Debian 5.10.158-2 (2022-12-13) x86_64 GNU/Linux

答案1

这是一个固件升级,并且这些由实用程序处理fwupdmgr,而不是作为包更新。

查看fwupdmgr get-devices可以通过 更新哪些固件元素fwupdmgr,并fwupdmgr get-updates查看可用更新的列表。

如果您想将固件更新到最新版本,请运行fwupdmgr update

在这种特定情况下,此 dbx 更新与BootHole 漏洞于 2021 年 4 月发布。由于apt-get upgrade显示您已完全更新,这意味着您的 GRUB 引导加载程序和安全引导填充程序已更新为使用新安全引导密钥签名的非易受攻击的版本,因此旧的易受攻击的版本可以安全地被列入黑名单,这正是此dbx更新的作用。

由于此漏洞要求 Debian 和相关发行版更新其安全启动密钥,因此,一旦安装此固件更新,2021 年 4 月之前的任何 Debian/Ubuntu 启动介质将不再在系统上启用安全启动的情况下以 UEFI 模式启动。如果您需要使用旧的安装介质,则可能必须禁用安全启动。

如果需要,您可以将更新的内容与UEFI.org 发布的撤销列表

答案2

让微软来搞砸我的戴尔 Ubuntu 系统吧。我猜这只适用于双启动 Windows 机器?为什么我的 Ubuntu 机器上会有微软的引导加载程序(这是戴尔工厂安装的 Ubuntu)。

相关内容