Fedora udviklere Linux afklarede situationen vedrørende udløbet i slutningen af juni af det Microsoft-certifikat, der blev brugt til digital signering af Shim-laget, der blev brugt til verificeret download af distributioner. Linux I UEFI Secure Boot-tilstand. Overgangen til det nye certifikat burde være problemfri for brugerne, da certifikatets udløb kun vil gøre det ubrugeligt til at oprette nye signaturer. Under UEFI Secure Boot-opstart kontrolleres certifikatets udløbsdato ikke, og kun tilbagekaldelse af kompromitterede certifikater tages i betragtning.
Eksisterende systemer uden shim-opdateringen installeret vil fortsætte med at starte, indtil certifikatets offentlige nøgle fjernes fra firmwaren eller placeres på UEFI Certificate Revocation List (DBX). Microsoft-nøglen verificerer kun shim-bootlaget, som indeholder distributionens offentlige nøgle, der bruges til at verificere bootbare komponenter såsom GRUB2-bootloaderen og kernen. Linux, kernemoduler og processer, der bruges under opstart, såsom fwupd. Denne tilgang giver Microsoft mulighed for kun at verificere ændringer i shim-laget og uafhængigt verificere distributionens opstartsproces.
Microsoft-certifikatet til notarisering af tredjepartsfirmware til UEFI Secure Boot har været gældende siden 2011. Et nyt certifikat blev genereret i 2023, og det har været brugt til signaturer siden oktober 2025. En opdateret shim, notariseret med flere nøgler for at sikre maksimal hardwarekompatibilitet, er allerede blevet tilføjet til Fedora Rawhide-arkivet, som danner grundlaget for Fedora 45-udgivelsen. (Det kan bruges både på ældre firmware uden det nye certifikats offentlige nøgle og på firmware uden det gamle certifikats offentlige nøgle.)
Selvom udløbet af Microsoft-certifikatet ikke burde påvirke opstartsfunktionen, anbefaler Fedora-udviklerne, at brugerne opdaterer deres Secure Boot-nøgledatabase, når nye firmwareversioner udgives til deres hardware. For at afgøre, om systemet starter i UEFI Secure Boot-tilstand, skal du bruge kommandoen "mokutil --sb-state", og for at vise en liste over de offentlige nøgler, der findes i firmwaren, skal du bruge "mokutil --db --short". For at se de nøgler, der bruges til at signere shim-laget, skal du køre "sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi" efter installation af pesign-pakken. For at søge efter og installere en firmwareopdatering skal du køre "sudo fwupdmgr update".
Den næste version af Shim-laget vil kun blive certificeret af et nyt Microsoft-certifikat, og en firmwareopdatering er nødvendig for at forberede dine systemer til denne ændring. En Shim-opdatering vil blive udgivet, hvis der opdages sårbarheder og alvorlige fejl, hvilket kan ske alt fra en måned til et år. Kritiske sårbarheder er blevet opdaget i Shim-projektet i løbet af dets levetid, og den sidste rapport om sikkerhedsproblemer i Shim blev udgivet for kun et par dage siden.
Rapporten fremhævede to nyligt opdagede sårbarheder, CVE-2026-8863 og
CVE-2026-10797, som tillader kodeudførelse tidligt i opstartsprocessen, før kontrollen overføres til operativsystemet, omgår UEFI Secure Boot-beskyttelse og indlæser usignerede kernekomponenter. Problemerne påvirker shim-versioner op til og med version 0.9, oprettet før 2016. Meget gamle systemer, som f.eks.
RedHat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, ROSA Linux R10/R9 og openSUSE med shim 0.9. Shim-lag op til og med version 0.9 er blevet tilføjet til DBX (UEFI Forbidden Signature Database), og hvis DBX opdateres, vil den ikke længere kunne starte i UEFI Secure Boot-tilstand.
Kilde: opennet.ru
