用於驗證發行版中 UEFI 安全啟動開機載入程式的憑證即將過期。 Linux

費多拉開發者 Linux 澄清了用於對用於驗證下載分發包的 Shim 層進行數位簽名的微軟證書將於 6 月底到期的相關情況。 Linux 在 UEFI 安全啟動模式下,使用者應能無縫過渡到新證書,因為證書過期只會使其無法用於建立新簽章。在 UEFI 安全啟動啟動期間,系統不會檢查憑證的過期日期,只會考慮撤銷已洩漏的憑證。

未安裝 shim 更新的現有系統將繼續啟動,直到從韌體中移除憑證的公鑰或將其新增至 UEFI 憑證撤銷清單 (DBX) 中。 Microsoft 金鑰僅驗證 shim 開機層,該層包含發行版的公鑰,用於驗證 GRUB2 開機載入程式和核心等可開機元件。 Linux核心模組以及啟動過程中使用的進程,例如 fwupd。這種方法使微軟能夠僅驗證對 shim 層的更改,並獨立驗證發行版的啟動過程。

微軟用於公證第三方韌體以支援 UEFI 安全啟動的憑證自 2011 年起生效。新證書於 2023 年生成,並於 2025 年 10 月起用於簽署。一個使用多個金鑰進行公證以確保最大硬體相容性的更新版 shim 已新增至 Fedora Rawhide 軟體倉庫中,該倉庫是 Fedora 45 版本的基礎。 (它既可用於沒有新憑證公鑰的舊韌體,也可用於沒有舊憑證公鑰的韌體。)

儘管微軟證書過期不應影響啟動功能,但 Fedora 開發人員建議用戶在硬體發布新韌體版本時更新其安全啟動金鑰資料庫。若要確定係統是否以 UEFI 安全啟動模式啟動,請使用命令「mokutil --sb-state」;若要顯示韌體中存在的公鑰列表,請使用「mokutil --db --short」。若要查看用於簽署 shim 層的金鑰,請在安裝 pesign 軟體包後執行「sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi」。若要檢查並安裝韌體更新,請執行“sudo fwupdmgr update”。

下一版本的 Shim 層將僅通過新的 Microsoft 憑證認證,因此需要更新韌體才能使系統適應此變更。如果發現漏洞和嚴重錯誤,將會發布 Shim 更新,這種情況可能發生在一個月到一年之間。 Shim 計畫在其發展歷程中曾發現一些嚴重漏洞,最近一份關於 Shim 安全問題的報告就在幾天前發布。

該報告重點介紹了兩個最近發現的漏洞,CVE-2026-8863 和
CVE-2026-10797 漏洞允許在啟動過程早期、控制權移交給作業系統之前執行程式碼,從而繞過 UEFI 安全啟動保護並載入未簽署的核心元件。該漏洞影響 2016 年之前發布的 shim 版本(包括 0.9 版本)。一些非常老舊的系統,例如…
紅帽企業 Linux 7.2, CentOS 7.2, Oracle Linux 7.2,ROSA Linux R10/R9 和 openSUSE 隨附 shim 0.9。 shim 層(包括 0.9 版本)已新增至 DBX(UEFI 禁止簽署資料庫)中,如果 DBX 更新,將無法再以 UEFI 安全啟動模式啟動。

來源: opennet.ru

為具有 DDoS 保護、VPS VDS 服務器的站點購買可靠的主機 🔥 購買具備 DDoS 防護的可靠網站寄存服務,包括 VPS 和 VDS 伺服器 | ProHoster