を実行しLinuxMint21
て実行すると、fwupdmgr update
1(エラー)で終了します。ただし、上記の内容にはエラーはありませんSTDERR
。どんな手がかりがありますか?
私のシステムは最新の状態です。
$ uname -a
Linux box 5.15.0-67-generic #74-Ubuntu SMP Wed Feb 22 14:14:39 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
# tree /boot/efi/
/boot/efi/
└── EFI
├── BOOT
│ ├── BOOTX64.EFI
│ ├── fbx64.efi
│ └── mmx64.efi
├── debian
│ ├── BOOTX64.CSV
│ ├── fbx64.efi
│ ├── grub.cfg
│ ├── grubx64.efi
│ ├── mmx64.efi
│ └── shimx64.efi
└── ubuntu
├── BOOTX64.CSV
├── fw
│ └── fwupd-0123456789abcdef.cap
├── fwupdx64.efi
├── grub.cfg
├── grubx64.efi
├── mmx64.efi
└── shimx64.efi
5 directories, 16 files
そして
# fwupdmgr update
Devices with no available firmware updates:
• UEFI Device Firmware
• UEFI Device Firmware
• UEFI Device Firmware
Devices with the latest available firmware version:
• MZVLB512HBJQ-000L7
• System Firmware
╔══════════════════════════════════════════════════════════════════════════════╗
║ Upgrade UEFI dbx from 77 to 217? ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the dbx to the latest release from Microsoft which adds ║
║ insecure versions of grub and shim to the list of forbidden signatures due ║
║ to multiple discovered security updates. ║
║ ║
║ Before installing the update, fwupd will check for any affected executables ║
║ in the ESP and will refuse to update if it finds any boot binaries signed ║
║ with any of the forbidden signatures.If the installation fails, you will ║
║ need to update shim and grub packages before the update can be deployed. ║
║ ║
║ Once you have installed this dbx update, any DVD or USB installer images ║
║ signed with the old signatures may not work correctly.You may have to ║
║ temporarily turn off secure boot when using recovery or installation media, ║
║ if new images have not been made available by your distribution. ║
║ ║
║ UEFI dbx and all connected devices may not be usable while updating. ║
╚══════════════════════════════════════════════════════════════════════════════╝
Perform operation? [Y|n]:
Downloading… [***************************************]
Downloading… [***************************************]
Decompressing… [***************************************]
Decompressing… [***************************************]
Authenticating… [***************************************]
Authenticating… [***************************************]
Restarting device… [***************************************]
Writing… [***************************************]
Decompressing… [***************************************]
Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/EFI/debian/shimx64.efi Authenticode checksum [0123456789abcdef] is present in dbx
そして:
# fwupdmgr --version
runtime org.freedesktop.fwupd 1.7.9
runtime com.dell.libsmbios 2.4
compile org.freedesktop.gusb 0.3.10
runtime org.kernel 5.15.0-67-generic
compile com.hughsie.libjcat 0.1.9
compile org.freedesktop.fwupd 1.7.9
runtime org.freedesktop.gusb 0.3.10
エラーはすぐそこにあります:
# fwupdmgr get-upgrades
│
└─UEFI dbx:
│ Device ID: 0123456789abcdef
│ Summary: UEFI revocation database
│ Current version: 77
│ Minimum Version: 77
│ Vendor: UEFI:Linux Foundation
│ Install Duration: 1 second
│ Update State: Transient failure
│ Update Error: Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/EFI/debian/shimx64.efi Authenticode checksum [0123456789abcdef] is present in dbx
答え1
ESPで実行可能ファイルがブロックされました。 grubとshimが最新であることを確認してください:/boot/efi/EFI/debian/shimx64.efi
shimx64.efi
このセキュアブート終了データベースのアップデートでは、ブラックリストに追加される以前のバージョンがあることがわかります。つまり、アップデートがインストールされている場合、Debian のインストールを開始するには、セキュアブートを無効にする必要があるかもしれません。
ただし/boot/efi/EFI/debian
、使用していない場合(たとえば、DebianをMintに置き換えていて、ディレクトリが以前のDebianインストールの最後の残りの部分である場合)、単にディレクトリを削除して/boot/efi/EFI/debian
エラーfwupdmgr update
なく続行することができます。
このコマンドは、ディレクトリが意図的にそこに残っているのか、それとも上書きされたインストールの残りであるのかをfwupdmgr
判断するのに十分スマートではないため、最大のセキュリティのために更新プロセスを停止します。/boot/efi/EFI/debian
Linux MintはUbuntuに基づいているため、独自の完全な起動ファイルセットがあります/boot/efi/EFI/ubuntu
。したがって、この/boot/efi/EFI/debian
ディレクトリを削除してもMintのインストールには影響しません。
ただし、より確実に確認するには、そのsudo efibootmgr -v
行で識別されたブートエントリがBootCurrent:
実際に参照されたエントリ\EFI\ubuntu\shimx64.efi
ではなく参照されたエントリであることを確認する必要があります\EFI\debian\shimx64.efi
。出力にDebianへの参照が含まれており、sudo efibootmgr -v
それらを削除するには、次のefibootmgr
コマンドを使用してそのマニュアルページの例を参照してください。
このUEFI dbx(=セキュアブートキャンセルリスト)の更新は次のとおりです。2020年7月BootHoleの脆弱性その後、関連する脆弱性グループを発見しました。今日まで、すべてのディストリビューションは、必要に応じて脆弱なブートローダコンポーネントをすでに交換しています。UEFIフォーラムは現在、更新された失効リストを公開しました。これにより、脆弱なブートローダのバージョンが実行されなくなります。