Hallo, hier TS,
Ik ben tot de ontdekking gekomen dat er bij Ubuntu updates voor Secure Boot zijn gekomen voor Mantic Minotaur en Noble Numbat:
https://packages.ubuntu.com/noble/shim-signed -> Ubuntu Changelog:
shim-signed (1.58) noble; urgency=medium
* Prevent postinst failing when broken grub-common was previously
installed(LP: #2056562)
-- Mate Kukri <snip> Thu, 04 Apr 2024 13:39:00 +0100
shim-signed (1.57) mantic; urgency=medium
* New upstream version 15.8 (LP: #2051151):
- pe: Align section size up to page size for mem attrs (LP: #2036604)
- SBAT level: shim,4
- SBAT policy:
- Latest: "shim,4\ngrub,3\ngrub.debian,4\n"
- Automatic: "shim,2\ngrub,3\ngrub.debian,4\n"
- Note that this does not yet revoke pre NTFS CVE fix GRUB binaries.
* SECURITY UPDATE: a bug in an error message [LP: #2051151]
- mok: fix LogError() invocation
- CVE-2023-40546
* SECURITY UPDATE: out-of-bounds write and UEFI Secure Boot bypass
when booting via HTTP [LP: #2051151]
- avoid incorrectly trusting HTTP headers
- CVE-2023-40547
* SECURITY UPDATE: out-of-bounds write and possible bug [LP: #2051151]
- Fix integer overflow on SBAT section size on 32-bit system
- CVE-2023-40548
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- Authenticode: verify that the signature header is in bounds.
- CVE-2023-40549
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe: Fix an out-of-bound read in verify_buffer_sbat()
- CVE-2023-40550
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe-relocate: Fix bounds check for MZ binaries
- CVE-2023-40551
* Makefile: Add option for building without an externally signed shim
-- Mate Kukri <snip> Thu, 29 Feb 2024 10:26:43 +0000
Debian Sid lijkt echter tijdelijk gestopt te zijn met Secure Boot, de laatste changelog is:
shim-signed (1.40) unstable; urgency=medium
* Stop recommending secureboot-db, we don't have that package.
Closes: #1042964, #1041449, #932358
* Add Romanian translation for debconf templates, thanks to
Remus-Gabriel Chelu. Closes: #1039090
-- Steve McIntyre <snip> Fri, 04 Aug 2023 12:21:47 +0100
De melding dat ze geen secureboot-db hebben is onheilspellend. shim-signed voor Ubuntu wordt onderhouden door Canonical zelf, dus dat zit wel goed. Dit geldt waarschijnlijk ook voor Linux Mint.
Ik zag bij Ubuntu dat er twee signed shims zijn in de shim-signed package. Dus eentje ondertekend met
Microsoft Windows Production PCA 2011 (deze gaat over een half jaar verdwijnen door toedoen van Microsoft). En eentje ondertekend met
Windows UEFI CA 2023 vermoed ik.
Het is mij niet helemaal duidelijk of Microsoft aparte sleutels gebruikt voor het ondertekenen van Windows en het ondertekenen van Linux en andere third parties.
TS