Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-09-2022 11:26:14

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.6 (bullseye)
Noyau : Linux 5.10.0-19-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Mise à jour de "Secure Boot dbx" ?

Bonjour,

Je fais régulièrement des mises à jour à partir de mon terminal (apt update) comme tout bon debianiste qui se respecte.
Cependant, je constate que Nautilus me propose une mise à jour de "Secure Boot dbx" version 217.

Version 217:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

Version 211:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

Version 190:
This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.



Qu'est-ce ?scratchhead.gif
J'ai lu Microsoft et ça ne me plaît guère...
Dois-je réaliser cette mise à jour ?
Si quelqu'un peut m'expliquer cette nécessité.
Ou non...
Merci.

Hors ligne

#2 25-09-2022 11:09:29

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour de "Secure Boot dbx" ?

Que cela te plaise ou non, le premier étage du chargeur d'amorçage pour le secure boot UEFI (shim) de Debian est signé par Microsoft, car par défaut la plupart des firmwares UEFI ne reconnaissent que cette signature. Le deuxième étage (GRUB) est signé par Debian. C'est pareil dans les autres distributions GNU/Linux.

Je ne connais pas ce "secure boot dbx" mais visiblement il s'agit d'une liste noire de signatures d'exécutables EFI et la mise à jour concerne des versions de shim ou GRUB identifiées comme contenant des vulnérabilités. Apparemment shim peut utiliser une telle liste pour vérifier la signature des exécutables EFI, peut-être peut-elle être aussi utilisée directement par le firmware UEFI, mais je n'en sais rien. Si tu n'utilises pas le secure boot UEFI cele ne te concerne pas.

Par contre je ne vois pas le rapport avec Nautilus qui n'est qu'un gestionnaire de fichiers à ma connaissance. Cette proposition ne viendrait pas plutôt d'un gestionnaire de logiciels ou de firmwares (gnome-software, gnome-firmware, fwupd) ?

Dernière modification par raleur (25-09-2022 11:13:48)


Il vaut mieux montrer que raconter.

Hors ligne

#3 27-09-2022 21:51:25

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.6 (bullseye)
Noyau : Linux 5.10.0-19-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Re : Mise à jour de "Secure Boot dbx" ?

Merci pour ta réponse.yes.gif

raleur a écrit :

Par contre je ne vois pas le rapport avec Nautilus qui n'est qu'un gestionnaire de fichiers à ma connaissance. Cette proposition ne viendrait pas plutôt d'un gestionnaire de logiciels ou de firmwares (gnome-software, gnome-firmware, fwupd) ?


Non non, c'est bien ce gestionnaire de fichiers qui me propose cette mise à jour.
Même si à partir du terminal mon "apt update" me dit que tous les paquets sont à jour.
Cependant, si cette mise à jour m'est proposée c'est que j'ai déjà une version ancienne installée. Du coup, j'hésite.scratchhead.gif

Hors ligne

#4 19-10-2022 21:21:52

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.6 (bullseye)
Noyau : Linux 5.10.0-19-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Re : Mise à jour de "Secure Boot dbx" ?

Après une looooongue réflexion (mais peu intense) j'ai finalement décidé de procéder à la mise à jour. Ça m'agaçait de me voir proposer cette mise à jour continuellement.
Mais sans doute que cette mise à jour ne doit pas se faire car ça m'affiche ça :
4lis.png
Je pense que je vais abandonner l'idée et classer ce sujet. sad

Hors ligne

#5 20-10-2022 13:29:34

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour de "Secure Boot dbx" ?

Quelle est la version de GRUB installée ?

apt-cache policy grub-efi-amd64


Il vaut mieux montrer que raconter.

Hors ligne

#6 26-10-2022 11:16:28

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.6 (bullseye)
Noyau : Linux 5.10.0-19-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Re : Mise à jour de "Secure Boot dbx" ?

gregory@debian:~$ apt-cache policy grub-efi-amd64
grub-efi-amd64:
  Installé : 2.06-3~deb11u2
  Candidat : 2.06-3~deb11u2
 Table de version :
 *** 2.06-3~deb11u2 500
        500 http://deb.debian.org/debian bullseye-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     2.06-3~deb11u1 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages

Hors ligne

#7 29-01-2023 12:33:54

gabcyr
Membre
Lieu : Livry-Gargan Seine-Saint-Denis
Distrib. : Bullseye
Noyau : Linux 5.10.0-21-amd64
(G)UI : Gnome 3.38.5
Inscription : 23-01-2010

Re : Mise à jour de "Secure Boot dbx" ?

Bonjour,
j'ai le même problème de mise à jour avec les mêmes messages. Je suis sous debian 11
J'ai essayé :

fwupdmgr update


Devices with no available firmware updates:
 • Fingerprint Sensor
 • Integrated Webcam HD
 • UEFI Device Firmware
 • UEFI Device Firmware
Devices with the latest available firmware version:
 • IM2P33F3A NVMe ADATA 256GB
 • System Firmware
Upgrade available for UEFI dbx from 77 to 217
UEFI dbx and all connected devices may not be usable while updating. Continue with update? [Y|n]: y
Téléchargement…          [***************************************]
Décompression…           [***************************************]
Authentification…        [***************************************]
Authentification…        [***************************************]
Mise à jour de UEFI dbx… [***************************************]
Vérification…            [***************************************]
Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/efi.factory/boot/bootx64.efi Authenticode checksum [007f4c95125713b112093e21663e2d23e3c1ae9ce4b5de0d58a297332336a2d8] is present in dbx
 


Je suis bloqué, y a t-il une solution ?
Merci pour votre aide

Hors ligne

#8 29-01-2023 15:41:01

robert2a
Membre
Distrib. : Bookworm version 12
Noyau : kernel 6.x.x
(G)UI : Mate
Inscription : 15-11-2014

Re : Mise à jour de "Secure Boot dbx" ?

Bonjour
secure boot dbx est un fichier de l' EFI de la machine (dans la partie de gestion de secure-boot , effacer , recharger les clés etc .... )
de raleur en #2 qui te donne la solution

raleur a écrit :


Cette proposition ne viendrait pas plutôt d'un gestionnaire de logiciels ou de firmwares (gnome-software, gnome-firmware, fwupd) ?


tu vire le logiciel qui provoque cela et tu n'aura plus le message
si tu n'utilise pas windows , ce fichier "dbx" ne sert a rien
je n'ai que les clés debian , et secure boot disabled


dmesg | grep -i secure
[    0.000000] secureboot: Secure boot disabled
[    0.576456] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.576470] Loaded X.509 cert 'Debian Secure Boot Signer 2022 - linux: 14011249c2675ea8e5148542202005810584b25f'
[    6.434209] amdgpu 0000:08:00.0: amdgpu: SECUREDISPLAY: securedisplay ta ucode is not available
 


avec mate ou xfce tu n'aura pas ce souci  (de  logiciel qui va sur le net chercher des mises a jours , de firmware , bios ou autre , pas trop confiance ).
ps: pour l' EFI j'efface toutes les clés "secure" du bios et pas de windows installé
nota : on a même un "SECUREDISPLAY" maintenant ..............

mais bon sans être extrémiste comme moi le #2 est la solution (supprimer le logiciel ou le désactiver  ).

remarque : que renvoie ceci


systemctl status fwupd
 

Dernière modification par robert2a (29-01-2023 16:43:49)


Machines : kabylake I7 7700 , AMD 1700(X) ,AMD 5700X ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

Hors ligne

#9 29-01-2023 21:41:52

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour de "Secure Boot dbx" ?

Je ne crois pas avoir suggéré de solution dans mon précédent message... et je m'en garderai bien, ne connaissant pas fwupd ni les implications de mettre à jour la dbx.
Je me borne à fournir des informations. La solution se trouve peut-être plutôt du côté d'une lecture attentive des messages, et notamment des fichiers exécutables EFI mentionnés comme étant bloqués par cette mise à jour.
Dans #4, il s'agit apparemment d'un élément du chargeur d'amorçage d'Ubuntu. Encore installé et utilisé ? Si oui, à jour ?
Dans #7, vu l'emplacement, il pourrait s'agit d'un programme installé par le fabricant dans la partition EFI.
En tout cas ils n'ont rien à voir avec Debian. S'ils ne servent à rien, autant les déplacer/renommer/supprimer.

Il vaut mieux montrer que raconter.

Hors ligne

#10 30-01-2023 12:14:22

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Mise à jour de "Secure Boot dbx" ?

Le firmware-dbx mis à jour c'est parce que des clefs sont parfois révoquées sur des systèmes qui ont étés reconnus ayant des failles exploitées rendant la garantie de sécurité de ces clefs caduque.
(genre failles grub corrigées après une mise à jour, sera signé avec une nouvelle clef et la clef ayant signée la version qui a eu une faille, révoquée).

Mais normalement si tu mets à jour ton système la version de grub de debian a été mise à jour également, j'ai pas eu de soucis pour booter debian sur une machine en secure boot ou j'avais mis à jour ça via fwupd et n'ai pas eu ton message sur la clef présente dans la base des révoquées. (en réponse au message #4 et #7)

Mais si tu n'as pas le secureboot activé, normalement ça ne te touche pas vraiment.

AKA le message #2 de raleur.

Mais même si Microsoft peuvent passer pour les méchants et le sont parfois.

Ce mécanisme via fwupd est géré par d'autres personnes que juste microsoft, pour permettre la mise à jour de firmware et de bios, et il est bien de mettre à jour ces clef au cas ou tu te sert du secure boot pour éviter d'utiliser par mégarde un système dont la sécurité du boot à des failles reconnues.

Ah et du coup c'étais pas nautilus mais gnome-software pour les posts #3 et #4 (comme raleur pouvais s'en douter mais je tiens à le signaler pour ne pas laisser dans l'ignorance).

Et pour message #8

robert2a a écrit :


si tu n'utilise pas windows , ce fichier "dbx" ne sert a rien

Non c'est pas que windows c'est juste une histoire de secure boot et debian a des clef pour le secureboot comme tu peux le voir
Et le secure boot pas activé les clef de secure boot de debian ne sont pas utilisées en théorie bien que semble-t-il chargées.

Dernière modification par naguam (30-01-2023 12:27:20)

Hors ligne

#11 30-01-2023 12:31:58

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Mise à jour de "Secure Boot dbx" ?

Ah et perso je mets à jour mon bios avec fwupd (et je ne fais pas ça aveuglément) mais car ça m'a souvent apporté des fix sur des machines qui avaient des soucis solvable comme cela.
(notamment la sortie de veille bugguée sur un thinkpad x260)

Ces firmware qui sont déjà présents en version antérieures sur la machine donc si j'ai pas confiance en ceux que je télécharge j'ai aussi pas confiance en ceux déjà présents donc, ces choses étant pareil au même de ce point de vue, autant les installer pour les fix fonctionnels c'est juste benef à ce niveau. (Et souvent bien que propriétaire ce sont aussi des fix de sécurité)
(En sachant que ce qui est update par fwupd est normalement controlé par LVFS)

D'ailleurs j'apprécie de pouvoir mettre à jour des bios et firmware depuis linux avec un outil standard et depuis un database controlée (même si malheureusement ces firmwares sont closed source) que de devoir avoir un windows à côté pour installer un firmware avec un vieux executable téléchargé sur un site "random" ou le site du constructeur si c'est toujours dispo, sans aucune garantie.

Dernière modification par naguam (30-01-2023 12:40:19)

Hors ligne

#12 30-01-2023 22:08:19

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.6 (bullseye)
Noyau : Linux 5.10.0-19-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Re : Mise à jour de "Secure Boot dbx" ?

robert2a a écrit :


remarque : que renvoie ceci


systemctl status fwupd
 


root@debian:~# systemctl status fwupd
● fwupd.service - Firmware update daemon
     Loaded: loaded (/lib/systemd/system/fwupd.service; static)
     Active: active (running) since Mon 2023-01-30 20:17:18 CET; 49min ago
       Docs: https://fwupd.org/
   Main PID: 2042 (fwupd)
      Tasks: 5 (limit: 6978)
     Memory: 11.4M
        CPU: 1.041s
     CGroup: /system.slice/fwupd.service
             └─2042 /usr/libexec/fwupd/fwupd

janv. 30 20:17:12 debian systemd[1]: Starting Firmware update daemon...
janv. 30 20:17:17 debian fwupd[2042]: ERROR:esys:src/tss2-esys/esys_context.c:69:Esys_Initialize() Initialize default tcti. ErrorCode (0x000a000a)
janv. 30 20:17:18 debian systemd[1]: Started Firmware update daemon.
janv. 30 20:17:18 debian fwupd[2042]: 19:17:18:0336 FuPluginPciMei       ME family not supported for 0:10.0.30.1060

Hors ligne

#13 Hier 06:46:04

robert2a
Membre
Distrib. : Bookworm version 12
Noyau : kernel 6.x.x
(G)UI : Mate
Inscription : 15-11-2014

Re : Mise à jour de "Secure Boot dbx" ?

Bonjour
je l'ai testé sur mate , comme toi j'ai le mode "static" et il y a un timer pour le lancer de temps en temps pour mettre sa base de données a jour
par contre je n'ai pas un bureau gnome (donc pas tous les logiciels de gnome installés)
je n'ai pas testé en console fwupd (de le lancer)
il doit y avoir une solution pour qu'il ne démarre plus (ou seulement si tu en a besoin).
pour le désinstaller avec gnome faut être prudent (de pas casser le bureau )
donc en simulation que donne cette commande ("-s" = simulation)


apt -s remove --purge fwupd
 


ps: il me semble que pour gnome-software , ce paquet est "recommandé"
sinon sur mate fwupd a installé 22 paquets (et je n'ai ni gnome-firmware , ni gnome-software ).
attend l'avis d'utilisateur de gnome qui utilise aussi fwupd .
nota: j'ai pris des notes mais pas le fichier sous la main


Machines : kabylake I7 7700 , AMD 1700(X) ,AMD 5700X ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

Hors ligne

Pied de page des forums