Ubuntu

Ubuntu22.04 firmware upgrade available

SSHで接続したら、いままであまり見たことのないメッセージが表示されている。

1 device has a firmware upgrade available.
Run `fwupdmgr get-upgrades` for more information.

このメッセージは、Ubuntu 22.04だけでなく、Ubuntu 20.04でも表示されている。



広告


ESXi 7.0の上でUbuntu 22.04や20.04、18.04を動かしている。
ウチの環境は本来動かないはずのESXi 7.0を無理矢理動かしているので、Legacy BIOSだと猛烈に遅くなる問題が発生するため、EFIで起動している。

EFIで起動していて、ファームウェアがアップデートされているから、このメッセージが表示される、ということのようだ。

アップデート

何のアップデートなのか確認してみると、セキュアブートに関わるところの「禁止された署名のリスト」に安全ではないgrubとshimを追加する、というものだった。
セキュアブートは無効にしているのでまったく影響はないけれど、アップグレードするなら、これを実行すればOK。
ask ubuntu / How can I upgrade my device firmware from the command line?

$ sudo fwupdmgr update
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
╔══════════════════════════════════════════════════════════════════════════════╗
║ Upgrade UEFI dbx from 77 to 217?                                             ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the dbx to the latest release from Microsoft which adds         ║
║ insecure versions of grub and shim to the list of forbidden signatures due   ║
║ to multiple discovered security updates.                                     ║
║                                                                              ║
║ Before installing the update, fwupd will check for any affected executables  ║
║ in the ESP and will refuse to update if it finds any boot binaries signed    ║
║ with any of the forbidden signatures. If the installation fails, you will    ║
║ need to update shim and grub packages before the update can be deployed.     ║
║                                                                              ║
║ Once you have installed this dbx update, any DVD or USB installer images     ║
║ signed with the old signatures may not work correctly. You may have to       ║
║ temporarily turn off secure boot when using recovery or installation media,  ║
║ if new images have not been made available by your distribution.             ║
║                                                                              ║
║ UEFI dbx and all connected devices may not be usable while updating.         ║
╚══════════════════════════════════════════════════════════════════════════════╝

Perform operation? [Y|n]: Y[Enter]
Downloading…             [***************************************]
Downloading…             [***************************************]
Downloading…             [***************************************]
Decompressing…           [***************************************]
Decompressing…           [***************************************]
Authenticating…          [***************************************]
Authenticating…          [***************************************]
Restarting device…       [***************************************]
Writing…                 [***************************************]
Decompressing…           [***************************************]
Writing…                 [***************************************]
Restarting device…       [***************************************]
Waiting…                 [***************************************]
Successfully installed firmware

An update requires a reboot to complete. Restart now? [y|N]: y[Enter]

最後に再起動するか聞かれたので、yと答えて再起動した。

アップデート結果の確認

再起動したので様子を見てみると、217へのアップデートのはずが267になっていた。
そして、217へのアップデート失敗について報告するかどうか聞かれた。

$ sudo fwupdmgr get-devices
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
VMware7,1
║
╚═UEFI dbx:
      Device ID:          362301da643102b9f38477387e2193e57abaa590
      Summary:            UEFI revocation database
      Current version:    267
      Minimum Version:    267
      Vendor:             UEFI:Linux Foundation
      Install Duration:   1 second
      GUIDs:              c6682ade-b5ec-57c4-b687-676351208742 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503
                          f8ba2887-9411-5c36-9cee-88995bb39731 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503&ARCH_X64
      Device Flags:       ~ Internal device
                          ~ Updatable
                          ~ Supported on remote server
                          ~ Needs a reboot after installation
                          ~ Only version upgrades are allowed
                          ~ Signed Payload

Devices that were not updated correctly:

 ~ UEFI dbx (77 → 217)

Uploading firmware reports helps hardware vendors to quickly identify failing and successful updates on real devices.
Upload report now? (Requires internet connection) [Y|n]:
n[Enter]

Do you want to disable this feature for future updates? [y|N]:
n[Enter]
Declined upload

※ここでレポートを送信すれば、レポートを送信しますか?と聞かれることはなくなる。

色々とわかりにくいな…履歴を見てみるか。

$ sudo fwupdmgr get-history
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
VMware7,1
║
╚═UEFI dbx:
  ║   Device ID:          362301da643102b9f38477387e2193e57abaa590
  ║   Previous version:   77
  ║   Update State:       Failed
  ║   Update Error:       failed to run update on reboot
  ║   Last modified:      2022-11-26 03:21
  ║   GUID:               c6682ade-b5ec-57c4-b687-676351208742
  ║   Device Flags:       ~ Internal device
  ║                       ~ Updatable
  ║                       ~ Supported on remote server
  ║                       ~ Needs a reboot after installation
  ║
  ╚═  New version:      217
        Remote ID:        lvfs
        License:          Unknown
        Description:
        The vendor did not supply any release notes.

この履歴は、最新になるまでの流れが表示されているので、217がインストールされたあと、何か新しいもの(今回でいえば267)がインストールされたことが分かる。

他の似たような環境で確認してみたところ、元々は77で、履歴は何も表示されないから、そういう読み方で問題ないと理解した。

$ fwupdmgr get-devices
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
VMware7,1
║
╚═UEFI dbx:
      Device ID:          362301da643102b9f38477387e2193e57abaa590
      Summary:            UEFI revocation database
      Current version:    77
      Minimum Version:    77
      Vendor:             UEFI:Linux Foundation
      Install Duration:   1 second
      GUIDs:              c6682ade-b5ec-57c4-b687-676351208742
                          f8ba2887-9411-5c36-9cee-88995bb39731
      Device Flags:       ~ Internal device
                          ~ Updatable
                          ~ Supported on remote server
                          ~ Needs a reboot after installation
                          ~ Only version upgrades are allowed
                          ~ Signed Payload

$ sudo fwupdmgr get-history
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
No history

他のサーバーなのにDevice IDとGUIDsが全く同じなのが不思議。ディスクとかじゃなく、dbxのIDです、ということなのかな…
そうか、それが表示されていれば、現在インストールされているdbxが正しいものなのかどうか、判断するのに使えるような気がしてきた。

セキュアブートの確認

セキュアブートに関わるところのアップデートだったようなので、セキュアブートを有効にして問題なく起動するのかどうか確認してみた。

$ sudo bootctl status
systemd-boot not installed in ESP.
System:
     Firmware: n/a (n/a)
  Secure Boot: enabled
   Setup Mode: user
…

$ sudo fwupdmgr get-devices
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
VMware7,1
║
╚═UEFI dbx:
      Device ID:          362301da643102b9f38477387e2193e57abaa590
      Summary:            UEFI revocation database
      Current version:    267
      Minimum Version:    267
…

問題なく起動することが確認できた。

やったこと

出続けているワーニング

コマンドを実行する度に、以下のワーニングが出力される。

WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.

このページに飛んでみたんだけれど、原因はよく分からなかった。
https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported

もちろん、ESXiのホストでファームウェア設定を確認したけれど、これに対応する項目は見つからない。
vmxファイルにパラメーターを仕込めばあるいは…と思ったけれど、この情報を見つけることもできなかった。

結果的にアップデートもできていたし、問題なかろうということで、ワーニングの解消は諦めて割り切りとした。

アップデートについて詳しく調べる

サブコマンドupdateでも、これから何のアップデートが行われるのかを教えてくれたのだけれど、サブコマンドget-updatesでもっと詳しく教えてくれた。

$ fwupdmgr get-updates
WARNING: UEFI capsule updates not available or enabled in firmware setup
  See https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported for more information.
VMware7,1
║
╚═UEFI dbx:
  ║   Device ID:          362301da643102b9f38477387e2193e57abaa590
  ║   Summary:            UEFI revocation database
  ║   Current version:    77
  ║   Minimum Version:    77
  ║   Vendor:             UEFI:Linux Foundation
  ║   Install Duration:   1 second
  ║   GUIDs:              c6682ade-b5ec-57c4-b687-676351208742
  ║                       f8ba2887-9411-5c36-9cee-88995bb39731
  ║   Device Flags:       ~ Internal device
  ║                       ~ Updatable
  ║                       ~ Supported on remote server
  ║                       ~ Needs a reboot after installation
  ║                       ~ Only version upgrades are allowed
  ║                       ~ Signed Payload
  ║
  ╠═Secure Boot dbx:
  ║     New version:      217
  ║     Remote ID:        lvfs
  ║     Release ID:       15179
  ║     Summary:          UEFI Secure Boot Forbidden Signature Database
  ║     Variant:          x64
  ║     License:          Proprietary
  ║     Size:             13.8?kB
  ║     Created:          2020-07-29
  ║     Urgency:          High
  ║     Vendor:           Linux Foundation
  ║     Duration:         1 second
  ║     Release Flags:    ~ Is upgrade
  ║     Description:
  ║     This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.
  ║
  ║     Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. If the installation fails, you will need to update shim and grub packages before the update can be deployed.
  ║
  ║     Once you have installed this dbx update, any DVD or USB installer images signed with the old signatures may not work correctly. You may have to temporarily turn off secure boot when using recovery or installation media, if new images have not been made available by your distribution.
  ║
  ╠═Secure Boot dbx:
  ║     New version:      211
  ║     Remote ID:        lvfs
  ║     Release ID:       15178
  ║     Summary:          UEFI Secure Boot Forbidden Signature Database
  ║     Variant:          x64
  ║     License:          Proprietary
  ║     Size:             13.5?kB
  ║     Created:          2021-04-29
  ║     Urgency:          High
  ║     Vendor:           Linux Foundation
  ║     Duration:         1 second
  ║     Release Flags:    ~ Is upgrade
  ║     Description:
  ║     This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.
  ║
  ╚═Secure Boot dbx:
        New version:      190
        Remote ID:        lvfs
        Release ID:       6104
        Summary:          UEFI Secure Boot Forbidden Signature Database
        Variant:          x64
        License:          Proprietary
        Size:             14.4?kB
        Created:          2020-07-29
        Urgency:          High
        Vendor:           Linux Foundation
        Duration:         1 second
        Release Flags:    ~ Is upgrade
        Description:
        This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

217の説明をDeepL先生に翻訳してもらった。

This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.
Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. If the installation fails, you will need to update shim and grub packages before the update can be deployed.
Once you have installed this dbx update, any DVD or USB installer images signed with the old signatures may not work correctly. You may have to temporarily turn off secure boot when using recovery or installation media, if new images have not been made available by your distribution.

これは dbx をマイクロソフトの最新リリースに更新するもので、発見された複数のセキュリティ更新により、禁止された署名のリストに安全でないバージョンの grub と shim が追加されます。
アップデートをインストールする前に、fwupd は ESP 内で影響を受ける実行可能ファイルをチェックし、禁止された署名のいずれかで署名されたブートバイナリが見つかった場合、アップデートを拒否します。インストールに失敗した場合、アップデートを展開する前に shim と grub パッケージを更新する必要があります。
この dbx アップデートをインストールすると、古い署名で署名された DVD または USB インストーライメージが正しく動作しなくなることがあります。ディストリビューションから新しいイメージが提供されていない場合は、リカバリまたはインストールメディアを使用する際に一時的にセキュアブートをオフにする必要があるかもしれません。

www.DeepL.com/Translator(無料版)で翻訳しました。

211と190もあって、同じ説明がされている。こちらも。

This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

これは dbx をマイクロソフトの最新リリースに更新するもので、発見された複数のセキュリティ更新により、禁止された署名のリストに安全でないバージョンの grub と shim が追加されます。

www.DeepL.com/Translator(無料版)で翻訳しました。

さいごに

結構長く運用しているけれど、これが表示されたのは初めてな気がする。

依然として、Ubuntu 18.04では表示されておらず、ウチのサーバーの多くがUbuntu 18.04だったから見ていなかった?
最近アップグレードを考えていて、Ubuntu 22.04への移行を進めているから表示されはじめた?
もしかしたら、267というこのバージョンに何か要注意的なフラグが立っているから表示されている??

とりあえず、やり方は分かったので、今日はこれまで。

コメントはこちらから お気軽にどうぞ ~ 投稿に関するご意見・感想・他