Gelöst Microsoft CA-Update

[BeastXXL]

Hallo zusammen,

durch Zufall sind mir zwei Updates in Discover aufgefallen, die nicht in den normalen zypper dup -Updates auftauchen.
- Microsoft UEFI CA
- Microsoft UEFI dbx
Da mir beim Umstieg auf slowroll eingeschärft wurde, nur über zypper dup zu updaten, bin ich skeptisch.
Im Netz finde ich keine eindeutige Antwort, nur den Hinweis, dass im schlimmsten Fall der PC nicht mehr booten könnte.

Nun bin ich immer noch unsicher, was ich machen soll. Und warum sehe ich das nur in Discover, aber nicht den regulären Repos?

Danke für Hinweise.

 

[JSC]

durch Zufall sind mir zwei Updates in Discover aufgefallen,

Wenn du nach "Microsoft" in Discover suchst, siehst du noch viel mehr.

 

[marce]

zumindest eines klingt nach dem MS-SecureBoot-CA-Update - solange Du kein Secure-Boot verwendest kann Dir das egal sein, im anderen Fall hängt's von ein paar anderen Faktoren ab, ob das für Dich relevant ist...

 

[tomm.fa]

Nun bin ich immer noch unsicher, was ich machen soll. Und warum sehe ich das nur in Discover, aber nicht den regulären Repos?

Und was ist, wenn du fwupdmgr get-updates in der Konsole ausführst?

 

[BeastXXL]

Hier die Ausgabe:

beastxxl@linux-5099:~> fwupdmgr get-updates
Devices with no available firmware updates:
 • MSI SHIP KEK
 • KEK CA
 • SBAT
 • SSD 850 EVO 500GB
 • SSD 970 EVO Plus 500GB
 • UEFI Device Firmware
 • UEFI Device Firmware
 • Windows Production PCA
Micro-Star International Co., Ltd MS-7B86
│
├─UEFI CA:
│ │   Gerätekennung:      5bc922b7bd1adb5b6f99592611404036bd9f42d0
│ │   Aktuelle Version:   2011
│ │   Anbieter:           Microsoft (UEFI:Microsoft)
│ │   GUIDs:              26f42cba-9bf6-5365-802b-e250eb757e96 ← UEFI\VENDOR_Microsoft&NAME_Microsoft-UEFI-CA
│ │                       c34a7e6a-bd86-5244-8bd0-7db66fd3c073 ← UEFI\CRT_E30CF09DABEAB32A6E3B07A7135245DE05FFB658
│ │   Geräte-Bitschalter: • Internes Gerät
│ │                       • Aktualisierbar
│ │                       • Unterstützt auf dem entfernten Server
│ │                       • Benötigt einen Neustart nach der Installation
│ │                       • Signierte Nutzdaten
│ │                       • Kann für die Emulation markieren
│ │
│ └─Secure Boot Signature Database Konfigurationsaktualisierung:
│       Neue Version:     2023
│       Gegenstellenkennung: lvfs
│       Veröffentlichungskennung: 116503
│       Zusammenfassung:  UEFI Secure Boot Signature Database
│       Lizenz:           Proprietär
│       Größe:            10,0 KB
│       Erstellt:         2025-04-29 00:00:00
│       Dringlichkeit:    Hoch
│         Geprüft:        2025-10-17 00:00:00
│         Distribution:   fedora 42 (workstation)
│         Alte Version:   2011
│         Version[fwupd]: 2.0.16
│         Geprüft:        2025-09-17 00:00:00
│         Distribution:   fedora 42 (workstation)
│         Alte Version:   2011
│         Version[fwupd]: 2.0.16
│         Geprüft:        2025-07-24 00:00:00
│         Distribution:   nixos 25.11
│         Alte Version:   2011
│         Version[fwupd]: 2.0.12
│       Anbieter:         Linux Foundation
│       Veröffentlichungsbitschalter: • Vertrauenswürdige Metadaten
│                         • Ist Aktualisierung
│       Beschreibung:     
│       This updates the 3rd Party UEFI Signature Database (the "db") to the latest release from Microsoft.It also adds the latest OptionROM UEFI Signature Database update.
│       Prüfsumme:        6819c8098f09f4332a102194df6a033563aa288073b16315c5b88860fefb7e74
│     
└─UEFI dbx:
  │   Gerätekennung:      362301da643102b9f38477387e2193e57abaa590
  │   Zusammenfassung:    UEFI revocation database
  │   Aktuelle Version:   20250507
  │   Minimale Version:   20250507
  │   Anbieter:           Microsoft (UEFI:Microsoft)
  │   Installationsdauer: 1 Sekunde
  │   GUIDs:              f8ba2887-9411-5c36-9cee-88995bb39731 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503&ARCH_X64
  │                       88d49691-fc31-5b47-94a1-a4b045be570e ← UEFI\CRT_2489B9C54D86350473D6DC6FEEBE60D1B7D0FFF7B3E5978658EDC53E1F41A767&ARCH_X64
  │   Geräte-Bitschalter: • Internes Gerät
  │                       • Aktualisierbar
  │                       • Unterstützt auf dem entfernten Server
  │                       • Benötigt einen Neustart nach der Installation
  │                       • Das Gerät ist während der Dauer der Aktualisierung nutzbar
  │                       • Nur Versionsaktualisierungen sind erlaubt
  │                       • Signierte Nutzdaten
  │                       • Kann für die Emulation markieren
  │
  └─Secure Boot dbx Konfigurationsaktualisierung:
        Neue Version:     20250902
        Gegenstellenkennung: lvfs
        Veröffentlichungskennung: 130035
        Zusammenfassung:  UEFI Secure Boot Forbidden Signature Database
        Variante:         x64
        Lizenz:           Proprietär
        Größe:            24,1 KB
        Erstellt:         2025-09-02 00:00:00
        Dringlichkeit:    Hoch
          Geprüft:        2026-02-19 00:00:00
          Distribution:   ubuntu 25.10
          Alte Version:   20230501
          Version[fwupd]: 2.0.18
          Geprüft:        2026-02-13 00:00:00
          Distribution:   ubuntu 25.10
          Alte Version:   20230501
          Version[fwupd]: 2.0.17
          Geprüft:        2025-12-05 00:00:00
          Distribution:   fedora 42 (workstation)
          Alte Version:   20250507
          Version[fwupd]: 2.0.17
          Geprüft:        2025-11-10 00:00:00
          Distribution:   fedora 43 (kde)
          Alte Version:   20230501
          Version[fwupd]: 2.0.16
        Anbieter:         Linux Foundation
        Dauer:            1 Sekunde
        Veröffentlichungsbitschalter: • Vertrauenswürdige Metadaten
                          • Ist Aktualisierung
                          • Getestet von einem vertrauenswürdigen Anbieter
        Beschreibung:     
        This updates the list of forbidden signatures (the "dbx") to the latest release from Microsoft.
        
        Some insecure versions of the IGEL bootloader were added, due to a security vulnerability that allowed an attacker to bypass UEFI Secure Boot.
        Problem:          CVE-2025-47827
        Prüfsumme:        7178302fa23fcb875e7540900e299fb30a76758663efb7e1c56edc25cd3f316a
      
beastxxl@linux-5099:~>

Laut der man-Infos zu fwupdmgr kann man auch Discover für Updates nutzen. Ansonsten

fwupdmgr update

für das Update über die Konsole?

 

[susejunky]

Und warum sehe ich das nur in Discover, aber nicht den regulären Repos?

Weil es sich um eine Aktualisierung im Bereich des UEFI handelt.

 

[tomm.fa]

Laut der man-Infos zu fwupdmgr kann man auch Discover für Updates nutzen. Ansonsten

fwupdmgr update

für das Update über die Konsole?

Ja.
Aber verstehst du jetzt, weshalb diese Aktualisierungen in Discover aber nicht bei einem zypper dup auftauchen?
Zypper ist nur zur Verwaltung (Installation, Deinstallation usw.) für RPM-Pakete.
Discover kann zur Verwaltung von RPM-Paketen (über PackageKit), zur Firmwareaktualisierung vorhandener Hardware und zur Verwaltung von Flatpaks (unter Kubuntu ebenfalls Snaps) verwendet werden.

 

[BeastXXL]

OK, ich wusste nicht, wie vielseitig Discover ist.
Ich habe die Updates installiert. Scheint alles gut gegangen zu sein. fwupdmgr get-updates[/ICODES] bestätigt das auch. Danke für die Hilfe.