用心打造
VPS知识分享网站

fwupd 2.1.6 发布:改进 Linux 固件更新流程,增强 UEFI 与设备安全处理

Linux 固件更新工具 fwupd 迎来 2.1.6 维护版本。本次更新并不是大版本功能升级,而是围绕固件更新流程、安全校验、UEFI 处理、服务器环境兼容性以及部分硬件支持做了一轮修复和增强。

fwupd 是 Linux 生态中常用的固件更新服务,很多发行版会通过它为笔记本、扩展坞、主板固件、UEFI 组件以及部分外设提供更新能力。对于普通用户来说,它的存在感可能不强,但对系统安全、设备兼容性和企业级批量维护都比较重要。

fwupd 2.1.6 发布:改进 Linux 固件更新流程,增强 UEFI 与设备安全处理

这次 fwupd 2.1.6 的一个变化是,为 fwupdmgrfwupdtool 新增了 --filter-protocol 选项。用户或系统管理员可以按照协议过滤固件操作范围,避免在复杂设备环境中误操作不相关的固件更新任务。

在平台安全检测方面,新版本加入了一个面向 coreboot verified boot 的 HSI 属性。HSI 全称为 Host Security ID,主要用于报告主机平台的安全特征。加入这一属性后,fwupd 对 coreboot 验证启动 相关安全状态的识别能力会更完整。

UEFI 相关处理也是本次更新的重点之一。fwupd 2.1.6 为离线设备加入了最新 DBX 更新的哈希值,并将 UEFI Memory Protection HSI 与 NX 兼容性检查拆分处理。同时,新版本还修复了 HP UEFI db 证书显示问题,以及在 snapd 环境下安装 KEK 更新时发送数据不正确的问题。对于较大的 KEK 数据,解析器项目上限也从 100 提高到了 1000。

服务器和企业环境的固件更新流程也有改进。新版本优化了 HPE Redfish 场景下需要重置的固件更新处理,并会在 HPE 硬件需要时正确退出 Redfish 会话。与此同时,fwupd 现在会避免在 VMware、Google Compute Engine 和 Amazon EC2 虚拟机中检查 efivar 可用空间,减少虚拟化环境下不必要的兼容性问题。

固件解析能力方面,fwupd 2.1.6 新增了对 Hayden Bridge Thunderbolt 固件 解析的支持,并修复了多项边界检查问题。例如,避免 IFWI CPD 清单长度检查中的整数溢出,修复 Elan 固件小于一页时可能出现的整数下溢问题,并在访问 Raydium 触摸板缓冲区索引前先验证缓冲区大小。

针对具体设备,新版本也带来了一批修复。更新 SteelSeries 固件时可能出现的空指针解引用问题得到修复;Genesys GL32xx 设备锁定程序因参数不匹配导致崩溃的问题也被处理;AMD SME 检测改为直接检查 SMEE 硬件位;AMD Kria FRU 板卡区域偏移量被截断的问题也已修复。

安全性方面,fwupd 现在要求使用已密封的 memfd 输入,以降低潜在 TOCTOU 攻击 风险。同时,新版本对 Jabra GNP 设备版本信息的清理方式更加严格,并会在使用前验证联想扩展坞设备报告的程序大小,减少因设备返回异常数据而导致更新失败或异常的可能性。

硬件支持方面,本次更新幅度不大,但增加了对 联想双固件槽配件接收器 以及配对外设的支持。这意味着部分联想配件在 Linux 下通过 fwupd 更新固件时,覆盖范围和兼容性会更好。

除此之外,fwupd 2.1.6 还包含一些细节修复,例如在缺少 ESP OS 目录时自动创建该目录,检测 Celeron LPC SPI 控制器上的 BCR 设备,在未指定 MTD 镜像类型时回退到二进制固件,修复 fwupd-refresh 服务问题,改进 USI 扩展坞进度报告,并在所有设备添加完成后按需重新处理设备元数据。

整体来看,fwupd 2.1.6 更像是一次面向稳定性和安全性的维护更新。它对普通桌面用户的直接感知可能不强,但对使用 Linux 管理固件更新、维护企业设备、服务器设备以及联想、HPE、HP 等硬件环境的用户来说,这次更新仍然值得关注。

赞(0)
未经允许不得转载;国外VPS测评网 » fwupd 2.1.6 发布:改进 Linux 固件更新流程,增强 UEFI 与设备安全处理
分享到