Início / ubuntu / Perguntas / 1536205
Accepted
DrMoishe Pippik
Asked: 2024-12-23 12:32:00 +0800 CST

O Ubuntu 20.04 LTS ISO está disponível com um bootloader válido?

  • 772

Quando tento usar a mídia de instalação do Ubuntu 20.04.6 LTS (AMD64, Desktop), o bootloader não é mais válido e impede o uso com Secure Boot. Existe algum ISO para a versão 20.04 LTS Desktop para AMD64 disponível com um certificado válido?

NB Seguindo o link de @guiverc, abaixo, leva ao mesmo problema. Hoje, 2024.12.23, após baixar ubuntu-20.04.6-desktop-amd64.iso e usar Rufus para tentar fazer um USB de inicialização, o seguinte foi mostrado:

Mensagem de erro do Rufus

Ter um USB com o Ubuntu Live é uma conveniência, útil para reparos, backup de unidade e redimensionamento, etc. Sim, pode- se desabilitar o Secure Boot, inicializar a partir do USB e reabilitar o Secure Boot, um incômodo e um risco potencial de segurança se não for habilitado novamente. Uma versão posterior do Ubuntu pode ser usada -- mas com kernel, desktop e outras mudanças diferentes. Seria melhor ter a versão mais recente do 20.04 LTS com um certificado válido .

BTW, o certificado do bootloader expirou e não foi renovado? A autoridade emissora tem motivos para acreditar que ele foi abusado? Há problemas de segurança com o 20.04 LTS que forçaram o Ubuntu a revogar o certificado? Ou há outro motivo para esse problema?

Adenda

A Microsoft aparentemente revogou o shim do Ubuntu em uma atualização do Windows. Obrigado a Thomas Ward e à equipe do Ubuntu pela explicação!

boot

1 respostas

  1. Best Answer

    Observação: esse problema só acontece quando você está usando Windows / Rufus / etc. e chaves de assinatura atualizadas aplicadas pelo Windows Update (desde agosto de 2024) em um sistema que tem SOMENTE Windows. O Windows não deve sobrescrever ou alterar essas chaves quando tem outros sistemas operacionais além do Windows, mas não há garantia de que ele não mexerá com as chaves aceitas de qualquer maneira.

    Entrei em contato com a Equipe de Lançamento e obtive, essencialmente, a seguinte resposta (parafraseada):

    A Equipe de Lançamento está ciente de que a última rodada de patches da Microsoft resultou em alterações no MOK e no shim em máquinas somente Windows.

    A chave na mídia 20.04.6 não foi revogada/expirada por nós, mas a Microsoft a expirou na última rodada de atualizações.

    Devido à idade da versão 20.04, não estamos produzindo novas ISOs para essa versão (principalmente porque ela atingirá o Fim do Suporte Padrão em 2025).

    A longo prazo, se a Microsoft for implementar revogações por meio do MS Update, isso pode não ser uma solução, mas teremos que rever isso no futuro.

    Há também uma nota aqui de que a Microsoft lançou uma atualização que revoga todas as versões de shim 15.7 ou anteriores, por isso a 20.04.6 falha na validação. Isso está documentado no Ubuntu Discourse :

    Em 20 de agosto de 2024, o Windows lançou um patch de software que revogou shims mais antigos que 15.8. O shim é um componente upstream consumido por várias distros Linux, incluindo o Ubuntu.

    Quais usuários do Ubuntu são afetados

    • Qualquer usuário que pretenda instalar qualquer versão do Ubuntu em hardware que atualmente executa o Windows, com inicialização segura ativada e a atualização relevante instalada.
    • Configurações de inicialização dupla existentes de qualquer versão do Ubuntu, exceto 24.04 LTS, além do Windows, que tenha inicialização segura habilitada e tenha recebido a atualização relevante do Windows.

    Máquinas dedicadas Ubuntu não são afetadas.

    Como isso afeta os usuários do Ubuntu

    Como resultado desta atualização, qualquer mídia lançada pelo Ubuntu que use um shim mais antigo que 15.8 não pode mais ser instalada diretamente em máquinas que aplicaram esta atualização do Windows sem desabilitar a inicialização segura primeiro no BIOS. Isso pode incluir sistemas novos que tiveram o Windows pré-instalado ou sistemas Windows e Ubuntu de inicialização dupla existentes mais antigos que o Ubuntu 24.04 LTS.

    Embora o Ubuntu 24.04 LTS já inclua o shim 15.8 quando instalado, os ISOs de lançamento atuais usam o shim 15.7 para executar a instalação. Portanto, os usuários ainda precisarão de mídia de instalação atualizada para resolver esse problema para novas instalações do 24.04 em máquinas que receberam a atualização do Windows.

    Quando você pode esperar uma correção?

    Mitigar o impacto dessa mudança requer o envio de lançamentos do Ubuntu com o shim 15.8 atualizado. Esse esforço está em andamento, e a Canonical disponibilizará mídia de instalação atualizada (ISOs) para o Ubuntu 24.04 LTS (Noble Numbat) como parte do lançamento .1 em 29 de agosto. O próximo lançamento do Ubuntu 22.04.5 LTS também incluirá as mesmas atualizações.

    Isso garantirá que tanto o Ubuntu 24.04 LTS quanto o 22.04 LTS possam ser instalados em sistemas afetados pela atualização do Windows.

    Como mitigar essa alteração em instalações existentes do Ubuntu

    Para instalações existentes do Ubuntu que estão apresentando problemas, é possível usar as seguintes soluções alternativas antes de lançarmos os novos ISOs:

    Ubuntu 20.04 LTS e superior:

    • Desative a inicialização segura nas configurações do BIOS do dispositivo.
    • [opcional] Instale o sistema, caso ainda não tenha uma instalação.
    • Inicialize o Ubuntu e então, dependendo da versão de lançamento:
      • 24.04: Você está pronto para prosseguir, o sistema instalado está bom, pois o sistema instalado tem o calço 15.8.
      • 20.04/22.04: Antes de 29 de agosto, o patch está disponível no pocket proposto. Após 29 de agosto, o patch estará disponível para o público em geral e os usuários precisarão simplesmente atualizar seus sistemas para atualizar para o novo shim usando o seguinte comando: sudo apt update && sudo apt upgrade shim-signed.
    • Inicialize o Ubuntu uma segunda vez (com a inicialização segura ainda desabilitada), isso fará com que o shim reinicie o SBAT.
    • Reinicie o BIOS e reative a inicialização segura.

    Se você realmente precisar usar a versão 20.04.6, desabilite a inicialização segura, atualize o Ubuntu, instale as versões atualizadas do shim, etc., e então habilite a inicialização segura e registre todas as chaves correspondentes.

    Observe que testei o ISO 20.04.6 em ambientes de VM com firmware UEFI/Secure Boot atualizado disponível, mas também em desktops com inicialização dupla do Windows ou que não têm o Windows instalado, e o ISO não aparece como revogado quando inicializado, então você pode estar vendo um erro do Windows/Rufus que não é preciso em relação à forma como a mídia realmente inicializará em sistemas que não executam o Windows.

    • 4

relate perguntas