打开网易新闻 查看精彩图片

Linux 固件更新守护进程 fwupd 刚推出了 2.1.6 版本。这次更新塞进了不少安全修复、企业级流程改进和硬件支持扩展,经常跟固件打交道的用户可以关注一下。

️ 安全校验全面收紧

为了堵上潜在的竞态攻击,fwupd 现在要求输入必须通过密封的 memfd,防止检查与使用时差被钻空子。同时,Jabra GNP 设备版本号的清理变得更严格,联想扩展坞上报的程序大小在使用前也会先验证一遍,不再盲目信任设备自己报的数据。平台安全感知方面,还新增了针对 coreboot 验证启动的 HSI 属性。

️ UEFI 与固件解析修复

UEFI 部分修了不少细节:离线机器的 DBX 哈希补齐了,UEFI 内存保护 HSI 与 NX 兼容性拆开处理,HP UEFI db 证书显示也正常了。在 snap 环境下,KEK 更新不再因为传错 blob 而翻车,大容量 KEK 的解析上限也从 100 提到了 1000。固件解析层面,新增了对 Hayden Bridge Thunderbolt 固件的支持,同时修复了 IFWI 里的整数溢出、Elan 固件尺寸不足一页时的整数下溢,以及 Raydium 触摸板缓冲区越界访问的隐患。

服务器更新流程更丝滑

企业用户常年用的 HPE Redfish 更新路径现在更稳了:需要重置的更新会处理得更利索,更新后也能按需登出 Redfish 会话。另外,fwupd 不会再在 VMware、Google Compute Engine 和 Amazon EC2 这些虚拟机里白费力气去检查 efivar 剩余空间,少了很多莫名其妙的报错。

️ 设备兼容与功能细节

设备端修复了一堆头疼问题:SteelSeries 固件更新时的空指针、Genesys GL32xx 锁死崩溃、AMD SME 检测方式改为直接看 SMEE 硬件位、AMD Kria FRU 板区域偏移不再被截断。

硬件支持上,联想双 bank 配件加密狗和配对外设现在也能被识别和更新了。

此外,ESP 的 OS 目录缺失时能自动创建,Celeron LPC SPI 控制器上的 BCR 设备能被检测到,没指定 MTD 镜像类型时自动回退到二进制固件,fwupd-refresh 服务的毛病也修好了,USI 扩展坞的进度反馈更准,设备元数据在添加完全部硬件后可按需重新处理,“正在验证”的提示也改成短暂延迟后才显示,不再一惊一乍。

如果你正用 fwupd 管理 Linux 机器的固件,这一版值得跟上,尤其是对安全补丁和硬件兼容有要求的场景。照例,通过各发行版的软件仓库就能更新。