首页
/ fwupd 1.9.30版本发布:固件更新工具的重要安全与稳定性改进

fwupd 1.9.30版本发布:固件更新工具的重要安全与稳定性改进

2025-06-15 23:04:07作者:丁柯新Fawn

fwupd是一个开源的固件更新工具,它允许Linux系统用户安全地更新各种硬件设备的固件。该项目由GNOME社区维护,支持包括UEFI BIOS、显卡、存储设备等多种硬件类型的固件升级。fwupd通过提供统一的接口和验证机制,使得固件更新过程更加安全可靠。

最新发布的fwupd 1.9.30版本带来了一系列重要的改进,主要集中在安全增强和稳定性修复方面。以下是本次更新的主要技术内容:

UEFI安全启动黑名单扩展

本次更新增加了多个存在固件问题的设备到UEFI dbx(吊销列表)黑名单中。dbx是UEFI安全启动机制的一部分,用于阻止已知存在漏洞或恶意代码的固件加载。这一改进有助于提升系统的整体安全性,防止潜在的安全威胁。

权限与路径访问优化

新版本将/sys/firmware/efi/efivars目录添加到了ReadWritePaths中。这个目录包含了UEFI变量接口,允许fwupd更直接地与系统固件交互。这一改动解决了某些情况下固件更新可能遇到的权限问题。

Redfish备份分区处理改进

fwupd现在会忽略Redfish服务的备份分区,不再将其作为可更新设备显示。Redfish是一种用于服务器管理的RESTful API标准,其备份分区通常包含重要的系统恢复信息,不应被常规固件更新操作修改。这一改进避免了潜在的数据损坏风险。

JSON输出模式优化

fwupdtool --json模式下,fwupd现在会完全禁用交互式消息和提示。这一改进使得自动化脚本能够更可靠地解析fwupd的输出,而不会被意外的人类可读消息干扰。

设备兼容性修复

  1. 修复了某些Wacom设备固件安装时可能导致的崩溃问题
  2. 改进了Dell Kestrel扩展坞的RMM(远程监控和管理)更新部署
  3. 优化了SMBIOS解析逻辑,现在能够正确处理SPI ROM大小大于等于16MB的情况
  4. 修复了Dell扩展坞HID通信的超时设置,通过减少初始超时时间(同时保持重试机制)提高了更新效率

安全策略增强

新版本现在会严格禁止通过fwupdtool更新被标记为"updatable-hidden"的设备。这类设备通常需要特殊的更新流程或权限,这一改动防止了潜在的错误操作。同时,fwupd现在能够识别一个非常旧的dbx哈希值,确保用户能够顺利完成安全启动黑名单的升级过程。

这些改进共同提升了fwupd在各种使用场景下的可靠性和安全性,特别是对于企业环境中常见的服务器和扩展坞设备。系统管理员和普通用户都能从这些优化中受益,获得更稳定、更安全的固件更新体验。

登录后查看全文
热门项目推荐
相关项目推荐