概要
2024年8月に配信された Windows Update (KB5041587) では、セキュアブート時における安全性を向上させるために、ブートモジュールに対するチェックが厳格になりました。 その影響により、脆弱性を有するブートモジュールを利用しているLinux環境などをセキュアブート有効の状態で起動できなくなくなる可能性があります。
問題発生時には次のメッセージ等が端末の画面上に表示されます。
Error message: Verifying shim SBAT data failed: Security policy violation
Something went seriously wrong: SBAT self-test failed: Security Policy Violation
Windows と Linux のデュアルブート環境で、かつ古いブートローダーを利用している場合に、問題が発生することがあります。
KB5041587 については、下記 URL を参照ください。
問題の範囲
Windows と Linux の両方のイメージを割り当てた端末において、Linux イメージが保持するブートローダーが古い場合に、問題が発生する可能性があります。 CO-Colors ほたてを利用しているかどうかは、本件には関係しません。
現在確認できていること
Ubuntu
下記のバージョンより前の shim-signed パッケージを利用している場合、問題が発生する可能性があります。
OS バージョン | shim-signed のバージョン | リリース日 |
---|---|---|
oracular (24.10) | 1.58 | 2024-04-29 |
noble (24.04) | 1.57 | 2024-04-09 |
jammy (22.04) | 1.51.4 | 2024-08-26 |
focal (20.04) | 1.40.10 | 2024-08-26 |
AlmaLinux
AlmaLinux 8.9 では問題が発生する可能性があります。
AlmaLinux 8.10 と AlmaLinux 9.4では問題の発生は確認されていません。
問題の対処法
Linux のディスクイメージを更新し、shim-signed パッケージを最新にアップデートしてください。
更新作業に使用する端末がこの問題の影響で起動できない場合には、一時的にセキュアブートを無効にして作業してください。
追記 (2024/10/15)
shim-signed と Kernel のバージョン依存の問題が報告されています。
古いバージョンの Kernel を使用している環境で、shim-signed パッケージのみを最新に更新すると、セキュアブートを使用して起動した際に bad shim signature
エラーが表示され、OSが起動しないことがあります。
この問題は、Kernel を最新バージョンにアップデートすることで解決できる可能性があります。 Kernel をアップデートする場合には、CO-CONV から提供する、ほたて Linux のモジュールが必要となります。 ほたて Linux モジュールは、使用するディストリビューション・ディストリビューションのバージョン・カーネルバージョンの組み合わせに合わせて、個別のパッケージを使用する必要があります。
下記の情報と一緒に CO-CONV にお問い合わせください。
- ディストリビューションとバージョン
- カーネルバージョン
いただいた情報を元にパッケージを準備いたします。パッケージの準備には通常、1~2週間ほどお時間をいただきます。
また、ほたてLinuxモジュールを動作させるためには、サーバ側のほたてモジュールも同時に更新する必要が生じる場合があります。 詳しくは、ほたてLinuxモジュールの動作環境について をご確認ください。