В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки

Только что обновился :)
Secureboot отключен, компьютер не загружается.
Загрузился с флешки, откатил grub, без толку.

Fix: загрузится с live, с помощью efibootmgr создать запись указывающую на grubx64.efi , а не shim (или bootx64.efi?). Что-то типа:

efibootmgr -c -d /dev/sdb -p 1 -l /EFI/centos/grubx64.efi -L CentOS

Да у него через обновление «не удалось установить» периодически всплывает, и чинится это по мануалам еще десятилетней давности. Говном был короче, говном и остался, я не понимаю причин почему его все еще не дропнули в пользу какого нибудь rEFInd -a, возможность свою картинку с логотипом прилепить важнее что ли стабильности функцианирования.

Может просто выключить ЕФИ, в смысле легаси в биос врубить ?

P.S. Вчера обновился, пару раз потом перегружался, с утра на всякий случай проверил … все ок.

Это я запостил новость, за оформление и ошибки извините, я на ЛОРе не зареган, спать хотелось что пц, по-рыхлому накидал, во время того как сам откатывался, первый раз постил новость на ЛОР, пока сонный раздуплялся чо куда какие теги-шмеги, вообще думал не опубликует даже, может кто и успел встрять с этой GRUB-бойдой, я как только ночью прочитал на опеннете, сразу вспомнил о товарищах на ЛОРе и тут хренак - пусто, ничо вообще, как так-то, думаю, ну и вот…

По утру интернетов не было до сего момента, я хз, может пров тоже не читает новостей и обновил серваки ;) А у меня между прочим котики на ютубах не досмотрены простаивают, я было хотел уже откапывать винч с ониме, тому шо без интернетов печально всё в пятницу, но Ктулху миловал!

Немного нытья: Есть знакомые с ЛОРа, отличные ребята, кто мог бы заапрувить и поправить, но к сожалению я дурень и пока с ними не могу связаться по причине того что связь была через ирк, у фриноды текущий пров в бане, бида-пичаль, я рокотыка не осилил настроить фриноду через тор пока что.

P.S.: Кстати очень странно, в новости ссылка на жалобы дебианщиков, и получается глючным прилетело обновление в stable именно, я у себя проверил, да, вчера пакеты этих самых стрёмных версий как раз с обновлениями и залетели, благо не вырубал ничего и откатился, может быть и пронесло бы, но я не хотел проверять на себе, мало ли, да зассал, лучше перебздеть, чем недобздеть, ящитаю. Странность в том для меня, что Debian то Stable, а такой продолб, по идее такая бойда в отстойнике должна поболтаться, а они хренак-хренак и в продакшон, стыдобища же, ну! Пц, я в расстройстве, ребят, как я буду теперь с правосланым праведным гневом кунать в лужу всяких школорачеров, при случае, они же меня теперь не только говномамонтами засыплют наперебой, так ещё и Штабильностью стабильного Дебиана, куда мир катицо, Debian что же ты делаешь со мной, старый ты пердун?!

А модеры, ленивые вы жопы, подправьте новость и заапрувте, может больше народа увидит, и не вляпается, а то мало ли кто в незаапрувленные забредает! Мне пофиг, хоть кто зареганый заново создайте уже по-цивильному, лишь бы народ отзнакомился!

Извиняюсь за поток сознания, до сих пор толком почти не спал, котелок не варит, поплавился, пойду спать! Всем Удачи!

в смысле поставить еще обычный grub на незагружающейся системе?
Не, это дольше.

пару раз потом перегружался

Вот это правильно.
А то я удалил через efibootmgr две загрузочные записи с shimx64.efi и bootx64.efi (обе не грузятся, я так понимаю, первую создает инсталятор, вторую - uefi).
Так на одном из компьютеров гуаш-ня создав снова запись с bootx64.efi, поставила ее первой в очередь загрузки.
Первая перезагрузка - создала, вторая … черный экран, лезем в bios менять порядок загрузки.

Насколько я понял, в Debian уже прилетели новые апдейты, если я правильно понял новость, проблемные были вот эти пакеты grub-common:amd64 2.02+dfsg1-20+deb10u1 grub-efi-amd64-bin:amd64 2.02+dfsg1-20+deb10u1 grub2-common:amd64 2.02+dfsg1-20+deb10u1 grub-pc-bin:amd64 2.02+dfsg1-20+deb10u1 проапгрейдил систему до grub-common_2.02+dfsg1-20+deb10u2_amd64.deb grub-pc_2.02+dfsg1-20+deb10u2_amd64.deb grub-pc-bin_2.02+dfsg1-20+deb10u2_amd64.deb grub2-common_2.02+dfsg1-20+deb10u2_amd64.deb Всё это происходило на интеловском ноуте 2012года, без уефи и гпт, система Debian «Buster» Stable, ребутается, всё загружается, брат жив!

Будьте внимательны, если что, вчитывайтесь в макулатуру что идёт с апдейтами! На мой взгляд уязвимость была такая себе, я бы даже сказал, что это не баг, а фича, а вот кривой апдейт наделал больше проблем.

Оно автоматом не поставится в Ubuntu как секурное обновление?

Без понятия, память дырявая, как у рыбки, давно на бунтах не сижу, на Дебиане штатно залетает через секурити репу, да. Мне просто вчера пришлось откатиться и ставить старую версию из main, а ту что типа глючная, как раз была из секурити, заблочить до поры, вот вроде как пора настала - новая версия в секурити штатно приехала, я попробовал что будет, разблочил и обновился на ноуте пока что, полёт нормальный, но ноут без уефи, как я выше писал, так что пока хз как оно себя ведёт на новых материнках, которые только с уефи, кто бы как их не хвалил, лично у меня они ассоциируются с лишним геморроем, а не с удобством, но тут уж, кто какие изрващения предпочитает.

Я бы подождал ещё, пока народ массово не отпишется что как, по сути уязвимость там такая себе, мне она даже нравится, а вот факап с кривым секурити патчем знатный. В теории её можно было бы намерено поэксплуатировать, чтобы на упоротых ноутах, где неотключаемый секуребут, и нельзя было линуксы поставить, всё-таки их поставить, но у меня сейчас под рукой таких нет и я никогда такой штукой не занимался, как поэксплуатировать это я тоже без понятия, но гипотетически интересно было бы.

P.S.: По поводу «автоматом», чот проглядел, если вопрос был в том, что поставится ли, если этот пакет сейчас в http://security.ubuntu.com, да поставится (кстати сейчас там лежат *_2.02~beta2-36ubuntu3.27_amd64.deb, это может быть как раз эти пакеты, я без понятия в какой релиз и когда они заедут), если у вас автоматические обновления, но если так, то это нездоровая практика, я понимаю, удобство, все дала, но под личным неусыпным контролем как-то спокойнее и надёжнее, но хозяин-барин, если что, каждый ССЗБ!

Вчера в кубунту прилетела обнова Grub 2, задумался, ставить ли, поставил, перезагрузился всё нормуль, комп в uefi.

Зачем вообще обновлять загрузчик который работает? Что за мания такая?

А ты всегда проверяешь какие уязвимости закрывает пакет, который приходит из security-updates? Не все такие надоверчивые, и даже если так, какой смысл специально блокировать версию? Во всех обычных случаях обновления ничего плохого не делают, но тут из-за торопления нафакапили, потому что кривое обновление было состряпано очень быстро и даже не успели протестить толком.

Подобное бывает крайне редко, возможно это связано с тем, что оказывалось какое-то давление на майнтейнеров, подгоняли их, ведь по сути уязвимость, которая закрывалась позволяла обойти secureboot и вертела на бую UEFI. Это как с уязвимостью в Sony PS, которые позволяли осуществить взлом консоли для запуска нелицензионных игр, на определённой прошивке, это скорее угроза для вендора, которую он скоренько пожелал закрыть новой прошивкой.

Какой смысл вообще держать grub в системе после установки? Я собрал grub 6 лет назад, снёс из системы и так этот установленный экземпляр и используется. И ничего блокировать не надо.

Все, shim обновили (в CentOS8), грузится. Новость протухла.

Я автор новости, прошу прощения за оформление ещё раз, спешил и хотелось спать, также за, отчасти, бредни, которые с недосыпу понаписывал, на текущий момент ситуация следущая: "Проблема устранена в следующих обновлениях:

Debian: grub2_2.02+dfsg1-20+deb10u2, grub2_2.02~beta3-5+deb9u2 Ubuntu: grub-efi-*26.2, grub-efi-*8.17, grub-efi-*3.27 и grub-efi-*1.17. RHEL: shim-el8_2 (RHEL 8) и shim-15-8.el7 (RHRL 7). CentOS: shim-x64-15-15.el8_2.x86_64.rpm (CeotOS 7) и shim-x64-15-8.el7_8.x86_64.rpm (CeotOS 8). Пакеты уже опубликованы на зеркалах, но не анонсированы. В Fedora обновление с устранением уязвимости BootHole пока не выпущено. В SUSE/openSUSE проблем в изначальном обновлении «grub2-2.02-4.53.1» не зафиксировано."

Источник: https://www.opennet.ru/opennews/art.shtml?num=53491

Смысле протухла? Все новости протухают, ситуация просто случилась и дальше были последствия, которые сейчас почти устранили.

Или вы про то что она до сих пор в неподтверждённых? Если так, то это вопрос к подтверждающим, что она так и болталась тут всё это время.

то чувство, когда в арче ничего не сломалось. ну что скажете, клоуны?

Ну надо же было чему-то сломаться ещё где-то, а то рачеводы совсем выглядят ущербно на фоне остальных, жалко их, а то может ещё в депрессию впадут и самовыпилятся, вот решили поддержать их в солидарность и из жалости!