Hi,
I recently installed Rocky Linux 10 in a VM configured to start in UEFI (using OMVF bios) all running fine using x86-64-v3 processor and i440fx board.
When logging in, to the terminal there is a message that says:
The translation to english should say "one device has a pending update. Run 'fwupdmgr get-updates' for more information"
When executing that command the output is quite large:
If I understand all this correctly (I may be wrong in one or all of the statements below):
1. OMVF bios contains no information in the "revocation database" current version of that database is 0, current version is 371.
2. There is a message on top that indicates that updates to that database are not possible (not active in the rocky linux kernel?)
3. fwupdmgr is a daemon that checks firmware versions and compares that information over the Internet. This, for example, can be used by the UEFI bios to update the database of malicious keys that should not be installed due to security issues. The bios that is explored by the daemon is the virtual one, not the one I've in my bare metal computer.
In the indicated URL there are instructions to get rid of this message, but what I want to know is if it is possible to update the revocation database and the real reasons it can't be updated.
Regards
Ignacio
I recently installed Rocky Linux 10 in a VM configured to start in UEFI (using OMVF bios) all running fine using x86-64-v3 processor and i440fx board.
When logging in, to the terminal there is a message that says:
Code:
1 dispositivo tiene una actualización disponible.
Ejecute `fwupdmgr get-upgrades` para más información.
Last login: Thu Sep 11 12:38:41 2025 from 192.168.1.197
[root@forti ~]#The translation to english should say "one device has a pending update. Run 'fwupdmgr get-updates' for more information"
When executing that command the output is quite large:
Code:
[root@forti ~]# fwupdmgr get-upgrades
AVISO:: Actualizaciones de cápsulas UEFI no disponible o activada en configuración de firmware
Vea https://github.com/fwupd/fwupd/wiki/PluginFlag:capsules-unsupported para más información.
QEMU Standard PC (i440FX + PIIX, 1996)
│
└─UEFI dbx:
│ ID de dispositivo: 362301da643102b9f38477387e2193e57abaa590
│ Totales: UEFI revocation database
│ Versión actual: 0
│ Versión Mínima: 0
│ Proveedor: UEFI:Linux Foundation
│ Duración de Instalación:1 segundo
│ GUID: 9b411481-7674-546c-855c-18b264d27758 ← UEFI\CRT_5FB05ED84C5170D542ED6A7B7487DD57B8FAEDB02F7E107B0409E1D22CAC4169&ARCH_X64
│ f8ba2887-9411-5c36-9cee-88995bb39731 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503&ARCH_X64
│ Indicadores del Dispositivo:• Dispositivo interno
│ • Actualizable
│ • Mantenido en servidor remoto
│ • Necesita rearrancar tras la instalación
│ • El dispositivo es utilizable para la duración de la actualización
│ • Solamente las modernizaciones de versión están permitidas
│ • Carga Firmada
│
├─Actualización Secure Boot dbx de Configuración:
│ Versión nueva: 371
│ ID Remoto: vendor-directory
│ Totales: UEFI Secure Boot Forbidden Signature Database
│ Variante: x64
│ Licencia: Titular
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ Insecure versions of the Microsoft Windows boot manager affected by Black Lotus were added to the list of forbidden signatures due to a discovered security problem. This updates the dbx to the latest release from Microsoft.
│
│ Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. Applying this update may also cause some Windows install media to not start correctly.
│ Informe: CVE-2022-21894
│ Sumatorio: fc3feb015df2710fcfa07583d31b5975ee398357016699cfff067f422ab91e13
│
├─Actualización Secure Boot dbx de Configuración:
│ Versión nueva: 217
│ ID Remoto: vendor-directory
│ Totales: UEFI Secure Boot Forbidden Signature Database
│ Variante: x64
│ Licencia: Titular
│ Tamaño: 13,8 kB
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.
│ Informes: 309662
│ CVE-2022-34303
│ CVE-2022-34302
│ CVE-2022-34301
│ Sumatorio: 02c241ae59a894bab718433f1139e07831d156ccaaa6b92757eea23566876b1f
│
├─Actualización Secure Boot dbx de Configuración:
│ Versión nueva: 211
│ ID Remoto: vendor-directory
│ Totales: UEFI Secure Boot Forbidden Signature Database
│ Variante: x64
│ Licencia: Titular
│ Tamaño: 13,5 kB
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.
│ Sumatorio: 9ff799ec5800cc0974de6e64cb9d86d25e3ad23177591f245b50815fab0770c6
│
├─Actualización Secure Boot dbx de Dispositivo:
│ Versión nueva: 190
│ ID Remoto: vendor-directory
│ Totales: UEFI Security Blocklist
│ Variante: x64
│ Licencia: Titular
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ This updates the dbx to the latest release from Microsoft.
│ Informes: CVE-2020-10713
│ CVE-2020-14308
│ CVE-2020-14309
│ CVE-2020-14310
│ CVE-2020-14311
│ CVE-2020-15705
│ CVE-2020-15706
│ CVE-2020-15707
│ CVE-2020-7205
│ Sumatorio: fb78ff57d7c2d89d44d07d1d3b7a2214fecd99bcaeace46107d8c63662378939
│
├─Actualización Secure Boot dbx de Dispositivo:
│ Versión nueva: 77
│ ID Remoto: vendor-directory
│ Totales: UEFI Security Blocklist
│ Variante: x64
│ Licencia: Titular
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ This updates the dbx to the latest release from Microsoft.
│ Sumatorio: 94645281672270b0ebe6834f4108957662da69807526208f88a0ac2a83ae0340
│
├─Actualización Secure Boot dbx de Dispositivo:
│ Versión nueva: 13
│ ID Remoto: vendor-directory
│ Totales: UEFI Security Blocklist
│ Variante: x64
│ Licencia: Titular
│ Urgencia: Alta
│ Duración: 1 segundo
│ Indicadores de Publicación:• Carga confiada
│ • Metadatos confiados
│ • Está modernizada
│ Descripción:
│ This updates the dbx to the latest release from Microsoft.
│ Sumatorio: c621f1710d47d2fc9954038d657c5f3af36ce2d691984b26506cd80747eb7cdd
│
└─Actualización Secure Boot dbx de Dispositivo:
Versión nueva: 9
ID Remoto: vendor-directory
Totales: UEFI Security Blocklist
Variante: x64
Licencia: Titular
Urgencia: Alta
Duración: 1 segundo
Indicadores de Publicación:• Carga confiada
• Metadatos confiados
• Está modernizada
Descripción:
This updates the dbx to the latest release from Microsoft.
Sumatorio: d466bc43276f7e545ba67e22c38dc44f7d08b00a59e5b65f9a1c676b48c56fe3
[root@forti ~]#If I understand all this correctly (I may be wrong in one or all of the statements below):
1. OMVF bios contains no information in the "revocation database" current version of that database is 0, current version is 371.
2. There is a message on top that indicates that updates to that database are not possible (not active in the rocky linux kernel?)
3. fwupdmgr is a daemon that checks firmware versions and compares that information over the Internet. This, for example, can be used by the UEFI bios to update the database of malicious keys that should not be installed due to security issues. The bios that is explored by the daemon is the virtual one, not the one I've in my bare metal computer.
In the indicated URL there are instructions to get rid of this message, but what I want to know is if it is possible to update the revocation database and the real reasons it can't be updated.
Regards
Ignacio