Release 15.8-1~deb12u1 for bookworm

Update version for bookworm

Force usage of newest revocations at build time

Force shim to use the latest revocations by default to block some
older grub / peimage issues. This is:

"shim,4\ngrub,4\ngrub.peimage,2\n"

This should work with the current released grub builds in all of
buster, bullseye, bookwork and trixie/unstable. Let's not leave known
security holes in the wild.

Cherry-pick latest grub revocation patches from upstream shim

0001-sbat-Add-grub.peimage-2-to-latest-CVE-2024-2312.patch
0002-sbat-Also-bump-latest-for-grub-4-and-to-todays-date.patch

Log if the build is nx-compatible or not

Add a new simple script to do this: check_nx

Switch to 15.8 upstream and drop patches

New upstream version 15.8

Tweak the UUID handling to be clearer

Add salsa-ci.yml

Merge branch 'fixes20240429' into 'master'

Apply multi-arch hints. + shim-unsigned: Add Multi-Arch: same.

See merge request efi-team/shim!15

Add changelog entry

Add verification of upstream release

Fix d/watch

Closes: #936009

Apply multi-arch hints. + shim-unsigned: Add Multi-Arch: same.

Changes-By: apply-multiarch-hints

Merge branch 'tests' into 'master'

Tests

See merge request efi-team/shim!14

Add machine smm=on

Fix test failure

Fix depreciation warnings

Use popen for lsb_release

Fix depends

Update changelog

Port to debian

Add ubuntu test

generate_dbx_list: pick a fixed UUID

otherwise our build won't be reproducible, doh!

Tweak building with pesign changes

We used to use efisiglist to generate the DBX list. Newer versions of
the pesign package don't include it any more, and the recommended
replacement tool is now efisecdb from efivar. Tweak the
generate_dbx_list script to work with both old and new. Let's make
backports easy...

Release 15.7-1

Swith to using the upstream "enable NX" patch

Block Debian grub binaries with sbat < 4 (see #1024617)

Enable NX support at build time

As required by policy for signing new shim binaries.

Update upstream commit hash in build

We're using 657b2483ca6e9fcf2ad8ac7ee577ff546d24c3aa, which is the
15.7 release plus the one patch we're applying.

Update to Standards-Version 4.6.2 (no changes needed)

Switch to using gcc-12

Closes: #1022180

Switch to new upstream (15.7)

Also import patch to deal with buggy binutils

Update upstream source from tag 'upstream/15.7'

Update to upstream version '15.7'
with Debian dir f802105ae061241b13ab962854f56388092fc703

New upstream version 15.7

Release 15.6-1

Start packaging updates for the new 15.6 upstream release

Remove all our patches, all upstream now

New upstream version 15.6

Update upstream source from tag 'upstream/15.6'

Update to upstream version '15.6'
with Debian dir 952ad3d5a92a2003f3496a79d1875a951c255396

Update the 32-bit format patch after upstream review

Add patch headers for our patches now I've pushed PRs

Try again on the string format fix

Fix format strings for 32-bit builds

Add new build-dep on libefivar-dev for tests

Try again with includes

Tweak setup for dh_auto_test so the tests work

Start packaging updates for the new 15.51 upstream release

Remove all our patches, all upstream now.

New upstream version 15.5

Update upstream source from tag 'upstream/15.5'

Update to upstream version '15.5'
with Debian dir 3ac353daa3d32301e3b225b2b6f446200a2c682f

Tweak how we call grub-install; don't abort on error

Not ideal behaviour either, but don't break upgrades. Copy the
behaviour from the grub packages here. Closes: #990966

Release 15.4-6

In insecure mode, don't abort if we can't create the MokListXRT var

Upstream issue #372. Closes: #989962, #990158

Add arm64 patch to tweak section layout and stop crashing problems

Upstream issue #371. Closes: #990082, #990190

Add defensive code around calls to db_get

Don't fail if they return errors.

Fix up the template maintainer scripts

if we're not running on an EFI system then exit cleanly

Add maintainer scripts to the template packages

Manage installing and removing fbXXX.efi and mmXXX.efi when we
install/remove the shim-helpers-$arch-signed packages. Closes: #966845

Add changelog for 15.4-2 with new patches

Don't call QueryVariableInfo() on EFI 1.10 machines

New patch from upstream, don't break old Macs

Fix handling of ignore_db and user_insecure_mode

Extra patch from upstream

Stop hardcoding the release version in the rules file

We can grab it from the changelog already

Clean more things

Prep for releasing based on 15.4

allocate MOK config table as BootServicesData

Another patch from upstream, needed with newer kernels on x86

Add one more patch from upstream to fix i386 binary relocations

Move the sha256sum call to the end of the install phase

Make the output easier to find

Override dh_auto_build setting INSTALL, cut down on build noise

Update to the 15.4 release

Update upstream source from tag 'upstream/15.4'

Update to upstream version '15.4'
with Debian dir 93160080661283eee071d2c92a27ce9b39acb998

New upstream version 15.4

Print sha256 checksums of the EFI binaries when the build is done

Tweak the SBAT data to keep reproducibility

Only include the upstream version in the Debian SBAT metadata, so
we don't break reproducibility on every minor packaging change.

Add missing build-dep on xxd for build-time unit tests

New upstream version 15.3

Update upstream source from tag 'upstream/15.3'

Update to upstream version '15.3'
with Debian dir 1b484f1c1ac270604a5a1451b34de4b0865c6211

Switch to using the 15.3 release from upstream

Remove all out outstanding patches

 * cast-CHAR8-string-handling.patch no longer needed
 * fix-Make.coverity-bashisms.patch went upstream

Update copyright file

Update a couple of top-level changes, copy in gnu-efi information from
the gnu-efi package

Fix up some of the options we're using at build time

Definitely don't want to be setting EFI_PATH, as that over-rides the
vendored gnu-efi. Argh

Improve how the dbx hashes are handled

Only include the hashes for the architecture we're building for - no
point in adding bloat and delay here.

Add a script "block_signed_deb" to scan a set of .deb files, extract
the hashes for .efi binaries and list them in the format wanted for
the dbx hashes file.

Split out the code to use that file from the rules file into a
separate helper.

Tweak the gnu-efi tarball code

Add an extra rule to generate the extra gnu-efi tarball

Thanks to Dmitri John Ledkov for help

Add Debian SBAT data to the shim build

Add a Debian SBAT template, and rules to use it
Adds a build-dep on dos2unix

Add dbx entries for all our existing grub binaries

They're insecure, let's break the chainloading hole

Change changelog to shut lintian up

Remove artifacts that upstream installs that we don't use

... to keep debhelper from complaining

Add new patch cast-CHAR8-string-handling.patch

Cast CHAR8 strings to use (const char *) when using string functions

Looks like gnu-efi definitions of CHAR8 are problematic

Trivial change to remove bashisms in Make.coverity

Remove all our old patches, no longer needed:

 - avoid_null_vsprint.patch
 - check_null_sn_ln.patch
 - fixup_git.patch
 - uname.patch
 - use_compare_mem_gcc9.patch

Switch to using gcc-10 rather than gcc-9. Closes: #978521

Switch to newer upstream "release" 15+1613861442.888f5b5

Many many updates, but caring mainly about SBAT support

Update upstream source from tag 'upstream/15+1613861442.888f5b5'

Update to upstream version '15+1613861442.888f5b5'
with Debian dir 15b0853a73144b1f8571ce2bebc2eea68af4a8e3

Add --set-section-alignment '.sbat=512' to objcopy command line

Include missing .text sections in PE/COFF binary

At the default -Os optimization level, gcc emits ".text.startup"
and ".text.unlikely" sections for static initializers and noreturn
functions which end up in the intermediate ELF binary:

$ objdump -h build-x64/shimx64.efi.so

build-x64/shimx64.efi.so:     file format elf64-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 .text         00046e7b  0000000000001000  0000000000001000  00001000  2**10
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  1 .text.startup 00000118  0000000000047e7b  0000000000047e7b  00047e7b  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  2 .text.unlikely 00000046  0000000000047f93  0000000000047f93  00047f93  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  3 .data         000315e8  0000000000048000  0000000000048000  00048000  2**9

These additional .text.* sections are omitted from the final PE/COFF
binary, resulting in a crash when processing the ctors. Taking a look at
_init_array in gdb:

(gdb) p/x &_init_array
$1 = 0x78510
(gdb) p/x &_init_array_end
$2 = 0x7851c
(gdb) x/x (void*)&_init_array
0x78510 <_init_array>:  0x00047e7b
(gdb) x/x (void*)(&_init_array)+8
0x78518 <_init_array+8>:  0x00000000

See that 0x00047e7b falls inside the padding between the .text and .data
sections:

$ objdump -h build-x64/shimx64.efi

build-x64/shimx64.efi:     file format pei-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 .text         00046e7b  0000000000001000  0000000000001000  00000400  2**10
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  1 .data         000315e8  0000000000048000  0000000000048000  00047400  2**9

Adjust the linker script to merge the .text.startup and .text.unlikely
sections in to the .text section.

[edited by pjones to use .text.* instead of naming the sections
individually, and to sync up with what other arches have in .text]

build: Pass the correct paths to sbsign

Signed-off-by: Chris Coulson <chris.coulson@canonical.com>

sbat: Fix two NULL derefs found with "gcc -fanalyzer"

"gcc -fanalyzer" found two NULL pointer checks we're missing in sbat.c:

include/str.h: In function ‘get_sbat_field.part.0’:
sbat.c:20:14: error: dereference of NULL ‘offset’ [CWE-476] [-Werror=analyzer-null-dereference]
   20 |         if (!*offset)

and

include/str.h: In function ‘parse_sbat’:
sbat.c:140:27: error: dereference of NULL ‘current’ [CWE-476] [-Werror=analyzer-null-dereference]
  140 |         } while (entry && *current != '\0');

Both are simple, and this patch fixes them.

Signed-off-by: Peter Jones <pjones@redhat.com>

sbat: make shim to parse it's own .sbat section on init

This is needed for shim to verify itself when booting, to make sure that
shim binaries can't be executed anymore after been revoked by SBAT.

Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

shim: initialize OpenSSL after parsing SBAT data

A following patch will make shim to verify its .sbat section and it
should be done before doing the OpenSSL initialization. But having
the debugger attached may be useful at this point.

Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

sbat: include NULL terminator when calculating buffer end in parse_sbat()

The parse_sbat() function is currently removing the last character of the
passed buffer, which will usually be a null-terminated string to parse.

There's no reason to do this and just take the whole size as specified by
the caller.

Reported-by: Chris Coulson <chris.coulson@canonical.com>
Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

pe.c: move sbat verification to its own function.

handle_image() is quite huge and complex.

This patch moves the SBAT validation code from handle_image() to a new
function, handle_sbat().

Signed-off-by: Peter Jones <pjones@redhat.com>