revert accidentally committed changes

bump version to 15.7-1+pmx1

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

d/control: update Maintainer

and Vcs-*

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

d/control: add empty version pinning package

that our meta package can depend on to ensure *our* shim package is installed,
even if Debian at some point ships a higher version..

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

drop patch inapplicable for Proxmox

we never shipped a broken Grub with SBAT 3

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

add Proxmox Uefi Secure Boot CA certificate

for embedding in shim as trust anchor for signed EFI binaries. the
corresponding private key was generated on and is stored on a FIPS compliant
HSM.

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

add Proxmox file references to packaging

Signed-off-by: Fabian Grünbichler <f.gruenbichler@proxmox.com>

Release 15.7-1

Swith to using the upstream "enable NX" patch

Block Debian grub binaries with sbat < 4 (see #1024617)

Enable NX support at build time

As required by policy for signing new shim binaries.

Update upstream commit hash in build

We're using 657b2483ca6e9fcf2ad8ac7ee577ff546d24c3aa, which is the
15.7 release plus the one patch we're applying.

Update to Standards-Version 4.6.2 (no changes needed)

Switch to using gcc-12

Closes: #1022180

Switch to new upstream (15.7)

Also import patch to deal with buggy binutils

Update upstream source from tag 'upstream/15.7'

Update to upstream version '15.7'
with Debian dir f802105ae061241b13ab962854f56388092fc703

New upstream version 15.7

Release 15.6-1

Start packaging updates for the new 15.6 upstream release

Remove all our patches, all upstream now

New upstream version 15.6

Update upstream source from tag 'upstream/15.6'

Update to upstream version '15.6'
with Debian dir 952ad3d5a92a2003f3496a79d1875a951c255396

Update the 32-bit format patch after upstream review

Add patch headers for our patches now I've pushed PRs

Try again on the string format fix

Fix format strings for 32-bit builds

Add new build-dep on libefivar-dev for tests

Try again with includes

Tweak setup for dh_auto_test so the tests work

Start packaging updates for the new 15.51 upstream release

Remove all our patches, all upstream now.

New upstream version 15.5

Update upstream source from tag 'upstream/15.5'

Update to upstream version '15.5'
with Debian dir 3ac353daa3d32301e3b225b2b6f446200a2c682f

Tweak how we call grub-install; don't abort on error

Not ideal behaviour either, but don't break upgrades. Copy the
behaviour from the grub packages here. Closes: #990966

Release 15.4-6

In insecure mode, don't abort if we can't create the MokListXRT var

Upstream issue #372. Closes: #989962, #990158

Add arm64 patch to tweak section layout and stop crashing problems

Upstream issue #371. Closes: #990082, #990190

Add defensive code around calls to db_get

Don't fail if they return errors.

Fix up the template maintainer scripts

if we're not running on an EFI system then exit cleanly

Add maintainer scripts to the template packages

Manage installing and removing fbXXX.efi and mmXXX.efi when we
install/remove the shim-helpers-$arch-signed packages. Closes: #966845

Add changelog for 15.4-2 with new patches

Don't call QueryVariableInfo() on EFI 1.10 machines

New patch from upstream, don't break old Macs

Fix handling of ignore_db and user_insecure_mode

Extra patch from upstream

Stop hardcoding the release version in the rules file

We can grab it from the changelog already

Clean more things

Prep for releasing based on 15.4

allocate MOK config table as BootServicesData

Another patch from upstream, needed with newer kernels on x86

Add one more patch from upstream to fix i386 binary relocations

Move the sha256sum call to the end of the install phase

Make the output easier to find

Override dh_auto_build setting INSTALL, cut down on build noise

Update to the 15.4 release

Update upstream source from tag 'upstream/15.4'

Update to upstream version '15.4'
with Debian dir 93160080661283eee071d2c92a27ce9b39acb998

New upstream version 15.4

Print sha256 checksums of the EFI binaries when the build is done

Tweak the SBAT data to keep reproducibility

Only include the upstream version in the Debian SBAT metadata, so
we don't break reproducibility on every minor packaging change.

Add missing build-dep on xxd for build-time unit tests

New upstream version 15.3

Update upstream source from tag 'upstream/15.3'

Update to upstream version '15.3'
with Debian dir 1b484f1c1ac270604a5a1451b34de4b0865c6211

Switch to using the 15.3 release from upstream

Remove all out outstanding patches

 * cast-CHAR8-string-handling.patch no longer needed
 * fix-Make.coverity-bashisms.patch went upstream

Update copyright file

Update a couple of top-level changes, copy in gnu-efi information from
the gnu-efi package

Fix up some of the options we're using at build time

Definitely don't want to be setting EFI_PATH, as that over-rides the
vendored gnu-efi. Argh

Improve how the dbx hashes are handled

Only include the hashes for the architecture we're building for - no
point in adding bloat and delay here.

Add a script "block_signed_deb" to scan a set of .deb files, extract
the hashes for .efi binaries and list them in the format wanted for
the dbx hashes file.

Split out the code to use that file from the rules file into a
separate helper.

Tweak the gnu-efi tarball code

Add an extra rule to generate the extra gnu-efi tarball

Thanks to Dmitri John Ledkov for help

Add Debian SBAT data to the shim build

Add a Debian SBAT template, and rules to use it
Adds a build-dep on dos2unix

Add dbx entries for all our existing grub binaries

They're insecure, let's break the chainloading hole

Change changelog to shut lintian up

Remove artifacts that upstream installs that we don't use

... to keep debhelper from complaining

Add new patch cast-CHAR8-string-handling.patch

Cast CHAR8 strings to use (const char *) when using string functions

Looks like gnu-efi definitions of CHAR8 are problematic

Trivial change to remove bashisms in Make.coverity

Remove all our old patches, no longer needed:

 - avoid_null_vsprint.patch
 - check_null_sn_ln.patch
 - fixup_git.patch
 - uname.patch
 - use_compare_mem_gcc9.patch

Switch to using gcc-10 rather than gcc-9. Closes: #978521

Switch to newer upstream "release" 15+1613861442.888f5b5

Many many updates, but caring mainly about SBAT support

Update upstream source from tag 'upstream/15+1613861442.888f5b5'

Update to upstream version '15+1613861442.888f5b5'
with Debian dir 15b0853a73144b1f8571ce2bebc2eea68af4a8e3

Add --set-section-alignment '.sbat=512' to objcopy command line

Include missing .text sections in PE/COFF binary

At the default -Os optimization level, gcc emits ".text.startup"
and ".text.unlikely" sections for static initializers and noreturn
functions which end up in the intermediate ELF binary:

$ objdump -h build-x64/shimx64.efi.so

build-x64/shimx64.efi.so:     file format elf64-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 .text         00046e7b  0000000000001000  0000000000001000  00001000  2**10
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  1 .text.startup 00000118  0000000000047e7b  0000000000047e7b  00047e7b  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  2 .text.unlikely 00000046  0000000000047f93  0000000000047f93  00047f93  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  3 .data         000315e8  0000000000048000  0000000000048000  00048000  2**9

These additional .text.* sections are omitted from the final PE/COFF
binary, resulting in a crash when processing the ctors. Taking a look at
_init_array in gdb:

(gdb) p/x &_init_array
$1 = 0x78510
(gdb) p/x &_init_array_end
$2 = 0x7851c
(gdb) x/x (void*)&_init_array
0x78510 <_init_array>:  0x00047e7b
(gdb) x/x (void*)(&_init_array)+8
0x78518 <_init_array+8>:  0x00000000

See that 0x00047e7b falls inside the padding between the .text and .data
sections:

$ objdump -h build-x64/shimx64.efi

build-x64/shimx64.efi:     file format pei-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 .text         00046e7b  0000000000001000  0000000000001000  00000400  2**10
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
  1 .data         000315e8  0000000000048000  0000000000048000  00047400  2**9

Adjust the linker script to merge the .text.startup and .text.unlikely
sections in to the .text section.

[edited by pjones to use .text.* instead of naming the sections
individually, and to sync up with what other arches have in .text]

build: Pass the correct paths to sbsign

Signed-off-by: Chris Coulson <chris.coulson@canonical.com>

sbat: Fix two NULL derefs found with "gcc -fanalyzer"

"gcc -fanalyzer" found two NULL pointer checks we're missing in sbat.c:

include/str.h: In function ‘get_sbat_field.part.0’:
sbat.c:20:14: error: dereference of NULL ‘offset’ [CWE-476] [-Werror=analyzer-null-dereference]
   20 |         if (!*offset)

and

include/str.h: In function ‘parse_sbat’:
sbat.c:140:27: error: dereference of NULL ‘current’ [CWE-476] [-Werror=analyzer-null-dereference]
  140 |         } while (entry && *current != '\0');

Both are simple, and this patch fixes them.

Signed-off-by: Peter Jones <pjones@redhat.com>

sbat: make shim to parse it's own .sbat section on init

This is needed for shim to verify itself when booting, to make sure that
shim binaries can't be executed anymore after been revoked by SBAT.

Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

shim: initialize OpenSSL after parsing SBAT data

A following patch will make shim to verify its .sbat section and it
should be done before doing the OpenSSL initialization. But having
the debugger attached may be useful at this point.

Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

sbat: include NULL terminator when calculating buffer end in parse_sbat()

The parse_sbat() function is currently removing the last character of the
passed buffer, which will usually be a null-terminated string to parse.

There's no reason to do this and just take the whole size as specified by
the caller.

Reported-by: Chris Coulson <chris.coulson@canonical.com>
Signed-off-by: Javier Martinez Canillas <javierm@redhat.com>

pe.c: move sbat verification to its own function.

handle_image() is quite huge and complex.

This patch moves the SBAT validation code from handle_image() to a new
function, handle_sbat().

Signed-off-by: Peter Jones <pjones@redhat.com>

Don't re-parse the SBAT EFI variable for each binary we load.

On a typical boot we validate at least two binaries; parsing the SBAT
EFI variable each time, when it should not be changing, is not worth the
effort.

This patch moves the parsing out to some setup code, instead of doing it
during the verification stage.

Signed-off-by: Peter Jones <pjones@redhat.com>

parse_sbat: handle the realloc failure leak and batch allocations.

Signed-off-by: Peter Jones <pjones@redhat.com>

pe.c: parse SBAT variable and perform basic verification

Per Peter Jones suggestion, we will be flexible in what data we expect
while parsing the variable. Three fields are mandatory:
component_generation, component_name_size, component_name
However we also support adding comments and additional information to be
added after component name, with ',' as a separator. Those information
will be ignored and not used for verification purposes.
So:
grub,1
and
grub,1,wow,this,is,my,comment
will provide exactly same set of data for verification.

[0]: https://github.com/rhboot/shim/blob/main/SBAT.md

Signed-off-by: Alex Burmashev <alexander.burmashev@oracle.com>
Signed-off-by: Peter Jones <pjones@redhat.com>

sbat: drop the struct sbat and just use two variables instead

The struct sbat isn't doing anything and only has two fields so let's pass
pass those two to the functions directly instead of storing it in a struct.

Signed-off-by: Peter Jones <pjones@redhat.com>

shim: use an enum for efi_main's error messages.

Numbering the error messages in efi_main directly was a mistake, and the
following patches just make it more apparent.

This makes it an enum so we don't have to re-number at more than one
place when we add or remove them.

Signed-off-by: Peter Jones <pjones@redhat.com>

Fix EV_EFI_VARIABLE_AUTHORITY event in eventlog

Currently, for an EV_EFI_VARIABLE_AUTHORITY event, the shim puts only
EFI_SIGNATURE_DATA.SignatureData in the VariableData field, but omits
EFI_SIGNATURE_DATA.SignatureOwner. According to reference implementation
in EDK2, the entire EFI_SIGNATURE_DATA is put into the VariableData
field, shown here:
https://github.com/tianocore/edk2/blob/master/SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.c#L1032

build: add some basic $EFI_PATH checking

Not all distributions put the crt0-efi-$(ARCH).o file under
$LIB_DIR/gnuefi, some stash it directly in $LIB_DIR.  In an effort
to make the build a bit more user friendly, check if $LIB_DIR/gnuefi
exits before setting $EFI_PATH to that value; if $LIB_DIR/gnuefi does
not exist, fallback to $LIB_DIR for $EFI_PATH.

Signed-off-by: Paul Moore <pmoore2@cisco.com>

add list_empty to linked list primitives

Signed-off-by: Alex Burmashev <alexander.burmashev@oracle.com>

strndupa: allocate len + 1, so that \0 is not lost

Signed-off-by: Alex Burmashev <alexander.burmashev@oracle.com>

Fix an off by one in strnlena()

I wrote a test case for strnlena() and strndupa() and of course both
were off by one in the opposite directions...

... but the next patch obviates the need for them, hopefully, so this
will wind up getting dropped.

Fixups after Peter's review

Second attempt at SBAT doc tweaks

fix nit

Co-authored-by: Christopher Co <christopher.co@microsoft.com>

fix nit

Co-authored-by: Christopher Co <christopher.co@microsoft.com>

fix nit

Co-authored-by: Christopher Co <christopher.co@microsoft.com>

fix not

Co-authored-by: Christopher Co <christopher.co@microsoft.com>

SBAT: Fix all the docs examples to start with version 1

Since we have atol() but not strtoul(), we need to make all versions
positive integers.

Signed-off-by: Peter Jones <pjones@redhat.com>

SBAT: make the variable be CSV in our spec.

We noticed that we'd originally specified the SBAT variable as binary
records, but talked as if they're CSV.  Woops.  Anyway, this makes them
CSV, which also means they don't need the size field.

Signed-off-by: Peter Jones <pjones@redhat.com>

sbat: add minor fixes to parse_sbat

Add parameter checking to parse_sbat().

Set end pointer to be sbat_base + sbat_size - 1. We directly
dereference the end pointer but this is technically outside of
our sbat_base buffer range.

Remove current and end while loops that account for extra CRLF
or LF characters before and after the .sbat section. We will
rely on automated tooling to verify the .sbat section is sane.

Remove the overwriting of *(end - 1) with '\0'. This behavior
causes a segfault in the unit test. parse_sbat_entry() expects
a very specific pattern "_,_,_,_,_,_\n" for every entry and uses
strchrnul() to process each individual field. When *(end - 1)='\0'
is present, it short-circuits the final \n and causes the final
get_sbat_field() to return NULL, thereby setting current = NULL.

Eventually parse_sbat attempts to access current in the do-while
condition and the segfault happens.

Signed-off-by: Chris Co <chrco@microsoft.com>