

<div class="container">

    <h1>Recommended update for shim</h1>


    <table class="table table-striped table-bordered">

        <tbody>

        <tr>

            <th>Announcement ID:</th>

            <td>SUSE-RU-2026:20004-1</td>

        </tr>

        <tr>

            <th>Release Date:</th>

            <td>2025-12-30T16:21:01Z</td>

        </tr>

        
        <tr>

            <th>Rating:</th>

            <td>important</td>

        </tr>

        <tr>

            <th>References:</th>

            <td>

                <ul>

                    
                        <li style="display: inline;">

                            <a href="https://bugzilla.suse.com/show_bug.cgi?id=1205588">bsc#1205588</a>

                        </li>

                    
                        <li style="display: inline;">

                            <a href="https://bugzilla.suse.com/show_bug.cgi?id=1247432">bsc#1247432</a>

                        </li>

                    
                        <li style="display: inline;">

                            <a href="https://bugzilla.suse.com/show_bug.cgi?id=1254336">bsc#1254336</a>

                        </li>

                    
                        <li style="display: inline;">

                            <a href="https://bugzilla.suse.com/show_bug.cgi?id=1254679">bsc#1254679</a>

                        </li>

                    
                </ul>

            </td>

        </tr>

        
        <tr>

            <th>Affected Products:</th>

            <td>

                <ul class="list-group">

                    
                        <li class="list-group-item">SUSE Linux Micro 6.0</li>

                    
                </ul>

            </td>

        </tr>

        </tbody>

    </table>


    <p>An update that has four fixes can now be installed.</p>


        <h2>Description:</h2>

    
    <p>This update for shim fixes the following issues:</p>

<p>This update for shim fixes the following issues:</p>

<p>shim is updated to version 16.1:</p>

<ul>

<li>shim_start_image(): fix guid/handle pairing when uninstalling protocols</li>

<li>Fix uncompressed ipv6 netboot</li>

<li>fix test segfaults caused by uninitialized memory</li>

<li>SbatLevel_Variable.txt: minor typo fix.</li>

<li>Realloc() needs to allocate one more byte for sprintf()</li>

<li>IPv6: Add more check to avoid multiple double colon and illegal char</li>

<li>Loader proto v2</li>

<li>loader-protocol: add workaround for EDK2 2025.02 page fault on FreePages</li>

<li>Generate Authenticode for the entire PE file</li>

<li>README: mention new loader protocol and interaction with UKIs</li>

<li>shim: change automatically enable MOK_POLICY_REQUIRE_NX</li>

<li>Save var info</li>

<li>add SbatLevel entry 2025051000 for PSA-2025-00012-1</li>

<li>Coverity fixes 20250804</li>

<li>fix http boot</li>

<li>Fix double free and leak in the loader protocol</li>

</ul>

<p>shim is updated to version 16.0:</p>

<ul>

<li>Validate that a supplied vendor cert is not in PEM format</li>

<li>sbat: Add grub.peimage,2 to latest (CVE-2024-2312)</li>

<li>sbat: Also bump latest for grub,4 (and to todays date)</li>

<li>undo change that limits certificate files to a single file</li>

<li>shim: don&#x27;t set second_stage to the empty string</li>

<li>Fix SBAT.md for today&#x27;s consensus about numbers</li>

<li>Update Code of Conduct contact address</li>

<li>make-certs: Handle missing OpenSSL installation</li>

<li>Update MokVars.txt</li>

<li>export DEFINES for sub makefile</li>

<li>Drop unused EFI_IMAGE_SECURITY_DATABASE_GUID definition</li>

<li>Null-terminate &#x27;arguments&#x27; in fallback</li>

<li>Fix "Verifiying" typo in error message</li>

<li>Update Fedora CI targets</li>

<li>Force gcc to produce DWARF4 so that gdb can use it</li>

<li>Minor housekeeping 2024121700</li>

<li>Discard load-options that start with WINDOWS</li>

<li>Fix the issue that the gBS->LoadImage pointer was empty.</li>

<li>shim: Allow data after the end of device path node in load options</li>

<li>Handle network file not found like disks</li>

<li>Update gnu-efi submodule for EFI_HTTP_ERROR</li>

<li>Increase EFI file alignment</li>

<li>avoid EFIv2 runtime services on Apple x86 machines</li>

<li>Improve shortcut performance when comparing two boolean expressions</li>

<li>Provide better error message when MokManager is not found</li>

<li>tpm: Boot with a warning if the event log is full</li>

<li>MokManager: remove redundant logical constraints</li>

<li>Test import_mok_state() when MokListRT would be bigger than available size</li>

<li>test-mok-mirror: minor bug fix</li>

<li>Fix file system browser hang when enrolling MOK from disk</li>

<li>Ignore a minor clang-tidy nit</li>

<li>Allow fallback to default loader when encountering errors on network boot</li>

<li>test.mk: don&#x27;t use a temporary random.bin</li>

<li>pe: Enhance debug report for update_mem_attrs</li>

<li>Multiple certificate handling improvements</li>

<li>Generate SbatLevel Metadata from SbatLevel_Variable.txt</li>

<li>Apply EKU check with compile option</li>

<li>Add configuration option to boot an alternative 2nd stage</li>

<li>Loader protocol (with Device Path resolution support)</li>

<li>netboot cleanup for additional files</li>

<li>Document how revocations can be delivered</li>

<li>post-process-pe: add tests to validate NX compliance</li>

<li>regression: CopyMem() in ad8692e copies out of bounds</li>

<li>Save the debug and error logs in mok-variables</li>

<li>Add features for the Host Security ID program</li>

<li>Mirror some more efi variables to mok-variables</li>

<li>This adds DXE Services measurements to HSI and uses them for NX</li>

<li>Add shim&#x27;s current NX_COMPAT status to HSIStatus</li>

<li>README.tpm: reflect that vendor_db is in fact logged as "vendor_db"</li>

<li>Reject HTTP message with duplicate Content-Length header fields</li>

<li>Disable log saving</li>

<li>fallback: don&#x27;t add new boot order entries backwards</li>

<li>README.tpm: Update MokList entry to MokListRT</li>

<li>SBAT Level update for February 2025 GRUB CVEs</li>

</ul>


    <h2>Patch Instructions:</h2>

    <p>

        To install this SUSE  update use the SUSE recommended

        installation methods like YaST online_update or "zypper patch".<br/>


        Alternatively you can run the command listed for your product:

    </p>

    <ul class="list-group">

        
            <li class="list-group-item">

                SUSE Linux Micro 6.0

                
                        <br/>

                        <code>zypper in -t patch SUSE-SLE-Micro-6.0-541=1</code>

                    
            </li>

        
    </ul>


    <h2>Package List:</h2>

    <ul>

        
                <li>

                    SUSE Linux Micro 6.0 (aarch64 x86_64)

                    <ul>

                        
                            <li>shim-16.1-1.1</li>

                        
                            <li>shim-debuginfo-16.1-1.1</li>

                        
                            <li>shim-debugsource-16.1-1.1</li>

                        
                    </ul>

                </li>

            
    </ul>


        <h2>References:</h2>

        <ul>

            
                    <li>

                        <a href="https://bugzilla.suse.com/show_bug.cgi?id=1205588">https://bugzilla.suse.com/show_bug.cgi?id=1205588</a>

                    </li>

                
                    <li>

                        <a href="https://bugzilla.suse.com/show_bug.cgi?id=1247432">https://bugzilla.suse.com/show_bug.cgi?id=1247432</a>

                    </li>

                
                    <li>

                        <a href="https://bugzilla.suse.com/show_bug.cgi?id=1254336">https://bugzilla.suse.com/show_bug.cgi?id=1254336</a>

                    </li>

                
                    <li>

                        <a href="https://bugzilla.suse.com/show_bug.cgi?id=1254679">https://bugzilla.suse.com/show_bug.cgi?id=1254679</a>

                    </li>

                
        </ul>

    
</div>