Un ingénieur de Canonical a proposé de supprimer la prise en charge de ZFS, Btrfs, du RAID et du chiffrement dans la version Secure Boot de GRUB pour Ubuntu 26.10 afin d'améliorer la sécurité. Ce changement limiterait le démarrage aux partitions ext4 non chiffrées, bloquant les mises à niveau pour les systèmes utilisant les fonctionnalités abandonnées. Les membres de la communauté ont soulevé de vives objections, invoquant la dépendance à ces fonctionnalités dans les installations par défaut et les configurations courantes.
Julian Andres Klode, ingénieur chez Canonical spécialisé dans la signature Secure Boot d'Ubuntu, a publié une proposition sur les forums de la communauté Ubuntu pour rationaliser le chargeur de démarrage GRUB pour Ubuntu 26.10. Il a décrit les analyseurs de GRUB comme une « source constante de problèmes de sécurité » et a suggéré d'éliminer plusieurs fonctionnalités des versions signées afin de réduire la surface d'attaque avant le démarrage. Les composants concernés incluent les pilotes de système de fichiers pour Btrfs, HFS+, XFS et ZFS, ne laissant que ext4, FAT, ISO 9660 et SquashFS. Le plan abandonne également la prise en charge des images, les tables de partition Apple, LVM, la plupart des modes md-RAID à l'exception du RAID1, et le chiffrement LUKS. En conséquence, les systèmes Secure Boot nécessiteraient une partition ext4 simple et non chiffrée sur des disques GPT ou MBR. Les versions de GRUB non signées conserveraient ces options, mais au prix de la compatibilité avec Secure Boot. Klode a présenté cela comme un renforcement de la sécurité et une voie vers de futurs chargeurs de démarrage. Le programme de mise à niveau empêcherait les mises à niveau depuis la version 26.04 LTS pour les configurations incompatibles. Neal Gompa, contributeur pour Fedora et openSUSE, a rétorqué que le pilote Btrfs de GRUB est en lecture seule, maintenu en amont et essentiel pour les utilisateurs de démarrage sur instantané (snapshot). Il a noté que le RAID1 logiciel est « incroyablement courant » et a contesté les affirmations selon lesquelles l'utilisation native du RAID pour /boot serait rare. Gompa a ajouté que de nombreux environnements d'hébergement web, cloud et VPS manquent d'une prise en charge fiable de l'UEFI. Paddy Landau s'est opposé à la suppression de la prise en charge des formats PNG et JPEG, ce qui mettrait fin aux thèmes des menus de démarrage, et a remis en question la justification sécuritaire pour des formats comme le TGA, étant donné que les vulnérabilités sont antérieures à GRUB 2.12. Thomas Ward, membre du conseil technique d'Ubuntu, a souligné que les installateurs de Canonical utilisent par défaut LVM, requis pour le chiffrement LUKS, ce qui rend la proposition incompatible avec les configurations standard. Il a exigé des justifications claires et détaillées pour chaque fonctionnalité avant de poursuivre.
