Systemd-boot bloqueado no linux com EFI ativo

No plasma discover apareceu atualização da assinatura do EFI, mas não consegui atualizá-la pelo aplicativo do kde. Consegui no terminal como mostrei aqui.

Upgrade UEFI dbx from 77 to 217?

This updates the dbx to the latest release from Microsoft which adds
insecure versions of grub and shim to the list of forbidden signatures due
to multiple discovered security updates.
Before installing the update, fwupd will check for any affected executables
in the ESP and will refuse to update if it finds any boot binaries signed
with any of the forbidden signatures.If the installation fails, you will
need to update shim and grub packages before the update can be deployed.
Once you have installed this dbx update, any DVD or USB installer images
signed with the old signatures may not work correctly.You may have to
temporarily turn off secure boot when using recovery or installation media,
if new images have not been made available by your distribution.
UEFI dbx and all connected devices may not be usable while updating.

===================

Isso atualiza o DBX para a versão mais recente da Microsoft, que adiciona
versões inseguras de Grub e Shim para a lista de assinaturas proibidas devidas
para várias atualizações de segurança descobertas. ║
Antes de instalar a atualização, o FWUPD verificará qualquer executável afetado
no ESP e se recusará a atualizar se encontrar algum binário de inicialização assinado
com qualquer uma das assinaturas proibidas. Se a instalação falhar, você irá
Precisa atualizar os pacotes Shim e Grub antes que a atualização possa ser implantada.
Depois de instalar esta atualização DBX, qualquer DVD ou imagens de instalador USB
assinado com as assinaturas antigas pode não funcionar corretamente. Você pode ter que
Desligue temporariamente a inicialização segura ao usar mídia de recuperação ou instalação,
Se novas imagens não foram disponibilizadas por sua distribuição.
O UEFI DBX e todos os dispositivos conectados podem não ser utilizados durante a atualização.

===================

Agora entendi porque não consigo mais dar boot em distros derivadas do ubuntu, como pop os, e também mageia e openmandriva, opensuse e a brasileira baseada nele.

Tenho de desligar o EFI ou nada feito.

Com esta atualização, as dicas de instalar o systemd-boot no lugar do grub também não funcionará mais, porque os arquivos PreLoader.efi e HashTool.efi estão bloqueados.

O uso do kernel xanmod também está bloqueado com EFI ativo. Se faz uso deste recurso, já era, até que arrumem uma solução.

O rescuezilla também não dá boot com EFI ativo, depois dessa atualização. É necessário desativá-lo, fazer becape ou recuperar o sistema e reativá-lo depois.