Debian 13.6 вышел с исправлением сертификатов Secure Boot

2026-07-11 169 комментарии
Debian 13.6 — шестой промежуточный выпуск ветки Trixie, вышедший 11 июля 2026 года. Сборка объединяет 120 обновлений безопасности и 124 исправления ошибок, обновляет fwupd до версии 2.0.20 для работы с сертификатами Secure Boot и откатывает базу geoip к состоянию 2019 года

Debian 13.6 — шестой промежуточный выпуск стабильной ветки Trixie, вышедший 2026 года. В сборку вошли 120 обновлений безопасности и 124 исправления серьёзных ошибок; большинство патчей уже распространялось через security.debian.org, а промежуточный выпуск лишь собирает их воедино. Отдельно выделяются два изменения: обновление пакета fwupd до версии 2.0.20 с поддержкой обновления сертификатов Secure Boot и откат базы geoip-database к состоянию декабря 2019 года. Одновременно опубликован Debian 12.15 — пятнадцатый и последний промежуточный выпуск ветки Bookworm.

comss img 2026 07 11 181652

Промежуточный выпуск — накопительный сборник ранее выпущенных обновлений к стабильной ветке. Новой версии дистрибутива он не образует и новых функций не добавляет: задача — упростить установку на новое оборудование без последующей загрузки десятков патчей.

Исправления в Apache, Curl и других пакетах

Исправления затронули Apache, Calibre, Curl, Dolphin, FreeCAD, GIMP, LibreOffice, Mesa, Postfix, Python 3.13, QEMU, Samba, Wireshark, XZ Utils и ряд других пакетов.

В Apache устранили несколько уязвимостей: использование после освобождения (use-after-free), межсайтовый скриптинг, переполнение буфера, отказ в обслуживании, чтение за границами буфера и уязвимость, допускавшую несанкционированный доступ к файлам.

В Curl закрыли утечки учётных данных и токенов bearer, некорректное повторное использование соединений, использование после освобождения в коде SMB, раскрытие устаревших cookie и уязвимости аутентификации через прокси.

Среди прочих изменений — устранение выхода из песочницы в файловом менеджере Dolphin (KDE), исправление целочисленных переполнений в GIMP, правка выделения памяти для WebGPU/SPIR-V в Mesa, несколько патчей безопасности для Python 3.13 и множество исправлений уязвимостей в QEMU.

Команда безопасности также включила ранее выпущенные рекомендации для Chromium, Firefox ESR, Thunderbird, ядра Linux, OpenSSL, Nginx, Samba, PostgreSQL, Redis, OpenVPN, Varnish, Wireshark, Kdenlive, Okular, Poppler, Exim, Dovecot, FFmpeg, PHP и других пакетов.

Обновление сертификатов Secure Boot через fwupd 2.0.20

Установщик Debian пересобран для этого выпуска и теперь использует Linux ABI 6.12.94.

Заметное изменение — улучшенная поддержка Secure Boot. Пакет fwupd обновлён до версии 2.0.20 — в ней появилась возможность обновлять центр сертификации (CA) Secure Boot, ключ обмена ключами (KEK) и базы отзыва DBX.

CA, KEK и DBX — элементы инфраструктуры Secure Boot. CA (центр сертификации) задаёт корень доверия, KEK (ключ обмена ключами) связывает его с базами разрешённых и отозванных подписей, а DBX хранит перечень отозванных сертификатов и хэшей.

Необходимость возникла из-за того, что срок действия сертификата Microsoft UEFI Secure Boot CA, выпущенного в 2013 году и предустановленного на большинстве ПК, истёк. В Debian предупреждают: без установки нужных обновлений сертификатов прошивки будущие обновления shim-signed могут привести к тому, что часть машин перестанет загружаться с включённым Secure Boot.

Пользователям настоятельно рекомендуют установить все доступные обновления сертификатов CA, KEK и DBX от производителя компьютера или материнской платы.

Откат базы geoip-database к состоянию 2019 года

Ещё одно значимое изменение касается пакета geoip-database. В Debian откатили его к версии примерно от декабря 2019 года: более новые базы GeoLite признаны несовместимыми с критериями Debian по определению свободного ПО (DFSG).

DFSG (Debian Free Software Guidelines) — критерии, по которым Debian определяет, является ли лицензия программного обеспечения свободной. Пакеты, не соответствующие DFSG, в основной раздел дистрибутива не попадают.

Из-за этого приложения, использующие пакетную базу GeoIP из Debian, могут выдавать устаревшие сведения о местоположении или распределении сетевых адресов. Тем, кому нужны актуальные данные GeoLite, в Debian рекомендуют получить лицензию напрямую у поставщика, а не полагаться на пакет дистрибутива.

Шесть архитектур в netinst и Live-образы с шестью окружениями

Для чистой установки доступны netinst-образы Debian 13.6 — компактные носители для сетевой установки базовой системы, подходящие для серверов и сценариев с ручным подбором пакетов. Поддерживаются шесть архитектур: amd64, arm64, armhf, ppc64el, riscv64 и s390x.

Для готового к работе окружения выпущены Live-образы с предустановленными рабочими окружениями: GNOME, KDE, LXDE, Xfce, Cinnamon и MATE. Они доступны только для архитектуры amd64.

Debian 12.15 завершает поддержку ветки Bookworm

Вместе с 13.6 вышел Debian 12.15 — пятнадцатый и последний промежуточный выпуск ветки Bookworm.

Этот выпуск отмечает окончание поддержки Bookworm со стороны команд Debian, отвечающих за выпуск, безопасность и Backports. Отдельные архитектуры продолжат получать обновления в рамках программы долгосрочной поддержки (LTS), однако пользователям теперь официально рекомендуют перейти на Debian 13 Trixie.

Заключение

Debian 13.6 не меняет состав дистрибутива и не добавляет функций — выпуск целиком посвящён исправлению ошибок и закрытию уязвимостей. Тем, кто регулярно ставит обновления из репозитория безопасности, после перехода обновлять придётся немногое. Установленную систему до актуального стабильного выпуска обновляют одной командой:

sudo apt update && sudo apt upgrade

Практически же главное здесь — не набор мелких правок, а обновление сертификатов Secure Boot: без него часть машин рискует перестать загружаться после будущих обновлений shim-signed.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте