Debian 13.6 — шестой промежуточный выпуск стабильной ветки Trixie, вышедший 2026 года. В сборку вошли 120 обновлений безопасности и 124 исправления серьёзных ошибок; большинство патчей уже распространялось через security.debian.org, а промежуточный выпуск лишь собирает их воедино. Отдельно выделяются два изменения: обновление пакета fwupd до версии 2.0.20 с поддержкой обновления сертификатов Secure Boot и откат базы geoip-database к состоянию декабря 2019 года. Одновременно опубликован Debian 12.15 — пятнадцатый и последний промежуточный выпуск ветки Bookworm.

Промежуточный выпуск — накопительный сборник ранее выпущенных обновлений к стабильной ветке. Новой версии дистрибутива он не образует и новых функций не добавляет: задача — упростить установку на новое оборудование без последующей загрузки десятков патчей.
Исправления в Apache, Curl и других пакетах
Исправления затронули Apache, Calibre, Curl, Dolphin, FreeCAD, GIMP, LibreOffice, Mesa, Postfix, Python 3.13, QEMU, Samba, Wireshark, XZ Utils и ряд других пакетов.
В Apache устранили несколько уязвимостей: использование после освобождения (use-after-free), межсайтовый скриптинг, переполнение буфера, отказ в обслуживании, чтение за границами буфера и уязвимость, допускавшую несанкционированный доступ к файлам.
В Curl закрыли утечки учётных данных и токенов bearer, некорректное повторное использование соединений, использование после освобождения в коде SMB, раскрытие устаревших cookie и уязвимости аутентификации через прокси.
Среди прочих изменений — устранение выхода из песочницы в файловом менеджере Dolphin (KDE), исправление целочисленных переполнений в GIMP, правка выделения памяти для WebGPU/SPIR-V в Mesa, несколько патчей безопасности для Python 3.13 и множество исправлений уязвимостей в QEMU.
Команда безопасности также включила ранее выпущенные рекомендации для Chromium, Firefox ESR, Thunderbird, ядра Linux, OpenSSL, Nginx, Samba, PostgreSQL, Redis, OpenVPN, Varnish, Wireshark, Kdenlive, Okular, Poppler, Exim, Dovecot, FFmpeg, PHP и других пакетов.
Обновление сертификатов Secure Boot через fwupd 2.0.20
Установщик Debian пересобран для этого выпуска и теперь использует Linux ABI 6.12.94.
Заметное изменение — улучшенная поддержка Secure Boot. Пакет fwupd обновлён до версии 2.0.20 — в ней появилась возможность обновлять центр сертификации (CA) Secure Boot, ключ обмена ключами (KEK) и базы отзыва DBX.
CA, KEK и DBX — элементы инфраструктуры Secure Boot. CA (центр сертификации) задаёт корень доверия, KEK (ключ обмена ключами) связывает его с базами разрешённых и отозванных подписей, а DBX хранит перечень отозванных сертификатов и хэшей.
Необходимость возникла из-за того, что срок действия сертификата Microsoft UEFI Secure Boot CA, выпущенного в 2013 году и предустановленного на большинстве ПК, истёк. В Debian предупреждают: без установки нужных обновлений сертификатов прошивки будущие обновления shim-signed могут привести к тому, что часть машин перестанет загружаться с включённым Secure Boot.
Пользователям настоятельно рекомендуют установить все доступные обновления сертификатов CA, KEK и DBX от производителя компьютера или материнской платы.
Откат базы geoip-database к состоянию 2019 года
Ещё одно значимое изменение касается пакета geoip-database. В Debian откатили его к версии примерно от декабря 2019 года: более новые базы GeoLite признаны несовместимыми с критериями Debian по определению свободного ПО (DFSG).
DFSG (Debian Free Software Guidelines) — критерии, по которым Debian определяет, является ли лицензия программного обеспечения свободной. Пакеты, не соответствующие DFSG, в основной раздел дистрибутива не попадают.
Из-за этого приложения, использующие пакетную базу GeoIP из Debian, могут выдавать устаревшие сведения о местоположении или распределении сетевых адресов. Тем, кому нужны актуальные данные GeoLite, в Debian рекомендуют получить лицензию напрямую у поставщика, а не полагаться на пакет дистрибутива.
Шесть архитектур в netinst и Live-образы с шестью окружениями
Для чистой установки доступны netinst-образы Debian 13.6 — компактные носители для сетевой установки базовой системы, подходящие для серверов и сценариев с ручным подбором пакетов. Поддерживаются шесть архитектур: amd64, arm64, armhf, ppc64el, riscv64 и s390x.
Для готового к работе окружения выпущены Live-образы с предустановленными рабочими окружениями: GNOME, KDE, LXDE, Xfce, Cinnamon и MATE. Они доступны только для архитектуры amd64.
Debian 12.15 завершает поддержку ветки Bookworm
Вместе с 13.6 вышел Debian 12.15 — пятнадцатый и последний промежуточный выпуск ветки Bookworm.
Этот выпуск отмечает окончание поддержки Bookworm со стороны команд Debian, отвечающих за выпуск, безопасность и Backports. Отдельные архитектуры продолжат получать обновления в рамках программы долгосрочной поддержки (LTS), однако пользователям теперь официально рекомендуют перейти на Debian 13 Trixie.
Заключение
Debian 13.6 не меняет состав дистрибутива и не добавляет функций — выпуск целиком посвящён исправлению ошибок и закрытию уязвимостей. Тем, кто регулярно ставит обновления из репозитория безопасности, после перехода обновлять придётся немногое. Установленную систему до актуального стабильного выпуска обновляют одной командой:
sudo apt update && sudo apt upgrade
Практически же главное здесь — не набор мелких правок, а обновление сертификатов Secure Boot: без него часть машин рискует перестать загружаться после будущих обновлений shim-signed.