7月13日,Debian 项目悄悄为 Debian 13 “trixie” 送上了 13.6 维护点发布。和往常一样,这不算大版本换代,不折腾重装机,已经跑着 Debian 13 的系统直接 apt update + upgrade 就好。但翻一翻更新日志,你可能会惊讶——这一次更新的安全修复,几乎把数据中心里能叫得出名字的主流组件扫了一遍。
Apache HTTP Server、curl、QEMU、OpenSSL、Linux 内核、Samba、nginx、PostgreSQL、Firefox ESR、Chromium、Thunderbird、rsync、Wireshark 还有 ImageMagick……全在这批补丁的名单上。漏洞类型也管够:内存破坏、缓冲区溢出、释放后使用、拒绝服务、跨站脚本、服务端请求伪造、路径遍历、凭据泄露、命令注入——随便拎出一个,都可能让运维半夜被警报叫醒。Apache 一口气修了释放后使用、越界读取、文件读取、拒绝服务和 XSS 等多个毛病;curl 这边,主要揪住了重定向中的凭据处理、过期 cookie 暴露、SMB 相关的内存不安全以及连接复用不当的问题;QEMU 的补丁列表尤其长,做虚拟化或跑 IaaS 的团队值得多看一眼。
![]()
这一版更新里,更有料的是 UEFI 安全启动证书的过渡。捆绑的 fwupd 已经升级到上游 2.0.20,它现在能更新安全启动的证书授权中心(CA)、密钥交换密钥(KEK)和吊销数据库(DBX)。Debian 明确警告:那套 2013 年的安全启动 CA 已经到期了。如果用户还守着老 CA 不放,后续 shim-signed 更新之后,启用 Secure Boot 的机器可能直接无法启动——除非提前从硬件厂商那里拿到更新后的 CA、KEK 和 DBX。项目维护者给管理员指了条路:照着官方安全启动 CA 过渡指南走,同时去找 OEM 拉最新的固件。此外,shim、shim-signed 相关签名包也做了兼容性调整,以配合 2023 年那版 Microsoft UEFI 证书颁发机构。
内核和安装器包已经用 Linux ABI 6.12.94 + deb 13 重新构建,wireless-regdb 拿到了多个国家更新的无线监管信息,无线网卡行为和安装可靠性都会有所改善。有个叫人哭笑不得的改动是,geoip-database 被滚回了大约 2019 年 12 月的版本,理由是更新的 GeoLite 数据库不能再按 Debian 自由软件指南发布。所以依赖它的 geolocation 应用可能会用到过时的 IP 分配记录。如果非要最新数据,组织就只能自己去拿 GeoLite 许可了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.