O projeto Debian anunciou a sexta atualização da sua distribuição estável, Debian 13 (codinome trixie). A nova versão, 13.6, traz principalmente correções de vulnerabilidades de segurança e ajustes críticos em diversos pacotes. Não se trata de uma nova versão da distribuição, mas de um point release que atualiza componentes já incluídos no trixie.
A atualização já está disponível nos espelhos oficiais do Debian e, em breve, novas imagens de instalação serão publicadas nos mesmos locais habituais. Usuários que mantêm seus sistemas atualizados via security.debian.org perceberão poucas mudanças, já que a maioria das correções de segurança já está incluída no point release.
Como atualizar
Basta apontar o gerenciador de pacotes para um dos espelhos HTTP do Debian. A lista completa de espelhos pode ser consultada em https://www.debian.org/mirror/list.
Principais mudanças
fwupd e expiração do Secure Boot CA
- fwupd foi atualizado para a versão upstream 2.0.20, adicionando suporte à atualização das bases de certificação do Secure Boot (CA, KEK e DBX).
- O certificado CA padrão de 2013, usado na maioria dos PCs, expirou. Atualizações futuras do
shim-signedpodem impedir a inicialização com Secure Boot habilitado. - Recomendação: aplicar as atualizações de CA, KEK e DBX fornecidas pelo OEM conforme as instruções em https://wiki.debian.org/SecureBoot/CAChanges#What_should_I_do.3F.
geoip-database revertida
- Por questões de licenciamento, o pacote geoip-database foi revertido a uma versão de dezembro de 2019. Versões mais recentes (GeoLite) não são compatíveis com as Diretrizes de Software Livre do Debian e, portanto, não podem ser distribuídas.
- Usuários que dependem desses dados são orientados a adquirir uma licença diretamente da MaxMind e a abandonar o uso do pacote.
Correções diversas de bugs
A atualização inclui correções críticas em centenas de pacotes. Destacam‑se:
- apache2: múltiplas vulnerabilidades (CVE‑2026‑29167, CVE‑2026‑42536, etc.) que abrangem uso após liberação, XSS, overflow de buffer e negação de serviço.
- curl: correções de vazamento de token, reutilização insegura de conexões e falhas de buffer overflow.
- libcaca, libxml2, libvncserver: correções de estouro de buffer e leitura fora dos limites.
- qemu: nova versão estável com correções de segurança (CVE‑2024‑6519, CVE‑2026‑2243, etc.).
- shim & shim-signed: atualização para garantir compatibilidade com o certificado da Microsoft de 2023 e melhorar a verificação de assinaturas.
Lista completa de pacotes corrigidos pode ser encontrada na página oficial do lançamento.
Atualizações de segurança específicas
O time de Segurança do Debian divulgou avisos (DSA) para os seguintes pacotes:
| Aviso (DSA) | Pacote |
|---|---|
| DSA‑6250 | chromium |
| DSA‑6256 | php8.4 |
| DSA‑6266 | nghttp2 |
| DSA‑6267 | thunderbird |
| DSA‑6268 | ffmpeg |
| DSA‑6270 | postgresql‑17 |
| DSA‑6271 | gsasl |
| DSA‑6273 | chromium |
| DSA‑6274 | linux-signed-amd64, linux-signed-arm64 |
Cada aviso contém detalhes técnicos sobre as vulnerabilidades corrigidas e instruções de atualização.
Impacto para os usuários
- Nenhuma reinstalação necessária: os usuários podem atualizar seus sistemas existentes apontando o
aptpara um espelho Debian atualizado. - Segurança reforçada: as correções abordam centenas de CVEs, reduzindo significativamente a superfície de ataque.
- Compatibilidade com Secure Boot: a atualização do fwupd evita falhas de inicialização em máquinas que utilizam Secure Boot.
- Dados de geolocalização: quem depende do
geoip-databasedeve migrar para uma solução licenciada externamente.
Como obter a nova imagem de instalação
As imagens de instalação do Debian 13.6 serão disponibilizadas nos mesmos repositórios de sempre (ex.: https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/). Recomenda‑se baixar a imagem mais recente e verificar a assinatura GPG antes da instalação.
Conclusão
A atualização 13.6 mantém o Debian 13 “trixie” como uma das distribuições estáveis mais seguras e confiáveis do universo Linux. Administradores de sistemas e usuários finais devem aplicar as atualizações o quanto antes para garantir proteção contra as vulnerabilidades recém‑corrigidas e evitar problemas de boot relacionados ao Secure Boot.