Debian 13.6セキュリティアップデート、trixieの100件超のアドバイザリに対応

ほとんどのPCには、2013年以降デフォルトでインストールされているUEFI Secure Boot認証局の証明書が搭載されていますが、この証明書が現在有効期限切れとなっています。この証明書は、Secure Bootを有効にした状態でマシンを起動できるようにするブートローダーに署名していたものです。この期限切れ問題が、Debian 13(コードネーム「trixie」)に対する6回目のアップデートの中心的な内容となっています。今回のポイントリリースは、主にセキュリティ関連の修正で構成されており、深刻な問題に対する修正もいくつか含まれています。

Image

Secure Bootの問題は、アップストリームのバージョン2.0.20にアップデートされたfwupdによって対処されます。新しいビルドでは、影響を受けるマシン上のSecure Boot認証局、Key Exchange Key(KEK)、失効データベースを更新できるようになりました。これらのアップデートを適用しないシステムには、特定の障害が発生するリスクがあります。今後の「shim-signed」のアップデートにより、Secure Bootを有効にした状態で起動できなくなる可能性があるのです。Debianは、システムOEMから提供されるCA、KEK、DBXのアップデートを適用するようユーザーに呼びかけています。

shimパッケージについても個別の対応が行われました。デフォルトのコンパイラでビルドされた新しいアップストリームリリースに移行し、SBAT失効レベルは2025021800に設定されました。署名付きshimバイナリは、2023年版のMicrosoft UEFI証明書とのSecure Bootの互換性を維持するために再ビルドされ、インストーラーは処理を進める前に起動時の問題が発生しそうかどうかを確認するようになりました。

ライセンスの都合による変更もありました。「geoip-database」パッケージは、2019年12月頃のビルドに差し戻されています。これは、最近のGeoLiteのバージョンがDebian Free Software Guidelinesに抵触し、配布できないためです。この結果、このデータベースを読み込むソフトウェアは、古いネットワーク割り当てデータを返す場合があります。Debianは、このデータに依存しているユーザーに対し、GeoLiteのライセンスを直接取得するよう推奨しています。

Web関連ツールには大規模なパッチが適用されました。curlパッケージだけで13件の修正が行われ、リダイレクト時のベアラートークン漏洩、誤ったキャッシュ済み認証局の再利用、HTTP Negotiateセッションとプロキシセッションをまたいだコネクションの再利用、平文のSTARTTLSコネクションの再利用、SMBコードにおけるuse-after-free、リダイレクト時の認証情報漏洩などが対処されています。rsyncには、過度に長いHTTPプロキシ応答行に対する上限が設けられました。python-urllib3、nginx、squidについても、それぞれセキュリティチームから個別のアドバイザリが発行されています。

Apache2 Webサーバーでは、13件の既知の脆弱性が修正されました。内容は、use-after-freeのバグ、クロスサイトスクリプティングの脆弱性、複数のバッファオーバーフロー、サービス拒否(DoS)につながる状態、範囲外読み取り、ファイル読み取りの問題などです。さらに、DSA-6323として、apache2に関する追加の修正も発行されています。

仮想化環境を利用しているユーザーには、適用すべき修正が多数あります。QEMUエミュレータは新しいアップストリームの安定版リリースに移行し、25件のセキュリティ修正が反映されました。python3.13として提供されているPythonインタープリタには、プロキシトンネルヘッダーにおけるCR/LFインジェクション、サービス拒否(DoS)を引き起こす状態、パストラバーサル、サーバーサイドリクエストフォージェリ(SSRF)に対する修正が加えられています。

暗号ライブラリについても的を絞った強化が行われました。libcrypt-pbkdf2-perlモジュールは、デフォルトのハッシュ方式をHMAC-SHA256に変更し、デフォルトの反復回数を600,000回に引き上げたほか、タイミング攻撃を防ぐために定数時間比較を採用しました。nssライブラリは、URI解析時のエスケープシーケンスの処理を改善しています。このほか、openssl、gnutls28、libgcrypt20、krb5についても、それぞれ個別のアドバイザリで対応が行われました。

セキュリティチームは、今回のリビジョンに組み込まれた100件を超えるアドバイザリを発行しました。そのうちChromiumに関するものが10件近くを占めており、同ブラウザから継続的にアップストリームのリリースが行われていることを反映しています。Linuxカーネルについては、amd64版・arm64版の署名付きビルドをカバーする複数のアドバイザリで取り上げられました。Firefox ESR、Thunderbird、Samba、PostgreSQL、BINDなど、広く利用されているソフトウェアについても、それぞれ個別の修正が行われています。

複数の修正は、メモリ安全性バグの一般的な発生源であるメディアおよびドキュメント処理を対象としています。giflib、libvncserver、graphite2、rlottieは、いずれも範囲外アクセスやメモリ破損に対する修正を受けました。openslideライブラリは、コード実行につながる可能性のある脆弱性が修正され、popplerでは不正な署名が生成される問題が修正されています。

既存のインストール環境をアップグレードするには、パッケージ管理システムをDebianの数あるミラーサイトのいずれかに向ければ実行できます。

翻訳元: https://www.helpnetsecurity.com/2026/07/13/debian-13-6-security-update-released/

ソース: helpnetsecurity.com