Debianプロジェクトは2026年7月11日、安定版ディストリビューション「trixie」の6回目のポイントリリースとなるDebian 13.6を発表しました。
今回のアップデートには、前回のリビジョン以降に蓄積された セキュリティパッチと重要なバグ修正が同梱されており、業界全体が大規模なCA移行に対応する中、UEFI Secure Boot証明書管理に特に重点が置かれています。
Debianは、13.6が新しいOSバージョンではなく、更新されたパッケージスナップショットに過ぎない点を強調しています。既存のtrixieインストールメディアはそのまま使用可能で、最新のミラーに対して通常のアップデートを実行するだけで最新のパッケージを取得できます。
最も重大な変更はfwupdに関するもので、バージョン2.0.20にアップデートされ、Secure Boot証明書認証局(CA)、鍵交換鍵(KEK)、失効(DBX)データベースを直接更新できるようになりました。
これが重要な理由は、ほとんどのPCでブートローダーの署名にデフォルトで使用されている2013年版UEFI Secure Boot CAが現在すでに失効しているためです。システムのOEMからCA/KEK/DBXの更新を受け取っていない場合、今後のシム署名済みアップデートによって、Secure Boot有効時にシステムが起動できなくなるリスクがあります。
Debianは管理者に対し、Secure Boot CA変更に関するガイダンスを確認し、ファームウェアレベルの更新を積極的に適用するよう強く推奨しています。
これに加えて、shimおよびshim-signedも更新され、2023年版Microsoft UEFI CAとの互換性が確保されたほか、インストール前のブート問題チェックと結合署名検証にも対応しました。
複数のパッケージで広範なCVE修正が実施されました。
ライセンス上の制約により、geoip-databaseは2019年12月頃のバージョンに戻されました。新しいGeoLiteリリースがDebian Free Software Guidelinesに準拠しなくなったためです。
Debianのアドバイザリによると、IPジオロケーションにこのパッケージを利用しているアプリケーションは、古い割り当て データを使用する可能性があります。Debianは、最新のジオロケーション精度を必要とする組織に対し、同梱パッケージに依存せず、直接GeoLiteライセンスを取得するよう推奨しています。
ポイントリリースのバグ修正に加え、130件を超えるDebianの セキュリティアドバイザリ(DSA-6250からDSA-6384まで)が13.6に統合され、chromium(9件の個別アドバイザリ)、linuxカーネル、firefox-esr、thunderbird、samba、openssl、nginx、bind9、openvpnといった注目度の高いパッケージが対象となりました。
これは、膨大なパッケージエコシステム全体にわたるDebianのセキュリティメンテナンスにおける、日常的ながらも不可欠なサイクルを反映したものです。管理者は、失効した2013年版CAがブートの信頼性に及ぼす影響を踏まえ、Secure Boot CA/KEK/DBXの更新ガイダンスを直ちに優先すべきです。
Debianのミラーに対して通常のapt update && apt upgradeを実行すれば、ポイントリリースの修正が適用されます。13.6を反映した新しいインストールメディアも、通常のDebianダウンロード先で近日中に公開される予定です。
翻訳元: https://cyberpress.org/debian-13-6-released-security-fixes-secure-boot/