Debian 13.6リリース、Linux、Apache、Curl、QEMUなどにセキュリティアップデートを提供

Debianプロジェクトは、安定版Debian 13「trixie」ディストリビューションの6回目のポイントアップデートとなるDebian 13.6をリリースしました。2026年7月11日に公開されたこの更新には、セキュリティ修正、重大なバグ修正、そして更新されたインストールイメージが含まれています。

セキュリティ意識向上トレーニング

今回のリリースはDebianの新バージョンを導入するものではありません。既存のシステムは、更新済みのDebianミラーから通常のAPTアップデートを通じて最新のリビジョンにアップグレードできます。

Debian 13.6リリース

Debian 13.6は、これまでDebianセキュリティ勧告(DSA)を通じて個別に発行されていたパッケージを統合しています。そのため、trixie-securityリポジトリから定期的にアップデートをインストールしているシステムでは、ダウンロードするパッケージ数が少なくなります。

更新されたインストーラーには、今回の安定版ポイントリリースの修正が含まれており、LinuxカーネルのABIはバージョン6.12.94+deb13に引き上げられています。管理者は`apt update && apt upgrade`を実行することでシステムを更新できます。同時に、新規導入では更新済みのDebian 13.6インストールメディアを利用できます。

今回のリリースにおける重要な変更点の一つが、UEFIセキュアブートに関するものです。Debianは`fwupd`をアップストリーム版2.0.20に更新し、セキュアブート認証局(CA)、鍵交換鍵(KEK)、および失効署名データベース(DBX)データのファームウェア経由の更新を可能にしています。

2013年以降、PCに一般的にインストールされてきたCAは有効期限が切れており、セキュアブートを有効にしたシステムで今後shim署名済みの更新を適用する際に、起動継続性の問題が発生する可能性があります。

Debianは、影響を受けるセキュアブート構成へ移行する前に、CA、KEK、DBXに関するOEM提供の更新をインストールするようユーザーに推奨しています。

今回のリリースでは、Apache HTTP Serverにおける幅広い脆弱性にも対応しており、これにはuse-after-free、バッファオーバーフロー、バッファアンダーライト、範囲外読み取り、任意ファイル読み取り、クロスサイトスクリプティング、サービス拒否の欠陥が含まれます。

さらに、Curlも更新され、リダイレクト時の認証情報およびベアラートークンの漏洩、古いクッキーの露出、SMBにおけるuse-after-free状態、STARTTLSの平文接続再利用、プロキシ認証状態に関する問題が修正されています。

QEMUについても新しいアップストリーム安定版にアップグレードされており、仮想化ワークロードに関連する多数のセキュリティ修正が含まれています。

さらに、Debianはgeoip-databaseを2019年12月頃のバージョンに戻しました。これは、新しいGeoLiteデータベースのリリースがDebianフリーソフトウェアガイドラインの下では配布できないためです。

正確なIP割り当てやジオロケーション情報に依存している組織は、Debianのリポジトリパッケージに現行データを頼るのではなく、GeoLiteライセンスを直接取得すべきです。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/debian-13-6-released-with-security-updates/

ソース: gbhackers.com