7月13日,Debian 項(xiàng)目悄悄為 Debian 13 “trixie” 送上了 13.6 維護(hù)點(diǎn)發(fā)布。和往常一樣,這不算大版本換代,不折騰重裝機(jī),已經(jīng)跑著 Debian 13 的系統(tǒng)直接 apt update + upgrade 就好。但翻一翻更新日志,你可能會驚訝——這一次更新的安全修復(fù),幾乎把數(shù)據(jù)中心里能叫得出名字的主流組件掃了一遍。
Apache HTTP Server、curl、QEMU、OpenSSL、Linux 內(nèi)核、Samba、nginx、PostgreSQL、Firefox ESR、Chromium、Thunderbird、rsync、Wireshark 還有 ImageMagick……全在這批補(bǔ)丁的名單上。漏洞類型也管夠:內(nèi)存破壞、緩沖區(qū)溢出、釋放后使用、拒絕服務(wù)、跨站腳本、服務(wù)端請求偽造、路徑遍歷、憑據(jù)泄露、命令注入——隨便拎出一個,都可能讓運(yùn)維半夜被警報(bào)叫醒。Apache 一口氣修了釋放后使用、越界讀取、文件讀取、拒絕服務(wù)和 XSS 等多個毛病;curl 這邊,主要揪住了重定向中的憑據(jù)處理、過期 cookie 暴露、SMB 相關(guān)的內(nèi)存不安全以及連接復(fù)用不當(dāng)?shù)膯栴};QEMU 的補(bǔ)丁列表尤其長,做虛擬化或跑 IaaS 的團(tuán)隊(duì)值得多看一眼。
![]()
這一版更新里,更有料的是 UEFI 安全啟動證書的過渡。捆綁的 fwupd 已經(jīng)升級到上游 2.0.20,它現(xiàn)在能更新安全啟動的證書授權(quán)中心(CA)、密鑰交換密鑰(KEK)和吊銷數(shù)據(jù)庫(DBX)。Debian 明確警告:那套 2013 年的安全啟動 CA 已經(jīng)到期了。如果用戶還守著老 CA 不放,后續(xù) shim-signed 更新之后,啟用 Secure Boot 的機(jī)器可能直接無法啟動——除非提前從硬件廠商那里拿到更新后的 CA、KEK 和 DBX。項(xiàng)目維護(hù)者給管理員指了條路:照著官方安全啟動 CA 過渡指南走,同時(shí)去找 OEM 拉最新的固件。此外,shim、shim-signed 相關(guān)簽名包也做了兼容性調(diào)整,以配合 2023 年那版 Microsoft UEFI 證書頒發(fā)機(jī)構(gòu)。
內(nèi)核和安裝器包已經(jīng)用 Linux ABI 6.12.94 + deb 13 重新構(gòu)建,wireless-regdb 拿到了多個國家更新的無線監(jiān)管信息,無線網(wǎng)卡行為和安裝可靠性都會有所改善。有個叫人哭笑不得的改動是,geoip-database 被滾回了大約 2019 年 12 月的版本,理由是更新的 GeoLite 數(shù)據(jù)庫不能再按 Debian 自由軟件指南發(fā)布。所以依賴它的 geolocation 應(yīng)用可能會用到過時(shí)的 IP 分配記錄。如果非要最新數(shù)據(jù),組織就只能自己去拿 GeoLite 許可了。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.