Debian 13.6 corrige falhas de segurança e alerta para atualização do Secure Boot

Debian 13.6 corrige falhas de segurança e alerta para atualização do Secure Boot

Usuários e administradores de sistemas que rodam o Debian 13 (Trixie) precisam de atenção redobrada nesta atualização. A sexta revisão da atual série estável, o Debian 13.6, foi liberada com foco principal em correções de segurança, mas traz uma mudança estrutural urgente: o certificado padrão de boot seguro, usado desde 2013, expirou.

A nova versão não exige a reinstalação do sistema. Como é padrão nos lançamentos de manutenção do projeto, trata-se de um agrupamento de patches de segurança e soluções para bugs graves que já vinham sendo distribuídos nos repositórios oficiais, empacotados agora de forma consolidada.

O impacto no Secure Boot

O ponto mais crítico da atualização envolve o pacote fwupd. O certificado UEFI Secure Boot CA de 2013, instalado por padrão na maioria das placas-mãe para assinar gerenciadores de inicialização, perdeu a validade. O alerta do projeto destaca que atualizações futuras do pacote shim-signed poderiam impedir que o sistema iniciasse corretamente caso o Secure Boot continuasse ativado sem os devidos ajustes.

Para evitar falhas na inicialização, o fwupd foi atualizado para a versão 2.0.20, ganhando a capacidade de renovar a autoridade certificadora (CA), a Key Exchange Key (KEK) e os bancos de dados de revogação (DBX). A recomendação oficial é que os usuários apliquem as atualizações de firmware fornecidas pelas fabricantes de hardware (OEM) em seus equipamentos para garantir uma transição segura para os certificados válidos de 2026.

Base de dados de geolocalização defasada

Outra mudança que afeta diretamente servidores e aplicações de rede é a regressão proposital do pacote geoip-database. Por questões restritas de licenciamento, o pacote foi revertido para uma versão antiga, datada aproximadamente de dezembro de 2019.

O motivo do recuo é que as versões mais recentes da base de dados GeoLite deixaram de ser compatíveis com a Diretriz de Software Livre do Debian (DFSG) e não podem mais ser distribuídas oficialmente pela distribuição.

Na prática, softwares que dependem dessa base interna para identificar a localização geográfica de IPs passarão a usar dados antigos e imprecisos. Para contornar o problema e manter a precisão, os administradores precisarão obter uma licença diretamente com a provedora do serviço e parar de usar o pacote padrão oferecido no repositório.

Correções para servidores e desktops

A lista de pacotes contemplados pela versão 13.6 é extensa e soluciona dezenas de vulnerabilidades identificadas por CVEs recentes.

O Kernel Linux recebeu uma nova interface binária (ABI 6.12.94+deb13), o que exigirá a reinicialização das máquinas após o processo de atualização. No ecossistema de servidores, há dezenas de patches aplicados ao Apache2, fechando brechas que permitiam transbordamento de buffer e negação de serviço (DoS). O banco de dados PostgreSQL 17 e ferramentas vitais de rede, como o Curl, também receberam camadas extras de proteção contra vazamento de credenciais e mau uso de memória.

Desenvolvedores e sysadmins notarão ainda a correção de falhas em bibliotecas estruturais. O Python 3.13 teve vulnerabilidades de escape e falhas no túnel de proxy resolvidas, enquanto a libxml2 ganhou proteção contra esgotamento de recursos por recursão excessiva em arquivos XML.

Para os usuários finais e ambientes de desktop, a revisão aplica dezenas de correções preventivas e atualiza navegadores e clientes de e-mail, como Firefox-ESR, Chromium e Thunderbird, garantindo navegação segura frente às ameaças mais recentes. O virtualizador QEMU também integra um grande volume de patches críticos portados das árvores de desenvolvimento.

Como atualizar o sistema

Quem já mantém o sistema atualizado com frequência através dos repositórios de segurança do Debian terá um download menor, já que grande parte dos patches mais urgentes já havia sido distribuída isoladamente.

Para receber a revisão 13.6 em uma instalação existente, basta utilizar o gerenciador de pacotes padrão e aplicar a atualização completa pelo terminal. As novas imagens ISO, úteis para quem precisa fazer uma instalação limpa já com todos os pacotes corrigidos nativamente, serão disponibilizadas em breve nos canais de download regulares do projeto.