Debian 13.6 corrige falhas de segurança e alerta para atualização do Secure Boot

Escrito por
Emanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...

Atualização crítica para o Secure Boot!

  • A versão 13.6 consolida atualizações de segurança e não exige reinstalação do sistema operacional.
  • Certificado UEFI de 2013 expirou e exige atualização do fwupd para evitar falhas com o Secure Boot.
  • Pacote geoip-database regrediu para versão de 2019 por incompatibilidade com diretrizes de código aberto.
  • Vulnerabilidades de transbordamento de buffer foram corrigidas no Apache2, Curl e banco de dados PostgreSQL 17.
  • O Kernel Linux recebeu uma nova interface binária, exigindo a reinicialização da máquina após a atualização.

Usuários e administradores de sistemas que rodam o Debian 13 (Trixie) precisam de atenção redobrada nesta atualização. A sexta revisão da atual série estável, o Debian 13.6, foi liberada com foco principal em correções de segurança, mas traz uma mudança estrutural urgente: o certificado padrão de boot seguro, usado desde 2013, expirou.

A nova versão não exige a reinstalação do sistema. Como é padrão nos lançamentos de manutenção do projeto, trata-se de um agrupamento de patches de segurança e soluções para bugs graves que já vinham sendo distribuídos nos repositórios oficiais, empacotados agora de forma consolidada.

O impacto no Secure Boot

O ponto mais crítico da atualização envolve o pacote fwupd. O certificado UEFI Secure Boot CA de 2013, instalado por padrão na maioria das placas-mãe para assinar gerenciadores de inicialização, perdeu a validade. O alerta do projeto destaca que atualizações futuras do pacote shim-signed poderiam impedir que o sistema iniciasse corretamente caso o Secure Boot continuasse ativado sem os devidos ajustes.

Para evitar falhas na inicialização, o fwupd foi atualizado para a versão 2.0.20, ganhando a capacidade de renovar a autoridade certificadora (CA), a Key Exchange Key (KEK) e os bancos de dados de revogação (DBX). A recomendação oficial é que os usuários apliquem as atualizações de firmware fornecidas pelas fabricantes de hardware (OEM) em seus equipamentos para garantir uma transição segura para os certificados válidos de 2026.

Base de dados de geolocalização defasada

Outra mudança que afeta diretamente servidores e aplicações de rede é a regressão proposital do pacote geoip-database. Por questões restritas de licenciamento, o pacote foi revertido para uma versão antiga, datada aproximadamente de dezembro de 2019.

O motivo do recuo é que as versões mais recentes da base de dados GeoLite deixaram de ser compatíveis com a Diretriz de Software Livre do Debian (DFSG) e não podem mais ser distribuídas oficialmente pela distribuição.

Na prática, softwares que dependem dessa base interna para identificar a localização geográfica de IPs passarão a usar dados antigos e imprecisos. Para contornar o problema e manter a precisão, os administradores precisarão obter uma licença diretamente com a provedora do serviço e parar de usar o pacote padrão oferecido no repositório.

Correções para servidores e desktops

A lista de pacotes contemplados pela versão 13.6 é extensa e soluciona dezenas de vulnerabilidades identificadas por CVEs recentes.

O Kernel Linux recebeu uma nova interface binária (ABI 6.12.94+deb13), o que exigirá a reinicialização das máquinas após o processo de atualização. No ecossistema de servidores, há dezenas de patches aplicados ao Apache2, fechando brechas que permitiam transbordamento de buffer e negação de serviço (DoS). O banco de dados PostgreSQL 17 e ferramentas vitais de rede, como o Curl, também receberam camadas extras de proteção contra vazamento de credenciais e mau uso de memória.

Desenvolvedores e sysadmins notarão ainda a correção de falhas em bibliotecas estruturais. O Python 3.13 teve vulnerabilidades de escape e falhas no túnel de proxy resolvidas, enquanto a libxml2 ganhou proteção contra esgotamento de recursos por recursão excessiva em arquivos XML.

Para os usuários finais e ambientes de desktop, a revisão aplica dezenas de correções preventivas e atualiza navegadores e clientes de e-mail, como Firefox-ESR, Chromium e Thunderbird, garantindo navegação segura frente às ameaças mais recentes. O virtualizador QEMU também integra um grande volume de patches críticos portados das árvores de desenvolvimento.

Como atualizar o sistema

Quem já mantém o sistema atualizado com frequência através dos repositórios de segurança do Debian terá um download menor, já que grande parte dos patches mais urgentes já havia sido distribuída isoladamente.

Para receber a revisão 13.6 em uma instalação existente, basta utilizar o gerenciador de pacotes padrão e aplicar a atualização completa pelo terminal. As novas imagens ISO, úteis para quem precisa fazer uma instalação limpa já com todos os pacotes corrigidos nativamente, serão disponibilizadas em breve nos canais de download regulares do projeto.

Compartilhe este artigo
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre GNU/Linux, Software Livre e Código Aberto, dedica-se a descomplicar o universo tecnológico para entusiastas e profissionais. Seu foco é em notícias, tutoriais e análises aprofundadas, promovendo o conhecimento e a liberdade digital no Brasil.