Debian 13.2 更新发布
2025年11月15日
Debian 项目高兴地宣布其稳定发行版 Debian 13(代号 trixie)的第二次更新。本次点发布主要增加了针对安全问题的修正,以及对一些严重问题的调整。安全公告已单独发布,并在可用处提供了引用。
请注意,点发布并不构成 Debian 13 的新版本,而仅仅是更新了包含的一些软件包。无需丢弃旧的 trixie 安装介质。安装后,可以使用最新的 Debian 镜像将软件包升级到当前版本。
那些经常从 security.debian.org 安装更新的用户将无需更新太多软件包,且大多数此类更新已包含在此点发布中。
新的安装镜像将很快在常规位置提供。将现有安装升级至此修订版,可以通过将软件包管理系统指向 Debian 的众多 HTTP 镜像之一来实现。完整的镜像列表可在以下地址找到:
https://www.debian.org/mirror/list
杂项错误修复
此稳定更新为以下软件包添加了一些重要的修正:
| 软件包 | 原因 |
|---|---|
| 7zip | 新的上游版本;安全修复 [CVE-2025-55188 CVE-2025-11002 CVE-2025-11001] |
| 7zip-rar | 添加缺失的 CRC 表构造函数 |
| aide | 通过从根计时器运行修复 bin/buildcache 的使用;更新和修复包含的规则 |
| allow-html-temp | 新的上游版本以支持更新的 Thunderbird 版本 |
| alsa-ucm-conf-asahi | 安装缺失的 aop_audio UCM 配置 |
| ansible | 更新集合以保持与 ansible-core 2.19 的兼容性 |
| ansible-core | 新的上游稳定版本;修复了 2.18 中关于处理程序和剧本标签的回归问题 |
| asahi-scripts | 修复 macaudio 默认配置文件检查;显式将 apple_nvmem_spmi 模块添加到 initramfs;使 update-m1n1 具有幂等性 |
| base-files | 为点发布更新 |
| brltty | atSpi2:不管理没有文本界面的小部件;避免过多的详细蓝牙/usbfs 消息 |
| console-setup | 将键盘布局 dz(la) 更新为 dz(azerty-oss) 并使用 ca/multix 变体代替 ca/multi;修复 dz(azerty-oss/deadkeys) 为 dz,这是 xkb 实际提供的;修复 dz 默认布局 |
| cups | 修复管理界面中复选框的操作 |
| curl | 修复缓冲区过度读取问题 [CVE-2025-9086];修复缓存中毒问题 [CVE-2025-10148];修复路径遍历问题 [CVE-2025-11563];允许 –output 被 –curl-options 覆盖;修复 continue-at 的 manpage 示例;修复路径遍历问题 [CVE-2025-11563] |
| debian-edu-config | 在 RewriteRule 中使用 SERVER_ADDRESS 代替硬编码的 ‘www’;从 bundlesequence 中删除桌面捆绑包 |
| debian-installer | 将 Linux 内核 ABI 增加到 6.12.57+deb13;针对 proposed-updates 重建 |
| debian-installer-netboot-images | 将 Linux 内核 ABI 增加到 6.12.57+deb13;针对 proposed-updates 重建 |
| dhcpcd | 修复删除地址时的崩溃;防止在未安装 wpasupplicant 时启动失败 |
| distro-info-data | 更新 bookworm 的 EoL 日期;添加 Ubuntu 26.04 LTS Resolute Raccoon |
| dkms | 新的上游版本;停止提供 dkms.service,修复与 cloud-init-network.service 的依赖循环;如果未找到内核头文件则发出警告 |
| dns-root-data | 更新 root-anchors.p7s(root-anchors.xml 的签名)并设置新的过期日期 |
| dnsdist | 修复拒绝服务问题 [CVE-2025-8671 CVE-2025-30187] |
| dolphin-emu | 修复与 RetroAchievements 的交互;修复翻译 |
| dovecot | 确保默认的 lmtpd auth_username_format 与全局值匹配;修复 oauth 配置解析;lib-sieve:正确处理错误;清理默认/示例配置中的一些拼写错误 |
| eas4tbsync | 新的上游版本以支持更新的 Thunderbird 版本 |
| eperl | 避免在 Perl 5.40 上传递截断的环境变量 |
| epiphany-browser | 新的上游稳定版本;修复各种崩溃;修复无效证书/私钥对的 PKCS#11 登录 |
| evolution | 新的上游稳定版本 |
| evolution-data-server | 新的上游稳定版本;修复使用 MH 格式邮件归档时的忙循环 |
| fangfrisch | 更新 sanesecurity 镜像,因为旧的镜像即将停止工作 |
| fluidsynth | 在服务配置中将默认采样率设置为 48000,缓冲区大小设置为 512,修复高 CPU 使用率和失真的声音 |
| folder-account | 新的上游版本以支持更新的 Thunderbird 版本 |
| fonts-noto-color-emoji | 新的上游版本;添加对 Unicode 17.0 标准的支持 |
| freeradius | 修复与 OpenSSL 3.5.2 的兼容性 |
| gnome-maps | 新的上游稳定版本;修复从 transitous.org 请求路线规划时的回归问题;添加奥地利和巴拉圭的地址格式 |
| gnome-session | 为 Papers 和 Showtime 的早期采用者修复默认应用优先级 |
| google-recaptcha | 修复 PHP 8.4 弃用警告 |
| ikvswitch | 将 Trixie 设置为设置的默认发行版;在关闭 IPMI 桥时不因错误而失败;使用 sysctl.d 片段文件而不是 sysctl.conf |
| imagemagick | 修复整数溢出问题 [CVE-2025-62171] |
| input-remapper | 添加缺失的 python3-psutil 运行时依赖 |
| irqbalance | 在服务定义中启用对 /proc/irq 的写入访问 |
| jdupes | 修复唯一文件的检测 |
| jing-trang | 重新导入上游版本,以删除错误包含的文件 |
| keepassxc-browser | 修复与 Chromium 的兼容性 |
| kmail-account-wizard | 启用自动 QML 依赖检测 |
| lemonldap-ng | 修复命令注入问题 [CVE-2025-59518];不要将会话 ID 暴露到 Ajax 响应中;修复 Google 认证 |
| libcommons-lang-java | 修复不受控制的递归问题 [CVE-2025-48924] |
| libcommons-lang3-java | 修复不受控制的递归问题 [CVE-2025-48924] |
| libgpiod | 移除对 libgpiod2 和 libgpiod2t64 不必要的 Breaks/Replaces |
| libhtp | 防止使用 lzma 时的内存泄漏 [CVE-2025-53537] |
| libsmb2 | 修复缓冲区溢出问题 [CVE-2025-57632] |
| libssh | 修复 NULL 指针解引用问题 [CVE-2025-8114];修复拒绝服务问题 [CVE-2025-8277] |
| libvirt | 不要求 TLS 证书支持 keyEncipherment;降低消息的日志级别,避免使用 LXC 驱动程序时日志泛滥;修复当探测不报告 CPU 模型信息的 QEMU 二进制文件能力时发生的守护进程崩溃 |
| libwebsockets | 修复拒绝服务问题 [CVE-2025-11677];修复缓冲区溢出问题 [CVE-2025-11678] |
| libxml2 | 修复 XPath 递归深度 DoS [CVE-2025-9714] |
| libyaml-syck-perl | 防止内存损坏导致空键上设置 str 值 [CVE-2025-11683] |
| linux | 新的上游稳定版本 |
| linux-signed-amd64 | 新的上游稳定版本 |
| linux-signed-arm64 | 新的上游稳定版本 |
| lnav | 处理从 tmux 设置 cregs 失败的情况 |
| log4cxx | 修复不当转义问题 [CVE-2025-54812 CVE-2025-54813] |
| logcheck | 更新 ignore.d.paranoid/ssh 和 ignore.d.server/ssh |
| lttng-modules | 修复系统调用跟踪可能导致的内核崩溃 |
| luksmeta | 修复 LUKS1 的数据损坏问题 [CVE-2025-11568] |
| lxcfs | 添加对 fuse3 的缺失依赖 |
| magit | 在 elpa-magit 中提供缺失的 magit-dired.el |
| mailfromd | 重建以修复符号查找错误 |
| mailmindr | 新的上游版本以支持更新的 Thunderbird 版本 |
| malcontent | 修复 snapd 2.72 后的 snap 过滤;修复家长控制 UI 中 flatpak 的列表;修复检查 snap 时的内存泄漏 |
| mapserver | 修复 SQL 注入问题 [CVE-2025-59431] |
| mc | 修复意外对子 shell 使用 >&10 的问题,避免启动延迟 |
| modsecurity-apache | 修复与响应 Content-Type 处理相关的安全问题 [CVE-2025-54571] |
| monitoring-plugins | 修复与 systemd 结合使用的 check_users;修复 check_mysql 插件与新版本 MySQL 的兼容性 |
| mpv | 创建观看历史记录所需的缺失文件夹 |
| mrtg | 修复 cfgmaker 输出中的重复 WorkDir 行 |
| nextcloud-desktop | 新的上游稳定版本 |
| nfdump | 在使用动态 FlowSource (-M) 时遵守子目录 (-S) |
| nova | 修复信息泄露问题 |
| nvidia-graphics-drivers-tesla-535 | 修复释放后使用问题 [CVE-2025-23280];修复权限提升问题 [CVE-2025-23282];修复拒绝服务问题 [CVE-2025-23300 CVE-2025-23330 CVE-2025-23332 CVE-2025-23345] |
| onetbb | 修复单 CPU 测试机上的测试失败;跳过不稳定的互斥锁测试 |
| open-vm-tools | 禁用(默认)执行 SDMP get-versions.sh 脚本 [CVE-2025-41244] |
| openssl | 新的上游稳定版本 |
| openvpn-auth-radius | 修复数据包认证 |
| orphan-sysvinit-scripts | 添加 haveged 初始化脚本 |
| patroni | 新的上游稳定版本 |
| pdns-recursor | 切换到 dpkg/default.mk;移除 CARGO_REGISTRY 覆盖 |
| phpmyadmin | 解决捆绑的 jquery.validate.js 中的 XSS 漏洞 [CVE-2025-3573] |
| poppler | 修复无限递归 [CVE-2025-50420] |
| postfix | 新的上游稳定版本;修复导致 chroot 中 cadir 重新创建和过多日志记录的拼写错误 |
| presage | 防止在完成建议中使用撇号时崩溃 |
| privatebin-cli | 修复与使用 GCM 密码的粘贴板的连接 |
| proftpd-dfsg | 不删除 /srv/ftp 在软件包清除时 |
| puppet-module-puppetlabs-rabbitmq | 修复 list_users 提供程序;将所有节点设置为磁盘节点 |
| puppet-module-tempest | 修复 openstack 提供程序的自动加载 |
| python-eventlet | 通过丢弃 HTTP 分块尾部修复 HTTP 请求走私 [CVE-2025-58068] |
| qemu | 新的上游稳定版本;修复拒绝服务问题 [CVE-2024-8354];修复 FIBMAP 和 FIGETBSZ ioctls 的错误模拟 |
| qt6-base | 修复屏幕锁定(X11)时 kwin_x11 的高 CPU 使用率 |
| quicktext | 新的上游版本以支持更新的 Thunderbird 版本 |
| rabbitmq-server | 修复敏感数据的日志记录 [CVE-2025-50200] |
| riseup-vpn | 添加对 qml6-module-qtcore 的依赖 |
| rocm-hipamd | 修复包含 <hip/hip_bf16.h> 超过一个翻译单元的程序的链接;修复 roc-obj-ls manpage 中的拼写错误 |
| rsyslog-doc | 将文档主题切换到 sphinx_rtd_theme |
| ruby-sys-filesystem | 修复在 s390x 和 alpha 上对 64 位操作系统的检测 |
| rust-virtiofsd | 添加对 uidmap 的缺失依赖 |
| sail | 修复内存损坏问题 [CVE-2025-32468 CVE-2025-35984 CVE-2025-46407 CVE-2025-50129 CVE-2025-52456 CVE-2025-52930 CVE-2025-53085 CVE-2025-53510] |
| samba | 新的上游稳定版本;修复未初始化内存泄露问题 [CVE-2025-9640],命令注入问题 [CVE-2025-10230] |
| samhain | 禁用 dnmalloc,防止可能的段错误 |
| spip | 修复 AJAX 登录表单上的开放重定向问题 |
| stardict | 将插件拆分为新的 stardict-plugin-network-dictionary 包;禁用 stardict_dictdotcn.so 插件 |
| suricata | 修复不受控制的内存使用问题 [CVE-2025-53538];修复检测绕过问题 [CVE-2025-59147] |
| syslog-ng | 默认禁用日志统计信息的写入 |
| systemd | 新的上游稳定版本;修复 systemd-resolved 中的 DNS-over-TLS 处理;提高服务和单元生命周期的稳定性;处理 TPM2 和 pcrlock 边缘情况;更新文档;刷新 hwdb 数据;与 Linux UAPI 头文件同步 |
| systemd-boot-efi-amd64-signed | 新的上游稳定版本;修复 systemd-resolved 中的 DNS-over-TLS 处理;提高服务和单元生命周期的稳定性;处理 TPM2 和 pcrlock 边缘情况;更新文档;刷新 hwdb 数据;与 Linux UAPI 头文件同步 |
| systemd-boot-efi-arm64-signed | 新的上游稳定版本;修复 systemd-resolved 中的 DNS-over-TLS 处理;提高服务和单元生命周期的稳定性;处理 TPM2 和 pcrlock 边缘情况;更新文档;刷新 hwdb 数据;与 Linux UAPI 头文件同步 |
| tango | 修复版本 9 和 10 之间的通信中断 |
| tbsync | 新的上游版本以支持更新的 Thunderbird 版本 |
| ublock-origin | 新的上游版本;改进用户体验并添加新的过滤功能 |
| virt-manager | 修复浏览本地功能 |
| watcher | 修复信息泄露问题 |
| wike | 设置用户代理,以确保使用 Wikipedia 的移动版本 |
| wtmpdb | 使用 logrotate 轮转和修剪日志;将日志存储在系统日志目录中 |
| xnote | 新的上游版本以支持更新的 Thunderbird 版本 |
| xorg | 修复使用多个单词调用的会话登录失败 |
| xssproxy | 修复与 Chromium 和 xdg-desktop-portal-gtk 的兼容性 |
安全更新
此修订版为稳定发行版添加了以下安全更新。安全团队已经为这些更新发布了公告:
| 公告 ID | 软件包 |
|---|---|
| DSA-5979 | libxslt |
| DSA-5993 | chromium |
| DSA-5994 | shibboleth-sp |
| DSA-5995 | hsqldb1.8.0 |
| DSA-5996 | chromium |
| DSA-5997 | imagemagick |
| DSA-5998 | cups |
| DSA-5999 | libjson-xs-perl |
| DSA-6000 | libcpanel-json-xs-perl |
| DSA-6001 | cjson |
| DSA-6002 | node-sha.js |
| DSA-6003 | firefox-esr |
| DSA-6004 | chromium |
| DSA-6005 | jetty9 |
| DSA-6006 | jetty12 |
| DSA-6007 | ffmpeg |
| DSA-6008 | linux-signed-amd64 |
| DSA-6008 | linux-signed-arm64 |
| DSA-6008 | linux |
| DSA-6010 | chromium |
| DSA-6012 | nncp |
| DSA-6013 | node-tar-fs |
| DSA-6014 | gimp |
| DSA-6015 | openssl |
| DSA-6016 | chromium |
| DSA-6017 | haproxy |
| DSA-6018 | gegl |
| DSA-6019 | dovecot |
| DSA-6020 | redis |
| DSA-6021 | chromium |
| DSA-6022 | valkey |
| DSA-6023 | tiff |
| DSA-6024 | ghostscript |
| DSA-6025 | firefox-esr |
| DSA-6026 | chromium |
| DSA-6027 | incus |
| DSA-6028 | lxd |
| DSA-6030 | intel-microcode |
| DSA-6031 | request-tracker5 |
| DSA-6033 | bind9 |
| DSA-6034 | tryton-sao |
| DSA-6035 | python-internetarchive |
| DSA-6036 | chromium |
| DSA-6037 | openjdk-21 |
| DSA-6039 | openjdk-25 |
| DSA-6040 | thunderbird |
| DSA-6042 | evolution |
| DSA-6042 | webkit2gtk |
| DSA-6044 | xorg-server |
| DSA-6045 | pdns-recursor |
| DSA-6046 | chromium |
| DSA-6047 | squid |
| DSA-6048 | ruby-rack |
| DSA-6049 | gimp |
| DSA-6050 | chromium |
移除的软件包
以下软件包因超出我们控制的情况而被移除:
| 软件包 | 原因 |
|---|---|
| rust-profiling-procmacros | 未使用 |
Debian 安装程序
安装程序已更新,包含了点发布整合到稳定版中的修复。
网址
包含此修订版中已更改软件包的完整列表:
https://deb.debian.org/debian/dists/trixie/ChangeLog
当前的稳定发行版:
https://deb.debian.org/debian/dists/stable/
对稳定发行版的提议更新:
https://deb.debian.org/debian/dists/proposed-updates
稳定发行版信息(发布说明、勘误等):
https://www.debian.org/releases/stable/
安全公告和信息:
https://www.debian.org/security/
关于 Debian
Debian 项目是一个自由软件开发者的协会,他们自愿贡献时间和精力来制作完全自由的操作系统 Debian。
联系信息
如需更多信息,请访问 Debian 网页 https://www.debian.org/,发送邮件至 press@debian.org,或联系稳定版发布团队 debian-release@lists.debian.org。