Debianプロジェクトは、主要コンポーネントに対する重要なセキュリティおよび安定性のアップデートを含む、安定版ディストリビューションであるDebian 13(コードネーム:trixie)の4回目のアップデートを発表できることを嬉しく思います。
リリース13.4は、ディストリビューションの新しいバージョンではなく、重大なバグや脆弱性の修正をまとめた一連のパッケージ化されたアップデートです。これらの修正の多くは、以前に個別のセキュリティ発表として公開されていました。
今回のアップデートは、ネットワークサービスと重要なシステムコンポーネントの信頼性向上、および多数の脆弱性の修正に重点を置いています。
主な修正点
- Apache2: HTTP/2プロトコルに関連する不具合を修正しました。
- bird2: RAdv (IPv6 用ルーターアドバタイズメント) におけるレガシープレフィックスのフラグに関する問題を修正し、BMP プロトコルで非 BGP 属性を持つルートをエクスポートする際に発生するクラッシュを修正しました。
- ifupdown: IPv6 の DAD (重複アドレス検出) 処理を修正し、dhclient クライアントの呼び出し順序も修正しました。
- open-iscsi: 静的iSCSIノードの検出に関する問題を修正しました。
- chrony: 新しいカーネルとの互換性に対応するために改良された時刻同期デーモン。
- clatd (IPv6 用 CLAT): systemd ユニットのインストールと NetworkManager ディスパッチャのパスを修正しました。
セキュリティ修正
- openssh: MaxStartupsプロセス追跡に関する潜在的な問題を修正し、コード実行につながる可能性のある脆弱性(CVE-2025-61984、CVE-2025-61985)を解消しました。
- glibc (GNU C ライブラリ): 安定版のアップストリームブランチからのアップデートで、ヒープ破損 (CVE-2026-0861)、スタックリーク (CVE-2026-0915)、初期化されていないメモリの使用 (CVE-2025-15281) など、いくつかの重大な問題が修正されました。
- mariadb: 任意のコード実行(CVE-2025-13699)およびサービス拒否(CVE-2026-21968)の脆弱性を修正した新しい安定版リリース。
- postgresql-17: バッファオーバーラン(CVE-2026-2006)の修正を含む、新しい安定版リリース。
- wget2: Metalink を介したファイル上書き (CVE-2025-69194) およびリモートバッファオーバーフロー (CVE-2025-69195) を可能にする脆弱性を修正しました。
- erlang: 過剰なリソース消費(CVE-2025-48038 など)やトラフィックのリダイレクトにつながる問題を修正しました。
- dpkg: サービス拒否の脆弱性(CVE-2026-2219)を修正しました。
- Wireshark: USB HIDディセクタのメモリ枯渇問題(CVE-2026-3201)とRF4CEプロファイルディセクタのクラッシュ(CVE-2026-3203)を修正した新しい安定版リリース。
- xen: ハイパーバイザーが、バッファオーバーフロー(CVE-2025-58150)とvCPU分離の不完全性(CVE-2026-23553)の修正を含む新しい安定版にアップデートされました。
システムコンポーネントのアップデート
- grub2: いくつかのアーキテクチャ (amd64、arm64、ia32) における ZFS ルートファイルシステムの識別に関する問題を修正しました。
- sudo: sudoers.d 内のファイル名にコロンが含まれている場合の不具合を修正しました。
- systemd-resolved: systemd-resolvedのインストールに関するdebvmスクリプトのバグを修正しました。
出所: linux.org.ru
