Debian 13 is bijgewerkt: 13.3 werd uitgebracht
10 januari 2026
Het Debian-project kondigt met genoegen de derde update aan van zijn
stabiele distributie Debian 13 (codenaam trixie
).
Deze tussenrelease voegt voornamelijk correcties voor
beveiligingsproblemen toe, samen met een paar aanpassingen voor ernstige
problemen. Beveiligingsadviezen werden reeds afzonderlijk gepubliceerd en,
waar beschikbaar, wordt hiernaar verwezen.
Merk op dat de tussenrelease geen nieuwe versie van Debian 13
is, maar slechts een update van enkele van de ingesloten pakketten. Het
is niet nodig om oude media met trixie
weg te gooien. Na de
installatie kunnen pakketten worden opgewaardeerd naar de huidige versie
door een bijgewerkte Debian-spiegelserver te gebruiken.
Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.
Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.
Het opwaarderen van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst met spiegelservers is beschikbaar op:
Oplossingen voor diverse problemen
Met deze update van stable, de stabiele distributie, worden een paar belangrijke correcties aangebracht aan de volgende pakketten:
| Pakket | Reden |
|---|---|
| ansible | Nieuwe bovenstroomse stabiele release |
| apache2 | Nieuwe bovenstroomse stabiele release; probleem met overloop van gehele getallen oplossen [CVE-2025-55753]; geen zoekopdrachttekenreeks doorgeven aan #exec-opdrachten [CVE-2025-58098]; onjuiste analyse van omgevingsvariabelen corrigeren [CVE-2025-65082]; probleem met het omzeilen van mod_userdir+suexec oplossen [CVE-2025-66200] |
| at-spi2-core | Ervoor zorgen dat de xkb-groep in aanmerking wordt genomen voor toetsenbordgebeurtenissen |
| awffull | De aanroep van de systemd-timer verbeteren om te voorkomen dat cron-scripts voortijdig worden afgesloten. |
| base-files | Update voor de tussenrelease |
| bash | Opnieuw bouwen met bijgewerkte glibc |
| bglibs | Opnieuw bouwen met bijgewerkte glibc |
| busybox | Opnieuw bouwen met bijgewerkte glibc |
| calibre | De verwerking van ingebed FB2 binair bestand in de conversieplugin corrigeren [CVE-2025-64486] |
| catatonit | Opnieuw bouwen met bijgewerkte glibc |
| cdebootstrap | Opnieuw bouwen met bijgewerkte glibc |
| chkrootkit | Opnieuw bouwen met bijgewerkte glibc |
| cloud-init | Ervoor zorgen dat het deb822 sources.list sjabloon correct wordt weergegeven |
| composer | Correctie van ANSI-sequentie-injectie [CVE-2025-67746] |
| condor | Opnieuw bouwen met bijgewerkte glibc |
| cups-filters | Problemen met TIFF-ontledergrenzen/validatie oplossen [CVE-2025-57812]; de te grote paginagrootte van uit MediaBox afkomstige PDF-bestanden in pdftoraster inperken [CVE-2025-64503]; een oneindige lus en heap-overloop vermijden bij het gebruik van een bewerkte rasterinvoer met rastertopclx [CVE-2025-64524] |
| dar | Opnieuw bouwen met bijgewerkte curl, glibc, openssl |
| debian-installer | Linux kernel ABI verhogen naar 6.12.63+deb13; opnieuw bouwen tegen proposed updates |
| debian-installer-netboot-images | Opnieuw bouwen tegen proposed updates |
| debian-security-support | hdf5 en zabbix als beperkt ondersteund markeren; wpewebkit als niet ondersteund markeren |
| debos | systemd-resolved verplaatsen van Recommends naar Depends |
| dgit | git-debrebase: een andere map gebruiken voor geneste werkgebieden |
| dhcpcd | De optie ntp_servers standaard weer inschakelen |
| diffoscope | Tests corrigeren wanneer ukify nieuwer is. |
| distribution-gpg-keys | Opgenomen sleutels bijwerken |
| distrobuilder | Opnieuw bouwen met bijgewerkte containerd, incus |
| docker.io | Opnieuw bouwen met bijgewerkte containerd, glibc |
| dpdk | Nieuwe bovenstroomse stabiele release |
| e2fsprogs | Opnieuw bouwen met bijgewerkte glibc |
| edk2 | Een probleem met timing side-channel oplossen in de berekening van de ECDSA-handtekening [CVE-2024-13176]; een probleem met toegang tot geheugen buiten het bereik oplossen [CVE-2024-38805]; probleem met uitvoering van code oplossen [CVE-2025-3770] |
| exfatprogs | Ervoor zorgen dat mkfs.exfat standaard 512-byte sectoren gebruikt voor compatibiliteit met Windows |
| extrepo-data | Pakketbroninformatie bijwerken; verwerking aanpassen voor toekomstige releases van Debian |
| flatpak | Nieuwe bovenstroomse stabiele release |
| fpdf2 | Het gebruik van variabele lettertypen verbeteren |
| freedombox | distupgrade: Commentaar in bestand sources.list verwerken; releasedatum voor trixie bijwerken; backups: De juiste machtigingen instellen voor de back-upgegevensmap [CVE-2025-68462] |
| freeradius | De segmentatiefout bij TLS-verificatie verhelpen wanneer certificaatketens meerdere tussenliggende certificaten bevatten |
| glib2.0 | Verschillende problemen met overloop van gehele getallen oplossen [CVE-2025-13601 CVE-2025-14087 CVE-2025-14512] |
| glibc | Een probleem met dubbele vergrendeling bij initialisatie na fork() oplossen; SYSCALL_CANCEL corrigeren voor terugkeerwaarden groter dan INT_MAX; een crash in ifunc-functies op arm64 verhelpen bij het beveiligen met -ftrivial-auto-var-init=zero; correctie van _dl_find_object wanneer ld.so hiaten in het LOAD-segment heeft, wat leidt tot onjuiste backtrace-ontwinding; optimalisatie van de inverse trigonometrische functie, de SVE-exponent, de hyperbolische functie en de log1p-functie op arm64 |
| gnome-shell | Nieuwe bovenstroomse release met probleemoplossingen |
| gnupg2 | Mogelijke downgrade naar SHA1 in sleutelhandtekeningen van derden vermijden; foutmelding geven bij niet-geverifieerde uitvoer voor niet-losgekoppelde handtekeningen; mogelijke geheugenbeschadiging in de armor-parser verhelpen. [CVE-2025-68973]; geen standaardwaarde gebruiken bij het vragen naar een andere uitvoerbestandsnaam; herbouwen met bijgewerkte glibc |
| gnutls28 | De grenzen van PKCS#11-tokenlabels in gnutls_pkcs11_token_init corrigeren [CVE-2025-9820]; PKCS#11-modules initialiseren in thread-veilige modus met terugval |
| golang-github-awslabs-soci-snapshotter | Herbouwen met bijgewerkte containerd |
| golang-github-containerd-imgcrypt | Herbouwen met bijgewerkte containerd |
| golang-github-containerd-nydus-snapshotter | Herbouwen met bijgewerkte containerd |
| golang-github-containerd-stargz-snapshotter | Herbouwen met bijgewerkte containerd |
| golang-github-containers-buildah | Herbouwen met bijgewerkte containerd |
| golang-github-openshift-imagebuilder | Herbouwen met bijgewerkte containerd |
| imagemagick | Problemen met denial of service oplossen [CVE-2025-62594 CVE-2025-68618]; probleem van gebruik na vrijgave oplossen [CVE-2025-65955]; problemen met overloop van gehele getallen oplossen [CVE-2025-66628 CVE-2025-69204]; een probleem van oneindige lus oplossen [CVE-2025-68950] |
| incus | Correctie voor het genereren van AppArmor-profielen voor geneste containers |
| integrit | Herbouwen met bijgewerkte glibc |
| intel-microcode | De Intel processor microcode updaten naar 20251111 |
| iperf3 | De initialisatie van de RSA-versleutelingsbufferlengte voor OpenSSL 3.5.3 en hoger corrigeren; compilatieproblemen voorkomen met nieuwere OpenSSL-versies |
| kleopatra | Probleem met starten met een bestandsargument in GNOME oplossen |
| libcap2 | Herbouwen met bijgewerkte glibc |
| libcoap3 | Probleem met ontleden van configuratiebestand oplossen [CVE-2025-59391]; oplossen van problemen van null pointer dereference [CVE-2025-65493 CVE-2025-65494 CVE-2025-65496 CVE-2025-65497 CVE-2025-65498 CVE-2025-65500 CVE-2025-65501]; probleem met teken van gehele getallen oplossen [CVE-2025-65495]; probleem met array-indexfout oplossen [CVE-2025-65499] |
| libcupsfilters | Problemen met TIFF-ontledergrenzen/validatie oplossen [CVE-2025-57812]; de te grote paginagrootte van uit MediaBox afkomstige PDF-bestanden in pdftoraster inperken [CVE-2025-64503] |
| libphp-adodb | SQL-injectieprobleem in sqlite(3)-stuurprogramma's verhelpen [CVE-2025-54119] |
| libreoffice | De standaardvaluta voor Bulgarije instellen op EUR |
| libvirt | ACL-controles eerder uitvoeren, zodat kwaadwillende gebruikers de achtergronddienst niet kunnen laten crashen. [CVE-2025-12748]; ervoor zorgen dat nieuw gemaakte momentopnames niet voor iedereen leesbaar zijn [CVE-2025-13193]; de detect_zeroes-instellingen toepassen op alle lagen van de ondersteunende keten in plaats van alleen op de bovenste laag |
| linux | Nieuwe bovenstroomse stabiele release |
| linux-signed-amd64 | Nieuwe bovenstroomse stabiele release |
| linux-signed-arm64 | Nieuwe bovenstroomse stabiele release |
| lua-wsapi | Lua 5.1-ondersteuning herstellen |
| lxc | lxc-net toevoegen als vereiste voor het sysvinit script; geen misleidende foutmeldingen meer afdrukken in enter_net_ns(); het genereren van apparmor.d/abstractions/lxc/container-base herstellen; oplossing voor het opnieuw opstarten van containers zonder verhoogde bevoegdheden |
| lxd | Defecte idmapping met kernel 6.9+ herstellen; de machtigingen voor het opslagvolume van de opslagpool beperken [CVE-2025-64507] |
| matlab-support | Het hernoemen van door MATLAB geleverde Vulkan/FreeType-bibliotheken vermijden |
| mbedtls | Nieuwe bovenstroomse stabiele release; problemen met timing oplossen [CVE-2025-54764 CVE-2025-59438] |
| mirrorbits | Terugvalomleidingen bij onbeschikbaarheid van Redis/bestandsmetadata corrigeren; terugvalspiegelserver-URL's normaliseren om slecht gevormde omleidingen te vermijden |
| mongo-c-driver | Ongeldige leesbewerkingen van geheugen vermijden [CVE-2025-12119] |
| mutter | Nieuwe bovenstroomse release met probleemoplossingen |
| node-nodemailer | Correctie voor het ontleden van ontvangers door addressparser voor geneste adressen tussen aanhalingstekens [CVE-2025-13033] |
| openconnect | Pad respecteren in verwerking van AnyConnect/OpenConnect XML-formulier; bouwfout met MinGW32/64 oplossen; RFC9266 'tls-exporter' kanaalbindingen gebruiken voor Cisco STRAP met TLSv1.3 |
| pgbouncer | Probleem met willekeurige SQL-uitvoering oplossen [CVE-2025-12819] |
| podman | Opnieuw bouwen met bijgewerkte containerd |
| postgresql-17 | Nieuwe bovenstroomse stabiele release; de CREATE-rechten voor het schema in CREATE STATISTICS controleren [CVE-2025-12817]; overloop van gehele getallen voorkomen bij berekeningen van de toewijzingsgrootte binnen libpq [CVE-2025-12818] |
| pylint-django | Gebruik repareren met nieuwe astroid |
| qemu | Nieuwe bovenstroomse stabiele release; oplossing voor probleem van gebruik na vrijgave [CVE-2025-11234]; een probleem van bufferoverloop oplossen [CVE-2025-12464] |
| qiv | Het opstartprobleem met Wayland oplossen door de X11 GDK-backend af te dwingen |
| r-bioc-beachmat | Correctie voor een test die afhankelijk is van het R-pakket beachmat.hdf5, dat nog niet in Debian is opgenomen |
| r-cran-gh | Blootstelling van verzoekheaders in geretourneerde responsobjecten repareren [CVE-2025-54956]; ervoor zorgen dat paginering expliciet de authenticatiecontext doorgeeft; tests en documentatie bijwerken |
| reform-tools | Oplossing voor het bouwen van lpc met Linux >= 6.17 |
| rlottie | De afwijzing van uitschieters in de FreeType-rastervorming corrigeren [CVE-2025-0634 CVE-2025-53074 CVE-2025-53075] |
| rsync | Oplossing voor het probleem van het lezen buiten de toegestane grenzen via een negatieve array-index bij de afhandeling van de lijst met verzendbestanden [CVE-2025-10158] |
| rust-repro-env | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-ripasso-cursive | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-chameleon-gnupg | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-git | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-keystore-server | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-octopus-librnp | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-openpgp | Bufferonderloop in aes_key_unwrap oplossen [CVE-2025-67897] |
| rust-sequoia-sop | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-sq | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| rust-sequoia-sqv | Opnieuw bouwen met bijgewerkte rust-sequoia-openpgp |
| sash | Opnieuw bouwen met bijgewerkte glibc |
| sbuild | Expliciet de sbuild-build-depends-main-dummy pakketarchitectuur selecteren; TMPDIR behouden bij het uitvoeren van autopkgtest; lib/Sbuild/Build.pm: TMPDIR behouden voor piuparts; $TMPDIR eerbiedigen voor autopkgtest dsc mkdtemp |
| snapd | Opnieuw bouwen met bijgewerkte glibc |
| sogo | Problemen met cross-site scripting oplossen [CVE-2025-63498 CVE-2025-63499] |
| suricata | De controle op de grenzen van de logboekregistratie van verdict corrigeren [CVE-2025-64330]; diverse logstackoverlopen verhelpen [CVE-2025-64331 CVE-2025-64332 CVE-2025-64333 CVE-2025-64344] |
| survex | De breedte van het zoekvak stations zoekenaanpassen, zodat het weer bruikbaar wordt |
| swupdate | De signalering van de herstartmodus van suricatta via de voortgangsinterface corrigeren |
| symfony | Ontleden van PATH_INFO herstellen [CVE-2025-64500]; gegevensbestanden van de Finder-testsuite die niet aan de vereisten voldoen laten vallen |
| tini | Opnieuw bouwen met bijgewerkte glibc |
| tripwire | Opnieuw bouwen met bijgewerkte glibc |
| tsocks | Opnieuw bouwen met bijgewerkte glibc |
| tzsetup | Tijdzone voor Argentinië en Oekraïne corrigeren |
| user-mode-linux | Opnieuw bouwen met Linux 6.12.63-1 |
| yorick-gy | Het laden van de GIR-moduleversie voor Gtk/Gdk herstellen; overschakelen op de multiarch-vriendelijke bouwvereiste libgirepository-1.0-dev; GCC-14/15-bouwcorrecties opnemen; watch-bestand en metadata bijwerken |
| zsh | Opnieuw bouwen met bijgewerkte glibc, pcre |
Beveiligingsupdates
Met deze revisie worden de volgende beveiligingsupdates toegevoegd aan de stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:
Het Debian-installatiesysteem
Het installatiesysteem werd bijgewerkt om de reparaties die met deze tussenrelease in stable, de stabiele release, opgenomen werden, toe te voegen.
URL's
De volledige lijsten met pakketten die met deze revisie gewijzigd werden:
De huidige stabiele distributie:
Voorgestelde updates voor de stabiele distributie:
Informatie over de stabiele distributie (notities bij de release, errata, enz.):
Beveiligingsaankondigingen en -informatie:
Over Debian
Het Debian-project is een samenwerkingsverband van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.
Contactinformatie
Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele release op <debian-release@lists.debian.org>.