데비안 13.5 공개, 보안 패치와 안정화 수정이 한꺼번에 들어감

• 데비안 13의 다섯 번째 포인트 릴리스인 13.5가 나옴

  • 코드명은 여전히 트릭시임
  • 핵심은 새 기능 추가가 아니라 보안 이슈 수정과 심각한 버그 수정 패키지를 안정 배포판에 반영한 것임

• 데비안 쪽이 강조한 포인트는 “이건 새 데비안 13이 아니다”라는 점임

  • 기존 트릭시 설치 미디어를 버릴 필요 없음
  • 설치 후 최신 데비안 미러를 바라보게 하고 패키지 업그레이드만 하면 현재 상태로 맞출 수 있음
  • 보안 저장소를 평소에 잘 따라가던 서버라면 이번에 새로 받을 패키지가 많지 않을 수도 있음

• 이번 업데이트 목록은 서버 운영자가 바로 반응할 만한 패키지가 꽤 많음

  • 아파치2는 유즈 애프터 프리, 권한 상승, 인증 우회, 응답 분할, 범위 밖 읽기 같은 취약점이 한꺼번에 수정됨
  • 엔진엑스도 버퍼 오버플로, 세션 인증 문제, 오시에스피 결과 우회 같은 보안 수정이 들어감
  • 오픈에스에스에이치는 에스시피 전송 파일의 setuid·setgid 처리, 명령 실행 이슈, 키 알고리즘 적용 문제 등이 고쳐짐
  • 오픈에스에스엘은 새 안정 업스트림 릴리스가 반영됨

• 시스템 계층 쪽 수정도 가볍지 않음

  • 시스템디는 새 안정 업스트림 릴리스와 함께 코드 실행 이슈, 엔스폰의 호스트 탈출 이슈, 멈춤·어서션 문제 수정이 포함됨
  • 글립시 쪽은 디엔에스 응답 처리, 잘못된 호스트명 반환, 널 포인터 역참조 같은 문제가 고쳐짐
  • 리눅스 커널 계열 보안 업데이트도 여러 보안 공지에 포함돼 있음

• 개발 런타임과 도구 패키지도 대거 손봤음

  • 파이썬 3.13은 헤더 인젝션, 서비스 거부, 타르·집 처리 검증, 감사 훅 누락, 스택 오버플로 등 여러 취약점 수정이 들어감
  • 노드제이에스, 루비 랙, 오픈제이디케이 21·25, 피에이치피 8.4도 보안 공지 목록에 포함됨
  • 깃 엘에프에스, 제이큐, 컴포저, 노드 타르 같은 개발 도구도 임의 파일 쓰기, 명령 주입, 경로 탈출 류의 수정이 있음

• 데비안 인스톨러도 이번 안정 업데이트 내용을 포함하도록 갱신됨

  • 리눅스 에이비아이는 6.12.86+deb13 쪽으로 올라감
  • 새 설치 이미지는 일반 배포 위치에 곧 올라올 예정이라고 안내됨

• 제거된 패키지도 하나 있음

  • dav4tbsync는 선더버드 140으로 대체됐다는 이유로 제거됨
  • 운영 자동화에서 해당 패키지를 직접 잡고 있던 경우라면 의존성이나 설치 스크립트 확인이 필요함

---

기술 맥락

• 데비안의 포인트 릴리스는 “운영체제 업그레이드”라기보다 안정 배포판에 쌓인 보안·버그 수정 패키지를 정리해 배포하는 방식이에요. 그래서 운영팀 입장에서는 재설치보다 패키지 업그레이드 계획에 가깝고, 기존 트릭시 미디어를 버릴 필요가 없다고 못 박은 이유도 여기에 있어요.

• 이번 릴리스가 눈에 띄는 건 수정 범위가 애플리케이션 패키지에만 머물지 않기 때문이에요. 글립시, 시스템디, 오픈에스에스엘, 오픈에스에스에이치, 웹 서버 패키지까지 들어가면 런타임·부팅·네트워크·원격 접속 경로 전반에 영향이 생기거든요.

• 보안 저장소를 꾸준히 적용하던 시스템은 변경량이 작을 수 있어요. 데비안 보안팀이 이미 별도 공지로 배포한 업데이트들이 이번 안정 릴리스에 합쳐진 구조라서, 평소 패치 루틴이 잘 잡힌 팀과 그렇지 않은 팀의 체감 차이가 클 가능성이 있어요.

• 컨테이너나 베이스 이미지도 같이 봐야 해요. 데비안 13 기반 이미지를 쓰는 서비스라면 호스트만 올리는 것으로 끝나지 않고, 빌드 파이프라인에서 베이스 이미지 재빌드까지 이어져야 실제 취약 패키지가 빠져요.