--- title: "데비안 13.5 공개, 보안 패치와 안정화 수정이 한꺼번에 들어감" published: 2026-05-18T22:53:43.000Z canonical: https://jeff.news/article/3003 --- # 데비안 13.5 공개, 보안 패치와 안정화 수정이 한꺼번에 들어감 데비안 프로젝트가 안정 버전 데비안 13 ‘트릭시’의 다섯 번째 포인트 릴리스인 13.5를 공개했다. 새 버전이라기보다는 기존 데비안 13 패키지에 보안 수정과 심각한 버그 수정을 묶어 반영한 업데이트에 가깝다. - 데비안 13의 다섯 번째 포인트 릴리스인 13.5가 나옴 - 코드명은 여전히 트릭시임 - 핵심은 새 기능 추가가 아니라 보안 이슈 수정과 심각한 버그 수정 패키지를 안정 배포판에 반영한 것임 - 데비안 쪽이 강조한 포인트는 “이건 새 데비안 13이 아니다”라는 점임 - 기존 트릭시 설치 미디어를 버릴 필요 없음 - 설치 후 최신 데비안 미러를 바라보게 하고 패키지 업그레이드만 하면 현재 상태로 맞출 수 있음 - 보안 저장소를 평소에 잘 따라가던 서버라면 이번에 새로 받을 패키지가 많지 않을 수도 있음 - 이번 업데이트 목록은 서버 운영자가 바로 반응할 만한 패키지가 꽤 많음 - 아파치2는 유즈 애프터 프리, 권한 상승, 인증 우회, 응답 분할, 범위 밖 읽기 같은 취약점이 한꺼번에 수정됨 - 엔진엑스도 버퍼 오버플로, 세션 인증 문제, 오시에스피 결과 우회 같은 보안 수정이 들어감 - 오픈에스에스에이치는 에스시피 전송 파일의 setuid·setgid 처리, 명령 실행 이슈, 키 알고리즘 적용 문제 등이 고쳐짐 - 오픈에스에스엘은 새 안정 업스트림 릴리스가 반영됨 > [!IMPORTANT] > 웹 서버, 원격 접속, 암호화 라이브러리, 시스템 초기화 계층이 모두 업데이트 대상임. 데비안 13 기반 서버를 운영 중이면 “언젠가”가 아니라 이번 패치 윈도에 넣는 게 맞음. - 시스템 계층 쪽 수정도 가볍지 않음 - 시스템디는 새 안정 업스트림 릴리스와 함께 코드 실행 이슈, 엔스폰의 호스트 탈출 이슈, 멈춤·어서션 문제 수정이 포함됨 - 글립시 쪽은 디엔에스 응답 처리, 잘못된 호스트명 반환, 널 포인터 역참조 같은 문제가 고쳐짐 - 리눅스 커널 계열 보안 업데이트도 여러 보안 공지에 포함돼 있음 - 개발 런타임과 도구 패키지도 대거 손봤음 - 파이썬 3.13은 헤더 인젝션, 서비스 거부, 타르·집 처리 검증, 감사 훅 누락, 스택 오버플로 등 여러 취약점 수정이 들어감 - 노드제이에스, 루비 랙, 오픈제이디케이 21·25, 피에이치피 8.4도 보안 공지 목록에 포함됨 - 깃 엘에프에스, 제이큐, 컴포저, 노드 타르 같은 개발 도구도 임의 파일 쓰기, 명령 주입, 경로 탈출 류의 수정이 있음 - 데비안 인스톨러도 이번 안정 업데이트 내용을 포함하도록 갱신됨 - 리눅스 에이비아이는 6.12.86+deb13 쪽으로 올라감 - 새 설치 이미지는 일반 배포 위치에 곧 올라올 예정이라고 안내됨 - 제거된 패키지도 하나 있음 - dav4tbsync는 선더버드 140으로 대체됐다는 이유로 제거됨 - 운영 자동화에서 해당 패키지를 직접 잡고 있던 경우라면 의존성이나 설치 스크립트 확인이 필요함 --- ## 기술 맥락 - 데비안의 포인트 릴리스는 “운영체제 업그레이드”라기보다 안정 배포판에 쌓인 보안·버그 수정 패키지를 정리해 배포하는 방식이에요. 그래서 운영팀 입장에서는 재설치보다 패키지 업그레이드 계획에 가깝고, 기존 트릭시 미디어를 버릴 필요가 없다고 못 박은 이유도 여기에 있어요. - 이번 릴리스가 눈에 띄는 건 수정 범위가 애플리케이션 패키지에만 머물지 않기 때문이에요. 글립시, 시스템디, 오픈에스에스엘, 오픈에스에스에이치, 웹 서버 패키지까지 들어가면 런타임·부팅·네트워크·원격 접속 경로 전반에 영향이 생기거든요. - 보안 저장소를 꾸준히 적용하던 시스템은 변경량이 작을 수 있어요. 데비안 보안팀이 이미 별도 공지로 배포한 업데이트들이 이번 안정 릴리스에 합쳐진 구조라서, 평소 패치 루틴이 잘 잡힌 팀과 그렇지 않은 팀의 체감 차이가 클 가능성이 있어요. - 컨테이너나 베이스 이미지도 같이 봐야 해요. 데비안 13 기반 이미지를 쓰는 서비스라면 호스트만 올리는 것으로 끝나지 않고, 빌드 파이프라인에서 베이스 이미지 재빌드까지 이어져야 실제 취약 패키지가 빠져요. ## 핵심 포인트 - 데비안 13.5는 새 메이저 버전이 아니라 안정 배포판 패키지 업데이트 묶음 - 아파치, 엔진엑스, 오픈에스에스엘, 오픈에스에스에이치, 시스템디, 파이썬 3.13 등 주요 패키지 보안 수정 포함 - 보안 저장소를 꾸준히 따라간 시스템은 추가로 업데이트할 패키지가 많지 않을 가능성이 큼 - 기존 설치본은 미러만 최신으로 잡고 패키지 업그레이드하면 됨 ## 인사이트 서버 운영하는 입장에서는 ‘새 기능’보다 이런 포인트 릴리스가 더 중요할 때가 많음. 특히 웹 서버, 원격 접속, 런타임, 컨테이너 주변 패키지가 줄줄이 들어가 있어서 데비안 13 쓰는 팀은 업데이트 창을 잡아야 할 타이밍임.