FERRAMENTAS LINUX: Debian 13.6: Como se proteger do certificado Secure Boot expirado mesmo anos depois

segunda-feira, 13 de julho de 2026

Debian 13.6: Como se proteger do certificado Secure Boot expirado mesmo anos depois

 


Debian 13.6: saiba como se proteger do certificado Secure Boot expirado, entenda o rollback do GeoIP e veja o passo a passo para atualizar seu sistema sem riscos.


O Debian 13.6 acaba de ser lançado — e traz consigo uma mistura de correções críticas, uma controvérsia inesperada e, acima de tudo, um aviso urgente para quem usa Secure Boot.

 Lançado em 11 de julho de 2026, este é o sexto ponto de atualização da distribuição estável Debian 13 “Trixie”

E embora não seja uma nova versão do sistema, ele contém correções que podem literalmente salvar seu computador de não ligar mais.

O grande destaque — e o motivo pelo qual você deve ler este post até o fim — é a expiração do certificado UEFI Secure Boot de 2013, que pode deixar milhões de máquinas incapazes de inicializar com o Secure Boot ativado. 

Se você usa Debian em um PC moderno, continue lendo. Sua área de trabalho pode depender disso.


O que mudou no Debian 13.6? 


O Debian 13.6 não é uma revolução. É uma atualização pontual (“point release”) que reúne correções de segurança, ajustes de estabilidade e algumas mudanças específicas em pacotes importantes. 

No total, são cerca de 120 atualizações de segurança e 124 correções de bugs, abrangendo desde o núcleo do sistema até aplicativos do dia a dia.


Entre os pacotes atualizados estão:


  • Linux kernel — múltiplos avisos de segurança
  • Nginx, Redis, FFmpeg — servidores e ferramentas multimídia
  • Thunderbird, Chromium — navegador e cliente de e-mail
  • PHP, Apache2, curl — pilha web
  • QEMU — 25 correções de segurança
  • Python 3.13, OpenSSL, GnuTLS, libgcrypt — bibliotecas críticas


Se você já mantém seu sistema atualizado via security.debian.org, a maioria dessas correções já está instalada. O Debian 13.6 apenas consolida tudo em uma imagem de instalação atualizada para novos usuários.



Por que o Secure Boot pode quebrar o seu computador ? 


O problema do certificado expirado 


Aqui está o ponto mais crítico deste lançamento. Em 2013, a UEFI Secure Boot instalou um certificado padrão em praticamente todos os PCs modernos. 

Esse certificado era usado para assinar os bootloaders — os programas que iniciam seu sistema operacional.


Pois bem: esse certificado expirou.


Se você tem um PC comprado nos últimos anos, é quase certo que ele possui esse certificado instalado. 

Com a expiração, futuras atualizações do pacote shim-signed (que gerencia a assinatura do bootloader) podem deixar seu sistema incapaz de bootar com o Secure Boot ativado.

Em outras palavras: você pode dar um apt upgrade amanhã e, ao reiniciar, se deparar com uma tela preta. Seu PC não liga mais.


A solução: fwupd 2.0.20 


Para resolver isso, o Debian 13.6 inclui a versão 2.0.20 do fwupd — o firmware updater. Esta nova versão permite atualizar três componentes críticos do Secure Boot:


  1. CA (Certificate Authority) — a autoridade certificadora raiz

  2. KEK (Key Exchange Key) — a chave de troca de chaves

  3. DBX — a base de dados de revogação


O pacote shim também foi atualizado para uma nova versão, com o nível de revogação SBAT ajustado para 2025021800.



O que você precisa fazer AGORA 


A Debian recomenda fortemente que todos os usuários apliquem as atualizações de CA, KEK e DBX fornecidas pelo fabricante do sistema (OEM).


Passos práticos:


    1.  Atualize o sistema imediatamente: sudo apt update && sudo apt upgrade

    2. Verifique se o fwupd foi atualizado para a versão 2.0.20

    3. Execute o fwupd para aplicar as atualizações de firmware: sudo fwupdmgr refresh && sudo fwupdmgr update

    4. Consulte a documentação oficial da Debian sobre Secure Boot


Se você pular essas etapas, corre o risco real de seu sistema não bootar após futuras atualizações do shim-signed. Não deixe para depois.


O que aconteceu com o GeoIP ? 


O rollback para 2019 

Uma mudança que gerou bastante burburinho foi o revertimento do pacote geoip-database para uma versão de dezembro de 2019.

O motivo? Licenciamento. As versões mais recentes do banco de dados GeoLite (da MaxMind) não são compatíveis com as Debian Free Software Guidelines (DFSG). Em outras palavras: o Debian não pode mais distribuí-las por questões de licenciamento.


O impacto para você 


Se você usa o GeoIP para:


  • Logs de acesso com geolocalização

  • Análise de tráfego por país

  • Ferramentas de segurança que dependem de localização IP


...seus dados agora estão desatualizados em quase 7 anos. Países podem ter mudado de nome, blocos de IP podem ter sido realocados — a precisão será comprometida.


O que fazer 


A Debian recomenda que consumidores deste dado obtenham uma licença GeoLite diretamente com a MaxMind e parem de depender do pacote geoip-database.


Alternativas:


  • Obter uma licença gratuita da MaxMind (ainda disponível para uso não. comercial)

  • Migrar para outras fontes de geolocalização IP, como IP2Location ou DB-IP.

  • Aceitar a imprecisão se seu caso de uso não for crítico.


Outras correções importantes 


Além do Secure Boot e do GeoIP, o Debian 13.6 traz uma enxurrada de correções em pacotes amplamente usados:

Apache2



Mais de 13 falhas corrigidas, incluindo:

  • Use-after-free
  • Cross-site scripting (XSS).
  • Buffer overflows.
  • Negação de serviço (DoS).
  • Leitura fora dos limites.


curl


13 correções, abordando:

  • Vazamento de tokens Bearer em redirecionamentos.
  • Reuso incorreto de cache de certificados.
  • Reuso de conexões entre sessões.
  • Use-after-free no código SMB.


Outros pacotes



  • Calibre — correções para extração insegura de e-books e SSRF
  • Beets — vulnerabilidade XSS
  • Python 3.13 — injeção CR/LF, path traversal, SSRF
  • NSS — melhoria no parsing de URIs

libcrypt-pbkdf2-perl — agora usa HMAC-SHA256 e comparação em tempo constante.


Como atualizar para o Debian 13.6 


Se você já tem o Debian 13 instalado, a atualização é simples:

bash
sudo apt update
sudo apt upgrade


Os usuários que mantêm o sistema atualizado via security.debian.org terão poucos pacotes novos — a maioria das correções já foi entregue gradualmente.

Para novas instalações, as imagens atualizadas já estão disponíveis nos espelhos oficiais.

Atenção: se você usa Secure Boot, não se limite a apenas atualizar os pacotes. Execute também as atualizações de firmware via fwupd conforme orientado acima.



Perguntas frequentes (FAQ) 


1. O Debian 13.6 é uma nova versão do sistema ?


Não. O Debian 13.6 é apenas um ponto de atualização (point release) do Debian 13 “Trixie”. Ele reúne correções de segurança e ajustes de estabilidade já disponíveis nos repositórios. 

Não é necessário baixar uma nova imagem se você já tem o Debian 13 instalado — basta atualizar com apt.


2. Meu computador vai parar de funcionar se eu não atualizar o Secure Boot ?


Possivelmente sim. O certificado UEFI Secure Boot de 2013 expirou. Futuras atualizações do shim-signed podem deixar seu sistema incapaz de bootar com o Secure Boot ativado. A Debian recomenda aplicar as atualizações de CA, KEK e DBX o quanto antes.


3. O que devo fazer se dependo do GeoIP para meu trabalho ?


O pacote geoip-database agora contém dados de dezembro de 2019. Se você precisa de geolocalização IP precisa, obtenha uma licença GeoLite diretamente da MaxMind ou migre para outra fonte de dados. 

O Debian não pode mais distribuir as versões recentes por questões de licenciamento.



Conclusão: sua ação agora faz a diferença



O Debian 13.6 é um lembrete de que segurança não é um evento único — é um processo contínuo. A expiração do certificado Secure Boot de 2013 é exatamente o tipo de problema silencioso que pode pegar todo mundo desprevenido. 

Mas você não precisa ser uma vítima.


Faça agora:


  • Atualize o seu sistema com sudo apt update && sudo apt upgrade.
  • Execute o fwupd para atualizar o firmware: sudo fwupdmgr refresh && sudo fwupdmgr update.
  • Verifique a sua dependência do GeoIP e, se necessário, busque uma licença direta.
  • Compartilhe este post com outros usuários de Debian — especialmente aqueles que podem não saber do risco do Secure Boot.


Nenhum comentário:

Postar um comentário