Debian 13.6: saiba como se proteger do certificado Secure Boot expirado, entenda o rollback do GeoIP e veja o passo a passo para atualizar seu sistema sem riscos.
O Debian 13.6 acaba de ser lançado — e traz consigo uma mistura de correções críticas, uma controvérsia inesperada e, acima de tudo, um aviso urgente para quem usa Secure Boot.
Lançado em 11 de julho de 2026, este é o sexto ponto de atualização da distribuição estável Debian 13 “Trixie”.
E embora não seja uma nova versão do sistema, ele contém correções que podem literalmente salvar seu computador de não ligar mais.
O grande destaque — e o motivo pelo qual você deve ler este post até o fim — é a expiração do certificado UEFI Secure Boot de 2013, que pode deixar milhões de máquinas incapazes de inicializar com o Secure Boot ativado.
Se você usa Debian em um PC moderno, continue lendo. Sua área de trabalho pode depender disso.
O que mudou no Debian 13.6?
O Debian 13.6 não é uma revolução. É uma atualização pontual (“point release”) que reúne correções de segurança, ajustes de estabilidade e algumas mudanças específicas em pacotes importantes.
No total, são cerca de 120 atualizações de segurança e 124 correções de bugs, abrangendo desde o núcleo do sistema até aplicativos do dia a dia.
Entre os pacotes atualizados estão:
- Linux kernel — múltiplos avisos de segurança
- Nginx, Redis, FFmpeg — servidores e ferramentas multimídia
- Thunderbird, Chromium — navegador e cliente de e-mail
- PHP, Apache2, curl — pilha web
- QEMU — 25 correções de segurança
- Python 3.13, OpenSSL, GnuTLS, libgcrypt — bibliotecas críticas
Se você já mantém seu sistema atualizado via security.debian.org, a maioria dessas correções já está instalada. O Debian 13.6 apenas consolida tudo em uma imagem de instalação atualizada para novos usuários.
Por que o Secure Boot pode quebrar o seu computador ?
O problema do certificado expirado
Aqui está o ponto mais crítico deste lançamento. Em 2013, a UEFI Secure Boot instalou um certificado padrão em praticamente todos os PCs modernos.
Esse certificado era usado para assinar os bootloaders — os programas que iniciam seu sistema operacional.
Pois bem: esse certificado expirou.
Se você tem um PC comprado nos últimos anos, é quase certo que ele possui esse certificado instalado.
Com a expiração, futuras atualizações do pacote shim-signed (que gerencia a assinatura do bootloader) podem deixar seu sistema incapaz de bootar com o Secure Boot ativado.
Em outras palavras: você pode dar um apt upgrade amanhã e, ao reiniciar, se deparar com uma tela preta. Seu PC não liga mais.
A solução: fwupd 2.0.20
Para resolver isso, o Debian 13.6 inclui a versão 2.0.20 do fwupd — o firmware updater. Esta nova versão permite atualizar três componentes críticos do Secure Boot:
1. CA (Certificate Authority) — a autoridade certificadora raiz
2. KEK (Key Exchange Key) — a chave de troca de chaves
3. DBX — a base de dados de revogação
O pacote shim também foi atualizado para uma nova versão, com o nível de revogação SBAT ajustado para 2025021800.
O que você precisa fazer AGORA
A Debian recomenda fortemente que todos os usuários apliquem as atualizações de CA, KEK e DBX fornecidas pelo fabricante do sistema (OEM).
Passos práticos:
1. Atualize o sistema imediatamente: sudo apt update && sudo apt upgrade
2. Verifique se o fwupd foi atualizado para a versão 2.0.20
3. Execute o fwupd para aplicar as atualizações de firmware: sudo fwupdmgr refresh && sudo fwupdmgr update
4. Consulte a documentação oficial da Debian sobre Secure Boot
Se você pular essas etapas, corre o risco real de seu sistema não bootar após futuras atualizações do shim-signed. Não deixe para depois.
O que aconteceu com o GeoIP ?
O rollback para 2019
Uma mudança que gerou bastante burburinho foi o revertimento do pacote geoip-database para uma versão de dezembro de 2019.
O motivo? Licenciamento. As versões mais recentes do banco de dados GeoLite (da MaxMind) não são compatíveis com as Debian Free Software Guidelines (DFSG). Em outras palavras: o Debian não pode mais distribuí-las por questões de licenciamento.
O impacto para você
Se você usa o GeoIP para:
- Logs de acesso com geolocalização
- Análise de tráfego por país
- Ferramentas de segurança que dependem de localização IP
...seus dados agora estão desatualizados em quase 7 anos. Países podem ter mudado de nome, blocos de IP podem ter sido realocados — a precisão será comprometida.
O que fazer
A Debian recomenda que consumidores deste dado obtenham uma licença GeoLite diretamente com a MaxMind e parem de depender do pacote geoip-database.
Alternativas:
- Obter uma licença gratuita da MaxMind (ainda disponível para uso não. comercial)
- Migrar para outras fontes de geolocalização IP, como IP2Location ou DB-IP.
- Aceitar a imprecisão se seu caso de uso não for crítico.
Outras correções importantes
Apache2
- Use-after-free
- Cross-site scripting (XSS).
- Buffer overflows.
- Negação de serviço (DoS).
- Leitura fora dos limites.
curl
- Vazamento de tokens Bearer em redirecionamentos.
- Reuso incorreto de cache de certificados.
- Reuso de conexões entre sessões.
- Use-after-free no código SMB.
Outros pacotes
- Calibre — correções para extração insegura de e-books e SSRF
- Beets — vulnerabilidade XSS
- Python 3.13 — injeção CR/LF, path traversal, SSRF
- NSS — melhoria no parsing de URIs
libcrypt-pbkdf2-perl — agora usa HMAC-SHA256 e comparação em tempo constante.
Como atualizar para o Debian 13.6
Se você já tem o Debian 13 instalado, a atualização é simples:
sudo apt update sudo apt upgrade
Os usuários que mantêm o sistema atualizado via security.debian.org terão poucos pacotes novos — a maioria das correções já foi entregue gradualmente.
Para novas instalações, as imagens atualizadas já estão disponíveis nos espelhos oficiais.
Atenção: se você usa Secure Boot, não se limite a apenas atualizar os pacotes. Execute também as atualizações de firmware via fwupd conforme orientado acima.
Perguntas frequentes (FAQ)
1. O Debian 13.6 é uma nova versão do sistema ?
Não. O Debian 13.6 é apenas um ponto de atualização (point release) do Debian 13 “Trixie”. Ele reúne correções de segurança e ajustes de estabilidade já disponíveis nos repositórios.
Não é necessário baixar uma nova imagem se você já tem o Debian 13 instalado — basta atualizar com apt.
2. Meu computador vai parar de funcionar se eu não atualizar o Secure Boot ?
Possivelmente sim. O certificado UEFI Secure Boot de 2013 expirou. Futuras atualizações do shim-signed podem deixar seu sistema incapaz de bootar com o Secure Boot ativado. A Debian recomenda aplicar as atualizações de CA, KEK e DBX o quanto antes.
3. O que devo fazer se dependo do GeoIP para meu trabalho ?
O pacote geoip-database agora contém dados de dezembro de 2019. Se você precisa de geolocalização IP precisa, obtenha uma licença GeoLite diretamente da MaxMind ou migre para outra fonte de dados.
O Debian não pode mais distribuir as versões recentes por questões de licenciamento.
Conclusão: sua ação agora faz a diferença
O Debian 13.6 é um lembrete de que segurança não é um evento único — é um processo contínuo. A expiração do certificado Secure Boot de 2013 é exatamente o tipo de problema silencioso que pode pegar todo mundo desprevenido.
Mas você não precisa ser uma vítima.
Faça agora:
- Atualize o seu sistema com sudo apt update && sudo apt upgrade.
- Execute o fwupd para atualizar o firmware: sudo fwupdmgr refresh && sudo fwupdmgr update.
- Verifique a sua dependência do GeoIP e, se necessário, busque uma licença direta.
- Compartilhe este post com outros usuários de Debian — especialmente aqueles que podem não saber do risco do Secure Boot.

Nenhum comentário:
Postar um comentário