Debian 13.5 是穩定版發行版「trixie」的第五個小版本更新。此次更新整合了約 100 項 Debian 安全公告，並修復了超過 130 個原始碼套件的問題，涵蓋了從 Linux 核心和 Apache HTTP 伺服器到 OpenSSH、sudo、systemd、OpenSSL、glibc 和 FreeRDP 等各種元件。包含相同修復的全新安裝鏡像將隨後在常規下載位置發布。

執行 trixie 的系統管理員無需重新安裝。現有媒體仍然有效，並且已經從 security.debian.org 獲取更新的機器會發現 13.5 版本中的大部分補丁已經存在於磁碟上。

本次更新的主要內容包括：Apache 上游發布了新版本，修復了一個身份驗證繞過漏洞和一個釋放後使用漏洞；sudo 中修復了一個權限提升漏洞；systemd 中修復了一個 nspawn 容器逃逸漏洞；OpenSSH 中修復了多個影響 scp 和密鑰處理的漏洞；以及 FreeRDP3 的全面更新，解決了數十個密鑰處理的漏洞；以及 FreeRDP3 的全面性 CVE 漏洞。此外，由於 Thunderbird 140 已涵蓋了 dav4tbsync 的功能，因此軟體包已被撤銷。

多種軟體包校正

雜項錯誤修復部分涵蓋了一百多個原始碼包。 Apache HTTP 伺服器已遷移到新的上游穩定版本，該版本修復了釋放後使用漏洞 (CVE-2026-23918)、權限提升問題 (CVE-2026-24072)、身份驗證繞過漏洞 (CVE-2026-33006)、HTTP 回應越空漏洞以及多個指標

OpenSSH 收到了針對 setuid 和 setgid 位元相關的 scp 行為 (CVE-2026-35385)、命令執行缺陷 (CVE-2026-35386)、ECDSA 金鑰的 PubkeyAcceptedAlgorithms 和 HostbasedAcceptedAlgorgith 執行不完整處理代理程式的不完整(CVE-2026-35388) 以及 authorized_keys “principals” 選項 (CVE-2026-35414) 的修正。

sudo 修正了一個權限提升漏洞 (CVE-2026-35535)。 systemd 已遷移到新的上游穩定版本，並修復了 nspawn 容器逃脫漏洞 (CVE-2026-40226)、程式碼執行問題 (CVE-2026-40225 和 CVE-2026-4105) 以及凍結狀態漏洞 (CVE-2026-29111)。 glibc 軟體包修復了 DNS 回應處理錯誤 (CVE-2026-4437 和 CVE-2026-4438) 以及斷言失敗漏洞 (CVE-2026-4046)。

FreeRDP3 迎來了規模最大的單一軟體包更新之一，修復了數十個 CVE 漏洞，涵蓋釋放後使用、緩衝區溢位、越界讀取和拒絕服務攻擊等。 OpenSSL 軟體包也升級到了新的上游穩定版本。其他獲得安全或穩定性修復的值得關注的軟體包包括 curl、nginx、rsync、jq、jpeg-xl、libarchive、libcap2、sed、nano、exim4、dovecot 和 python3.13。

安全公告陸續發布

此次發布包含了大約一百條 Debian 安全公告。涉及的軟體包包括 Linux 核心、Chromium、Firefox ESR、Thunderbird、OpenSSL、OpenSSH、BIND 9、MediaWiki、GIMP、MuPDF、Pillow、Roundcube、Dovecot、Tor、OpenJDK 21、OpenJDKK 25、Apache HTTPS、Wires、OpenJDK。清單中出現了三個單獨的核心安全公告，反映了 Linux 在 trixie 週期內持續進行的維護工作。

安裝程序和基礎設施

Debian 安裝程式已重新構建，以包含此小版本更新中已納入穩定版的所有修復，包括將 Linux ABI 升級到 6.12.86+deb13。支援資料包已進行例行更新。 tzdata 軟體包已更新時區資料庫，並修正了不列顛哥倫比亞省的時區資訊；distro-info-data 軟體包新增了 Ubuntu 26.10 “Stonking Stingray” 的條目。 libdatetime-timezone-perl 軟體包已更新以符合新的 tzdata 資料庫。