Здесь собраны расшифровки обновлений ядра Debian. Я перевожу сухие технические отчёты на человеческий язык, чтобы было понятно, какие дыры закрыты, какой функционал добавлен и насколько критичен очередной платёж временем на установку обновлений. Статья обновляется по мере выхода свежих патчноутов.
Источник: справа ссылка - Debian журнал изменений
Или через консоль на сервере:
apt-get changelog linux-image-amd64
Версия 6.12.94+1 (2026-06-20)
linux-signed-amd64 (6.12.94+1) trixie-security; urgency=high
* Sign kernel from linux 6.12.94-1
* Key stable updates (6.12.91 & 6.12.92):
- erofs: avoid infinite loops due to corrupted subpage compact indexes (CVE-2025-68251)
- btrfs: fix deadlock between reflink and transaction commit (flushoncommit)
- mptcp: fix ADD_ADDR ID 0 handling and refcount leaks (CVE-2026-46158, CVE-2026-46170)
- ksmbd: validate handle owner on reconnect and fix SID leaks (CVE-2026-31717)
- smb: client: fix OOB reads parsing symlink error response (CVE-2026-31613)
- bridge: mrp: reject zero test interval to avoid OOM (CVE-2026-31420)
- nf_tables: unconditionally bump set->nelems before insertion (CVE-2026-23272)
- dm-cache: fix null-deref and write hang in passthrough mode
- md/raid1: fix the comparing region of interval tree
- scsi: target: core: fix integer overflow in UNMAP bounds check
- drm/amdgpu: disable user_fence for VCN/JPEG rings to prevent hangs
Разбор версии
Этот колоссальный апдейт с пометкой urgency=high охватывает практически все аспекты работы системы. Список изменений настолько велик, что он затрагивает сотни драйверов и десятки сетевых протоколов.
Главное в этом выпуске:
- 🛡 Безопасность и критические исправления (CVE):
- EROFS (CVE-2025-68251): Исправлено опасное зависание ядра (бесконечный цикл) при чтении битых образов.
- SMB/CIFS & Ksmbd (CVE-2026-31613, CVE-2026-31717): Целый каскад фиксов для сетевой памяти. Исправлены чтения за пределами буфера при работе с симлинками и утечки SID, а также защищена процедура переподключения к серверу.
- MPTCP (CVE-2026-46158, CVE-2026-46170): Устранены утечки памяти в многопутевом TCP, которые могли привести к отказу в обслуживании.
- Netfilter (CVE-2026-23272): Исправлена логика вставки элементов в сеты, что предотвращает гонки данных в фаерволе.
- 💾 Файловые системы и хранилища:
- Btrfs: Решён дедлок (взаимная блокировка), возникавший при создании рефлинков. Также исправлен учёт квот (squota).
- RAID1 & MD: Исправлена ошибка сравнения регионов в дереве интервалов, что критично для целостности данных.
- Netfs: Огромный блок фиксов для предотвращения зависаний в режиме
write-throughи защиты потоковой записи от перезаписи. - NTFS3: Введена корректная обработка ошибок масштабирования при обрезке (truncate) файлов.
- 🌐 Сети и связь:
- Bluetooth: Исправлены критические "гонки" и утечки памяти (
use-after-free) в интерфейсах HCI и L2CAP. Исправлена передача некорректно упакованных данных. - TCP/UDP: Добавлены аннотации для защиты от гонок в статистике пакетов и исправлена ошибка переполнения в
waitid.
- Bluetooth: Исправлены критические "гонки" и утечки памяти (
- 🎮 Графика и Мультимедиа:
- AMD Radeon: Для повышения стабильности принудительно отключены пользовательские фенсы (
no_user_fence) для видеокодеров VCN и JPEG на всех современных чипах. - Intel Xe & i915: Исправлены утечки очередей и ошибки передачи динамического диапазона (VSC) для мониторов.
- AMD Radeon: Для повышения стабильности принудительно отключены пользовательские фенсы (
- ⚙️ Архитектура и планировщик:
- Deadline Scheduler: Исправлено поведение «застрявших» задач и логика работы планировщика перед отключением ядер процессора (hotplug).
Рекомендации по эксплуатации:
Обновление обязательно к немедленной установке. Оно закрывает целый каскад уязвимостей и исправляет фундаментальные ошибки в подсистемах RAID, Wi-Fi (ath11k/ath10k) и Bluetooth. Затраты времени на перезагрузку сервера здесь – залог безопасности ваших данных.
Версия 6.12.90+2 (2026-05-27)
linux-signed-amd64 (6.12.90+2) trixie-security; urgency=high
* Sign kernel from linux 6.12.90-2
* smb: client: reject userspace cifs.spnego descriptions
* net/rds: reset op_nents when zerocopy page pin fails (CVE-2026-43494)
Разбор версии
Этот минорный, но крайне важный апдейт с пометкой urgency=high направлен на «точечное» закрытие опасных дыр в сетевых протоколах и механизмах передачи данных.
Главное в этом выпуске:
- 🛡 Безопасность (CVE-2026-43494): Исправлена серьёзная ошибка в протоколе RDS (Reliable Datagram Sockets). Проблема возникала при сбое передачи данных напрямую через память (zerocopy). Патч исправляет некорректный сброс счётчиков, который мог привести к «падению» ядра или его дестабилизации.
- 📂 Работа с сетевыми дисками (SMB): Внесён запрет в клиентскую часть SMB. Теперь ядро жёстко отклоняет подозрительные описания аутентификации (
cifs.spnego), приходящие от пользовательских приложений. Это закрывает лазейку для потенциальных атак через подмену данных механизма входа.
Рекомендации по эксплуатации:
Несмотря на малый список правок, апдейт критический. Если система активно работает с сетевыми папками или высоконагруженными сетевыми протоколами, обновиться и перезагрузиться нужно незамедлительно. Этот платёж временем оправдан безопасностью твоих данных.
Версия 6.12.90+1 (2026-05-22)
linux-signed-amd64 (6.12.90+1) trixie-security; urgency=high
* Sign kernel from linux 6.12.90-1
* New upstream stable update:
https://www.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.89
https://www.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.90
- HID: playstation: Clamp num_touch_reports
- media: uvcvideo: Enable VB2_DMABUF for metadata stream
- [arm64] dts: lx2160a-cex7/lx2162a-sr-som: fix usd-cd & gpio pinmux
- [arm64] regulator: mt6357: fix OF node reference imbalance
- [arm64,armhf] regulator: rk808: fix OF node reference imbalance
- media: videobuf2: Set vma_flags in vb2_dma_sg_mmap
- [amd64] media: intel/ipu6: fix error pointer dereference
- media: saa7164: add ioremap return checks and cleanups
- spi: aspeed-smc: fix controller deregistration
- [amd64] platform/x86: hp-wmi: Ignore backlight and FnLock events
- vsock/virtio: fix MSG_PEEK ignoring skb offset when calculating bytes to
copy
- [arm64] drm/msm/gem: fix error handling in
msm_ioctl_gem_info_get_metadata()
- [amd64] drm/i915/psr: Init variable to avoid early exit from et alignment
loop
- drm/amdkfd: Clear VRAM on allocation to prevent stale data exposure
- drm/amdgpu: Use SMUIO 15.0.0 offsets for TSC upper and lower count.
- drm/amdgpu: gate VM CPU HDP flush on reset lock
- drm/amd/pm: fix incorrect FeatureCtrlMask setting on smu v14.0.x
- drm/amdkfd: Add upper bound check for num_of_nodes
- drm/amdgpu: Add bounds checking to ib_{get,set}_value
- drm/amdgpu/vcn4: Prevent OOB reads when parsing IB
- drm/amdgpu/vce: Prevent partial address patches
- drm/amdgpu/vcn4: Prevent OOB reads when parsing dec msg
- drm/amdgpu/vcn3: Prevent OOB reads when parsing dec msg
- drm/amd/display: Change dither policy for 10 bpc output back to dithering
- drm/gem: Fix inconsistent plane dimension calculation in
drm_gem_fb_init_with_funcs()
- drm/amdkfd: validate SVM ioctl nattr against buffer size
- drm/xe/bo: Fix bo leak on GGTT flag validation in xe_bo_init_locked()
- drm/xe: Fix dma-buf attachment leak in xe_gem_prime_import()
- drm/xe/bo: Fix bo leak on unaligned size validation in xe_bo_init_locked()
- drm/radeon: add missing revision check for CI
- drm/amdgpu: zero-initialize GART table on allocation
- drm/panel: himax-hx83102: restore MODE_LPM after sending disable cmds
- drm/amdgpu/gfx9: drop unnecessary 64-bit fence flag check in KIQ
- drm/panel: boe-tv101wum-nl6: restore MODE_LPM after sending disable cmds
- drm/amdkfd: Make all TLB-flushes heavy-weight
- drm/amdgpu/sdma4: replace BUG_ON with WARN_ON in fence emission
- drm/amdgpu/pm: add missing revision check for CI
- drm/amdgpu/pm: align Hawaii mclk workaround with radeon
- [arm64] dts: ti: k3-am62a7-sk: Fix pin name in comment from M19 to N22
- sctp: revalidate list cursor after sctp_sendmsg_to_asoc() in SCTP_SENDALL
- batman-adv: fix integer overflow on buff_pos
- batman-adv: reject new tp_meter sessions during teardown
- batman-adv: stop caching unowned originator pointers in BAT IV
- batman-adv: bla: prevent use-after-free when deleting claims
- batman-adv: bla: only purge non-released claims
- batman-adv: bla: put backbone reference on failed claim hash insert
- usb: typec: tcpm: reset internal port states on soft reset AMS
- usb: dwc3: Move GUID programming after PHY initialization
- ALSA: hda: cs35l56: Propagate ASP TX source control errors
- ALSA: misc: Use guard() for spin locks
- ALSA: core: Serialize deferred fasync state checks
- ALSA: seq: Notify client and port info changes
- ALSA: seq: Fix UMP group 16 filtering
- Bluetooth: hci_conn: fix potential UAF in create_big_sync
- [arm64,armhf] spi: tegra20-sflash: fix controller deregistration
- [arm64,armhf] spi: tegra114: fix controller deregistration
- mm/hugetlb_cma: round up per_node before logging it
- block: cleanup blkdev_report_zones()
- block: reorganize struct blk_zone_wplug
- block: fix zone write plug removal
- tracefs: Fix default permissions not being applied on initial mount
- fbcon: Avoid OOB font access if console rotation fails
- mm/damon/core: disallow time-quota setting zero esz
- mm/damon/core: implement damon_kdamond_pid()
- mm/damon/lru_sort: detect and use fresh enabled and kdamond_pid values
- mm/damon/reclaim: detect and use fresh enabled and kdamond_pid values
- bonding: fix use-after-free due to enslave fail after slave array update
(CVE-2026-23171)
- io_uring/kbuf: support min length left for incremental buffers
- Bluetooth: L2CAP: Fix null-ptr-deref in l2cap_sock_get_sndtimeo_cb()
- btrfs: remove fs_info argument from btrfs_sysfs_add_space_info_type()
- btrfs: fix double free in create_space_info_sub_group() error path
- btrfs: fix btrfs_ioctl_space_info() slot_count TOCTOU which can lead to
info-leak
- tracing/probes: Limit size of event probe to 3K
- batman-adv: stop tp_meter sessions during mesh teardown
- batman-adv: tp_meter: fix tp_num leak on kmalloc failure
- vsock: fix buffer size clamping order
- vsock/virtio: fix length and offset in tap skb for split packets
- vsock/virtio: fix empty payload in tap skb for non-linear buffers
- vsock/virtio: fix accept queue count leak on transport mismatch
- drm/amdgpu/vcn3: Avoid overflow on msg bound check
- drm/amdgpu/vcn4: Avoid overflow on msg bound check
[ Salvatore Bonaccorso ]
* Bluetooth: btmtk: accept too short WMT FUNC_CTRL events (Closes: #1136790)
* net: skbuff: preserve shared-frag marker during coalescing (CVE-2026-46300)
* net: skbuff: propagate shared-frag marker through frag-transfer helpers
-- Salvatore Bonaccorso <carnil@debian.org> Fri, 22 May 2026 21:01:16 +0200
Разбор версии
Этот апдейт имеет статус urgency=high, что означает высокую критичность. В его основе лежат стабильные обновления веток 6.12.89 и 6.12.90. Основной упор сделан на устранение серьёзных уязвимостей и ошибок, которые могли привести к утечке данных или падению системы.
Главное в этом выпуске:
- 🛡 Безопасность (CVE): Исправлена опасная уязвимость в сетевом стеке (CVE-2026-46300), связанная с обработкой фрагментов пакетов, а также уязвимость в драйвереbonding (CVE-2026-23171), которая могла вызвать «краш» системы (use-after-free).
- 🎮 Графика и видео (drm/amd/intel/xe): Огромный пакет правок для видеокарт AMD. Исправлены утечки памяти (VRAM) при аллокации – теперь старые данные из видеопамяти надёжно затираются, что исключает утечку важной информации. Исправлены выходы за пределы буфера (OOB) в видеодекодерах VCN, что делает воспроизведение видео стабильнее.
- 🌐 Сети: Большое количество исправлений для протокола
batman-adv(защита от переполнения целых чисел и некорректного использования памяти). Исправлены ошибки в работеvsockиvirtio, что критично для тех, кто использует виртуализацию и контейнеры. - 💾 Файловая система Btrfs: Устранена ошибка «двойного освобождения» памяти и исправлена уязвимость
TOCTOU, которая могла привести к утечке системной информации. - 🔊 Звук и USB: Исправлены логические ошибки в драйверах ALSA и чистках портов USB Type-C при сбросах.
- 🧠 Оперативная память: Улучшена работа механизмов
DAMON(мониторинг доступа к памяти), что позволяет системе точнее управлять оперативной памятью под нагрузкой.
Рекомендации по эксплуатации:
Данное обновление классифицируется как критическое (urgency=high) и является обязательным к установке. Патч устраняет уязвимости в сетевом стеке и драйверах управления памятью видеокарт, которые могли быть использованы для несанкционированного доступа к данным или дестабилизации работы системы.
Затраты времени на установку обновления и перезагрузку сервера необходимы для минимизации рисков безопасности и обеспечения стабильной работы ядра. Особое внимание на обновление следует обратить администраторам систем, использующих графические ускорители AMD и средства виртуализации, так как в текущей сборке исправлены критические ошибки распределения ресурсов в этих компонентах.