Debian 13 (Trixie) 内核安全更新指南：从 Copy Fail 提权漏洞说起

Debian 13 的默认内核

Debian 13（代号 Trixie）默认搭载 Linux 6.12 LTS 内核，相比 Debian 12 的 6.1 是一次跨越式升级。6.12 属于长期支持（LTS）内核，会持续接收安全补丁和 bug 修复，是稳定版的首选。

当前 trixie 主仓库中的内核版本为 6.12.73+deb13，而最新的点发布（如 Debian 13.4）则包含了更后的 patch 版本。

Copy Fail：一次严重的本地提权漏洞

2026 年披露的 CVE-2026-31431（又称 "Copy Fail"）是一个影响深远的本地提权漏洞：

• 允许本地用户可靠地获得 root 权限
• 影响范围极广，覆盖 2017 年以来的大量内核版本，包括 6.12 LTS
• 修复版本：6.12.85-1（Debian 13）、6.1.170-1（Debian 12）等

对于多用户服务器或任何可能被局部入侵的环境，这个漏洞的威胁等级不容忽视。

为什么你的服务器更新不到新内核？

很多用户发现，无论怎么 apt upgrade，内核始终停留在 6.12.73+deb13。这并非偶然，而是 Debian 仓库机制导致的常见问题。

关键原因：security 仓库与主仓库是分开的

修复 Copy Fail 的 6.12.85-1 只在 trixie-security 仓库中提供，不在主仓库 trixie 里。而 apt upgrade 通常不会自动引入 security 仓库中 ABI 版本变化的内核包——这时需要 apt full-upgrade。

更根本的是，如果你的 sources.list 里压根没有配置 trixie-security 源，那再怎么更新也拉不到修复版本。

trixie-security 是什么仓库？

Debian 把软件包分发到不同用途的仓库中：

trixie-security 的特点：

• 专供安全补丁——如 CVE-2026-31431 的修复就只在这里
• 不含功能性大更新，只做必要的安全修复，稳定性有保障
• 安全漏洞一旦被确认，修复包会优先推送到此仓库
• 独立于主仓库，所以仅执行 apt upgrade 经常拉不到新内核

修复步骤

1. 确认仓库配置

cat /etc/apt/sources.list /etc/apt/sources.list.d/*.list | grep -E 'security.debian.org|trixie-security'

应该看到类似输出：

deb https://security.debian.org/debian-security trixie-security main non-free-firmware

如果缺少，手动添加：

sudo tee -a /etc/apt/sources.list.d/security.list << EOF
deb https://security.debian.org/debian-security trixie-security main non-free-firmware
EOF

2. 更新并安装安全内核

sudo apt update
sudo apt full-upgrade

full-upgrade 是关键——内核 ABI 变化时，upgrade 不会自动处理新包的引入。

或者直接针对内核操作：

sudo apt install --only-upgrade linux-image-amd64

3. 重启并验证

sudo reboot

# 重启后
uname -r

应显示 6.12.85-1-amd64 或更高版本。

4. 排查其他可能原因

• APT Pinning：检查是否有优先级配置阻止更新
• Metapackage 缺失：确保安装了 linux-image-amd64（它会自动跟踪最新内核）
• 代理/镜像缓存：尝试 sudo apt clean && sudo apt update
• 依赖问题：尝试 sudo apt install -f

小结

Debian 的安全更新机制虽然严谨，但 security 仓库的独立性常常导致用户误以为系统已经安全——实际上关键补丁并未安装。如果你在 Debian 13 上运行着 6.12.73 或更早的内核，请务必检查 trixie-security 源是否已启用，并尽快通过 full-upgrade 拉取 CVE-2026-31431 的修复版本。

安全从来不是 "装完就完" 的事。