Eigentlich sollte am 6. April das nächste Point-Release des Projekts auf die Version Debian 12.6 »Bookworm« erfolgen. Die letzte Aktualisierung erfolgte am 11. Februar.

Debian-Entwickler Adam Barratt hat vor zwei Tagen das für den 6.4. geplante Update auf Debian 12.6 verschoben, ohne dafür einen neuen Termin zu nennen. Grund ist CVE-2024-3094. Die kritische Sicherheitslücke, bei der ein böswilliger Akteur Tarballs des xz Kompressionstools mit einer Hintertür versehen hat, die den SSH-Fernzugriff ohne Authentifizierung ermöglicht, betraf unter anderem auch Debian Testing und Unstable. Bisher gibt es keinen Anhaltspunkt dafür, dass Debian Stable von der Lücke betroffen ist.

Trotzdem haben die Debian Entwickler beschlossen, eine gründliche Untersuchung durchzuführen, um weitere mögliche Auswirkungen auf das umfangreiche Debian-Repository auszuschließen. Damit wird Debian seinem Ruf gerecht, Stabilität und Sicherheit über alles andere zu stellen. Debian 12.6 wird also, in bester Debian-Tradition, erst freigegeben, wenn es fertig ist.