已結束官方支持的舊版本(如Debian 8 Jessie���、Debian 9 Stretch��、Debian 10 Buster)
這些版本不再接收官方安全更新�,存在大量未修復的漏洞(如遠程代碼執行�、內核提權��、輸入驗證錯誤等)���,是攻擊者的主要目標���。例如����,Debian 8 Jessie曾因Jetty漏洞(CVE-2016-6325)導致遠程命令行訪問權限泄露����;Debian 9 Stretch的Apache Tomcat組件存在遠程代碼執行漏洞(CVE-2016-8735)�;Debian 10 Buster的內核netfilter子系統存在雙重釋放漏洞(CVE-2024-1086)���,可被本地攻擊者提升權限��。
存在特定高危漏洞的版本(如Debian 11 Bullseye��、Debian 12 Bookworm的部分配置)
即使是當前穩定版或最新穩定版�����,若未及時應用安全補丁�����,仍可能因特定漏洞受到攻擊����。例如�����,Debian 11和Debian 12中的glibc靜態setuid程序存在dlopen代碼執行漏洞(CVE-2025-4802)�,攻擊者可通過構造惡意共享庫實現權限提升�;Debian 12的squashfs壓縮只讀文件系統存在任意文件寫入漏洞(CVE-2021-3819)�����,可被利用覆蓋系統文件�����。
未及時更新補丁的版本(無論新舊)
任何版本的Debian若未定期更新系統和軟件包���,都會面臨已知漏洞被利用的風險���。例如����,OpenSSL的“心臟出血”漏洞(CVE-2014-0160)影響了Debian 7 Wheezy及更早版本中2006年9月至2008年5月生成的密鑰�;即使在新版本中�����,若未安裝針對輸入驗證錯誤���、跨站腳本等漏洞的補丁��,仍可能被遠程攻擊者利用���。
