Publication de la mise à jour de Debian 11.4
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 11.4 press@debian.org
9 juillet 2022 https://www.debian.org/News/2022/20220709
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa
distribution stable Debian 11 (nom de code « Bullseye »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 11 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bullseye. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
apache2 Nouvelle version amont stable ; correction d'un
problème de dissimulation de requête HTTP
[CVE-2022-26377], problèmes de lecture hors limites
[CVE-2022-28330 CVE-2022-28614 CVE-2022-28615],
problèmes de déni de service [CVE-2022-29404
CVE-2022-30522], possible problème de lecture hors
limites [CVE-2022-30556], possible problème de
contournement d'authentification basée sur l'IP
[CVE-2022-31813]
base-files Mise à jour de /etc/debian_version pour cette
version 11.4
bash Correction d'une lecture hors limite d’un octet,
provoquant la corruption de caractères multi-octets
dans les substitutions de commande
clamav Nouvelle version amont stable ; correction de
sécurité [CVE-2022-20770 CVE-2022-20771
CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
cyrus-imapd Présence d'un champ <q>uniqueid</q> dans toutes les
boîtes aux lettres, corrigeant les mises à niveau
vers la version 3.6
dbus-broker Correction d'un problème de dépassement de tampon
[CVE-2022-31212]
debian-edu-config Acceptation d'un courriel du réseau local envoyé à
root@<mynetwork-names> ; création des principaux
d'hôte et de service de Kerberos s'ils n'existent
pas encore ; assurance que libsss-sudo est installé
sur les stations de travail itinérantes ;
correction du nommage et de la visibilité des files
d'impression ; prise en charge de krb5i sur les
stations de travail sans disque ; squid :
recherches DNSv4 préférées aux recherches DNSv6
debian-installer Reconstruction avec proposed-updates ; passage de
l'ABI du noyau Linux à la version 16 ;
rétablissement de certaines cibles réseau armel
(openrd)
debian-installer-netboot-images
Reconstruction avec proposed-updates ; passage de
l'ABI du noyau Linux à la version 16 ;
rétablissement de certaines cibles réseau armel
(openrd)
distro-info-data Ajout d'Ubuntu 22.10, Kinetic Kudu
docker.io Ordonnancement de docker.service après
containerd.service pour corriger l'arrêt de
conteneurs ; passage explicite du chemin du socket
containerd à dockerd pour assurer qu'il ne démarre
pas containerd tout seul
dpkg dpkg-deb : correction de conditions de fin de
fichier inattendues lors de l'extraction de .deb ;
libdpkg : pas de restriction des champs virtuels
source:* pour les paquets installés ;
Dpkg::Source::Package::V2 : correction systématique
des permissions des archives amont (régression
venue de DSA-5147-1]
freetype Correction d'un problème de dépassement de tampon
[CVE-2022-27404] ; correction de plantages
[CVE-2022-27405 CVE-2022-27406]
fribidi Correction de problèmes de dépassement de tampon
[CVE-2022-25308 CVE-2022-25309] ; correction de
plantage [CVE-2022-25310]
ganeti Nouvelle version amont ; correction de plusieurs
problèmes de mise à niveau ; correction de
migration en direct avec QEMU 4 et
<q>security_model</q> de <q>user</q> ou de
<q>pool</q>
geeqie Correction du Ctrl clic dans une sélection de bloc
gnutls28 Correction d'un mauvais calcul de SHA384 de SSSE3 ;
correction d'un problème de déréférencement de
pointeur NULL [CVE-2021-4209]
golang-github-russellhaering-goxmldsig
Correction d'un déréférencement de pointeur NULL
provoqué par des signatures XML contrefaites
[CVE-2020-7711]
grunt Correction d'un problème de traversée de
répertoires [CVE-2022-0436]
hdmi2usb-mode-switch
udev : ajout d'un suffixe aux nœuds de
périphériques /dev/video pour les désambiguïser ;
modification des règles udev à la priorité 70 pour
qu'elles surviennent après 60-persistent-v4l.rules
hexchat Ajout d'une dépendance manquante à
python3-cffi-backend
htmldoc Correction de boucle infinie [CVE-2022-24191], de
problèmes de dépassement d'entier [CVE-2022-27114]
et d'un problème de dépassement de tampon de tas
[CVE-2022-28085]
knot-resolver Correction d'un possible échec d'assertion dans des
cas extrêmes de NSEC3 [CVE-2021-40083]
libapache2-mod-auth-openidc
Nouvelle version amont stable ; correction d'un
problème de redirection ouverte [CVE-2021-39191] ;
correction de plantage lors d'un rafraîchissement
ou d'un redémarrage
libintl-perl Installation réelle de gettext_xs.pm
libsdl2 Lecture hors limites évitée lors du chargement d'un
fichier BMP mal formé [CVE-2021-33657] et durant la
conversion de YUV à RGB
libtgowt Nouvelle version amont stable pour prendre en
charge la nouvelle version de telegram-desktop
linux Nouvelle version amont stable ; passage de l'ABI à
la version 16
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à
la version 16
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à
la version 16
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à
la version 16
logrotate Verrouillage ignoré si le fichier d'état est
lisible par tous [CVE-2022-1348] ; analyse de
configuration plus stricte afin d'éviter l'analyse
de fichiers extérieurs tels que les vidages d'image
mémoire
lxc Mise à jour du serveur de clés GPG par défaut
corrigeant la création de conteneurs utilisant le
modèle <q>download</q>
minidlna Validation des requêtes HTTP pour protéger contre
les attaques de « DNS rebinding » [CVE-2022-26505]
mutt Correction d'un problème de dépassement de tampon
d'uudecode [CVE-2022-1328]
nano Correction de plusieurs bogues, y compris des
corrections de plantages
needrestart Détection des groupes de contrôle de sessions de
services et d'utilisateur prenant en compte
cgroup v2
network-manager Nouvelle version amont stable
nginx Correction de plantage quand libnginx-mod-http-lua
est chargé et que init_worker_by_lua* est utilisé ;
palliatif d'une attaque de confusion de contenu du
protocole de la couche application dans le module
Mail [CVE-2021-3618]
node-ejs Correction d'un problème d'injection de modèle côté
serveur [CVE-2022-29078]
node-eventsource Retrait d'en-têtes sensibles lors d'une redirection
vers une origine différente [CVE-2022-1650]
node-got Redirection interdite vers un socket Unix
[CVE-2022-33987]
node-mermaid Correction de problèmes de scripts intersites
[CVE-2021-23648 CVE-2021-43861]
node-minimist Correction d'un problème de pollution de prototype
[CVE-2021-44906]
node-moment Correction d'un problème de traversée de
répertoires [CVE-2022-24785]
node-node-forge Correction de problèmes de vérification de
signature [CVE-2022-24771 CVE-2022-24772
CVE-2022-24773]
node-raw-body Correction d'un problème potentiel de déni de
service dans node-express, en utilisant
node-iconv-lite plutôt que node-iconv
node-sqlite3 Correction d'un problème de déni de service
[CVE-2022-21227]
node-url-parse Correction de problèmes de contournement
d'authentification [CVE-2022-0686 CVE-2022-0691]
nvidia-cuda-toolkit Utilisation des archives OpenJDK8 pour amd64 et
ppc64el ; vérification de l'opérabilité du binaire
de Java ; nsight-compute : déplacement du dossier
« sections » vers un emplacement
multi-architecture ; correction de l’ordre des
versions de nvidia-openjdk-8-jre
nvidia-graphics-drivers
Nouvelle version amont ; passage à l'arbre 470
amont ; correction de problèmes de déni de service
[CVE-2022-21813 CVE-2022-21814] ; correction d'un
problème d'écriture hors limites [CVE-2022-28181],
de problèmes de lecture hors limites
[CVE-2022-28183], de problèmes de déni de service
[CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-graphics-drivers-legacy-390xx
Nouvelle version amont ; correction de problèmes
d'écriture hors limites [CVE-2022-28181
CVE-2022-28185]
nvidia-graphics-drivers-tesla-418
Nouvelle version amont stable
nvidia-graphics-drivers-tesla-450
Nouvelle version amont stable ; correction de
problèmes d'écriture hors limites [CVE-2022-28181
CVE-2022-28185], d'un problème de déni de service
[CVE-2022-28192]
nvidia-graphics-drivers-tesla-460
Nouvelle version amont stable
nvidia-graphics-drivers-tesla-470
Nouveau paquet, passage de la prise en charge de
Tesla vers l'arbre 470 amont ; correction d'un
problème d'écriture hors limites [CVE-2022-28181],
d'un problème de lecture hors limites
[CVE-2022-28183], de problèmes de déni de service
[CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-persistenced Nouvelle version amont ; passage à l'arbre 470
amont
nvidia-settings Nouvelle version amont ; passage à l'arbre 470
amont
nvidia-settings-tesla-470
Nouveau paquet, passage de la prise en charge de
Tesla vers l'arbre 470 amont
nvidia-xconfig Nouvelle version amont
openssh seccomp : ajout de l'appel système pselect6_time64
sur les architectures 32 bits
orca Correction de l'utilisation avec webkitgtk 2.36
php-guzzlehttp-psr7 Correction d'une analyse d'en-tête incorrecte
[CVE-2022-24775]
phpmyadmin Correction de certaines requêtes SQL générant une
erreur du serveur
postfix Nouvelle version amont stable ; pas d'écrasement du
transport par défaut défini par l'utilisateur dans
postinst ; if-up.d : pas d'émission d'erreur si
postfix ne peut pas encore envoyer de message
procmail Correction d'un déréférencement de pointeur NULL
python-scrapy Pas d'envoi de données d'authentification avec
chaque requête [CVE-2021-41125] ; pas d'exposition
de cookies inter-domaines lors des redirections
[CVE-2022-0577]
ruby-net-ssh Correction de l'authentification avec les systèmes
utilisant OpenSSH 8.8
runc Respect de defaultErrnoRet de seccomp ; pas de
définition de capacités héritables [CVE-2022-29162]
samba Correction d'échec de démarrage de winbind quand
<q>allow trusted domains = no</q> est utilisé ;
correction de l'authentification de Kerberos du
MIT ; correction d'un problème de protection de
partage au moyen d'une situation de compétition
dans mkdir [CVE-2021-43566] ; correction d'un
possible problème sérieux de corruption de données
dû à l'empoisonnement de cache d'un client
Windows ; correction de l'installation sur des
systèmes non systemd
tcpdump Mise à jour du profil d'AppArmor pour permettre
l'accès aux fichiers *.cap et gestion de suffixes
numériques dans les noms de fichiers ajoutés par -W
telegram-desktop Nouvelle version amont stable, rétablissant la
fonctionnalité
tigervnc Correction du démarrage du bureau de GNOME lors de
l'utilisation de tigervncserver@.service ;
correction de l'affichage des couleurs lorsque
vncviewer et le serveur X11 utilisent des boutismes
différents
twisted Correction d'un problème de divulgation
d'informations avec des redirections inter-domaines
[CVE-2022-21712], d'un problème de déni de service
lors des négociations de connexion SSH
[CVE-2022-21716], de problèmes de dissimulation de
requête HTTP [CVE-2022-24801]
tzdata Mise à jour des données du fuseau horaire de la
Palestine ; mise à jour de la liste des secondes
intercalaires
ublock-origin Nouvelle version amont stable
unrar-nonfree Correction d'un problème de traversée de
répertoires [CVE-2022-30333]
usb.ids Nouvelle version amont ; mise à jour des données
incluses
wireless-regdb Nouvelle version amont ; suppression du
détournement ajouté par l'installateur assurant que
les fichiers venant du paquet sont utilisés
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4999 asterisk
DSA-5026 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5107 php-twig
DSA-5108 tiff
DSA-5110 chromium
DSA-5111 zlib
DSA-5112 chromium
DSA-5113 firefox-esr
DSA-5114 chromium
DSA-5115 webkit2gtk
DSA-5116 wpewebkit
DSA-5117 xen
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5120 chromium
DSA-5121 chromium
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5124 ffmpeg
DSA-5125 chromium
DSA-5127 linux-signed-amd64
DSA-5127 linux-signed-arm64
DSA-5127 linux-signed-i386
DSA-5127 linux
DSA-5128 openjdk-17
DSA-5129 firefox-esr
DSA-5130 dpdk
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5133 qemu
DSA-5134 chromium
DSA-5136 postgresql-13
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5148 chromium
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5155 wpewebkit
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5161 linux-signed-amd64
DSA-5161 linux-signed-arm64
DSA-5161 linux-signed-i386
DSA-5161 linux
DSA-5162 containerd
DSA-5163 chromium
DSA-5164 exo
DSA-5165 vlc
DSA-5166 slurm-wlm
DSA-5167 firejail
DSA-5168 chromium
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5174 gnupg2
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
elog non maintenu ; problèmes de sécurité
python-hbmqtt non maintenu et cassé
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bullseye/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: