------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 11.11 press@debian.org
31 août 2024 https://www.debian.org/News/2024/2024083102
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la onzième et dernière mise à
jour de sa distribution oldstable Debian 11 (nom de code « Bullseye »).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 11 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bullseye. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Secure Boot et les autres systèmes d'exploitation
-------------------------------------------------
Les utilisateurs qui démarrent d'autres systèmes d'exploitation sur la
même machine et où le démarrage sécurisé (Secure Boot) est activé,
doivent savoir que shim 15.8 (inclus dans Debian 11.11) révoque les
signatures de toutes les versions antérieures de shim dans le
microprogramme UEFI. Cela peut empêcher de démarrer tous les autres
systèmes d'exploitation utilisant des versions de shim antérieures
à 15.8.
Les utilisateurs affectés peuvent désactiver temporairement le
démarrage sécurisé avant de mettre à jour les autres systèmes
d’exploitation.
Corrections de bogues divers
----------------------------
Cette mise à jour de la version oldstable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
amd64-microcode Nouvelle version amont ; corrections de sécurité
[CVE-2023-31315] ; corrections du microprogramme
SEV [CVE-2023-20584 CVE-2023-31356]
ansible Nouvelle version amont stable ; correction d'un
problème d'injection de modèle [CVE-2021-3583],
d'un problème de divulgation d'informations
[CVE-2021-3620], d'un problème d'écrasement de
fichier [CVE-2023-5115], correction d'un problème
d'injection de modèle [CVE-2023-5764], de problèmes
de divulgationd'informations [CVE-2024-0690
CVE-2022-3697] ; documentation d'une solution de
contournement d'une divulgation de clé ec2 privée
[CVE-2023-4237]
apache2 Nouvelle version amont stable ; correction d'un
problème de divulgation de contenu [CVE-2024-40725]
base-files Mise à jour pour cette version
bind9 Configuration autorisée des limites introduites
pour corriger le CVE-2024-1737
calibre Correction d'un problème de script intersite
[CVE-2024-7008], d'un problème d'injection de code
SQL [CVE-2024-7009]
choose-mirror Mise à jour de la liste des miroirs disponibles
cjson Ajout de vérification de NULL à
cJSON_SetValuestring et à cJSON_InsertItemInArray
[CVE-2023-50472 CVE-2023-50471 CVE-2024-31755]
cups Correction de problèmes de gestion de socket de
domaine [CVE-2024-35235] ; correction d'une
régression quand uniquement des sockets de domaine
sont utilisés
curl Correction d'un problème de lecture hors limite
lors de l'analyse de date d'ASN.1 [CVE-2024-7264]
debian-installer Passage de l'ABI du noyau Linux à la
version 5.10.0-32 ; reconstruction avec proposed-
updates
debian-installer-netboot-images
Reconstruction avec proposed-updates
dropbear Correction du comportement « noremotetcp » des
paquets keepalive en combinaison avec la
restriction « no-port-forwarding »
d'authorized_keys(5)
fusiondirectory Rétro-portage de la compatibilité avec la version
de php-cas traitant le CVE 2022-39369 ; correction
d'un problème de gestion de session incorrecte
[CVE-2022-36179] ; correction d'un problème de
script intersite [CVE-2022-36180]
gettext.js Correction d'un problème de contrefaçon de requête
côté serveur [CVE-2024-43370]
glewlwyd Correction d'un dépassement de tampon pendant
l'assertion de signature webauthn
[CVE-2022-27240] ; traversée de répertoire évitée
dans static_compressed_inmemory_website_callback.c
[CVE-2022-29967] ; copie de bootstrap, jquery et de
fork-awesome à la place d'un lien ; dépassement de
tampon lors de la validation de signature FIDO2
[CVE-2023-49208]
glibc Correction d'un problème de performance de ffsll()
en fonction de l’alignement du code ; amélioration
des performances pour memcpy() sur arm64 ;
correction de la régression de concernant
l'année 2038 dans nscd à la suite du CVE-2024-33601
et du CVE-2024-33602
graphviz Correction de la mise à l'échelle cassée
gtk+2.0 Recherche évitée de modules dans le répertoire de
travail en cours [CVE-2024-6655]
gtk+3.0 Recherche évitée de modules dans le répertoire de
travail en cours [CVE-2024-6655]
healpix-java Correction d'un échec de construction
imagemagick Correction de problèmes de division par zéro
[CVE-2021-20312 CVE-2021-20313] ; correction d'un
correctif incomplet pour le CVE-2023-34151
indent Rétablissement de la macro ROUND_UP et ajustement
de la taille initiale du tampon pour corriger des
problèmes de gestion de mémoire ; correction d'une
lecture en dehors du tampon dans search_brace()/
lexi() ;correction d'écrasement de tampon de tas
dans search_brace() [CVE-2023-40305] ; correction
d'une lecture avant le début du tampon de tas dans
set_buf_break() [CVE-2024-0911]
intel-microcode Nouvelle version amont ; corrections de sécurité
[CVE-2023-42667 CVE-2023-49141 CVE-2024-24853
CVE-2024-24980 CVE-2024-25939]
libvirt Correction d'un problème de confinement de sVirt
[CVE-2021-3631], d'une utilisation de mémoire après
libération [CVE-2021-3975], de problèmes de déni de
service [CVE-2021-3667 CVE-2021-4147 CVE-2022-0897
CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
midge Exclusion de examples/covers/* pour des raisons de
conformité à la DFSG ; ajout des cibles de
construction build-arch/build-indep ; utilisation
du format de paquet source quilt (3.0)
mlpost Correction d'un échec de construction avec les
versions récentes d'ImageMagick
net-tools Suppression de la dépendance de construction à
libdnet-dev
nfs-utils Passage de tous les drapeaux d'export valables à
nfsd
ntfs-3g Correction d'une utilisation de mémoire après
libération dans« ntfs_uppercase_mbs »
[CVE-2023-52890]
nvidia-graphics-drivers-tesla-418
Correction de l'utilisation de symboles uniquement
GPL provoquant des échecs de construction
nvidia-graphics-drivers-tesla-450
Nouvelle version amont stable
nvidia-graphics-drivers-tesla-460
Nouvelle version amont stable
ocsinventory-server Rétro-portage de la compatibilité avec la version
de php-cas traitant le CVE 2022-39369
onionshare Rétrogradation de la dépendance d'obfs4proxy à
Recommends, pour permettre le retrait d'obfs4proxy
php-cas Correction d'un problème d'exploitation du service
de découverte de nom d'hôte [CVE-2022-39369]
poe.app Cellules de commentaire éditables ; correction du
dessin quand une « NSActionCell » dans les
préférences applique un changement d'état
putty Correction d'une génération de nombre arbitraire
ECDSA faible permettant la récupération de la clé
secrète [CVE-2024-31497]
riemann-c-client Charge utile malformée évitée dans les opérations
envoi/réception de GnuTLS
runc Correction de l'URL de l'archive de busybox ;
dépassement de tampon évité lors de l'écriture de
messages netlink [CVE-2021-43784] ; correction des
tests sur les noyaux récents ;accès en écriture
empêchée à la hiérarchie du cgroup appartenant à
l'utilisateur « /sys/fs/cgroup/user.slice/... »
[CVE-2023-25809] ; correction d'une régression du
contrôle d'accès [CVE-2023-27561 CVE-2023-28642]
rustc-web Nouvelle version amont stable pour prendre en
charge la construction des nouvelles versions de
Chromium et de Firefox ESR
shim Nouvelle version amont
shim-helpers-amd64-signed
Reconstruction avec shim 15.8.1
shim-helpers-arm64-signed
Reconstruction avec shim 15.8.1
shim-helpers-i386-signed
Reconstruction avec shim 15.8.1
shim-signed Nouvelle version amont stable
symfony Correction du chargement automatique de HttpClient
trinity Correction d'un échec de construction en supprimant
la prise en charge de DECNET
usb.ids Mise à jour de la liste des données incluses
xmedcon Correction d'un dépassement de tas [CVE-2024-29421]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version oldstable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5718 org-mode
DSA-5719 emacs
DSA-5721 ffmpeg
DSA-5722 libvpx
DSA-5723 plasma-workspace
DSA-5725 znc
DSA-5726 krb5
DSA-5727 firefox-esr
DSA-5728 exim4
DSA-5729 apache2
DSA-5730 linux-signed-amd64
DSA-5730 linux-signed-arm64
DSA-5730 linux-signed-i386
DSA-5730 linux
DSA-5734 bind9
DSA-5736 openjdk-11
DSA-5737 libreoffice
DSA-5738 openjdk-17
DSA-5739 wpa
DSA-5740 firefox-esr
DSA-5742 odoo
DSA-5743 roundcube
DSA-5746 postgresql-13
DSA-5747 linux-signed-amd64
DSA-5747 linux-signed-arm64
DSA-5747 linux-signed-i386
DSA-5747 linux
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
bcachefs-tools Bogué ; obsolète
dnprogs Bogué ; obsolète
iotjs Pas entretenu, problèmes de sécurité
obfs4proxy Problèmes de sécurité
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bullseye/ChangeLog
Adresse de l'actuelle distribution oldstable :
https://deb.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
https://deb.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution oldstable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part