------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 12.9 press@debian.org
11 janvier 2025 https://www.debian.org/News/2025/20250111
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa
distribution stable Debian 12 (nom de code « Bookworm »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 12 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bookworm. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
allow-html-temp Mise à jour pour la compatibilité avec
Thunderbird 128
ansible-core Nouvelle version amont stable ; correction d'un
problème d'exécution de code arbitraire
[CVE-2024-11079] ; correction d'un problème de
divulgation d'information [CVE-2024-8775] ;
correction d'un problème d'écrasement de fichier
[CVE-2024-9902] ; correction d'un échec de test
audiofile Correction d'un problème de déréférencement de
pointeur NULL [CVE-2019-13147] ; correction d'un
problème de fuite d'information [CVE-2022-24599]
avahi Correction de déni de service [CVE-2023-38469
CVE-2023-38470 CVE-2023-38471 CVE-2023-38472
CVE-2023-38473] ; correction d'un problème de
navigation quand des services non valables sont
présents
base-files Mise à jour pour la version 12.9
bochs Construction des images du BIOS pour les
processeurs i386
cpuinfo Échecs des tests rendus non fatals durant la
construction
criu Gestion dynamique de libc différente au moment de
l'exécution et de la compilation
debian-installer Passage de l'ABI du noyau Linux à la
version 6.1.0-29 ; reconstruction avec
proposed-updates
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-security-support
Mise à jour de la liste des paquets recevant une
prise en charge limitée dans Bookworm
debootstrap Pas d'intégration de usr-is-merged dans Trixie et
Sid
dnsmasq Correction de problèmes de déni de service
[CVE-2023-50387 CVE-2023-50868] ; définition de la
taille maximale de paquet EDNS.0 UDP à 1232
[CVE-2023-28450]
eas4tbsync Mise à jour pour la compatibilité avec
Thunderbird 128
espeak-ng Correction de la suppression du dernier octet de
l'entrée stdin
geoclue-2.0 Utilisation de beaconDB à la place du service de
localisation de Mozilla désormais abandonné
glib2.0 Correction d'un dépassement de tampon avec une
configuration pour utiliser un mandataire SOCKS4a
avec un nom d'utilisateur très long
[CVE-2024-52533]
gnuchess Correction d'un problème d'exécution de code
arbitraire [CVE-2021-30184]
grml-rescueboot Mise à jour des architectures prises en charge de
amd64/i386 à arm64/amd64
gsl Correction d'un dépassement de tampon lors du
calcul de quantiles [CVE-2020-35357]
gst-plugins-base1.0 Pas de tentative d'analyse d'en-tête étendu s'il
n'y a pas suffisamment de données disponibles
(id3v2) [CVE-2024-47542]
gunicorn Dissimulation de requête HTTP évitée
[CVE-2024-1135]
icinga2 Contournement de certificat TLS évité
[CVE-2024-49369]
intel-microcode Nouvelle version de sécurité amont [CVE-2024-21853
CVE-2024-23918 CVE-2024-24968 CVE-2024-23984]
jinja2 Injection d'attribut HTML évitée [CVE-2024-22195
CVE-2024-34064]
lemonldap-ng Correction d'une élévation de privilèges lors de
l'utilisation de niveaux d'authentification
adaptatifs [CVE-2024-52946] ; correction d'un
problème de script intersite (XSS) dans le greffon
de mise à niveau [CVE-2024-52947]
libebml Correction d'un problème de dépassement de tampon
[CVE-2023-52339]
libpgjava Correction d'un problème d'injection de code SQL
[CVE-2024-1597]
libsoup2.4 Dissimulation de requête HTTP évitée
[CVE-2024-52530] ; correction d'un problème de
dépassement de tampon dans
soup_header_parse_param_list_strict
[CVE-2024-52531] ; correction d'un problème de déni
de service par lecture de clients WebSocket
[CVE-2024-52532]
libxstream-java Correction d'un problème de déni de service
[CVE-2024-47072]
linux Nouvelle version amont ; passage de l'ABI à la
version 29
linux-signed-amd64 Nouvelle version amont ; passage de l'ABI à la
version 29
linux-signed-arm64 Nouvelle version amont ; passage de l'ABI à la
version 29
linux-signed-i386 Nouvelle version amont ; passage de l'ABI à la
version 29
live-boot DHCP tenté sur toutes les interfaces connectées
llvm-toolchain-19 Nouveau paquet source pour prendre en charge les
constructions de chromium
lxc Correction d'un déréférencement de pointeur NULL
lors de l'utilisation d'un rootfs partagé
mailmindr Mise à jour pour la compatibilité avec
Thunderbird 128
nfs-utils Correction des références quand
--enable-junction=no
nvidia-graphics-drivers
Nouvelle version amont stable [CVE-2024-0126]
nvidia-open-gpu-kernel-modules
Nouvelle version amont LTS [CVE-2024-0126]
oar Ajout d'une dépendance manquante à
libcgi-fast-perl ; correction de la création d'un
utilisateur oar lors des nouvelles installations ;
corrections de fonctions SVG avec PHP 8
opensc Correction d'un problème de fuite de données
[CVE-2023-5992] ; correction d'un problème
d'utilisation de mémoire après libération
[CVE-2024-1454] ; correction d'un problème
d'absence d'initialisation [CVE-2024-45615] ;
correction de divers problèmes dans la gestion d'un
tampon APDU [CVE-2024-45616] ; correction de
vérifications des valeurs de retour de fonction
absentes ou incorrectes [CVE-2024-45617
CVE-2024-45618] ; correction de problèmes de
« gestion incorrecte de longueurs de tampon ou de
fichier » [CVE-2024-45619 CVE-2024-45620] ;
correction d'un problème d'exécution de code
arbitraire [CVE-2024-8443]
openssh Utilisation systématique de l'implémentation
interne de mkdtemp ; correction de la déclaration
de gssapi-keyex ; ajout du test automatique de
ssh-gssapi ; pas d'utilisation privilégiée de
signatures de clés publiques liées à l'hôte s'il
n'y a pas de clé d'hôte initiale ; algorithme
d'échange de clés sntrup761x25519-sha512 disponible
également sans le suffixe @openssh.com
pgtcl Installation de la bibliothèque dans l'auto_path
Tcl par défaut
poco Correction d'un problème de dépassement d'entier
[CVE-2023-52389]
prometheus-node-exporter-collectors
Rétablissement des métriques
« apt_package_cache_timestamp_seconds » ;
corrections des métriques apt_upgrades_pending et
apt_upgrades_held ; amélioration de l'heuristique
pour « apt update last run time »
pypy3 Correction d'un problème d'analyse d'adresse de
courriel [CVE-2023-27043] ; correction d'un
possible problème de contrefaçon de requête côté
serveur [CVE-2024-11168] ; correction de l'analyse
des plages d'adresses IP privées [CVE-2024-4032] ;
correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2024-6232] ;
correction d'un problème d'injection d'en-tête
[CVE-2024-6923] ; correction d'un problème de déni
de service [CVE-2024-7592 CVE-2024-8088] ;
correction d'un problème d'injection de commande
[CVE-2024-9287]
python-asyncssh Correction d'un problème de « négociation
d'expression incontrôlable » [CVE-2023-46445] ;
correction d'un problème « d'attaque par session
incontrôlable » [CVE-2023-46446]
python-tornado Correction d'un problème de redirection ouverte
[CVE-2023-28370] ; correction d'un problème de déni
de service [CVE-2024-52804]
python-urllib3 Correction d'une possible fuite d'information
durant des redirections d'origines différentes
[CVE-2023-43804] ; correction du « corps de
requête non enlevé après que la redirection de
l'état 303 a changé la méthode de requête à GET »
[CVE-2023-45803] ; correction de « l'en-tête de
requête Proxy-Authorization n'est pas enlevé durant
les redirections d'origines différentes »
[CVE-2024-37891]
python-werkzeug Correction d'un déni de service quand un chargement
de fichier commence par un CR ou LF
[CVE-2023-46136] ; correction d'une exécution de
code arbitraire sur la machine du développeur au
moyen du débogueur [CVE-2024-34069] ; correction
d'un déni de service lors du traitement de requêtes
multipart/form-data [CVE-2024-49767]
python3.11 Rejet des adresses mal formées dans
email.parseaddr() [CVE-2023-27043] ; encodage des
séquences « nouvelle ligne » dans les en-têtes du
module de courriel [CVE-2024-6923] ; correction de
la complexité quadratique de l'analyse des cookies
avec des barres obliques inverses [CVE-2024-7592] ;
correction de l'échec des scripts d'activation de
venv pour protéger les chemins [CVE-2024-9287] ;
correction de la validation incorrecte des hôtes
entre crochets dans les fonctions d'urllib
[CVE-2024-11168]
qemu Nouvelle version amont de correction de bogues
[CVE-2024-7409] ; marquage des symboles
d'assistants internes de codegen comme cachés,
corrigeant un échec de construction sur arm64
quicktext Mise à jour pour la compatibilité avec
Thunderbird 128
redis Correction d'un déni de service avec des
sélecteurs d'ACL mal formés [CVE-2024-31227] ;
correction d'un déni de service au moyen de
correspondances de motif illimitées
[CVE-2024-31228] ; correction d'un dépassement de
pile [CVE-202431449]
renderdoc Correction de dépassements d'entier [CVE-2023-33863
CVE-2023-33864] ; correction d'un vecteur d'attaque
par lien symbolique [CVE-2023-33865]
ruby-doorkeeper Évitement des étapes d'autorisation empêché
[CVE-2023-34246]
setuptools Correction d'un problème d'exécution de code à
distance [CVE-2024-6345]
sqlparse Correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2023-30608] ;
correction d'un problème de déni de service dû à
un problème de récursion [CVE-2024-4340]
srt Corrections de dépendance pour les utilisateurs des
paquets -dev
systemd Nouvelle version amont stable
tango Tables property_* compatibles avec MariaDB 10.11
au moment de l'installation ; ajout d'autopkgtest
tbsync Mise à jour pour la compatibilité avec
Thunderbird 128
texlive-bin Correction d'une perte de données lors de
l'utilisation de « discretionary » avec des
priorités ; correction d'un dépassement de tas
[CVE-2024-25262]
tiff Corrections de problèmes de dépassement de tampon
[CVE-2023-25433 CVE-2023-26966] ; correction d'un
problème d'utilisation de mémoire après libération
[CVE-2023-26965] ; correction d'un problème de
déréférencement de pointeur NULL [CVE-2023-2908] ;
correction de problèmes de déni de service
[CVE-2023-3618 CVE-2023-52356 CVE-2024-7006]
tzdata Nouvelle version amont : amélioration des données
historiques pour certaines zones ; confirmation de
l'absence de seconde intercalaire en 2024
ucf Initialisation de la variable transmise ensuite à
eval
util-linux Correction d'une mitigation plus étendue pour le
CVE-2024-28085
xsane Ajout de la recommandation de firefox-esr ainsi que
de firefox
zfs-linux Ajout de symboles manquant dans libzfs4linux et
libzpool5linux ; correction du test sale de denode
[CVE-2023-49298] ; correction de l'analyse
d'adresse IPv6 par la fonction sharenfs
[CVE-2013-20001] ; correctifs liés à un pointeur
NULL, une allocation de mémoire, etc.
zookeeper Correction de divulgation d'informations dans la
gestion des observateurs permanents
[CVE-2024-23944]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5801 firefox-esr
DSA-5803 thunderbird
DSA-5804 webkit2gtk
DSA-5805 guix
DSA-5806 libarchive
DSA-5807 nss
DSA-5808 ghostscript
DSA-5809 symfony
DSA-5810 chromium
DSA-5811 mpg123
DSA-5812 postgresql-15
DSA-5813 symfony
DSA-5814 thunderbird
DSA-5815 needrestart
DSA-5816 libmodule-scandeps-perl
DSA-5817 chromium
DSA-5818 linux-signed-amd64
DSA-5818 linux-signed-arm64
DSA-5818 linux-signed-i386
DSA-5818 linux
DSA-5819 php8.2
DSA-5820 firefox-esr
DSA-5821 thunderbird
DSA-5822 simplesamlphp
DSA-5823 webkit2gtk
DSA-5824 chromium
DSA-5825 ceph
DSA-5826 smarty3
DSA-5827 proftpd-dfsg
DSA-5828 python-aiohttp
DSA-5829 chromium
DSA-5830 smarty4
DSA-5831 gst-plugins-base1.0
DSA-5832 gstreamer1.0
DSA-5833 dpdk
DSA-5835 webkit2gtk
DSA-5837 fastnetmon
DSA-5838 gst-plugins-good1.0
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
criu [armhf] Échec de construction sur un hôte arm64
tk-html3 Non entretenu ; problèmes de sécurité
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bookworm/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part