------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 12.10 press@debian.org
15 mars 2025 https://www.debian.org/News/2025/20250315
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa
distribution stable Debian 12 (nom de code « Bookworm »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 12 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bookworm. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
389-ds-base Correction d'un plantage lors de la modification de
userPassword avec une entrée mal formée
[CVE-2024-2199 CVE-2024-8445] ; déni de service
évité lors d'une tentative de connexion d'un
utilisateur avec un hachage de mot de passe
malformé [CVE-2024-5953] ; déni de service évité
sur le serveur de répertoires au moyen d'une
requête LDAP contrefaite pour l'occasion
[CVE-2024-3657]
base-files Mise à jour pour la version 12.10
bup Nouvelle version amont de correction de bogues
containerd Correction de tests provoquant un échec de
construction depuis le source sur le réseau
auto-builder
curl Correction de mises à niveau vers HTTPS imprévues
ou d'un retour prématuré vers HTTP quand des sous-
domaines et des domaines parents sont employés
ensemble [CVE-2024-9681] ; arrêt de stunnel évité
avant de nouveaux essais durant les tests au moment
de la construction ; correction de problèmes de
fuites d'identifiant [CVE-2024-11053
CVE-2025-0167] ; correction d'échecs de test dus à
des conflits de ports
dacite Pas de mise en cache du résultat de
get_default_value_for_field
dcmtk Correction d'un problème lors du rendu d'images
DICOM monochromes non valables [CVE-2024-47796] ;
assurance de HighBit < BitsAllocated
[CVE-2024-52333] ; correction de possible
dépassement lors de l'allocation de mémoire
[CVE-2024-27628] ; correction de deux erreurs de
segmentation [CVE-2024-34508 CVE-2024-34509] ;
correction d'un problème d'exécution de code
arbitraire [CVE-2024-28130] ; correction de
problèmes de dépassement de tampon [CVE-2025-25472
CVE-2025-25474] ; correction d'un problème de
déréférencement de pointeur NULL [CVE-2025-25475]
debian-installer Passage de l'ABI du noyau Linux à la version
6.1.0-32 ; reconstruction avec proposed-updates
debian-ports-archive-keyring
Ajout de la clé de signature 2026 ; déplacement des
clés de signature 2023 et 2024 dans le trousseau de
clés retirées
dgit Ajout de paramètres absents pour la cible de
chargement de la source
djoser Correction d'un contournement d'authentification
[CVE-2024-21543]
dns-root-data Ajout de l'enregistrement DNSKEY pour KSK-2024
edk2 Correction d'une condition de dépassement dans
PeCoffLoaderRelocateImage() [CVE-2024-38796] ;
correction d'un possible dépassement de UINT32 dans
S3 ResumeCount [CVE-2024-1298]
elpa Correction des tests sur les machines avec deux
vCPU ou moins
flightgear Correction d'une vulnérabilité de contournement de
bac à sable dans les scripts en Nasal
[CVE-2025-0781]
gensim Échec de construction sur les machines à processeur
unique
glibc Correction d'un dépassement de tampon lors de
l'affichage d'un message d'échec d'assertion
[CVE-2025-0395] ; correction des performances de
memset pour des destinations non-alignées ;
correction de la dégradation des performances de
TLS après l'utilisation de dlopen() ; troncature
d'entier évitée lors de l'analyse de données de
CPUID avec des grandes tailles de cache ;
initialisation correcte assurée pour les données
passées à l'appel système rseq
golang-github-containers-buildah
Désactivation d'un test connu pour échouer sur le
réseau auto-builder, corrigeant un échec de
construction
intel-microcode Nouvelle version amont de sécurité [CVE-2023-34440
CVE-2023-43758 CVE-2024-24582 CVE-2024-28047
CVE-2024-28127 CVE-2024-29214 CVE-2024-31068
CVE-2024-31157 CVE-2024-36293 CVE-2024-37020
CVE-2024-39279 CVE-2024-39355]
iptables-netflow Correction de la construction avec les noyaux
récents de Bullseye
jinja2 Corrections de problèmes d'exécution de code
arbitraire [CVE-2024-56201 CVE-2024-56326]
joblib Échec de construction sur les systèmes à
processeur unique
lemonldap-ng Correction d'une vulnérabilité de contrefaçon de
requête intersite dans l'interface
d'authentification à deux facteurs (2FA)
[CVE-2024-52948]
libapache-mod-jk Définition de permissions par défaut correctes pour
la mémoire partagée [CVE-2024-46544]
libeconf Correction d'une vulnérabilité de dépassement de
tampon [CVE-2023-32181 CVE-2023-22652]
librabbitmq Ajout de l'option de lecture du nom d'utilisateur
et du mot passe à partir d'un fichier
[CVE-2023-35789]
libtar Correction d'une lecture hors limites dans
gnu_longlink() [CVE-2021-33643] ; correction d'une
lecture hors limites dans gnu_longname()
[CVE-2021-33644] ; correction d'une fuite de
mémoire dans th_read() [CVE-2021-33645] ;
correction d'une fuite de mémoire dans th_read()
[CVE-2021-33646]
linux Nouvelle version amont ; passage de l'ABI à la
version 32
linux-signed-amd64 Nouvelle version amont ; passage de l'ABI à la
version 32
linux-signed-arm64 Nouvelle version amont ; passage de l'ABI à la
version 32
linux-signed-i386 Nouvelle version amont ; passage de l'ABI à la
version 32
linuxcnc Correction de mouvements multiaxes avec un appel G0
MDI à axe unique
ltt-control Correction du plantage du « consumer » lors de
l'arrêt
lttng-modules Correction de la construction avec les noyaux
récents de Bullseye
mariadb Nouvelle version amont stable ; correction d'un
problème de sécurité [CVE-2024-21096] ; correction
d'un problème de déni de service [CVE-2025-21490]
monero Limitation imposée des réponses pour les connexions
au serveur HTTP [CVE-2025-26819]
mozc Installation des icônes fcitx à des emplacements
corrects
ndcube Avertissements du test d'astropy ignorés
nginx Correction d'un potentiel contournement de
l'authentification du certificat du client
[CVE-2025-23419]
node-axios Correction d'une vulnérabilité de contrefaçon de
requête intersite [CVE-2023-45857] ; correction
d'une possible vulnérabilité lors de la
détermination d'origine d'un URL [CVE-2024-57965]
node-js-sdsl Correction d'un échec de construction
node-postcss Correction d'une gestion incorrecte de valeurs non
entières menant à un déni de service dans nanoid
[CVE-2024-55565] ; correction de l'analyse de CSS
externes non fiables [CVE-2023-44270]
node-recast Correction d'un échec de construction
node-redis Correction d'un échec de construction
node-rollup Échec de construction résultant de la modification
du changement du délai d'expiration de l'API
openh264 Correction de l'URL de téléchargement de Cisco
php-nesbot-carbon Correction d'un problème d'inclusion de fichier
arbitraire [CVE-2025-22145]
postgresql-15 Nouvelle version amont stable ; durcissement des
fonctions PQescapeString et apparentées contre les
chaînes encodées de façon incorrecte ; amélioration
du comportement des fonctions de protection de
libpq [CVE-2025-1094]
puma Correction du comportement lors de l'analyse des
corps à encodage de transfert en blocs et des en-
têtes Content-Length de longueur nulle
[CVE-2023-40175] ; limitation de la taille des
extensions de bloc [CVE-2024-21647] ; manipulation
interdite des en-têtes définis par des mandataires
intermédiaires [CVE-2024-45614]
python-django Correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2023-36053],
de problèmes de déni de service [CVE-2024-38875
CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], d'un
problème d'énumération d'utilisateurs
[CVE-2024-39329], d'un problème de traversée de
répertoires [CVE-2024-39330], d'un problème de
consommation excessive de mémoire [CVE-2024-41989],
d'un problème d'injection de code SQL
[CVE-2024-42005]
python-pycdlib Exécution des tests seulement si /tmp est tmpfs,
sinon ils sont réputés échouer
rapiddisk Prise en charge des versions de Linux jusqu'à la
version 6.10
rsyslog Erreur de segmentation évitée si un SIGTERM est
reçu pendant le démarrage
runit-services Pas d'activation par défaut du service dhclient
seqan3 Correction de l'exécution de tests en parallèle
simgear Correction d'une vulnérabilité de contournement de
bac à sable dans les scripts en Nasal
[CVE-2025-0781]
spamassassin Nouvelle version amont stable
sssd Application cohérente de la politique de GPO
[CVE-2023-3758]
subversion Correction d'une vulnérabilité lors de l'analyse
des caractères de contrôle dans les chemins servis
par mod_dav_svn [CVE-2024-46901]
sunpy Avertissements du test d'astropy ignorés
systemd Nouvelle version amont stable
tzdata Nouvelle version amont ; mise à jour des données du
Paraguay ; mise à jour des informations sur les
secondes intercalaires
vagrant Correction de l'URL du registre public de Vagrant
vim Correction d'un plantage lors du développement de
« ~ » dans la commande substitute [CVE-2023-2610] ;
correction d'un dépassement de tampon dans
vim_regsub_both() [CVE-2023-4738] ; correction
d'utilisation de tas après libération dans
ins_compl_get_exp() [CVE-2023-4752] ; correction
d'un dépassement de tampon de tas dans
vim_regsub_both [CVE-2023-4781] ; correction d'un
dépassement de tampon dans trunc_string()
[CVE-2023-5344] ; correction d'un dépassement de
pile dans les fonctions de rappel d'option
[CVE-2024-22667] ; correction d'un dépassement de
tas dans ins_typebuf (CVE-2024-43802] ; correction
d'une utilisation de mémoire après libération lors
de la fermeture d'un tampon [CVE-2024-47814] ;
correction d'un échec de construction sur les
architectures 32 bits
wget Correction d'un mauvaise utilisation des points-
virgules dans userinfo dans les URL
[CVE-2024-38428]
xen Démarrage direct du noyau autorisé avec les
noyaux >= 6.12
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5834 chromium
DSA-5836 xen
DSA-5839 firefox-esr
DSA-5840 chromium
DSA-5841 thunderbird
DSA-5842 openafs
DSA-5843 rsync
DSA-5844 chromium
DSA-5845 tomcat10
DSA-5846 libreoffice
DSA-5847 snapcast
DSA-5848 chromium
DSA-5849 git-lfs
DSA-5850 git
DSA-5851 openjpeg2
DSA-5852 pdns-recursor
DSA-5853 pam-u2f
DSA-5854 bind9
DSA-5855 chromium
DSA-5856 redis
DSA-5857 openjdk-17
DSA-5858 firefox-esr
DSA-5859 chromium
DSA-5860 linux-signed-amd64
DSA-5860 linux-signed-arm64
DSA-5860 linux-signed-i386
DSA-5860 linux
DSA-5861 thunderbird
DSA-5862 cacti
DSA-5863 libtasn1-6
DSA-5864 pam-pkcs11
DSA-5865 webkit2gtk
DSA-5866 chromium
DSA-5867 gnutls28
DSA-5868 openssh
DSA-5869 chromium
DSA-5870 openh264
DSA-5871 emacs
DSA-5872 xorg-server
DSA-5873 libreoffice
DSA-5874 firefox-esr
DSA-5875 chromium
DSA-5876 thunderbird
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
kanboard Non entretenu ; problèmes de sécurité
libnet-easytcp-perl Amont non entretenu ; problèmes de sécurité
looking-glass Pas approprié pour une version stable
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bookworm/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part