Publication de la mise à jour de Debian 12.11
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 12.11 press@debian.org
17 mai 2025 https://www.debian.org/News/2025/20250517
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la onzième mise à jour de sa
distribution stable Debian 12 (nom de code « Bookworm »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 12 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bookworm. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
Problème connu
--------------
Linux 6.1.137-1, inclus dans Debian 12.11 ne parvient pas à charger
les modules « watchdog » et « w83977f_wdt » sur l'architecture
« amd64 ». C'est une régression.
Ce problème sera corrigé dans une prochaine mise à jour.
Les utilisateurs qui dépendent des fonctionnalités de watchdog
devraient le désactiver sur leur système ou éviter de le mettre à niveau
vers cette version du noyau jusqu'à ce qu'un correctif soit disponible.
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
abseil Correction d'un problème de dépassement de tas
[CVE-2025-0838] ; correction d'un échec de
construction sur ppc64el
adonthell Correction de la compatibilité avec SWIG 4.1
base-files Mise à jour pour la version 12.11
bash Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u5)
busybox Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9)
cdebootstrap Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9)
chkrootkit Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u5)
crowdsec Reconstruction pour corriger un Built-Using
obsolète (docker.io/20.10.24+dfsg1-1)
dar Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u5)
debian-archive-keyring
Ajout des clés SRM et pour signer l'archive pour
Trixie et (Debian 13) ; déplacement des clés
de Buster (Debian 10) dans le trousseau de clés
retirées
debian-installer Passage de l'ABI du noyau Linux à la
version 6.1.0-35 ; reconstruction avec
proposed-updates
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-security-support
Mise à jour de la liste des paquets recevant une
prise en charge limitée ou plus de prise en charge
dans Bookworm
distro-info-data Ajout de Debian 15 et Ubuntu 25.10
docker.io Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1,
glibc/2.36-9+deb12u8)
dpdk Nouvelle version amont stable
fig2dev Rejet des motifs de grande longueur
[CVE-2025-31162] ; rejet des arcs avec des points
coïncidents [CVE-2025-31163] ; coins arrondis de
rayon nul autorisés [CVE-2025-31164]
fossil Correction de l'interaction avec un serveur HTTP
Apache incluant le correctif pour CVE-2024-24795
gcc-12 Correction de la gestion des dépassements sur
AArch64 par -fstack-protector [CVE-2023-4039]
gcc-mingw-w64 Reconstruction pour corriger un Built-Using
obsolète (gcc-12/12.2.0-13)
glib2.0 Correction d'un dépassement d'entier dans
g_date_time_new_from_iso8601() [CVE-2025-3360]
golang-github-containerd-stargz-snapshotter
Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1,
runc/1.1.5+ds1-1)
golang-github-containers-buildah
Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1)
golang-github-openshift-imagebuilder
Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1,
docker.io/20.10.24+dfsg1-1)
haproxy Correction d'un problème de dépassement de tas
[CVE-2025-32464]
igtf-policy-bundle Rétroportage de l'ensemble de politiques
actuelles
imagemagick Correction de « profondeur d'image MIFF après
SetQuantumFormat » [CVE-2025-43965]
initramfs-tools Restauration de la gestion de copy_file d'une cible
se terminant par une barre oblique ; exclusion des
liens symboliques de usr-merge dans copy_file ;
ajout des pilotes de réinitialisation quand
MODULES=dep
krb5 Correction d'une fuite de mémoire dans ndr.c
[CVE-2024-26462] ; dépassement de tampon évité lors
du calcul de la taille du tampon d'ulog
[CVE-2025-24528]
libbson-xs-perl Correction de problèmes de sécurité dans la copie
intégrée de libbson : déni de service
[CVE-2017-14227] ; lecture excessive de tampon
[CVE-2018-16790] ; boucle infinie [CVE-2023-0437] ;
corruption de mémoire [CVE-2024-6381] ;
dépassements de tampon [CVE-2024-6383
CVE-2025-0755]
libcap2 Correction d'une reconnaissance incorrecte de noms
de groupe [CVE-2025-1390]
libdata-entropy-perl
Ensemencement du pool d'entropie avec urandom par
défaut [CVE-2025-1860]
libpod Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1,
docker.io/20.10.24+dfsg1-1,
golang-github-containers-buildah/1.28.2+ds1-3)
libsub-handlesvia-perl
Correction d'un problème d'exécution de code
arbitraire [CVE-2025-30673]
linux Nouvelle version amont ; passage de l'ABI à la
version 35
linux-signed-amd64 Nouvelle version amont ; passage de l'ABI à la
version 35
linux-signed-arm64 Nouvelle version amont ; passage de l'ABI à la
version 35
linux-signed-i386 Nouvelle version amont ; passage de l'ABI à la
version 35
logcheck Respect du retrait de /etc/logcheck/header.txt
mongo-c-driver Correction d'un problème de boucle infinie
[CVE-2023-0437] ; correction d'un problème de
dépassement d'entier [CVE-2024-6381] ; correction
de problèmes de dépassement de tampon
[CVE-2024-6383 CVE-2025-0755]
network-manager Correction d'un plantage par déréférencement de
pointeur NULL lors de la journalisation de DEBUG
[CVE-2024-6501]
nginx Correction de vulnérabilités de lecture
insuffisante de tampon et de blocs non ordonnés
dans mp4 [CVE-2024-7347]
node-fstream-ignore Correction d'un échec de construction en
n'exécutant pas les tests en parallèle
node-send Correction d'un problème de script intersite
[CVE-2024-43799]
node-serialize-javascript
Correction d'un problème de script intersite
[CVE-2024-11831]
nvidia-graphics-drivers
Nouvelle version amont stable ; suppression de la
prise en charge deppc64el (migration vers
src:nvidia-graphics-drivers-tesla-535) ; correction
de problèmes de construction avec les versions plus
récentes du noyau ; corrections de sécurité
[CVE-2024-0131 CVE-2024-0147 CVE-2024-0149
CVE-2024-0150 CVE-2024-53869 CVE-2025-23244]
nvidia-graphics-drivers-tesla
Nouvelle version amont stable ; transition vers les
paquets issus de src:nvidia-graphics-drivers-
tesla-535 sur ppc64el ; correction de problèmes de
construction avec les versions plus récentes du
noyau
nvidia-graphics-drivers-tesla-535
Nouveau paquet pour la prise en charge de ppc64el
désormais en fin de vie
nvidia-open-gpu-kernel-modules
Nouvelle version amont stable ; corrections de
sécurité [CVE-2024-0131 CVE-2024-0147 CVE-2024-0149
CVE-2024-0150 CVE-2024-53869 CVE-2025-23244]
nvidia-settings Nouvelle version amont stable ; suppression de la
prise en charge de quelques paquets obsolètes ;
assouplissement de la dépendance de
nvidia-alternative à une suggestion dans ppc64el
openrazer Correction d'un problème de lecture hors limites
[CVE-2025-32776]
opensnitch Reconstruction pour corriger un Built-Using
obsolète (golang-github-google-nftables/0.1.0-3)
openssh Correction de la directive DisableForwarding
[CVE-2025-32728]
openssl Nouvelle version amont stable ; correction d'un
problème d'attaque temporelle par canal auxiliaire
[CVE-2024-13176]
openvpn Potentiel ASSERT() évité sur les serveurs OpenVPN
utilisant --tls-crypt-v2 [CVE-2025-2704] ; attaques
par déni de service par des pairs et saturation de
journal évitées [CVE-2024-5594] ; refus de
plusieurs notifications de sortie des clients
authentifiés [CVE-2024-28882] ; mise à jour des
certificats expirés dans les tests de construction
phpmyadmin Correction de vulnérabilités de script intersite
[CVE-2025-24529 CVE-2025-24530]
policyd-rate-limit Correction du démarrage avec la version récente de
python3-yaml
poppler Correction de plantage avec des fichiers mal formés
[CVE-2023-34872] ; correction de problèmes de
lecture hors limites [CVE-2024-56378
CVE-2025-32365] ; correction d'un problème
d'exception de virgule flottante [CVE-2025-32364]
postgresql-15 Nouvelle version amont stable ; correction d'un
problème de dépassement de tampon en lecture
[CVE-2025-4207]
prometheus Reconstruction pour corriger un Built-Using
obsolète (docker.io/20.10.24+dfsg1-1)
prometheus-postfix-exporter
Reconstruction pour corriger un Built-Using
obsolète (docker.io/20.10.24+dfsg1-1)
python-h11 Correction d'un problème de dissimulation de
requête [CVE-2025-43859]
python3.11 Correction de problèmes d'erreur d'analyse
[CVE-2025-0938 CVE-2025-1795]
qemu Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u9,
gnutls28/3.7.9-2+deb12u3) ; nouvelle version amont
de correction de bogues
qtbase-opensource-src
Communication HTTP2 retardée jusqu'à ce que
encrypted() puisse recevoir une réponse
[CVE-2024-39936] ; correction du plantage des
vérifications de null dans les méthodes de table
iface
redis Correction d'un problème de déni de service
[CVE-2025-21605]
renaissance Exception évitée au démarrage
sash Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9)
shadow Correction d'un problème de fuite de mot de passe
[CVE-2023-4641] ; correction d'un problème
d'injection de caractère de contrôle chfn
[CVE-2023-29383]
skeema Reconstruction pour corriger un Built-Using
obsolète (containerd/1.6.20~ds1-1,
docker.io/20.10.24+dfsg1-1)
skopeo Reconstruction pour corriger un Built-Using
obsolète (docker.io/20.10.24+dfsg1-1)
telegram-desktop Reconstruction pour corriger un Built-Using
obsolète (ms-gsl/4.0.0-2)
tripwire Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u5)
twitter-bootstrap3 Correction de problèmes de script intersite
[CVE-2024-6485 CVE-2024-6484]
twitter-bootstrap4 Correction d'un problème de script intersite
[CVE-2024-6531]
tzdata Nouvelle zone America/Coyhaique pour la région
d'Aysén au Chili
user-mode-linux Reconstruction pour corriger un Built-Using
obsolète (linux/6.1.82-1)
varnish Désynchronisation côté client par requête
HTTP/1 évitée [CVE-2025-30346]
wireless-regdb Nouvelle version amont
xmedcon Correction d'un dépassement de tampon
[CVE-2025-2581]
zsh Reconstruction pour corriger un Built-Using
obsolète (glibc/2.36-9+deb12u5, libcap2/1:2.66-4)
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5877 chromium
DSA-5878 php8.2
DSA-5879 opensaml
DSA-5880 freetype
DSA-5881 rails
DSA-5882 chromium
DSA-5883 mercurial
DSA-5884 libxslt
DSA-5885 webkit2gtk
DSA-5886 ruby-rack
DSA-5887 exim4
DSA-5888 ghostscript
DSA-5889 firefox-esr
DSA-5890 chromium
DSA-5891 thunderbird
DSA-5892 atop
DSA-5893 tomcat10
DSA-5894 jetty9
DSA-5895 xz-utils
DSA-5896 trafficserver
DSA-5897 lemonldap-ng
DSA-5898 chromium
DSA-5899 webkit2gtk
DSA-5900 linux-signed-amd64
DSA-5900 linux-signed-arm64
DSA-5900 linux-signed-i386
DSA-5900 linux
DSA-5901 mediawiki
DSA-5902 perl
DSA-5903 chromium
DSA-5904 libapache2-mod-auth-openidc
DSA-5905 graphicsmagick
DSA-5906 erlang
DSA-5907 linux-signed-amd64
DSA-5907 linux-signed-arm64
DSA-5907 linux-signed-i386
DSA-5907 linux
DSA-5908 libreoffice
DSA-5909 request-tracker5
DSA-5910 firefox-esr
DSA-5911 request-tracker4
DSA-5912 thunderbird
DSA-5913 openjdk-17
DSA-5915 vips
DSA-5917 libapache2-mod-auth-openidc
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
pidgin-skype Inutile car le service est interrompu
viagee Plus capable de se connecter à Gmail
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bookworm/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: