------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 12.12 press@debian.org 6 septembre 2025 https://www.debian.org/News/2025/20250090602 ------------------------------------------------------------------------ Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa distribution oldstable Debian 12 (nom de code « Bookworm »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour. Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison amd64-microcode Mise à jour du microprogramme AMD-SEV [CVE-2024-56161] ; mise à jour du microcode inclus aom Correction de la validité de la sortie de l'encodeur libaom apache2 Nouvelle version amont stable ; correction d'un problème de découpage de réponse HTTP [CVE-2024-42516] ; correction d'un problème de contrefaçon de requête du côté du serveur [CVE-2024-43204 CVE-2024-43394] ; correction d'un problème d'injection de journal [CVE-2024-47252] ; correction d'un problème de contournement de contrôle d'accès [CVE-2025-23048] ; correction d'un problème de déni de service [CVE-2025-49630] ; correction d'un problème potentiel de type « homme du milieu » [CVE-2025-49812] ; correction d'un problème de gestion de durée de vie de la mémoire [CVE-2025-53020] b43-fwcutter Mise à jour de l'URL du microprogramme balboa Reconstruction avec la glibc 2.36-9+deb12u12 base-files Mise à jour pour la version 12.12 bash Reconstruction avec la glibc 2.36-9+deb12u12 botan Correction de problèmes de déni de service [CVE-2024-34702 CVE-2024-34703] ; correction de l'analyse incorrecte des contraintes de nom [CVE-2024-39312] ; correction d'un problème d'opération dépendant du secret induit par le compilateur [CVE-2024-50383] busybox Reconstruction avec la glibc 2.36-9+deb12u12 ca-certificates Ajout de Sectigo Public Server Authentication Root E46 et Sectigo Public Server Authentication Root R46 catatonit Reconstruction avec la glibc 2.36-9+deb12u12 cdebootstrap Reconstruction avec la glibc 2.36-9+deb12u12 chkrootkit Reconstruction avec la glibc 2.36-9+deb12u12 cjson Correction d'un problème de déni de service [CVE-2023-26819] ; correction d'un problème de dépassement de tampon [CVE-2023-53154] clamav Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2025-20128 CVE-2025-20260] cloud-init Socket hotplug rendu accessible en écriture uniquement par le superutilisateur [CVE-2024-11584] ; pas de tentative d'identification des instances OpenStack non-x86 [CVE-2024-6174] commons-beanutils Correction d'un problème de contrôle d'accès incorrect [CVE-2025-48734] commons-vfs Correction d'un problème de traversée de répertoires [CVE-2025-27553] corosync Correction d'une vulnérabilité de dépassement de tampon sur les grands paquets UDP [CVE-2025-30472] criu Correction de la fonctionnalité de restauration des espaces de noms de montage avec les versions récentes du noyau curl Correction de régression de gestion des URI sftp://host/~ ;; correction d'une fuite de mémoire dar Reconstruction avec la glibc 2.36-9+deb12u12 debian-edu-config Correction des guillemets dans la configuration d'Exim ; gosa-sync : correction de la vérification de mot de passe ; correction des guillemets dans gosa.conf debian-installer Passage de l'ABI du noyau Linux à la version 6.1.0-39 ; reconstruction avec oldstable-proposed-updates ; ajout de console-setup-pc-ekmap pour les images de CD arm64 et armhf ; utilisation de « nomodeset » plutôt que de « fb=false » pour désactiver le « framebuffer » debian-installer-netbook-images Reconstruction avec oldstable-proposed-updates debian-security-support Requête de source:Package à la place de Source pour obtenir une liste correcte des paquets ; correction d'une coquille liée à gobgp distro-info-data Ajout des dates de la fin de la prise en charge « Legacy » d'Ubuntu ; ajout des dates de publication et de fin de vie estimée de Trixie djvulibre Correction de problèmes de déni de service [CVE-2021-46310 CVE-2021-46312] docker.io Reconstruction avec la glibc 2.36-9+deb12u12 dpdk Nouvelle version amont stable dropbear Correction d'une vulnérabilité d'injection de commande d'interpréteur dans la gestion de « multihop » [CVE-2025-47203] e2fsprogs Reconstruction avec la glibc 2.36-9+deb12u12 erlang ssh : correction du durcissement strict de KEX [CVE-2025-46712] ; zip : nettoyage des noms de chemin lors de l'extraction de fichiers avec des noms de chemin absolus [CVE-2025-4748] ; correction de l'échec de construction de la documentation avec les versions récentes de xsltproc expat Correction de problèmes de déni de service [CVE-2023-52425 CVE-2024-8176] ; correction du plantage de l'analyseur [CVE-2024-50602] fig2dev Détection de « NaN » dans les valeurs de contrôle de spline [CVE-2025-46397] ; \0 permis dans la deuxième ligne d'un fichier fig [CVE-2025-46398] ; sortie de ge : calcul correct de spline [CVE-2025-46399] ; rejet des arcs avec un rayon inférieur à trois [CVE-2025-46400] firebird3.0 Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-54989] fort-validator Correction de problèmes de déni de service [CVE-2024-45234 CVE-2024-45235 CVE-2024-45236 CVE-2024-45238 CVE-2024-45239 CVE-2024-48943] ; correction d'un problème de dépassement de tampon [CVE-2024-45237] galera-4 Nouvelle version amont stable glib2.0 Correction d'un problème de dépassement de tampon par le bas [CVE-2025-4373 CVE-2025-7039] ; amélioration de la sécurité de mise à niveau glibc Correction d'une recherche incorrecte de binaires statiques setuid par LD_LIBRARY_PATH dans dlopen [CVE-2025-4802] ; amélioration de la disposition de la mémoire des structures dans les fonctions exp/exp10/expf ; ajout d'une implémentation SVE de memset sur aarch64 ; ajout d'une implémentation générique de memset sur aarch64 ; correction d'un problème de double libération de mémoire [CVE-2025-8058] gnupg2 Reconstruction avec la glibc 2.36-9+deb12u12 ; correction des recommandations des paquets architecture-any sur le paquet architecture-all pour prendre en charge les binNMU golang-github-gin-contrib-cors Correction de la gestion incorrecte des caractères génériques [CVE-2019-25211] gst-plugins-base1.0 Correction d'un problème de dépassement de tampon [CVE-2025-47806] ; correction de problèmes de déréférencement de pointeur NULL [CVE-2025-47807 CVE-2025-47808] gst-plugins-good1.0 Correction d'un problème potentiel de divulgation d'informations [CVE-2025-47219] init-system-helpers Correction de la gestion des détournements d'os-release à partir de live-build, assurant qu'elles n'existent pas dans les systèmes autres qu'autonomes insighttoolkit4 Correction de construction sur les systèmes avec un seul processeur insighttoolkit5 Correction de construction sur les systèmes avec un seul processeur integrit Reconstruction avec la glibc 2.36-9+deb12u12 iperf3 Correction d'un problème de dépassement de tampon [CVE-2025-54349] ; correction d'un échec d'assertion [CVE-2025-54350] jinja2 Correction d'un problème d'exécution de code arbitraire [CVE-2025-27516] jq Chaîne terminée par zéro dans jv.c [CVE-2025-48060] kexec-tools Suppression de dépendances plus requises kmail-account-wizard Correction d'un problème d'attaque de type « homme du milieu » [CVE-2024-50624] krb5 Correction d'un problème de falsification de message [CVE-2025-3576] ; désactivation par défaut de l'émission de tickets utilisant des clés de session RC4 ou triple-DES kubernetes Nettoyage de la sortie des données brutes vers le terminal [CVE-2021-25743] ; chaînes longues et multilignes masquées lors de l'affichage libarchive Correction de problèmes de dépassement d'entier [CVE-2025-5914 CVE-2025-5916], d'un problème de lecture hors limites de tampon [CVE-2025-5915], d'un problème de dépassement de tampon [CVE-2025-5917] libbpf Correction de fonctionnement avec les versions récentes de systemd libcap2 Reconstruction avec la glibc 2.36-9+deb12u12 ; ajout de Built-Using: glibc manquant libcgi-simple-perl Correction d'un problème de découpage de réponse HTTP [CVE-2025-40927] libfcgi Correction d'un problème de dépassement d'entier [CVE-2025-23016] libfile-tail-perl Correction d'un problème de variable non initialisée libphp-adodb Correction d'une vulnérabilité d'injection de code SQL dans pg_insert_id() [CVE-2025-46337] libraw Correction de problèmes de lecture hors limites [CVE-2025-43961 CVE-2025-43962 CVE-2025-43963] ; application des valeurs minimales w0 et w1 [CVE-2025-43964] libreoffice Ajout de la prise en charge de EUR pour la Bulgarie libsndfile Correction de problèmes de dépassement d'entier [CVE-2022-33065] ; correction d'un problème de lecture hors limites [CVE-2024-50612] libsoup3 Nouvelle version amont de correction de bogues ; correction d'un problème de dépassement de tampon [CVE-2024-52531] ; correction de problèmes de déni de service [CVE-2024-52532 CVE-2025-32051] ; correction de problèmes de dépassement de tas [CVE-2025-32052 CVE-2025-32053] ; correction d'un problème de dépassement d'entier [CVE-2025-32050] ; correction de problèmes de dépassement de tas [CVE-2025-2784] ; rejet des en-têtes HTTP s'ils contiennent des octets NULL [CVE-2024-52530] ; correction de problèmes de déni de service [CVE-2025-32909 CVE-2025-32910 CVE-2025-46420 CVE-2025-32912 CVE-2025-32906] ; correction de problèmes de gestion de mémoire [CVE-2025-32911 CVE-2025-32913] ; correction d'un problème de divulgation d'identifiant [CVE-2025-46421] ; correction d'une utilisation de mémoire après libération durant la déconnexion qui peut provoquer le blocage au démarrage de la calculatrice de GNOME ; correction d'un échec de test sur certains systèmes 32 bits libtheora Correction d'une erreur de segmentation durant l'initialisation du décodeur ; potentiel décalage de bit évité dans le décodeur libtpms Correction d'un problème de lecture hors limites [CVE-2025-49133] libxml2 Correction d'un problème de dépassement d'entier dans xmlBuildQName [CVE-2025-6021] ; correction de dépassements d'entier potentiels dans l'interprétateur de commandes interactif [CVE-2025-6170] ; correction d'un problème d'utilisation de mémoire après libération dans xmlSchematronReportOutput [CVE-2025-49794] ; correction d'un problème de confusion de type dans xmlSchematronReportOutput [CVE-2025-49796] libyaml-libyaml-perl Correction d'un problème de modification de fichier arbitraire [CVE-2025-40908] lintian Ajout de Bookworm à Duke à la liste de noms de versions de Debian ; pas de message « source-nmu-has-incorrect-version-number » pour les mises à jour de stable linux Nouvelle version amont stable ; passage de l'ABI à la version 39 linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 39 linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 39 linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 39 llvm-toolchain-19 Nouvelle version amont stable luajit Correction d'un problème de dépassement de tampon [CVE-2024-25176] ; correction d'un problème de déni de service [CVE-2024-25177] ; correction d'un problème de lecture hors limites [CVE-2024-25178] lxc Reconstruction avec la glibc 2.36-9+deb12u12 mailgraph Mise à jour de la copie intégrée Parse::Syslog permettant la prise en charge des dates RFC3339 mariadb Nouvelle version amont stable ; correctifs de sécurité [CVE-2023-52969 CVE-2023-52970 CVE-2023-52971 CVE-2025-30693 CVE-2025-30722] ; correction du redémarrage après un manque de mémoire ; nouvelle version amont stable ; correction de nom de variable dans debian-start.sh mkchromecast Remplacement de youtube-dl par yt-dlp mlt Correction de scripts Python mono Suppression du paquet mono-source non nécessaire (et cassé) mosquitto Correction d'un problème de fuite de mémoire [CVE-2023-28366] ; correction d'un problème d'accès mémoire hors limites [CVE-2024-10525] ; correction d'un problème de double libération [CVE-2024-3935] ; correction d'un problème possible d'erreur de segmentation [CVE-2024-8376] multipath-tools Prioritiseur ANA rétabli dans le processus de construction nextcloud-desktop Correction des options partagées dans l'interface graphique nginx Correction d'une possible fuite de mémoire dans ngx_mail_smtp_module [CVE-2025-53859] node-addon-api Ajout de la prise en charge de nodejs >= 18.20 node-csstype Correction d'un échec de construction node-form-data Correction d'un problème de randomisation insuffisante [CVE-2025-7783] node-minipass Correction du rapporteur de tap dans l'auto-test et autopkgtest node-nodeunit Correction de la fiabilité des tests node-tar-fs Correction de problèmes de traversée de répertoires [CVE-2024-12905 CVE-2025-48387] node-tmp Correction d'un problème d'écriture de fichier arbitraire [CVE-2025-54798] nvda2speechd Correction de la version requise de rmp-serde openssh Gestion de la compatibilité de l'ABI OpenSSL >=3 pour éviter l'échec des nouvelles connexions SSH lors des mises à niveau vers Trixie openssl Nouvelle version amont stable ; quelques modifications de l'amont annulées pour éviter les plantages dans les logiciels aval perl Correction d'un problème de vérification de certificat TLS [CVE-2023-31484] ; correction de l'accès aux fichiers non « thread-safe » [CVE-2025-40909] postgresql-15 Nouvelle version amont stable ; vérifications de sécurité renforcées dans les fonctions d'estimation du planificateur [CVE-2025-8713] ; utilisation empêchée des scripts pg_dump pour attaquer l'utilisateur exécutant la restauration [CVE-2025-8714] ; conversion des sauts de ligne en espaces dans les noms inclus dans les commentaires de la sortie de pg_dump [CVE-2025-8715] postgresql-common PgCommon.pm : définition du chemin dans prepare_exec ; correction de la compatibilité avec la version de Perl de Trixie prody Correction d'un échec de construction ; ajout d'une tolérance pour certains tests qui échouent désormais sur i386 python-django Correction d'un problème de déni de service basé surles expressions rationnelles [CVE-2023-36053], de problème de déni de service [CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], d'un problème d'énumération d'utilisateurs [CVE-2024-39329], d'un problème de traversée de répertoires [CVE-2024-39330], d'un problème de consommation de mémoire excessive [CVE-2024-41989], d'un problème d'injection de code SQL [CVE-2024-42005] python-flask-cors Correction d'un problème d'injection de données de journal [CVE-2024-1681] ; correction de problèmes de traitement de chemin incorrect [CVE-2024-6866 CVE-2024-6839 CVE-2024-6844] python-mitogen Prise en charge de cible avec Python >= 3.12 python-zipp Correction d'un problème de déni de service [CVE-2024-5569] qemu Reconstruction avec la glibc 2.36-9+deb12u12 ; nouvelle version amont de correction de bogues raptor2 Correction d'un problème de soupassement d'entier [CVE-2024-57823] ; correction d'un problème de dépassement de tas en lecture [CVE-2024-57822] rar Nouvelle version amont ; correction d'un problème d'injection de séquence d'échappement ANSI [CVE-2024-33899] rubygems Correction d'un problème de fuite d'identifiant [CVE-2025-27221] ; correction d'un problème de déni de service lié à des expressions rationnelles [CVE-2023-28755] rust-cbindgen-web Reconstruction avec la version actuelle de rustc-web rustc-web Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium samba Correction de divers bogues consécutifs à la modification de Microsoft Active Directory sash Reconstruction avec la glibc 2.36-9+deb12u12 setuptools Correction d'un problème d'écriture de fichier arbitraire [CVE-2025-47273] shaarli Correction d'un problème de script intersite [CVE-2025-55291] simplesamlphp Correction d'un problème de vérification de signature [CVE-2025-27773] snapd Reconstruction avec la glibc 2.36-9+deb12u12 sqlite3 Correction d'un problème de corruption de mémoire [CVE-2025-6965] ; correction d'un bogue dans l'optimisation de NOT NULL/IS NULL qui peut entraîner des données non valables supermin Reconstruction avec la glibc 2.36-9+deb12u12 systemd Nouvelle version amont stable tini Reconstruction avec la glibc 2.36-9+deb12u12 tripwire Reconstruction avec la glibc 2.36-9+deb12u12 tsocks Reconstruction avec la glibc 2.36-9+deb12u12 tzdata État de la seconde intercalaire pour 2025 confirmé usb.ids Nouvelle mise à jour amont waitress Correction de situation de compétition dans le pipelining HTTP [CVE-2024-49768] ; correction d'un problème de déni de service [CVE-2024-49769] webpy Correction d'un problème d'injection de code SQL [CVE-2025-3818] wireless-regdb Nouvelle version amont mettant à jour les données de régulation incluses ; autoriser une bande passante de 320 MHz dans la bande de 6 GHz pour la Grande-Bretagne wolfssl Correction d'un problème de randomisation insuffisante [CVE-2025-7394] wpa Correction de réutilisation inappropriée des éléments de PKEX [CVE-2022-37660] xfce4-weather-plugin Migration vers les nouvelles API ; mise à jour des traductions xrdp Correction d'un problème de contournement de restrictions de session [CVE-2023-40184] ; correction d'un problème de lecture hors limites [CVE-2023-42822] ; correction d'un problème de contournement de restrictions de connexion [CVE-2024-39917] ydotool Reconstruction avec la glibc 2.36-9+deb12u12 zsh Reconstruction avec la glibc 2.36-9+deb12u12 Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-5914 chromium DSA-5916 chromium DSA-5918 varnish DSA-5919 open-vm-tools DSA-5920 chromium DSA-5921 thunderbird DSA-5922 firefox-esr DSA-5923 net-tools DSA-5924 intel-microcode DSA-5925 linux-signed-amd64 DSA-5925 linux-signed-arm64 DSA-5925 linux-signed-i386 DSA-5925 linux DSA-5926 firefox-esr DSA-5927 yelp-xsl DSA-5927 yelp DSA-5928 libvpx DSA-5929 chromium DSA-5930 libavif DSA-5931 systemd DSA-5932 thunderbird DSA-5933 tcpdf DSA-5934 roundcube DSA-5935 chromium DSA-5936 libfile-find-rule-perl DSA-5937 webkit2gtk DSA-5938 python-tornado DSA-5939 gimp DSA-5940 modsecurity-apache DSA-5941 gst-plugins-bad1.0 DSA-5942 chromium DSA-5943 libblockdev DSA-5943 udisks2 DSA-5944 chromium DSA-5945 konsole DSA-5946 gdk-pixbuf DSA-5947 xorg-server DSA-5948 trafficserver DSA-5949 libxml2 DSA-5950 firefox-esr DSA-5951 icu DSA-5952 chromium DSA-5953 catdoc DSA-5954 sudo DSA-5955 chromium DSA-5956 ring DSA-5957 mediawiki DSA-5958 jpeg-xl DSA-5959 thunderbird DSA-5960 djvulibre DSA-5961 slurm-wlm DSA-5962 gnutls28 DSA-5963 chromium DSA-5964 firefox-esr DSA-5965 chromium DSA-5966 thunderbird DSA-5967 php8.2 DSA-5968 chromium DSA-5969 redis DSA-5970 sope DSA-5971 chromium DSA-5972 openjdk-17 DSA-5973 linux-signed-amd64 DSA-5973 linux-signed-arm64 DSA-5973 linux-signed-i386 DSA-5973 linux DSA-5974 pgpool2 DSA-5976 chromium DSA-5977 aide DSA-5978 webkit2gtk DSA-5979 libxslt DSA-5980 firefox-esr DSA-5981 chromium DSA-5982 squid DSA-5983 qemu DSA-5984 thunderbird DSA-5985 ffmpeg DSA-5986 node-cipher-base DSA-5987 unbound DSA-5988 chromium DSA-5989 udisks2 DSA-5990 libxml2 DSA-5991 nodejs Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison guix Non entretenu ; problèmes de sécurité Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : https://deb.debian.org/debian/dists/bookworm/ChangeLog Adresse de l'actuelle distribution stable : https://deb.debian.org/debian/dists/oldstable/ Mises à jour proposées à la distribution oldstable : https://deb.debian.org/debian/dists/oldstable-proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/oldstable/ Annonces et informations de sécurité : https://www.debian.org/security/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part