------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 12.12 press@debian.org
6 septembre 2025 https://www.debian.org/News/2025/20250090602
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa
distribution oldstable Debian 12 (nom de code « Bookworm »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 12 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bookworm. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
amd64-microcode Mise à jour du microprogramme AMD-SEV
[CVE-2024-56161] ; mise à jour du microcode inclus
aom Correction de la validité de la sortie de
l'encodeur libaom
apache2 Nouvelle version amont stable ; correction d'un
problème de découpage de réponse HTTP
[CVE-2024-42516] ; correction d'un problème de
contrefaçon de requête du côté du serveur
[CVE-2024-43204 CVE-2024-43394] ; correction d'un
problème d'injection de journal [CVE-2024-47252] ;
correction d'un problème de contournement de
contrôle d'accès [CVE-2025-23048] ; correction d'un
problème de déni de service [CVE-2025-49630] ;
correction d'un problème potentiel de type « homme
du milieu » [CVE-2025-49812] ; correction d'un
problème de gestion de durée de vie de la mémoire
[CVE-2025-53020]
b43-fwcutter Mise à jour de l'URL du microprogramme
balboa Reconstruction avec la glibc 2.36-9+deb12u12
base-files Mise à jour pour la version 12.12
bash Reconstruction avec la glibc 2.36-9+deb12u12
botan Correction de problèmes de déni de service
[CVE-2024-34702 CVE-2024-34703] ; correction de
l'analyse incorrecte des contraintes de nom
[CVE-2024-39312] ; correction d'un problème
d'opération dépendant du secret induit par le
compilateur [CVE-2024-50383]
busybox Reconstruction avec la glibc 2.36-9+deb12u12
ca-certificates Ajout de Sectigo Public Server Authentication
Root E46 et Sectigo Public Server Authentication
Root R46
catatonit Reconstruction avec la glibc 2.36-9+deb12u12
cdebootstrap Reconstruction avec la glibc 2.36-9+deb12u12
chkrootkit Reconstruction avec la glibc 2.36-9+deb12u12
cjson Correction d'un problème de déni de service
[CVE-2023-26819] ; correction d'un problème de
dépassement de tampon [CVE-2023-53154]
clamav Nouvelle version amont stable ; correction de
problèmes de dépassement de tampon [CVE-2025-20128
CVE-2025-20260]
cloud-init Socket hotplug rendu accessible en écriture
uniquement par le superutilisateur
[CVE-2024-11584] ; pas de tentative
d'identification des instances OpenStack non-x86
[CVE-2024-6174]
commons-beanutils Correction d'un problème de contrôle d'accès
incorrect [CVE-2025-48734]
commons-vfs Correction d'un problème de traversée de
répertoires [CVE-2025-27553]
corosync Correction d'une vulnérabilité de dépassement de
tampon sur les grands paquets UDP [CVE-2025-30472]
criu Correction de la fonctionnalité de restauration des
espaces de noms de montage avec les versions
récentes du noyau
curl Correction de régression de gestion des URI
sftp://host/~ ;; correction d'une fuite de mémoire
dar Reconstruction avec la glibc 2.36-9+deb12u12
debian-edu-config Correction des guillemets dans la configuration
d'Exim ; gosa-sync : correction de la vérification
de mot de passe ; correction des guillemets dans
gosa.conf
debian-installer Passage de l'ABI du noyau Linux à la
version 6.1.0-39 ; reconstruction avec
oldstable-proposed-updates ; ajout de
console-setup-pc-ekmap pour les images de CD arm64
et armhf ; utilisation de « nomodeset » plutôt que
de « fb=false » pour désactiver le « framebuffer »
debian-installer-netbook-images
Reconstruction avec oldstable-proposed-updates
debian-security-support
Requête de source:Package à la place de Source
pour obtenir une liste correcte des paquets ;
correction d'une coquille liée à gobgp
distro-info-data Ajout des dates de la fin de la prise en charge
« Legacy » d'Ubuntu ; ajout des dates de
publication et de fin de vie estimée de Trixie
djvulibre Correction de problèmes de déni de service
[CVE-2021-46310 CVE-2021-46312]
docker.io Reconstruction avec la glibc 2.36-9+deb12u12
dpdk Nouvelle version amont stable
dropbear Correction d'une vulnérabilité d'injection de
commande d'interpréteur dans la gestion de
« multihop » [CVE-2025-47203]
e2fsprogs Reconstruction avec la glibc 2.36-9+deb12u12
erlang ssh : correction du durcissement strict de KEX
[CVE-2025-46712] ; zip : nettoyage des noms de
chemin lors de l'extraction de fichiers avec des
noms de chemin absolus [CVE-2025-4748] ; correction
de l'échec de construction de la documentation avec
les versions récentes de xsltproc
expat Correction de problèmes de déni de service
[CVE-2023-52425 CVE-2024-8176] ; correction du
plantage de l'analyseur [CVE-2024-50602]
fig2dev Détection de « NaN » dans les valeurs de contrôle
de spline [CVE-2025-46397] ; \0 permis dans la
deuxième ligne d'un fichier fig [CVE-2025-46398] ;
sortie de ge : calcul correct de spline
[CVE-2025-46399] ; rejet des arcs avec un rayon
inférieur à trois [CVE-2025-46400]
firebird3.0 Correction d'un problème de déréférencement de
pointeur NULL [CVE-2025-54989]
fort-validator Correction de problèmes de déni de service
[CVE-2024-45234 CVE-2024-45235 CVE-2024-45236
CVE-2024-45238 CVE-2024-45239 CVE-2024-48943] ;
correction d'un problème de dépassement de tampon
[CVE-2024-45237]
galera-4 Nouvelle version amont stable
glib2.0 Correction d'un problème de dépassement de tampon
par le bas [CVE-2025-4373 CVE-2025-7039] ;
amélioration de la sécurité de mise à niveau
glibc Correction d'une recherche incorrecte de binaires
statiques setuid par LD_LIBRARY_PATH dans dlopen
[CVE-2025-4802] ; amélioration de la disposition de
la mémoire des structures dans les fonctions
exp/exp10/expf ; ajout d'une implémentation SVE de
memset sur aarch64 ; ajout d'une implémentation
générique de memset sur aarch64 ; correction d'un
problème de double libération de mémoire
[CVE-2025-8058]
gnupg2 Reconstruction avec la glibc 2.36-9+deb12u12 ;
correction des recommandations des paquets
architecture-any sur le paquet architecture-all
pour prendre en charge les binNMU
golang-github-gin-contrib-cors
Correction de la gestion incorrecte des caractères
génériques [CVE-2019-25211]
gst-plugins-base1.0 Correction d'un problème de dépassement de tampon
[CVE-2025-47806] ; correction de problèmes de
déréférencement de pointeur NULL [CVE-2025-47807
CVE-2025-47808]
gst-plugins-good1.0 Correction d'un problème potentiel de divulgation
d'informations [CVE-2025-47219]
init-system-helpers Correction de la gestion des détournements
d'os-release à partir de live-build, assurant
qu'elles n'existent pas dans les systèmes autres
qu'autonomes
insighttoolkit4 Correction de construction sur les systèmes avec un
seul processeur
insighttoolkit5 Correction de construction sur les systèmes avec un
seul processeur
integrit Reconstruction avec la glibc 2.36-9+deb12u12
iperf3 Correction d'un problème de dépassement de tampon
[CVE-2025-54349] ; correction d'un échec
d'assertion [CVE-2025-54350]
jinja2 Correction d'un problème d'exécution de code
arbitraire [CVE-2025-27516]
jq Chaîne terminée par zéro dans jv.c [CVE-2025-48060]
kexec-tools Suppression de dépendances plus requises
kmail-account-wizard
Correction d'un problème d'attaque de type « homme
du milieu » [CVE-2024-50624]
krb5 Correction d'un problème de falsification de
message [CVE-2025-3576] ; désactivation par défaut
de l'émission de tickets utilisant des clés de
session RC4 ou triple-DES
kubernetes Nettoyage de la sortie des données brutes vers le
terminal [CVE-2021-25743] ; chaînes longues et
multilignes masquées lors de l'affichage
libarchive Correction de problèmes de dépassement d'entier
[CVE-2025-5914 CVE-2025-5916], d'un problème de
lecture hors limites de tampon [CVE-2025-5915],
d'un problème de dépassement de tampon
[CVE-2025-5917]
libbpf Correction de fonctionnement avec les versions
récentes de systemd
libcap2 Reconstruction avec la glibc 2.36-9+deb12u12 ;
ajout de Built-Using: glibc manquant
libcgi-simple-perl Correction d'un problème de découpage de réponse
HTTP [CVE-2025-40927]
libfcgi Correction d'un problème de dépassement d'entier
[CVE-2025-23016]
libfile-tail-perl Correction d'un problème de variable non
initialisée
libphp-adodb Correction d'une vulnérabilité d'injection de code
SQL dans pg_insert_id() [CVE-2025-46337]
libraw Correction de problèmes de lecture hors limites
[CVE-2025-43961 CVE-2025-43962 CVE-2025-43963] ;
application des valeurs minimales w0 et w1
[CVE-2025-43964]
libreoffice Ajout de la prise en charge de EUR pour la Bulgarie
libsndfile Correction de problèmes de dépassement d'entier
[CVE-2022-33065] ; correction d'un problème de
lecture hors limites [CVE-2024-50612]
libsoup3 Nouvelle version amont de correction de bogues ;
correction d'un problème de dépassement de tampon
[CVE-2024-52531] ; correction de problèmes de déni
de service [CVE-2024-52532 CVE-2025-32051] ;
correction de problèmes de dépassement de tas
[CVE-2025-32052 CVE-2025-32053] ; correction d'un
problème de dépassement d'entier [CVE-2025-32050] ;
correction de problèmes de dépassement de tas
[CVE-2025-2784] ; rejet des en-têtes HTTP s'ils
contiennent des octets NULL [CVE-2024-52530] ;
correction de problèmes de déni de service
[CVE-2025-32909 CVE-2025-32910 CVE-2025-46420
CVE-2025-32912 CVE-2025-32906] ; correction de
problèmes de gestion de mémoire [CVE-2025-32911
CVE-2025-32913] ; correction d'un problème de
divulgation d'identifiant [CVE-2025-46421] ;
correction d'une utilisation de mémoire après
libération durant la déconnexion qui peut provoquer
le blocage au démarrage de la calculatrice de
GNOME ; correction d'un échec de test sur certains
systèmes 32 bits
libtheora Correction d'une erreur de segmentation durant
l'initialisation du décodeur ; potentiel décalage
de bit évité dans le décodeur
libtpms Correction d'un problème de lecture hors limites
[CVE-2025-49133]
libxml2 Correction d'un problème de dépassement d'entier
dans xmlBuildQName [CVE-2025-6021] ; correction de
dépassements d'entier potentiels dans
l'interprétateur de commandes interactif
[CVE-2025-6170] ; correction d'un problème
d'utilisation de mémoire après libération dans
xmlSchematronReportOutput [CVE-2025-49794] ;
correction d'un problème de confusion de type dans
xmlSchematronReportOutput [CVE-2025-49796]
libyaml-libyaml-perl
Correction d'un problème de modification de fichier
arbitraire [CVE-2025-40908]
lintian Ajout de Bookworm à Duke à la liste de noms de
versions de Debian ; pas de message
« source-nmu-has-incorrect-version-number » pour
les mises à jour de stable
linux Nouvelle version amont stable ; passage de l'ABI à
la version 39
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à
la version 39
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à
la version 39
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à
la version 39
llvm-toolchain-19 Nouvelle version amont stable
luajit Correction d'un problème de dépassement de tampon
[CVE-2024-25176] ; correction d'un problème de déni
de service [CVE-2024-25177] ; correction d'un
problème de lecture hors limites [CVE-2024-25178]
lxc Reconstruction avec la glibc 2.36-9+deb12u12
mailgraph Mise à jour de la copie intégrée Parse::Syslog
permettant la prise en charge des dates RFC3339
mariadb Nouvelle version amont stable ; correctifs de
sécurité [CVE-2023-52969 CVE-2023-52970
CVE-2023-52971 CVE-2025-30693 CVE-2025-30722] ;
correction du redémarrage après un manque de
mémoire ; nouvelle version amont stable ;
correction de nom de variable dans debian-start.sh
mkchromecast Remplacement de youtube-dl par yt-dlp
mlt Correction de scripts Python
mono Suppression du paquet mono-source non nécessaire
(et cassé)
mosquitto Correction d'un problème de fuite de mémoire
[CVE-2023-28366] ; correction d'un problème d'accès
mémoire hors limites [CVE-2024-10525] ; correction
d'un problème de double libération
[CVE-2024-3935] ; correction d'un problème possible
d'erreur de segmentation [CVE-2024-8376]
multipath-tools Prioritiseur ANA rétabli dans le processus de
construction
nextcloud-desktop Correction des options partagées dans l'interface
graphique
nginx Correction d'une possible fuite de mémoire dans
ngx_mail_smtp_module [CVE-2025-53859]
node-addon-api Ajout de la prise en charge de nodejs >= 18.20
node-csstype Correction d'un échec de construction
node-form-data Correction d'un problème de randomisation
insuffisante [CVE-2025-7783]
node-minipass Correction du rapporteur de tap dans l'auto-test et
autopkgtest
node-nodeunit Correction de la fiabilité des tests
node-tar-fs Correction de problèmes de traversée de répertoires
[CVE-2024-12905 CVE-2025-48387]
node-tmp Correction d'un problème d'écriture de fichier
arbitraire [CVE-2025-54798]
nvda2speechd Correction de la version requise de rmp-serde
openssh Gestion de la compatibilité de l'ABI OpenSSL >=3
pour éviter l'échec des nouvelles connexions SSH
lors des mises à niveau vers Trixie
openssl Nouvelle version amont stable ; quelques
modifications de l'amont annulées pour éviter les
plantages dans les logiciels aval
perl Correction d'un problème de vérification de
certificat TLS [CVE-2023-31484] ; correction de
l'accès aux fichiers non « thread-safe »
[CVE-2025-40909]
postgresql-15 Nouvelle version amont stable ; vérifications de
sécurité renforcées dans les fonctions d'estimation
du planificateur [CVE-2025-8713] ; utilisation
empêchée des scripts pg_dump pour attaquer
l'utilisateur exécutant la restauration
[CVE-2025-8714] ; conversion des sauts de ligne en
espaces dans les noms inclus dans les commentaires
de la sortie de pg_dump [CVE-2025-8715]
postgresql-common PgCommon.pm : définition du chemin dans
prepare_exec ; correction de la compatibilité avec
la version de Perl de Trixie
prody Correction d'un échec de construction ; ajout d'une
tolérance pour certains tests qui échouent
désormais sur i386
python-django Correction d'un problème de déni de service basé
surles expressions rationnelles [CVE-2023-36053],
de problème de déni de service [CVE-2024-38875
CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], d'un
problème d'énumération d'utilisateurs
[CVE-2024-39329], d'un problème de traversée de
répertoires [CVE-2024-39330], d'un problème de
consommation de mémoire excessive [CVE-2024-41989],
d'un problème d'injection de code SQL
[CVE-2024-42005]
python-flask-cors Correction d'un problème d'injection de données de
journal [CVE-2024-1681] ; correction de problèmes
de traitement de chemin incorrect [CVE-2024-6866
CVE-2024-6839 CVE-2024-6844]
python-mitogen Prise en charge de cible avec Python >= 3.12
python-zipp Correction d'un problème de déni de service
[CVE-2024-5569]
qemu Reconstruction avec la glibc 2.36-9+deb12u12 ;
nouvelle version amont de correction de bogues
raptor2 Correction d'un problème de soupassement d'entier
[CVE-2024-57823] ; correction d'un problème de
dépassement de tas en lecture [CVE-2024-57822]
rar Nouvelle version amont ; correction d'un problème
d'injection de séquence d'échappement ANSI
[CVE-2024-33899]
rubygems Correction d'un problème de fuite d'identifiant
[CVE-2025-27221] ; correction d'un problème de déni
de service lié à des expressions rationnelles
[CVE-2023-28755]
rust-cbindgen-web Reconstruction avec la version actuelle de
rustc-web
rustc-web Nouvelle version amont stable pour prendre en
charge la construction des nouvelles versions de
Chromium
samba Correction de divers bogues consécutifs à la
modification de Microsoft Active Directory
sash Reconstruction avec la glibc 2.36-9+deb12u12
setuptools Correction d'un problème d'écriture de fichier
arbitraire [CVE-2025-47273]
shaarli Correction d'un problème de script intersite
[CVE-2025-55291]
simplesamlphp Correction d'un problème de vérification de
signature [CVE-2025-27773]
snapd Reconstruction avec la glibc 2.36-9+deb12u12
sqlite3 Correction d'un problème de corruption de mémoire
[CVE-2025-6965] ; correction d'un bogue dans
l'optimisation de NOT NULL/IS NULL qui peut
entraîner des données non valables
supermin Reconstruction avec la glibc 2.36-9+deb12u12
systemd Nouvelle version amont stable
tini Reconstruction avec la glibc 2.36-9+deb12u12
tripwire Reconstruction avec la glibc 2.36-9+deb12u12
tsocks Reconstruction avec la glibc 2.36-9+deb12u12
tzdata État de la seconde intercalaire pour 2025 confirmé
usb.ids Nouvelle mise à jour amont
waitress Correction de situation de compétition dans le
pipelining HTTP [CVE-2024-49768] ; correction d'un
problème de déni de service [CVE-2024-49769]
webpy Correction d'un problème d'injection de code SQL
[CVE-2025-3818]
wireless-regdb Nouvelle version amont mettant à jour les données
de régulation incluses ; autoriser une bande
passante de 320 MHz dans la bande de 6 GHz pour la
Grande-Bretagne
wolfssl Correction d'un problème de randomisation
insuffisante [CVE-2025-7394]
wpa Correction de réutilisation inappropriée des
éléments de PKEX [CVE-2022-37660]
xfce4-weather-plugin
Migration vers les nouvelles API ; mise à jour des
traductions
xrdp Correction d'un problème de contournement de
restrictions de session [CVE-2023-40184] ;
correction d'un problème de lecture hors limites
[CVE-2023-42822] ; correction d'un problème de
contournement de restrictions de connexion
[CVE-2024-39917]
ydotool Reconstruction avec la glibc 2.36-9+deb12u12
zsh Reconstruction avec la glibc 2.36-9+deb12u12
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version oldstable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5914 chromium
DSA-5916 chromium
DSA-5918 varnish
DSA-5919 open-vm-tools
DSA-5920 chromium
DSA-5921 thunderbird
DSA-5922 firefox-esr
DSA-5923 net-tools
DSA-5924 intel-microcode
DSA-5925 linux-signed-amd64
DSA-5925 linux-signed-arm64
DSA-5925 linux-signed-i386
DSA-5925 linux
DSA-5926 firefox-esr
DSA-5927 yelp-xsl
DSA-5927 yelp
DSA-5928 libvpx
DSA-5929 chromium
DSA-5930 libavif
DSA-5931 systemd
DSA-5932 thunderbird
DSA-5933 tcpdf
DSA-5934 roundcube
DSA-5935 chromium
DSA-5936 libfile-find-rule-perl
DSA-5937 webkit2gtk
DSA-5938 python-tornado
DSA-5939 gimp
DSA-5940 modsecurity-apache
DSA-5941 gst-plugins-bad1.0
DSA-5942 chromium
DSA-5943 libblockdev
DSA-5943 udisks2
DSA-5944 chromium
DSA-5945 konsole
DSA-5946 gdk-pixbuf
DSA-5947 xorg-server
DSA-5948 trafficserver
DSA-5949 libxml2
DSA-5950 firefox-esr
DSA-5951 icu
DSA-5952 chromium
DSA-5953 catdoc
DSA-5954 sudo
DSA-5955 chromium
DSA-5956 ring
DSA-5957 mediawiki
DSA-5958 jpeg-xl
DSA-5959 thunderbird
DSA-5960 djvulibre
DSA-5961 slurm-wlm
DSA-5962 gnutls28
DSA-5963 chromium
DSA-5964 firefox-esr
DSA-5965 chromium
DSA-5966 thunderbird
DSA-5967 php8.2
DSA-5968 chromium
DSA-5969 redis
DSA-5970 sope
DSA-5971 chromium
DSA-5972 openjdk-17
DSA-5973 linux-signed-amd64
DSA-5973 linux-signed-arm64
DSA-5973 linux-signed-i386
DSA-5973 linux
DSA-5974 pgpool2
DSA-5976 chromium
DSA-5977 aide
DSA-5978 webkit2gtk
DSA-5979 libxslt
DSA-5980 firefox-esr
DSA-5981 chromium
DSA-5982 squid
DSA-5983 qemu
DSA-5984 thunderbird
DSA-5985 ffmpeg
DSA-5986 node-cipher-base
DSA-5987 unbound
DSA-5988 chromium
DSA-5989 udisks2
DSA-5990 libxml2
DSA-5991 nodejs
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
guix Non entretenu ; problèmes de sécurité
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bookworm/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
https://deb.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part