------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 11.7 press@debian.org 29 avril 2023 https://www.debian.org/News/2023/20230429 ------------------------------------------------------------------------ Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 11 (nom de code « Bullseye »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison akregator Correction de vérifications de sécurité, y compris la correction de suppression de flux et de dossiers apache2 Pas d'activation automatique d'apache2-doc.conf ; correction de régressions dans http2 et mod_rewrite introduites dans 2.4.56 at-spi2-core Réglage du délai d'arrêt à 5 secondes, afin de ne pas bloquer inutilement l'arrêt du système avahi Correction d'un problème de déni de service local [CVE-2021-3468] base-files Mise à jour pour la version 11.7 c-ares Dépassement de pile et déni de service évités [CVE-2022-4904] clamav Nouvelle version amont stable ; correction d'un problème potentiel d'exécution de code à distance dans l'analyseur de fichiers HFS+ [CVE-2023-20032], d'une possible fuite d'informations dans l'analyseur de fichiers DMG [CVE-2023-20052] command-not-found Ajout du nouveau composant non-free-firmware, corrigeant les mises à niveau vers Bookworm containerd Correction d'un problème de déni de service [CVE-2023-25153] ; correction d'une possible élévation de privilèges au moyen d'un réglage incorrect de groupes supplémentaires [CVE-2023-25173] crun Correction d'un problème d'élévation de capacités due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27650] cwltool Ajout d'une dépendance manquante à python3-distutils debian-archive-keyring Ajout des clés de Bookworm ; déplacement des clés de Stretch dans le trousseau de clés retirées debian-installer Passage de l'ABI du noyau Linux à la version 5.10.0-22 ; reconstruction avec proposed-updates debian-installer-netboot-images Reconstruction avec proposed-updates debian-ports-archive-keyring Extension d'un an du délai d'expiration de la clé de signature 2023 ; ajout de la clé de signature 2024 ; déplacement de la clé de signature 2022 dans le trousseau de clés retirées dpdk Nouvelle version amont stable duktape Correction d'un problème de plantage [CVE-2021-46322] e2tools Correction d'un échec de construction en ajoutant une dépendance de construction à e2fsprogs erlang Correction d'un problème de contournement d'authentification du client [CVE-2022-37026] ; utilisation de l'optimisation -O1 pour armel parce que -O2 produit une erreur de segmentation d'erl sur certaines plateformes, par exemple Marvell exiv2 Corrections de sécurité [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623] flask-security Correction d'une vulnérabilité de redirection ouverte [CVE-2021-23385] flatpak Nouvelle version amont stable ; protection des caractères spéciaux lors de l'affichage des permissions et des métadonnées [CVE-2023-28101] ; pas de copier-coller au moyen de l'ioctl TIOCLINUX permis lors de l'exécution dans une console virtuelle Linux [CVE-2023-28100] galera-3 Nouvelle version amont stable ghostscript Correction du chemin du fichier d'assistance PostScript dans ps2epsi glibc Correction d'une fuite de mémoire dans les fonctions de la famille de printf avec des chaînes longues multi-octets ; correction d'un plantage dans cette famille de fonctions dû à des allocations dépendant de la taille et de la précision ; correction d'erreur de segmentation dans printf gérant des milliers de séparateurs ; correction de dépassement dans l'implémentation de AVX2 de wcsnlen avec des pages croisées golang-github-containers-common Correction de l'analyse de DBUS_SESSION_BUS_ADDRESS golang-github-containers-psgo Pas d'entrée dans l'espace de noms utilisateur du processus [CVE-2022-1227] golang-github-containers-storage Fonctions précédemment internes rendues publiquement accessibles, ce qui est nécessaire pour permettre la correction du CVE-2022-1227 dans d'autres paquets golang-github-prometheus-exporter-toolkit Correction des tests pour éviter une situation de compétition ; correction d'un problème d'empoisonnement du cache d'authentification [CVE-2022-46146] grep Correction d'une correspondance incorrecte quand le dernier d'une série de motifs inclut une référence arrière gtk+3.0 Correction de l'association Wayland + EGL sur les plateformes uniquement GLES guix Correction d'un échec de construction dû à l'utilisation de clés expirées dans la suite de tests intel-microcode Nouvelle version amont de correction de bogues isc-dhcp Correction de la gestion de la durée de vie des adresses IPv6 jersey1 Correction d'un échec de construction avec libjettison-java 1.5.3 joblib Correction d'un problème d'exécution de code arbitraire [CVE-2022-21797] lemonldap-ng Correction d'un problème de contournement de validation d'URL ; correction d'un problème d'authentification à deux facteurs lors de l'utilisation du gestionnaire AuthBasic [CVE-2023-28862] libapache2-mod-auth-openidc Correction d'un problème de redirection ouverte [CVE-2022-23527] libapreq2 Correction d'un problème de dépassement de tampon [CVE-2022-22728] libdatetime-timezone-perl Mise à jour des données incluses libexplain Amélioration de la compatibilité avec les dernières versions du noyau - Linux 5.11 n'a plus l'en-tête if_frad.h, termiox supprimé depuis le noyau 5.12 libgit2 Activation de la vérification de clé SSH par défaut [CVE-2023-22742] libpod Correction d'un problème d'élévation de privilèges [CVE-2022-1227] ; correction d'un problème d'élévation de capacité due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27649] ; correction de l'analyse de DBUS_SESSION_BUS_ADDRESS libreoffice Changement de la monnaie par défaut de la Croatie pour l'Euro ; -Djava.class.path= vide évitée [CVE-2022-38745] libvirt Correction de problèmes liés au redémarrage de conteneurs ; correction d'échecs de tests combinés avec les nouvelles versions de Xen libxpm Correction de problèmes de boucle infinie [CVE-2022-44617 CVE-2022-46285] ; correction d'un problème de double libération de mémoire dans le code de gestion d'erreur ; correction de « les commandes de compression dépendent de PATH » [CVE-2022-4883] libzen Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-36646] linux Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 lxc Correction de la présomption d'existence d'un fichier [CVE-2022-47952] macromoleculebuilder Correction d'un échec de construction en ajoutant une dépendance de construction à docbook-xsl mariadb-10.5 Nouvelle version amont stable ; suppression de la modification amont de l'API libmariadb mono Retrait du fichier de bureau ncurses Mise en garde contre la corruption de données de terminfo [CVE-2022-29458] ; correction du plantage de tic sur les clauses tc/use très longues needrestart Correction des avertissements lors de l'utilisation de l'option « -b » node-cookiejar Mise en garde contre les cookies de taille malveillante [CVE-2022-25901] node-webpack Accès à des objets interdomaines évité [CVE-2023-28154] nvidia-graphics-drivers Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] nvidia-graphics-drivers-tesla-450 Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] nvidia-graphics-drivers-tesla-470 Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] nvidia-modprobe Nouvelle version amont openvswitch Correction de « la mise à jour d'openvswitch-switch laisse les interfaces arrêtées » passenger Correction de la compatibilité avec les versions plus récentes de NodeJS phyx Retrait d'une dépendance de construction à libatlas-cpp non nécessaire postfix Nouvelle version amont stable postgis Correction du mauvais ordre des axes de projections polaires stéréographiques postgresql-13 Nouvelle version amont stable ; correction d'un problème de divulgation de la mémoire du client [CVE-2022-41862] python-acme Correction de la version des CSR créées, pour éviter des problèmes avec les implémentations de l'API ACME respectant strictement les RFC ruby-aws-sdk-core Correction de la création du fichier de version ruby-cfpropertylist Correction de certaines fonctionnalités en abandonnant la compatibilité avec Ruby 1.8 shim Nouvelle version amont ; nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 shim-helpers-amd64-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 shim-helpers-arm64-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 shim-helpers-i386-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 shim-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 snakeyaml Correction de problèmes de déni de service [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751] ; ajout de documentation concernant la prise en charge et les problèmes de sécurité spyder Correction de la duplication de code lors de l'enregistrement symfony Retrait des en-têtes privés avant le stockage de réponses avec HttpCache [CVE-2022-24894] ; suppression des jetons CSRF du stockage en cas de connexion réussie [CVE-2022-24895] systemd Correction d'une fuite d'informations [CVE-2022-4415], d'un problème de déni de service [CVE-2022-3821] ; ata_id : correction de l'obtention du code de réponse à partir des « SCSI Sense Data » ; logind : correction de l'obtention de la propriété OnExternalPower au moyen de D-Bus ; correction d'un plantage dans systemd-machined tomcat9 Ajout de la prise en charge d'OpenJDK 17 à la détection de JDK traceroute Interprétation des adresses v4mapped-IPv6 comme des adresses IPv4 tzdata Mise à jour des données incluses unbound Correction d'une « Non-Responsive Delegation Attack » [CVE-2022-3204] ; correction d'un problème de « noms de domaine fantômes » [CVE-2022-30698 CVE-2022-30699] usb.ids Mise à jour des données incluses vagrant Ajout de la prise en charge de VirtualBox 7.0 voms-api-java Correction d'échecs de construction en désactivant certains tests non fonctionnels w3m Correction d'un problème d'écriture hors limites [CVE-2022-38223] x4d-icons Correction d'un échec de construction avec les nouvelles versions d'imagemagick xapian-core Corruption de la base de données évitée lors d'une saturation du disque zfs-linux Ajout de plusieurs améliorations de stabilité Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-5170 nodejs DSA-5237 firefox-esr DSA-5238 thunderbird DSA-5259 firefox-esr DSA-5262 thunderbird DSA-5282 firefox-esr DSA-5284 thunderbird DSA-5300 pngcheck DSA-5301 firefox-esr DSA-5302 chromium DSA-5303 thunderbird DSA-5304 xorg-server DSA-5305 libksba DSA-5306 gerbv DSA-5307 libcommons-net-java DSA-5308 webkit2gtk DSA-5309 wpewebkit DSA-5310 ruby-image-processing DSA-5311 trafficserver DSA-5312 libjettison-java DSA-5313 hsqldb DSA-5314 emacs DSA-5315 libxstream-java DSA-5316 netty DSA-5317 chromium DSA-5318 lava DSA-5319 openvswitch DSA-5320 tor DSA-5321 sudo DSA-5322 firefox-esr DSA-5323 libitext5-java DSA-5324 linux-signed-amd64 DSA-5324 linux-signed-arm64 DSA-5324 linux-signed-i386 DSA-5324 linux DSA-5325 spip DSA-5326 nodejs DSA-5327 swift DSA-5328 chromium DSA-5329 bind9 DSA-5330 curl DSA-5331 openjdk-11 DSA-5332 git DSA-5333 tiff DSA-5334 varnish DSA-5335 openjdk-17 DSA-5336 glance DSA-5337 nova DSA-5338 cinder DSA-5339 libhtml-stripscripts-perl DSA-5340 webkit2gtk DSA-5341 wpewebkit DSA-5342 xorg-server DSA-5343 openssl DSA-5344 heimdal DSA-5345 chromium DSA-5346 libde265 DSA-5347 imagemagick DSA-5348 haproxy DSA-5349 gnutls28 DSA-5350 firefox-esr DSA-5351 webkit2gtk DSA-5352 wpewebkit DSA-5353 nss DSA-5355 thunderbird DSA-5356 sox DSA-5357 git DSA-5358 asterisk DSA-5359 chromium DSA-5361 tiff DSA-5362 frr DSA-5363 php7.4 DSA-5364 apr-util DSA-5365 curl DSA-5366 multipath-tools DSA-5367 spip DSA-5368 libreswan DSA-5369 syslog-ng DSA-5370 apr DSA-5371 chromium DSA-5372 rails DSA-5373 node-sqlite3 DSA-5374 firefox-esr DSA-5375 thunderbird DSA-5376 apache2 DSA-5377 chromium DSA-5378 xen DSA-5379 dino-im DSA-5380 xorg-server DSA-5381 tomcat9 DSA-5382 cairosvg DSA-5383 ghostscript DSA-5384 openimageio DSA-5385 firefox-esr DSA-5386 chromium DSA-5387 openvswitch DSA-5388 haproxy DSA-5389 rails DSA-5390 chromium DSA-5391 libxml2 DSA-5392 thunderbird DSA-5393 chromium Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison bind-dyndb-ldap Cassé avec les nouvelles versions de bind9 ; pas de prise en charge possible dans stable matrix-mirage Dépend de python-matrix-nio qui doit être retiré pantalaimon Dépend de python-matrix-nio qui doit être retiré python-matrix-nio Problèmes de sécurité ; ne fonctionne pas avec les serveurs Matrix actuels weechat-matrix Dépend de python-matrix-nio qui doit être retiré Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : https://deb.debian.org/debian/dists/bullseye/ChangeLog Adresse de l'actuelle distribution stable : https://deb.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : https://deb.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://www.debian.org/security/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part