------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 12.2 press@debian.org
7 octobre 2023 https://www.debian.org/News/2023/20231007
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa
distribution stable Debian 12 (nom de code « Bookworm »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 12 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bookworm. Après installation, les paquets peuvent
être mis à niveau vers les versions actuelles en utilisant un miroir
Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
amd64-microcode Mise à jour du microcode inclus, y compris des
corrections pour « AMD Inception » pour les
processeurs AMD Zen4 [CVE-2023-20569]
arctica-greeter Prise en charge de la configuration du thème du
clavier à l'écran au moyen de gsettings de
ArcticaGreeter ; utilisation de la disposition OSK
« Compact » (à la place de Small) qui inclut des
touches spéciales telles que le umlaut allemand ;
correction de l'affichage des messages d'échec
d'authentification ; utilisation du thème Active à
la place d'Emerald
autofs Correction d'une régression affectant
l'accessibilité des hôtes double couche
base-files Mise à jour pour cette version
batik Correction de problèmes de contrefaçon de requête
côté serveur [CVE-2022-44729 CVE-2022-44730]
boxer-data Plus d'installation de https-everywhere pour
Firefox
brltty xbrlapi : pas de tentative de démarrage de brltty
avec ba+a2 quand ce n'est pas disponible ;
correction du déplacement du curseur et du
défilement braille dans Orca quand xbrlapi est
installé mais que le pilote d'écran a2 ne l'est pas
ca-certificates-java
Contournement de la non configuration de JRE lors
des nouvelles installations
cairosvg Gestion de données : URL en mode sûr
calibre Correction de la fonction d'exportation
clamav Nouvelle version amont stable ; corrections de
sécurité [CVE-2023-20197 CVE-2023-20212]
cryptmount problèmes d'initialisation de mémoire évités dans
l'analyseur de ligne de commande
cups Correction d'un problème de dépassement de tampon
de tas [CVE-2023-4504] ; correction d'un problème
d'accès non authentifié [CVE-2023-32360]
curl Construction avec OpenLDAP pour corriger la
récupération incorrecte des attributs binaires de
LDAP ; correction d'un problème de consommation
excessive de mémoire [CVE-2023-38039]
cyrus-imapd Assurance que les boîtes aux lettres ne
disparaissent pas lors des mises à niveau à partir
de Bullseye
dar Correction de problèmes lors de la création de
catalogues isolés quand dar a été construit avec
une version récente de gcc
dbus Nouvelle version amont stable ; correction d'un
plantage de dbus-daemon lors du rechargement de la
politique lorsqu'une connexion appartient à un
compte utilisateur qui a été supprimé, ou si un
greffon NSS (Name Service Switch) est cassé, sur
les noyaux qui ne prennent pas en charge
SO_PEERGROUPS ; rapport d'erreur correct quand
l'obtention des groupes d'un UID échoue ;
dbus-user-session : copie de XDG_CURRENT_DESKTOP
dans l'environnement d'activation
debian-archive-keyring
Nettoyage des trousseaux de clés inutilisés dans
trusted.gpg.d
debian-edu-doc Mise à jour du manuel de Debian Edu Bookworm
debian-edu-install Nouvelle version amont ; ajustement des tailles des
partitions automatiques de l’installateur Debian
debian-installer Passage de l'ABI du noyau Linux à la version
6.1.0-13 ; reconstruction avec proposed-updates
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-parl Reconstruction avec la nouvelle version de
boxer-data ; plus de dépendance à
webext-https-everywhere
debianutils Correction d'entrées dupliquées dans /etc/shells ;
gestion de /bin/sh dans le fichier d'état ;
correction de la forme canonique des interpréteurs
dans les emplacements des alias
dgit Utilisation du mappage ancien /updates vers
security seulement pour Buster ; chargement empêché
des versions plus anciennes qui sont déjà dans
l'archive
dhcpcd5 Mises à niveau facilitée avec des programmes
laissés par Wheezy ; abandon de l'intégration
obsolète de ntpd ; correction de version dans le
script de nettoyage
dpdk Nouvelle version amont stable
dput-ng Mise à jour des cibles de téléversement permises ;
correction d'échec de construction à partir du
paquet source
efibootguard Correction d'une validation insuffisante ou absente
et de nettoyage de l'entrée à partir de fichiers
d'environnement d'un chargeur d'amorçage non sûr
[CVE-2023-39950]
electrum Correction d'un problème de sécurité de Lightning
filezilla Correction de construction pour les architectures
32 bits ; correction d'un plantage lors du retrait
de types de fichier d'une liste
firewalld Pas de mélange d'adresses IPv4 et IPv6 dans une
règle unique de nftables
flann Abandon de la bibliothèque supplémentaire -llz4
dans flann.pc
foot Requêtes XTGETTCAP avec un encodage hexadécimal non
valable ignorées
freedombox Utilisation de n= dans les préférences d'apt pour
des mises à niveau sans problème
freeradius Données correctes dans TLS-Client-Cert-Common-Name
assurée
ghostscript Correction d'un problème de dépassement de tampon
[CVE-2023-38559] ; essai et sécurisation du
démarrage du serveur IJS [CVE-2023-43115]
gitit Reconstruction avec la nouvelle version de pandoc
gjs Boucles infinies évitées des rappels de suspension
si un gestionnaire de suspension est appelé durant
l’utilisation du ramasse miettes (GC)
glibc Correction de la valeur de F_GETLK/F_SETLK/F_SETLKW
avec __USE_FILE_OFFSET64 sur ppc64el ; correction
d'un dépassement de lecture de pile dans
getaddrinfo en mode no-aaaa [CVE-2023-4527] ;
correction d'une utilisation de mémoire après
libération dans getcanonname [CVE-2023-4806
CVE-2023-5156] ; correction de _dl_find_object pour
renvoyer des valeurs correctes même durant le début
du démarrage
gosa-plugins-netgroups
Avertissements de dépréciation silencieux dans
l'interface web
gosa-plugins-systems
Correction de la gestion des entrées DHCP/DNS dans
le thème par défaut ; correction de l'ajout de
systèmes (autonomes) « Imprimante réseau » ;
correction de la génération de DNS cible pour
divers types de systèmes ; correction du rendu des
icônes dans le servlet DHCP ; nom d'hôte non
qualifié appliqué pour les stations de travail
gtk+3.0 Nouvelle version amont stable ; correction de
plusieurs plantages ; plus d'informations montrées
dans l'interface de débogage « inspector » ;
avertissements silencieux de GFileInfo lors d'une
utilisation d'une version de Glibc rétroportée ;
utilisation d'une couleur claire pour le curseur
pour les thèmes sombres, améliorant beaucoup sa
visibilité dans certaines applications et en
particulier Evince
gtk4 Correction d'une troncature dans PlacesSidebar avec
la configuration d'accessibilité des textes longs
haskell-hakyll Reconstruction avec la nouvelle version de pandoc
highway Correction de la prise en charge des systèmes armhf
où NEON est absent
hnswlib Correction d'une double libération de mémoire dans
init_index quand l'argument M est un grand entier
[CVE-2023-37365]
horizon Correction d'un problème de redirection ouverte
[CVE-2022-45582]
icingaweb2 Suppression de notices de dépréciation indésirable
imlib2 Correction de la préservation de l'attribut de
canal alpha
indent Correction d'une lecture hors tampon ; correction
d'écrasement de tampon [CVE-2023-40305]
inetutils Vérification des valeurs de retour lors de
l'abandon de privilèges [CVE-2023-40303]
inn2 Correction des blocages de nnrpd quand la
compression est activée ; ajout de la prise en
charge des horodatages de haute précision pour
syslog ; inn-{radius,secrets}.conf rendus non
lisibles par tous
jekyll Prise en charge des alias YAML
kernelshark Correction d'une erreur de segmentation dans
libshark-tepdata ; correction de la capture quand
le répertoire cible contient un espace
krb5 Correction de libération d'un pointeur non
initialisé [CVE-2023-36054]
lemonldap-ng Application du contrôle d'identifiant pour les
requêtes auth-slave ; correction d'une redirection
ouverte due au traitement incorrect d'un
échappement ; correction d'une redirection ouverte
quand OIDC RP n'a pas d'URI de redirection ;
correction d'un problème de contrefaçon de requête
côté serveur [CVE-2023-44469]
libapache-mod-jk Suppression de la fonctionnalité de mappage
implicite qui pouvait mener à l'exposition imprévue
de l'état « worker » et/ou « bypass » des
contraintes de sécurité [CVE-2023-41081]
libclamunrar Nouvelle version amont stable
libmatemixer Correction de corruptions de tas ou de plantages
des applications lors du retrait de périphériques
audio
libpam-mklocaluser pam-auth-update : assurance que le module est
ordonnancé avant les autres modules de type session
libxnvctrl Nouveau paquet source séparé de nvidia-settings
linux Nouvelle version amont stable
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
llvm-defaults Correction du lien symbolique /usr/include/lld ;
ajout de Breaks sur les paquets non co-installables
pour des mises à niveau sans problème à partir de
Bullseye
ltsp Utilisation évitée de mv sur le lien symbolique
init
lxc Correction de la syntaxe de nftables pour la
traduction d'adresse réseau pour les paquets IPv6
lxcfs Correction du rapport de processeur dans un
conteneur arm32 avec un grand nombre de processeurs
marco Activation de la composition seulement si elle est
disponible
mariadb Nouvelle version amont de correction de bogues
mate-notification-daemon
Correction de deux fuites de mémoire
mgba Correction du son cassé dans libretro core ;
correction d'un plantage sur le matériel ignorant
OpenGL 3.2
modsecurity Correction d'un problème de déni de service
[CVE-2023-38285]
monitoring-plugins check_disk : montage évité lors de la recherche de
point des montages correspondants, résolvant une
régression de vitesse depuis Bullseye
mozjs102 Nouvelle version amont stable ; correction de
« valeur incorrecte utilisée durant la compilation
de WASM » [CVE-2023-4046], problème potentiel
d'utilisation de mémoire après libération
[CVE-2023-37202], problème de sécurité mémoire
[CVE-2023-37211 CVE-2023-34416]
mutt Nouvelle version amont stable
nco Réactivation de la prise en charge de udunits2
nftables Correction de la génération incorrecte de bytecode
touchée par la nouvelle vérification du noyau qui
rejette l'ajout de règles à la chaîne de liens
node-dottie Correction de sécurité (pollution de prototype)
[CVE-2023-26132]
nvidia-settings Nouvelle version amont de correction de bogues
nvidia-settings-tesla
Nouvelle version amont de correction de bogues
nx-libs Correction de l'absence du lien symbolique
/usr/share/nx/fonts ; correction de la page de
manuel
open-ath9k-htc-firmware
Chargement du microprogramme correct
openbsd-inetd Correction de problèmes de gestion de mémoire
openrefine Correction d'un problème d'exécution de code
arbitraire [CVE-2023-37476]
openscap Correction des dépendances à openscap-utils et
python3-openscap
openssh Correction d'un problème d'exécution de code à
distance au moyen d'un socket d'agent transmis
[CVE-2023-38408]
openssl Nouvelle version amont stable ; corrections de
sécurité [CVE-2023-2975 CVE-2023-3446
CVE-2023-3817]
pam Correction de pam-auth-update --disable ; mise à
jour de la traduction en turc
pandoc Correction d'un problème d'écriture d'un fichier
arbitraire [CVE-2023-35936]
plasma-framework Correction de plantages de plasmashell
plasma-workspace Correction d'un plantage dans krunner
python-git Correction d'un problème d'exécution de code à
distance [CVE-2023-40267], d'un problème
d'inclusion inaperçue de fichier local
[CVE-2023-41040]
pywinrm Correction de compatibilité avec Python 3.11
qemu Mise à jour vers l'arbre 7.2.5 amont ;
ui/vnc-clipboard : correction d'une boucle infinie
dans inflate_buffer [CVE-2023-3255] ; correction
d'un problème de déréférencement de pointeur NULL
[CVE-2023-3354] ; correction d'un problème de
dépassement de tampon [CVE-2023-3180]
qtlocation-opensource-src
Correction de gel lors du chargement de tuiles de
cartes
rar Version amont de correction de bogues
[CVE-2023-40477]
reprepro Correction d'une situation de compétition lors de
l'utilisation de décompresseurs externes
rmlint Correction d'erreur dans d'autres paquets provoquée
par une version erronée du paquet python ;
correction d'échec de démarrage de l'interface
graphique avec les versions récentes de Python 3.11
roundcube Nouvelle version amont stable ; correction de
l'authentification OAuth2 ; corrections de
problèmes de script intersite [CVE-2023-43770]
runit-services dhclient : pas d'utilisation d'eth1 codé en dur
samba Nouvelle version amont stable
sitesummary Nouvelle version amont ; correction de
l'installation du script sitesummary-maintenance de
CRON/systemd-timerd ; correction de la création non
sûre de fichiers et de répertoires temporaires
slbackup-php corrections de bogues : journalisation des
commandes distantes vers stderr ; désactivation de
fichiers d'hôtes SSH connus ; compatibilité avec
PHP 8
spamprobe Correction de plantage dans l'analyse de pièces
jointes JPEG
stunnel4 Correction de la fermeture par un pair d'une
connexion TLS sans envoi d'un message correct de
fermeture
systemd Nouvelle version amont stable ; correction d'un
problème de sécurité mineur dans systemd-boot (EFI)
d'arm64 et de riscv64 avec le chargement de l'arbre
des périphériques (device-tree blob)
testng7 Rétroportage dans stable pour les constructions
futures d'openjdk-17
timg Correction d'une vulnérabilité de dépassement de
tampon [CVE-2023-40968]
transmission Remplacement du correctif de compatibilité avec
openssl3 pour corriger une fuite de mémoire
unbound Correction de saturation du journal d'erreurs lors
de l'utilisation de DNS sur TLS avec openssl 3.0
unrar-nonfree Correction d'un problème d'exécution de code à
distance [CVE-2023-40477]
vorta Gestion des modifications de ctime et mtime dans
les fichiers diff
vte2.91 « Ring view » invalidé plus souvent quand c'est
nécessaire, correction de divers échecs d'assertion
durant la gestion d'événements
x2goserver x2goruncommand : ajout de la prise en charge de KDE
Plasma 5 ; x2gostartagent : corruption de fichier
journal empêchée ; keystrokes.cfg : synchronisation
avec nx-libs ; correction de la traduction en
finnois
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-5454 kanboard
DSA-5455 iperf3
DSA-5456 chromium
DSA-5457 webkit2gtk
DSA-5458 openjdk-17
DSA-5459 amd64-microcode
DSA-5460 curl
DSA-5462 linux-signed-amd64
DSA-5462 linux-signed-arm64
DSA-5462 linux-signed-i386
DSA-5462 linux
DSA-5463 thunderbird
DSA-5464 firefox-esr
DSA-5465 python-django
DSA-5466 ntpsec
DSA-5467 chromium
DSA-5468 webkit2gtk
DSA-5469 thunderbird
DSA-5471 libhtmlcleaner-java
DSA-5472 cjose
DSA-5473 orthanc
DSA-5474 intel-microcode
DSA-5475 linux-signed-amd64
DSA-5475 linux-signed-arm64
DSA-5475 linux-signed-i386
DSA-5475 linux
DSA-5476 gst-plugins-ugly1.0
DSA-5477 samba
DSA-5479 chromium
DSA-5481 fastdds
DSA-5482 tryton-server
DSA-5483 chromium
DSA-5484 librsvg
DSA-5485 firefox-esr
DSA-5487 chromium
DSA-5488 thunderbird
DSA-5491 chromium
DSA-5492 linux-signed-amd64
DSA-5492 linux-signed-arm64
DSA-5492 linux-signed-i386
DSA-5492 linux
DSA-5493 open-vm-tools
DSA-5494 mutt
DSA-5495 frr
DSA-5496 firefox-esr
DSA-5497 libwebp
DSA-5498 thunderbird
DSA-5501 gnome-shell
DSA-5504 bind9
DSA-5505 lldpd
DSA-5507 jetty9
DSA-5510 libvpx
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
https-everywhere Obsolète, les principaux navigateurs proposent
une prise en charge native
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bookworm/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: This is a digitally signed message part