Publication de la mise à jour de Debian 11.4

9 juillet 2022

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
apache2	Nouvelle version amont stable ; correction d'un problème de dissimulation de requête HTTP [CVE-2022-26377], problèmes de lecture hors limites [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], problèmes de déni de service [CVE-2022-29404 CVE-2022-30522], possible problème de lecture hors limites [CVE-2022-30556], possible problème de contournement d'authentification basée sur l'IP [CVE-2022-31813]
base-files	Mise à jour de /etc/debian_version pour cette version 11.4
bash	Correction d'une lecture hors limite d’un octet, provoquant la corruption de caractères multi-octets dans les substitutions de commande
clamav	Nouvelle version amont stable ; correction de sécurité [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
clementine	Ajout d'une dépendance manquante à libqt5sql5-sqlite
composer	Correction d'un problème d'injection de code [CVE-2022-24828] ; mise à jour du modèle de jeton de GitHub
cyrus-imapd	Présence d'un champ uniqueid dans toutes les boîtes aux lettres, corrigeant les mises à niveau vers la version 3.6
dbus-broker	Correction d'un problème de dépassement de tampon [CVE-2022-31212]
debian-edu-config	Acceptation d'un courriel du réseau local envoyé à root@<mynetwork-names> ; création des principaux d'hôte et de service de Kerberos s'ils n'existent pas encore ; assurance que libsss-sudo est installé sur les stations de travail itinérantes ; correction du nommage et de la visibilité des files d'impression ; prise en charge de krb5i sur les stations de travail sans disque ; squid : recherches DNSv4 préférées aux recherches DNSv6
debian-installer	Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd)
debian-installer-netboot-images	Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd)
distro-info-data	Ajout d'Ubuntu 22.10, Kinetic Kudu
docker.io	Ordonnancement de docker.service après containerd.service pour corriger l'arrêt de conteneurs ; passage explicite du chemin du socket containerd à dockerd pour assurer qu'il ne démarre pas containerd tout seul
dpkg	dpkg-deb : correction de conditions de fin de fichier inattendues lors de l'extraction de .deb ; libdpkg : pas de restriction des champs virtuels source:* pour les paquets installés ; Dpkg::Source::Package::V2 : correction systématique des permissions des archives amont (régression venue de DSA-5147-1]
freetype	Correction d'un problème de dépassement de tampon [CVE-2022-27404] ; correction de plantages [CVE-2022-27405 CVE-2022-27406]
fribidi	Correction de problèmes de dépassement de tampon [CVE-2022-25308 CVE-2022-25309] ; correction de plantage [CVE-2022-25310]
ganeti	Nouvelle version amont ; correction de plusieurs problèmes de mise à niveau ; correction de migration en direct avec QEMU 4 et security_model de user ou de pool
geeqie	Correction du Ctrl clic dans une sélection de bloc
gnutls28	Correction d'un mauvais calcul de SHA384 de SSSE3 ; correction d'un problème de déréférencement de pointeur NULL [CVE-2021-4209]
golang-github-russellhaering-goxmldsig	Correction d'un déréférencement de pointeur NULL provoqué par des signatures XML contrefaites [CVE-2020-7711]
grunt	Correction d'un problème de traversée de répertoires [CVE-2022-0436]
hdmi2usb-mode-switch	udev : ajout d'un suffixe aux nœuds de périphériques /dev/video pour les désambiguïser ; modification des règles udev à la priorité 70 pour qu'elles surviennent après 60-persistent-v4l.rules
hexchat	Ajout d'une dépendance manquante à python3-cffi-backend
htmldoc	Correction de boucle infinie [CVE-2022-24191], de problèmes de dépassement d'entier [CVE-2022-27114] et d'un problème de dépassement de tampon de tas [CVE-2022-28085]
knot-resolver	Correction d'un possible échec d'assertion dans des cas extrêmes de NSEC3 [CVE-2021-40083]
libapache2-mod-auth-openidc	Nouvelle version amont stable ; correction d'un problème de redirection ouverte [CVE-2021-39191] ; correction de plantage lors d'un rafraîchissement ou d'un redémarrage
libintl-perl	Installation réelle de gettext_xs.pm
libsdl2	Lecture hors limites évitée lors du chargement d'un fichier BMP mal formé [CVE-2021-33657] et durant la conversion de YUV à RGB
libtgowt	Nouvelle version amont stable pour prendre en charge la nouvelle version de telegram-desktop
linux	Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-amd64	Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-arm64	Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-i386	Nouvelle version amont stable ; passage de l'ABI à la version 16
logrotate	Verrouillage ignoré si le fichier d'état est lisible par tous [CVE-2022-1348] ; analyse de configuration plus stricte afin d'éviter l'analyse de fichiers extérieurs tels que les vidages d'image mémoire
lxc	Mise à jour du serveur de clés GPG par défaut corrigeant la création de conteneurs utilisant le modèle download
minidlna	Validation des requêtes HTTP pour protéger contre les attaques de « DNS rebinding » [CVE-2022-26505]
mutt	Correction d'un problème de dépassement de tampon d'uudecode [CVE-2022-1328]
nano	Correction de plusieurs bogues, y compris des corrections de plantages
needrestart	Détection des groupes de contrôle de sessions de services et d'utilisateur prenant en compte cgroup v2
network-manager	Nouvelle version amont stable
nginx	Correction de plantage quand libnginx-mod-http-lua est chargé et que init_worker_by_lua* est utilisé ; palliatif d'une attaque de confusion de contenu du protocole de la couche application dans le module Mail [CVE-2021-3618]
node-ejs	Correction d'un problème d'injection de modèle côté serveur [CVE-2022-29078]
node-eventsource	Retrait d'en-têtes sensibles lors d'une redirection vers une origine différente [CVE-2022-1650]
node-got	Redirection vers un socket Unix interdite [CVE-2022-33987]
node-mermaid	Correction de problèmes de scripts intersites [CVE-2021-23648 CVE-2021-43861]
node-minimist	Correction d'un problème de pollution de prototype [CVE-2021-44906]
node-moment	Correction d'un problème de traversée de répertoires [CVE-2022-24785]
node-node-forge	Correction de problèmes de vérification de signature [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-raw-body	Correction d'un problème potentiel de déni de service dans node-express, en utilisant node-iconv-lite plutôt que node-iconv
node-sqlite3	Correction d'un problème de déni de service [CVE-2022-21227]
node-url-parse	Correction de problèmes de contournement d'authentification [CVE-2022-0686 CVE-2022-0691]
nvidia-cuda-toolkit	Utilisation des archives OpenJDK8 pour amd64 et ppc64el ; vérification de l'opérabilité du binaire de Java ; nsight-compute : déplacement du dossier « sections » vers un emplacement multi-architecture ; correction de l’ordre des versions de nvidia-openjdk-8-jre
nvidia-graphics-drivers	Nouvelle version amont ; passage à l'arbre 470 amont ; correction de problèmes de déni de service [CVE-2022-21813 CVE-2022-21814] ; correction d'un problème d'écriture hors limites [CVE-2022-28181], de problèmes de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-graphics-drivers-legacy-390xx	Nouvelle version amont ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185]
nvidia-graphics-drivers-tesla-418	Nouvelle version amont stable
nvidia-graphics-drivers-tesla-450	Nouvelle version amont stable ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185], d'un problème de déni de service [CVE-2022-28192]
nvidia-graphics-drivers-tesla-460	Nouvelle version amont stable
nvidia-graphics-drivers-tesla-470	Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont ; correction d'un problème d'écriture hors limites [CVE-2022-28181], d'un problème de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-persistenced	Nouvelle version amont ; passage à l'arbre 470 amont
nvidia-settings	Nouvelle version amont ; passage à l'arbre 470 amont
nvidia-settings-tesla-470	Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont
nvidia-xconfig	Nouvelle version amont
openssh	seccomp : ajout de l'appel système pselect6_time64 sur les architectures 32 bits
orca	Correction de l'utilisation avec webkitgtk 2.36
php-guzzlehttp-psr7	Correction d'une analyse d'en-tête incorrecte [CVE-2022-24775]
phpmyadmin	Correction de certaines requêtes SQL générant une erreur du serveur
postfix	Nouvelle version amont stable ; pas d'écrasement du transport par défaut défini par l'utilisateur dans postinst ; if-up.d : pas d'émission d'erreur si postfix ne peut pas encore envoyer de message
procmail	Correction d'un déréférencement de pointeur NULL
python-scrapy	Pas d'envoi de données d'authentification avec chaque requête [CVE-2021-41125] ; pas d'exposition de cookies inter-domaines lors des redirections [CVE-2022-0577]
ruby-net-ssh	Correction de l'authentification avec les systèmes utilisant OpenSSH 8.8
runc	Respect de defaultErrnoRet de seccomp ; pas de définition de capacités héritables [CVE-2022-29162]
samba	Correction d'échec de démarrage de winbind quand allow trusted domains = no est utilisé ; correction de l'authentification de Kerberos du MIT ; correction d'un problème de protection de partage au moyen d'une situation de compétition dans mkdir [CVE-2021-43566] ; correction d'un possible problème sérieux de corruption de données dû à l'empoisonnement de cache d'un client Windows ; correction de l'installation sur des systèmes non systemd
tcpdump	Mise à jour du profil d'AppArmor pour permettre l'accès aux fichiers *.cap et gestion de suffixes numériques dans les noms de fichiers ajoutés par -W
telegram-desktop	Nouvelle version amont stable, rétablissant la fonctionnalité
tigervnc	Correction du démarrage du bureau de GNOME lors de l'utilisation de tigervncserver@.service ; correction de l'affichage des couleurs lorsque vncviewer et le serveur X11 utilisent des boutismes différents
twisted	Correction d'un problème de divulgation d'informations avec des redirections inter-domaines [CVE-2022-21712], d'un problème de déni de service lors des négociations de connexion SSH [CVE-2022-21716], de problèmes de dissimulation de requête HTTP [CVE-2022-24801]
tzdata	Mise à jour des données du fuseau horaire de la Palestine ; mise à jour de la liste des secondes intercalaires
ublock-origin	Nouvelle version amont stable
unrar-nonfree	Correction d'un problème de traversée de répertoires [CVE-2022-30333]
usb.ids	Nouvelle version amont ; mise à jour des données incluses
wireless-regdb	Nouvelle version amont ; suppression du détournement ajouté par l'installateur assurant que les fichiers venant du paquet sont utilisés

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4999	asterisk
DSA-5026	firefox-esr
DSA-5034	thunderbird
DSA-5044	firefox-esr
DSA-5045	thunderbird
DSA-5069	firefox-esr
DSA-5074	thunderbird
DSA-5086	thunderbird
DSA-5090	firefox-esr
DSA-5094	thunderbird
DSA-5097	firefox-esr
DSA-5106	thunderbird
DSA-5107	php-twig
DSA-5108	tiff
DSA-5110	chromium
DSA-5111	zlib
DSA-5112	chromium
DSA-5113	firefox-esr
DSA-5114	chromium
DSA-5115	webkit2gtk
DSA-5116	wpewebkit
DSA-5117	xen
DSA-5118	thunderbird
DSA-5119	subversion
DSA-5120	chromium
DSA-5121	chromium
DSA-5122	gzip
DSA-5123	xz-utils
DSA-5124	ffmpeg
DSA-5125	chromium
DSA-5127	linux-signed-amd64
DSA-5127	linux-signed-arm64
DSA-5127	linux-signed-i386
DSA-5127	linux
DSA-5128	openjdk-17
DSA-5129	firefox-esr
DSA-5130	dpdk
DSA-5131	openjdk-11
DSA-5132	ecdsautils
DSA-5133	qemu
DSA-5134	chromium
DSA-5136	postgresql-13
DSA-5137	needrestart
DSA-5138	waitress
DSA-5139	openssl
DSA-5140	openldap
DSA-5141	thunderbird
DSA-5142	libxml2
DSA-5143	firefox-esr
DSA-5145	lrzip
DSA-5147	dpkg
DSA-5148	chromium
DSA-5149	cups
DSA-5150	rsyslog
DSA-5151	smarty3
DSA-5152	spip
DSA-5153	trafficserver
DSA-5154	webkit2gtk
DSA-5155	wpewebkit
DSA-5156	firefox-esr
DSA-5157	cifs-utils
DSA-5158	thunderbird
DSA-5159	python-bottle
DSA-5160	ntfs-3g
DSA-5161	linux-signed-amd64
DSA-5161	linux-signed-arm64
DSA-5161	linux-signed-i386
DSA-5161	linux
DSA-5162	containerd
DSA-5163	chromium
DSA-5164	exo
DSA-5165	vlc
DSA-5166	slurm-wlm
DSA-5167	firejail
DSA-5168	chromium
DSA-5169	openssl
DSA-5171	squid
DSA-5172	firefox-esr
DSA-5174	gnupg2

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
elog	non maintenu ; problèmes de sécurité
python-hbmqtt	non maintenu et cassé

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.