Publication de la mise à jour de Debian 12.6
29 juin 2024
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 12 (nom de code Bookworm
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
aide | Correction de lectures concurrentes des attributs étendus |
amavisd-new | Gestion de plusieurs paramètres de limites qui contiennent des valeurs conflictuelles [CVE-2024-28054] ; correction de situation de compétition dans postinst |
archlinux-keyring | Passage à des trousseaux de clés préconstruits ; synchronisation avec l'amont |
base-files | Mise à jour pour cette version |
bash | Reconstruction pour corriger un Built-Using obsolète |
bioawk | Désactivation des constructions parallèles pour corriger des échecs aléatoires |
bluez | Correction de problèmes d'exécution de code à distance [CVE-2023-27349 CVE-2023-50229 CVE-2023-50230] |
cdo | Désactivation des extensions de HIRLAM pour éviter de provoquer des problèmes avec les fichiers de données ICON |
chkrootkit | Reconstruction pour corriger un Built-Using obsolète |
cjson | Correction de l'absence de vérifications de NULL [CVE-2023-50471 CVE-2023-50472] |
clamav | Nouvelle version amont stable ; correction d'un possible problème de dépassement de tas [CVE-2024-20290], d'un possible problème d'injection de commande [CVE-2024-20328] |
cloud-init | Déclaration de conflicts et replaces sur le paquet versionné introduit dans Bullseye |
comitup | Assurance que le service n'est pas masqué dans la postinstallation |
cpu | Fourniture d'exactement une définition de globalLdap dans le greffon de LDAP |
crmsh | Création d'un répertoire et d'un fichier de journalisation à l'installation |
crowdsec-custom-bouncer | Reconstruction pour corriger un Built-Using obsolète |
crowdsec-firewall-bouncer | Reconstruction avec une version de golang-github-google-nftables avec une correction de la prise en charge de l'architecture petit-boutiste |
curl | Protocoles par défaut abandonnés quand ils sont désélectionnés [CVE-2024-2004] ; correction de fuite de mémoire [CVE-2024-2398] |
dar | Reconstruction pour corriger un Built-Using obsolète |
dcmtk | Nettoyage correct après une suppression complète |
debian-installer | Passage de l'ABI du noyau Linux à la version 6.1.0-22 ; reconstruction avec proposed-updates |
debian-installer-netboot-images | Reconstruction avec proposed-updates |
debvm | debvm-create : faire une connexion d'installation ; bin/debvm-waitssh : --timeout=N fonctionne ; bin/debvm-run : exécution dans les environnements sans TERM défini ; correction de resolv.conf dans Stretch |
dhcpcd5 | privsep : messages de longueur zéro autorisés ; correction d'un redémarrage incorrect du serveur lors des mises à niveau |
distro-info-data | Déclaration des intentions pour Bullseye/Bookworm ; correction de données anciennes ; ajout d'Ubuntu 24.10 |
djangorestframework | Restauration des fichiers statiques manquants |
dm-writeboost | Correction d'erreur de construction avec le noyau 6.9 et les rétroportages |
dns-root-data | Mise à jour de root.hints ; mise à jour des informations de sécurité expirées |
dpdk | Nouvelle version amont stable |
ebook-speaker | Prise en charge des noms d’utilisateur de plus de 8 caractères lors de l'énumération des groupes |
emacs | Correction de sécurité [CVE-2024-30202 CVE-2024-30203 CVE-2024-30204 CVE-2024-30205] ; remplacement de package-keyring.gpg expiré par la version actuelle |
extrepo-data | Mise à jour des informations sur le dépôt |
flatpak | Nouvelle version amont stable |
fpga-icestorm | Compatibilité avec yosys restaurée |
freetype | Désactivation de la prise en charge de COLRv1 activé de façon non intentionnelle par l'amont ; correction de la vérification de l'existence de la fonction lors de l'appel de get_colr_glyph_paint() |
galera-4 | Nouvelle version amont de correction de bogues ; mise à jour de la clé de signature de la version amont ; échec des tests relatifs aux dates évités |
gdk-pixbuf | ANI : rejet des fichiers avec de multiples morceaux anih [CVE-2022-48622] ; ANI : rejet des fichiers avec de multiples morceaux INAM ou IART ; ANI : validation de la taille des morceaux anih |
glewlwyd | Correction d'un potentiel dépassement de tampon pendant la validation d'accréditation FIDO2 [CVE-2023-49208] ; correction de redirection non contrôlée au moyen de redirect_uri [CVE-2024-25715] |
glib2.0 | Correction d'une (rare) fuite de mémoire |
glibc | Suppression de la correction de l'appel permanent des destructeurs dans l'ordre inverse des constructeurs à cause de problèmes imprévus de compatibilité d'applications ; correction d'une corruption de DTV due à la réutilisation d'un identifiant de module TLS suivant dlclose avec un TLS inutilisé |
gnutls28 | Correction du plantage certtool lors de la vérification d'une chaîne de certificats comptant plus de certificats [CVE-2024-28835] ; correction d'une attaque par canal auxiliaire dans l'ECDSA déterministe [CVE-2024-28834] ; correction d'une fuite de mémoire ; correction de deux erreurs de segmentation |
golang-github-containers-storage | Reconstruction pour corriger un Built-Using obsolète |
golang-github-google-nftables | Correction de la fonction AddSet() sur les architectures petit-boutistes |
golang-github-openshift-imagebuilder | Reconstruction pour corriger un Built-Using obsolète |
gosu | Reconstruction pour corriger un Built-Using obsolète |
gpaste | Correction de conflit avec les versions anciennes de libpgpaste6 |
gross | Correction d'un dépassement de pile [CVE-2023-52159] |
hovercraft | Dépendance à python3-setuptools |
icinga2 | Correction d'une erreur de segmentation sur ppc64el |
igtf-policy-bundle | Traitement du changement de politique S/MIME de CAB Forum ; application des mises à jour accumulées aux ancres de confiance |
intel-microcode | Atténuation de vulnérabilité de sécurité [CVE-2023-22655 CVE-2023-28746 CVE-2023-38575 CVE-2023-39368 CVE-2023-43490] ; atténuation pour INTEL-SA-01051 [CVE-2023-45733], INTEL-SA-01052 [CVE-2023-46103], INTEL-SA-01036 [CVE-2023-45745, CVE-2023-47855] et de problèmes fonctionnels non précisés sur divers processeurs Intel |
jose | Correction d'un problème de déni de service potentiel [CVE-2023-50967] |
json-smart | Correction d'une récursion excessive menant à un dépassement de pile [CVE-2023-1370] ; correction d'un déni de service au moyen d'une requête contrefaite [CVE-2021-31684] |
kio | Correction de problèmes de perte de fichier et de potentiel verrouillage dans CIFS |
lacme | Correction de la logique de validation postémission |
libapache2-mod-auth-openidc | Correction d'une absence de validation d'entrée menant à un déni de service [CVE-2024-24814] |
libesmtp | Ajout de breaks et replaces aux versions anciennes de la bibliothèque |
libimage-imlib2-perl | Correction de la construction du paquet |
libjwt | Correction d'une attaque temporelle par canal auxiliaire [CVE-2024-25189] |
libkf5ksieve | Fuite de mots de passe évitée dans les journaux côté serveur |
libmail-dkim-perl | Ajout d'une dépendance à libgetopt-long-descriptive-perl |
libpod | Gestion correcte des conteneurs supprimés |
libreoffice | Correction de la création de copie de sauvegarde pour des fichiers sur des partages samba montés ; pas de suppression de libforuilo.so dans -core-nogui |
libseccomp | Ajout de la prise en charge des appels système jusqu'à Linux 6.7 |
libtommath | Correction de dépassement d'entier [CVE-2023-36328] |
libtool | Conflit avec libltdl3-dev ; correction de vérification de l'opérateur += dans func_append |
libxml-stream-perl | Correction de la compatibilité avec IO::Socket::SSL >= 2.078 |
linux | Nouvelle version amont stable ; passage de l'ABI à la version 22 |
linux-signed-amd64 | Nouvelle version amont stable ; passage de l'ABI à la version 22 |
linux-signed-arm64 | Nouvelle version amont stable ; passage de l'ABI à la version 22 |
linux-signed-i386 | Nouvelle version amont stable ; passage de l'ABI à la version 22 |
lua5.4 | debian/version-script : exportation de symboles supplémentaires manquants pour lua 5.4.4 |
lxc-templates | Correction de l'option mirrorde lxc-debian |
mailman3 | Dépendance alternative à cron-daemon ; correction de l'URL postgresql:// dans le script postinstallation |
mksh | Gestion de merged /usr dans /etc/shells ; correction de plantage avec des bashismesimbriqués ; correction des arguments pour la commande dot ; distinction de non défini et de vide dans typeset -p` |
mobian-keyring | Mise à jour de la clé de l'archive Mobian |
ms-gsl | Marquage des constructeurs not_null comme noexcept |
nano | Correction de problèmes de chaîne de format ; correction de with --cutfromcursor, défaire une justification peut supprimer une ligne; correction d'un problème de lien symbolique malveillant ; correction d'exemple de liaisons dans nanorc |
netcfg | Gestion du routage pour les masques réseau à adresse unique |
ngircd | Respect de l'option SSLConnectpour les connexions entrantes ; validation du certificat de serveur sur les liens de serveur (S2S-TLS) ; METADATA : correction de la désactivation de cloakhost |
node-babel7 | Correction de la construction avec nodejs 18.19.0+dfsg-6~deb12u1 ; ajout de breaks et replaces sur les paquets node-babel-* obsolètes |
node-undici | Exportation correcte des types typescript |
node-v8-compile-cache | Correction de tests quand une version plus récente de nodejs est utilisée |
node-zx | Correction de tests peu fiables |
nodejs | Tests peu fiables évités pour mipsel/mips64el |
nsis | Utilisateurs non privilégiés empêchés de supprimer le répertoire du désinstallateur [CVE-2023-37378] ; correction d'une régression en désactivant des déplacements restreints ; construction reproductible pour arm64 |
nvidia-graphics-drivers | Restauration de la compatibilité avec les nouvelles constructions du noyau Linux ; remplacement des paquets de nvidia-graphics-drivers-tesla ; ajout du nouveau paquet nvidia-suspend-common ; assouplissement de la dépendance de construction de dh-dkms pour la compatibilité avec Bookworm ; nouvelle version amont stable [CVE-2023-0180 CVE-2023-0183 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199 CVE-2023-25515 CVE-2023-25516 CVE-2023-31022 CVE-2024-0074 CVE-2024-0075 CVE-2024-0078 CVE-2024-0090 CVE-2024-0092] |
nvidia-graphics-drivers-tesla | Restauration de la compatibilité avec les nouvelles constructions du noyau Linux |
nvidia-graphics-drivers-tesla-470 | Restauration de la compatibilité avec les nouvelles constructions du noyau Linux ; arrêt de la construction de nvidia-cuda-mps ; nouvelle version amont stable ; corrections de sécurité [CVE-2022-42265 CVE-2024-0074 CVE-2024-0078 CVE-2024-0090 CVE-2024-0092] |
nvidia-modprobe | Préparation du passage aux pilotes LTS des séries 535 |
nvidia-open-gpu-kernel-modules | Mise à jour vers les pilotes LTS des séries 535 [CVE-2023-0180 CVE-2023-0183 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199 CVE-2023-25515 CVE-2023-25516 CVE-2023-31022 CVE-2024-0074 CVE-2024-0075 CVE-2024-0078 CVE-2024-0090 CVE-2024-0092] |
nvidia-persistenced | Passage aux pilotes LTS des séries 535 ; mise à jour de la liste des pilotes pris en charge |
nvidia-settings | Ajout de la construction pour ppc64el ; nouvelle version LTS amont |
nvidia-xconfig | Nouvelle version LTS amont |
openrc | Scripts non-exécutables ignorés dans /etc/init.d |
openssl | Nouvelle version amont stable ; correction de problèmes de consommation de temps excessive [CVE-2023-5678 CVE-2023-6237], problème de corruption de registre de vecteur sur PowerPC [CVE-2023-6129], plantage du décodage de PKCS12 [CVE-2024-0727] |
openvpn-dco-dkms | Construction pour Linux >= 6.5 ; installation du répertoire compat-include ; correction d'une asymétrie du compteur de références |
orthanc-dicomweb | Reconstruction pour corriger un Built-Using obsolète |
orthanc-gdcm | Reconstruction pour corriger un Built-Using obsolète |
orthanc-mysql | Reconstruction pour corriger un Built-Using obsolète |
orthanc-neuro | Reconstruction pour corriger un Built-Using obsolète |
orthanc-postgresql | Reconstruction pour corriger un Built-Using obsolète |
orthanc-python | Reconstruction pour corriger un Built-Using obsolète |
orthanc-webviewer | Reconstruction pour corriger un Built-Using obsolète |
orthanc-wsi | Reconstruction pour corriger un Built-Using obsolète |
ovn | Nouvelle version amont stable ; correction d'une validation insuffisante des paquets BSD entrants [CVE-2024-2182] |
pdudaemon | Dépendance à python3-aiohttp |
php-composer-class-map-generator | Chargement des dépendances système obligé |
php-composer-pcre | Ajout de breaks et replaces manquant sur composer (<< 2.2) |
php-composer-xdebug-handler | Chargement des dépendances système obligé |
php-doctrine-annotations | Chargement des dépendances système obligé |
php-doctrine-deprecations | Chargement des dépendances système obligé |
php-doctrine-lexer | Chargement des dépendances système obligé |
php-phpseclib | Protection de isPrime() et randomPrime() pour BigInteger [CVE-2024-27354] ; limitation de longueur d'OID dans ASN1 [CVE-2024-27355] ; correction de BigInteger getLength() ; suppression des modificateurs de visibilité des variables statiques |
php-phpseclib3 | Chargement des dépendances système obligé ; protection de isPrime() et randomPrime() pour BigInteger [CVE-2024-27354] ; limitation de longueur d'OID dans ASN1 [CVE-2024-27355] ; correction de getLength() de BigInteger |
php-proxy-manager | Chargement des dépendances système obligé |
php-symfony-contracts | Chargement des dépendances système obligé |
php-zend-code | Chargement des dépendances système obligé |
phpldapadmin | Correction de la compatibilité avec PHP 8.1+ |
phpseclib | Chargement des dépendances système obligé ; protection de isPrime() et randomPrime() pour BigInteger [CVE-2024-27354] ; limitation de longueur d'OID dans ASN1 [CVE-2024-27355] ; correction de getLength() de BigInteger |
postfix | Nouvelle version amont stable |
postgresql-15 | Nouvelle version amont stable ; visibilité des entrées pg_stats_ext et pg_stats_ext_exprs au propriétaire de la table [CVE-2024-4317] |
prometheus-node-exporter-collectors | Pas d'atteinte au réseau miroir ; correction de blocage avec d'autres exécutions d'apt update |
pymongo | Correction d'un problème de lecture hors limites [CVE-2024-5629] |
pypy3 | Élimination des caractères de contrôle C0 et d'espace dans urlsplit [CVE-2023-24329] ; contournement des protections de connexion TLS évité sur les sockets fermés [CVE-2023-40217] ; tempfile.TemporaryDirectory : correction d'un bogue de lien symbolique dans le nettoyage [CVE-2023-6597] ; protection de zipfile contre la bombe de décompression quoted-overlap[CVE-2024-0450] |
python-aiosmtpd | Correction d'un problème de dissimulation SMTP [CVE-2024-27305] ; correction d'un problème d'injection de commande STARTTLS non chiffrée [CVE-2024-34083] |
python-asdf | Suppression de la dépendance inutile à asdf-unit-schemas |
python-channels-redis | Assurance de la fermeture des poolslors de la fermeture d'une boucle dans le core |
python-idna | Correction d'un problème de déni de service [CVE-2024-3651] |
python-jwcrypto | Correction d'un problème de déni de service [CVE-2024-28102] |
python-xapian-haystack | Suppression de la dépendance à django.utils.six |
python3.11 | Correction d'un plantage d'utilisation de mémoire après libération lors de la dés-allocation d'un objet frame; protection de zipfile contre la bombe de décompression quoted-overlap[CVE-2024-0450] ; tempfile.TemporaryDirectory : correction d'un bogue de lien symbolique dans le nettoyage [CVE-2023-6597] ; correction de os.path.normpath(): troncature de chemin à un octet NULL[CVE-2023-41105] ; contournement des protections de connexion TLS évité sur les sockets fermés [CVE-2023-40217] ; élimination des caractères de contrôle C0 et d'espace dans urlsplit [CVE-2023-24329] ; déréférencement potentiel de pointeur NULL évité dans filleutils |
qemu | Nouvelle version amont stable ; corrections de sécurité [CVE-2024-26327 CVE-2024-26328 CVE-2024-3446 CVE-2024-3447] |
qtbase-opensource-src | Correction d'une régression sur le correctif pour le CVE-2023-24607 ; utilisation évitée des certificats CA système quand ils ne sont pas désirés [CVE-2023-34410] ; correction de dépassement de tampon [CVE-2023-37369] ; correction d'une boucle infinie dans une expansion d'entité XML récursive [CVE-2023-38197] ; correction d'un dépassement de tampon avec un fichier image KTX contrefait [CVE-2024-25580] ; correction de vérification de dépassement d'entier de HPack [CVE-2023-51714] |
rails | Déclaration de breaks et replaces sur le paquet ruby-arel obsolète |
riseup-vpn | Utilisation du paquet de certificats système par défaut, restaurant la possibilité de se connecter à une terminaison utilisant un certificat LetsEncrypt |
ruby-aws-partitions | Inclusion assurée des fichiers partitions.json et partitions-metadata.json dans le paquet binaire |
ruby-premailer-rails | Suppression de la dépendance de construction à ruby-arel qui est obsolète |
rust-cbindgen-web | Nouveau paquet source pour prendre en charge la construction des nouvelles versions de Firefox ESR |
rustc-web | Nouveau paquet source pour prendre en charge la construction des navigateurs web |
schleuder | Correction d'une validation insuffisante d'analyse d'argument ; correction de l'importation de clés à partir des pièces jointes envoyées par Thunderbird et gestion des courriels sans autre contenu ; recherche de mots clés seulement au début des courriels ; validation des adresses de courriel converties en minuscules lors de la vérification des abonnés ; prise en compte de l'en-tête From pour trouver les adresses de réponse |
sendmail | Correction d'un problème de dissimulation SMTP [CVE-2023-51765] |
skeema | Reconstruction pour corriger un Built-Using obsolète |
skopeo | Reconstruction pour corriger un Built-Using obsolète |
software-properties | software-properties-qt : ajout de conflicts et replaces à software-properties-kde pour faciliter les mises à niveau à partir de Bullseye |
supermin | Reconstruction pour corriger un Built-Using obsolète |
symfony | Chargement des dépendances système obligé ; DateTypTest : assurance que l'année soumise est un choix acceptable |
systemd | Nouvelle version amont stable ; correction de problèmes de déni de service [CVE-2023-50387 CVE-2023-50868] ; libnss-myhostname.nss : installation après files; libnss-mymachines.nss : installation avant resolveet dns |
termshark | Reconstruction pour corriger un Built-Using obsolète |
tripwire | Reconstruction pour corriger un Built-Using obsolète |
tryton-client | Envoi limité aux contenus compressés dans les sessions authentifiées |
tryton-server | Attaques de type zip-bombévitées à partir des sources non authentifiées |
u-boot | Correction de orion-timer pour l'amorçage de sheevaplug et des plateformes apparentées |
uif | Prise en charge des noms d'interface VLAN |
umoci | Reconstruction pour corriger un Built-Using obsolète |
user-mode-linux | Reconstruction pour corriger un Built-Using obsolète |
wayfire | Ajout de dépendances manquantes |
what-is-python | Déclaration de breaks et replaces sur python-dev-is-python2 ; correction de la manipulation de version dans les règles de construction |
wpa | Correction d'un problème de contournement d'authentification [CVE-2023-52160] |
xscreensaver | Désactivation des avertissements à propos des anciennes versions |
yapet | Pas d'appel d'EVP_CIPHER_CTX_set_key_length() dans crypt/blowfish et crypt/aes |
zsh | Reconstruction pour corriger un Built-Using obsolète |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
phppgadmin | Problèmes de sécurité ; incompatible avec la version de PostgreSQL de Bookworm |
pytest-salt-factories | Nécessaire uniquement pour salt qui ne fait pas partie de Bookworm |
ruby-arel | Obsolète, intégré à ruby-activerecord, incompatible avec ruby-activerecord 6.1.x |
spip | Incompatible avec la version de PHP de Bookworm |
vasttrafik-cli | Retrait de l'API |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.