Publication de la mise à jour de Debian 12.7

31 août 2024

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Secure Boot et les autres systèmes d'exploitation

Les utilisateurs qui démarrent d'autres systèmes d'exploitation sur la même machine et où le démarrage sécurisé (Secure Boot) est activé, doivent savoir que shim 15.8 (inclus dans Debian 12.7) révoque les signatures de toutes les versions antérieures de shim dans le microprogramme UEFI. Cela peut empêcher de démarrer tous les autres systèmes d'exploitation utilisant des versions de shim antérieures à 15.8.

Les utilisateurs affectés peuvent désactiver temporairement le démarrage sécurisé avant de mettre à jour les autres systèmes d’exploitation.

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
amd64-microcode Nouvelle version stable ; corrections de sécurité [CVE-2023-31315] ; corrections du microprogramme SEV [CVE-2023-20584 CVE-2023-31356]
ansible Nouvelle version amont stable ; correction d'un problème de fuite de clé [CVE-2023-4237]
ansible-core Nouvelle version amont stable ; correction d'un problème de divulgation d'informations [CVE-2024-0690] ; correction d'un problème d'injection de modèle [CVE-2023-5764] ; correction d'un problème de traversée de répertoire [CVE-2023-5115]
apache2 Nouvelle version amont stable ; correction d'un problème de divulgation de contenu [CVE-2024-40725]
base-files Mise à jour pour cette version
cacti Correction de problèmes d'exécution de code à distance [CVE-2024-25641 CVE-2024-31459], de problèmes de script intersite [CVE-2024-29894 CVE-2024-31443 CVE-2024-31444], de problèmes d'injection de code SQL [CVE-2024-31445 CVE-2024-31458 CVE-2024-31460], d'un problème de jonglage de type [CVE-2024-34340] ; correction d'échec d'autopkgtest
calamares-settings-debian Correction d'un problème de permission du lanceur de Xfce
calibre Correction d'un problème d'exécution de code [CVE-2024-6782], d'un problème de script intersite [CVE-2024-7008], d'un problème d'injection de code SQL [CVE-2024-7009]
choose-mirror Mise à jour de la liste des miroirs disponibles
cockpit Correction d'un problème de déni de service [CVE-2024-6126]
cups Correction de problèmes de gestion de socket de domaine [CVE-2024-35235]
curl Correction d'un problème de lecture hors limite lors de l'analyse de date d'ASN.1 [CVE-2024-7264]
cyrus-imapd Correction d'une régression introduite dans la correction de CVE-2024-34055
dcm2niix Correction d'un potentiel problème d'exécution de code [CVE-2024-27629]
debian-installer Passage de l'ABI du noyau Linux à la version 6.1.0-25 ; reconstruction avec proposed-updates
debian-installer-netboot-images Reconstruction avec proposed-updates
dmitry Corrections de sécurité [CVE-2024-31837 CVE-2020-14931 CVE-2017-7938]
dropbear Correction du comportement noremotetcp des paquets keepalive en combinaison avec la restriction no-port-forwarding d'authorized_keys(5)
gettext.js Correction d'un problème de contrefaçon de requête côté serveur [CVE-2024-43370]
glibc Correction de libération de mémoire non initialisée dans libc_freeres_fn() ; correction de plusieurs problèmes de performance et de plantages potentiels
glogic Gtk 3.0 et PangoCairo 1.0 requis
graphviz Correction d'une échelle cassée
gtk+2.0 Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
gtk+3.0 Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
imagemagick Correction d'un problème d'erreur de segmentation ; correction du correctif incomplet pour le CVE-2023-34151
initramfs-tools hook_functions : correction de copy_file avec une source incluant un lien symbolique de répertoire ; hook-functions : copy_file : normalisation du nom de fichier de la cible ; installation du module hid-multitouch pour le clavier Surface Pro 4 ; ajout du module hyper-keyboard requis pour la saisie du mot de passe LUKS dans Hyper-V ; auto_add_modules : ajout de onboard_usb_hub et de onboard_usb_dev
intel-microcode Nouvelle version stable ; corrections de sécurité [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939]
ipmitool Ajout du fichier manquant enterprise-numbers.txt
libapache2-mod-auth-openidc Plantage évité quand l'en-tête Forwarded est absent mais que OIDCXForwardedHeaders est configuré pour cet en-tête
libnvme Correction d'un dépassement de tampon durant l'analyse des périphériques qui ne prennent pas en charge les lectures de blocs inférieurs à 4 ko
libvirt birsh : possibilité que domif-setlink fonctionne plus d'une fois ; qemu : domain : correction de la logique lors de l'altération du domaine ; correction de problèmes de déni de service [CVE-2023-3750 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
linux Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-amd64 Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-arm64 Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-i386 Nouvelle version stable ; passage de l'ABI à la version 25
newlib Correction d'un problème de dépassement de tampon [CVE-2021-3420]
numpy Conflit avec python-numpy
openssl Nouvelle version amont stable ; correction de problèmes de déni de service [CVE-2024-2511 CVE-2024-4603] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2024-4741]
poe.app Cellules de commentaire éditables ; correction du dessin quand une NSActionCell dans les préférences applique un changement d'état
putty Correction d'une génération de nombre arbitraire ECDSA faible permettant la récupération de la clé secrète [CVE-2024-31497]
qemu Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2024-4467]
riemann-c-client Charge utile malformée évitée dans les opérations envoi/réception de GnuTLS
rustc-web Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium et de Firefox ESR
shim Nouvelle version stable
shim-helpers-amd64-signed Reconstruction avec shim 15.8.1
shim-helpers-arm64-signed Reconstruction avec shim 15.8.1
shim-helpers-i386-signed Reconstruction avec shim 15.8.1
shim-signed Nouvelle version amont stable
systemd Nouvelle version amont stable ; mise à jour de hwdb
usb.ids Mise à jour de la liste des données incluses
xmedcon Correction d'un problème de dépassement de tampon [CVE-2024-29421]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-5617 chromium
DSA-5629 chromium
DSA-5634 chromium
DSA-5636 chromium
DSA-5639 chromium
DSA-5648 chromium
DSA-5654 chromium
DSA-5656 chromium
DSA-5668 chromium
DSA-5675 chromium
DSA-5676 chromium
DSA-5683 chromium
DSA-5687 chromium
DSA-5689 chromium
DSA-5694 chromium
DSA-5696 chromium
DSA-5697 chromium
DSA-5701 chromium
DSA-5710 chromium
DSA-5716 chromium
DSA-5719 emacs
DSA-5720 chromium
DSA-5722 libvpx
DSA-5723 plasma-workspace
DSA-5724 openssh
DSA-5725 znc
DSA-5726 krb5
DSA-5727 firefox-esr
DSA-5728 exim4
DSA-5729 apache2
DSA-5731 linux-signed-amd64
DSA-5731 linux-signed-arm64
DSA-5731 linux-signed-i386
DSA-5731 linux
DSA-5732 chromium
DSA-5734 bind9
DSA-5735 chromium
DSA-5737 libreoffice
DSA-5738 openjdk-17
DSA-5739 wpa
DSA-5740 firefox-esr
DSA-5741 chromium
DSA-5743 roundcube
DSA-5745 postgresql-15
DSA-5748 ffmpeg
DSA-5749 bubblewrap
DSA-5749 flatpak
DSA-5750 python-asyncssh
DSA-5751 squid
DSA-5752 dovecot
DSA-5753 aom
DSA-5754 cinder
DSA-5755 glance
DSA-5756 nova
DSA-5757 chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
bcachefs-tools Bogué ; obsolète

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.