Publication de la mise à jour de Debian 12.7

31 août 2024

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Secure Boot et les autres systèmes d'exploitation

Les utilisateurs qui démarrent d'autres systèmes d'exploitation sur la même machine et où le démarrage sécurisé (Secure Boot) est activé, doivent savoir que shim 15.8 (inclus dans Debian 12.7) révoque les signatures de toutes les versions antérieures de shim dans le microprogramme UEFI. Cela peut empêcher de démarrer tous les autres systèmes d'exploitation utilisant des versions de shim antérieures à 15.8.

Les utilisateurs affectés peuvent désactiver temporairement le démarrage sécurisé avant de mettre à jour les autres systèmes d’exploitation.

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
amd64-microcode	Nouvelle version stable ; corrections de sécurité [CVE-2023-31315] ; corrections du microprogramme SEV [CVE-2023-20584 CVE-2023-31356]
ansible	Nouvelle version amont stable ; correction d'un problème de fuite de clé [CVE-2023-4237]
ansible-core	Nouvelle version amont stable ; correction d'un problème de divulgation d'informations [CVE-2024-0690] ; correction d'un problème d'injection de modèle [CVE-2023-5764] ; correction d'un problème de traversée de répertoire [CVE-2023-5115]
apache2	Nouvelle version amont stable ; correction d'un problème de divulgation de contenu [CVE-2024-40725]
base-files	Mise à jour pour cette version
cacti	Correction de problèmes d'exécution de code à distance [CVE-2024-25641 CVE-2024-31459], de problèmes de script intersite [CVE-2024-29894 CVE-2024-31443 CVE-2024-31444], de problèmes d'injection de code SQL [CVE-2024-31445 CVE-2024-31458 CVE-2024-31460], d'un problème de jonglage de type [CVE-2024-34340] ; correction d'échec d'autopkgtest
calamares-settings-debian	Correction d'un problème de permission du lanceur de Xfce
calibre	Correction d'un problème d'exécution de code [CVE-2024-6782], d'un problème de script intersite [CVE-2024-7008], d'un problème d'injection de code SQL [CVE-2024-7009]
choose-mirror	Mise à jour de la liste des miroirs disponibles
cockpit	Correction d'un problème de déni de service [CVE-2024-6126]
cups	Correction de problèmes de gestion de socket de domaine [CVE-2024-35235]
curl	Correction d'un problème de lecture hors limite lors de l'analyse de date d'ASN.1 [CVE-2024-7264]
cyrus-imapd	Correction d'une régression introduite dans la correction de CVE-2024-34055
dcm2niix	Correction d'un potentiel problème d'exécution de code [CVE-2024-27629]
debian-installer	Passage de l'ABI du noyau Linux à la version 6.1.0-25 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
dmitry	Corrections de sécurité [CVE-2024-31837 CVE-2020-14931 CVE-2017-7938]
dropbear	Correction du comportement noremotetcp des paquets keepalive en combinaison avec la restriction no-port-forwarding d'authorized_keys(5)
gettext.js	Correction d'un problème de contrefaçon de requête côté serveur [CVE-2024-43370]
glibc	Correction de libération de mémoire non initialisée dans libc_freeres_fn() ; correction de plusieurs problèmes de performance et de plantages potentiels
glogic	Gtk 3.0 et PangoCairo 1.0 requis
graphviz	Correction d'une échelle cassée
gtk+2.0	Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
gtk+3.0	Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
imagemagick	Correction d'un problème d'erreur de segmentation ; correction du correctif incomplet pour le CVE-2023-34151
initramfs-tools	hook_functions : correction de copy_file avec une source incluant un lien symbolique de répertoire ; hook-functions : copy_file : normalisation du nom de fichier de la cible ; installation du module hid-multitouch pour le clavier Surface Pro 4 ; ajout du module hyper-keyboard requis pour la saisie du mot de passe LUKS dans Hyper-V ; auto_add_modules : ajout de onboard_usb_hub et de onboard_usb_dev
intel-microcode	Nouvelle version stable ; corrections de sécurité [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939]
ipmitool	Ajout du fichier manquant enterprise-numbers.txt
libapache2-mod-auth-openidc	Plantage évité quand l'en-tête Forwarded est absent mais que OIDCXForwardedHeaders est configuré pour cet en-tête
libnvme	Correction d'un dépassement de tampon durant l'analyse des périphériques qui ne prennent pas en charge les lectures de blocs inférieurs à 4 ko
libvirt	birsh : possibilité que domif-setlink fonctionne plus d'une fois ; qemu : domain : correction de la logique lors de l'altération du domaine ; correction de problèmes de déni de service [CVE-2023-3750 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
linux	Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-amd64	Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-arm64	Nouvelle version stable ; passage de l'ABI à la version 25
linux-signed-i386	Nouvelle version stable ; passage de l'ABI à la version 25
newlib	Correction d'un problème de dépassement de tampon [CVE-2021-3420]
numpy	Conflit avec python-numpy
openssl	Nouvelle version amont stable ; correction de problèmes de déni de service [CVE-2024-2511 CVE-2024-4603] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2024-4741]
poe.app	Cellules de commentaire éditables ; correction du dessin quand une NSActionCell dans les préférences applique un changement d'état
putty	Correction d'une génération de nombre arbitraire ECDSA faible permettant la récupération de la clé secrète [CVE-2024-31497]
qemu	Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2024-4467]
riemann-c-client	Charge utile malformée évitée dans les opérations envoi/réception de GnuTLS
rustc-web	Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium et de Firefox ESR
shim	Nouvelle version stable
shim-helpers-amd64-signed	Reconstruction avec shim 15.8.1
shim-helpers-arm64-signed	Reconstruction avec shim 15.8.1
shim-helpers-i386-signed	Reconstruction avec shim 15.8.1
shim-signed	Nouvelle version amont stable
systemd	Nouvelle version amont stable ; mise à jour de hwdb
usb.ids	Mise à jour de la liste des données incluses
xmedcon	Correction d'un problème de dépassement de tampon [CVE-2024-29421]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5617	chromium
DSA-5629	chromium
DSA-5634	chromium
DSA-5636	chromium
DSA-5639	chromium
DSA-5648	chromium
DSA-5654	chromium
DSA-5656	chromium
DSA-5668	chromium
DSA-5675	chromium
DSA-5676	chromium
DSA-5683	chromium
DSA-5687	chromium
DSA-5689	chromium
DSA-5694	chromium
DSA-5696	chromium
DSA-5697	chromium
DSA-5701	chromium
DSA-5710	chromium
DSA-5716	chromium
DSA-5719	emacs
DSA-5720	chromium
DSA-5722	libvpx
DSA-5723	plasma-workspace
DSA-5724	openssh
DSA-5725	znc
DSA-5726	krb5
DSA-5727	firefox-esr
DSA-5728	exim4
DSA-5729	apache2
DSA-5731	linux-signed-amd64
DSA-5731	linux-signed-arm64
DSA-5731	linux-signed-i386
DSA-5731	linux
DSA-5732	chromium
DSA-5734	bind9
DSA-5735	chromium
DSA-5737	libreoffice
DSA-5738	openjdk-17
DSA-5739	wpa
DSA-5740	firefox-esr
DSA-5741	chromium
DSA-5743	roundcube
DSA-5745	postgresql-15
DSA-5748	ffmpeg
DSA-5749	bubblewrap
DSA-5749	flatpak
DSA-5750	python-asyncssh
DSA-5751	squid
DSA-5752	dovecot
DSA-5753	aom
DSA-5754	cinder
DSA-5755	glance
DSA-5756	nova
DSA-5757	chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
bcachefs-tools	Bogué ; obsolète

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.