Publication de la mise à jour de Debian 11.11
31 août 2024
Le projet Debian a l'honneur d'annoncer la onzième et dernière mise à jour de
sa distribution oldstable Debian 11 (nom de code Bullseye
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Secure Boot et les autres systèmes d'exploitation
Les utilisateurs qui démarrent d'autres systèmes d'exploitation sur la même machine et où le démarrage sécurisé (Secure Boot) est activé, doivent savoir que shim 15.8 (inclus dans Debian 11.11) révoque les signatures de toutes les versions antérieures de shim dans le microprogramme UEFI. Cela peut empêcher de démarrer tous les autres systèmes d'exploitation utilisant des versions de shim antérieures à 15.8.
Les utilisateurs affectés peuvent désactiver temporairement le démarrage sécurisé avant de mettre à jour les autres systèmes d’exploitation.
Corrections de bogues divers
Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| amd64-microcode | Nouvelle version amont ; corrections de sécurité [CVE-2023-31315] ; corrections du microprogramme SEV [CVE-2023-20584 CVE-2023-31356] |
| ansible | Nouvelle version amont stable ; correction d'un problème d'injection de modèle [CVE-2021-3583], d'un problème de divulgation d'informations [CVE-2021-3620], d'un problème d'écrasement de fichier [CVE-2023-5115], correction d'un problème d'injection de modèle [CVE-2023-5764], de problèmes de divulgation d'informations [CVE-2024-0690 CVE-2022-3697] ; documentation d'une solution de contournement d'une divulgation de clé ec2 privée [CVE-2023-4237] |
| apache2 | Nouvelle version amont stable ; correction d'un problème de divulgation de contenu [CVE-2024-40725] |
| base-files | Mise à jour pour cette version |
| bind9 | Configuration autorisée des limites introduites pour corriger le CVE-2024-1737 |
| calibre | Correction d'un problème de script intersite [CVE-2024-7008], d'un problème d'injection de code SQL [CVE-2024-7009] |
| choose-mirror | Mise à jour de la liste des miroirs disponibles |
| cjson | Ajout de vérification de NULL à cJSON_SetValuestring et à cJSON_InsertItemInArray [CVE-2023-50472 CVE-2023-50471 CVE-2024-31755] |
| cups | Correction de problèmes de gestion de socket de domaine [CVE-2024-35235] ; correction d'une régression quand uniquement des sockets de domaine sont utilisés |
| curl | Correction d'un problème de lecture hors limite lors de l'analyse de date d'ASN.1 [CVE-2024-7264] |
| debian-installer | Passage de l'ABI du noyau Linux à la version 5.10.0-32 ; reconstruction avec proposed-updates |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| dropbear | Correction du comportement noremotetcpdes paquets keepalive en combinaison avec la restriction no-port-forwardingd'authorized_keys(5) |
| fusiondirectory | Rétro-portage de la compatibilité avec la version de php-cas traitant le CVE 2022-39369 ; correction d'un problème de gestion de session incorrecte [CVE-2022-36179] ; correction d'un problème de script intersite [CVE-2022-36180] |
| gettext.js | Correction d'un problème de contrefaçon de requête côté serveur [CVE-2024-43370] |
| glewlwyd | Correction d'un dépassement de tampon pendant l'assertion de signature webauthn [CVE-2022-27240] ; traversée de répertoire évitée dans static_compressed_inmemory_website_callback.c [CVE-2022-29967] ; copie de bootstrap, jquery et de fork-awesome à la place d'un lien ; dépassement de tampon lors de la validation de signature FIDO2 [CVE-2023-49208] |
| glibc | Correction d'un problème de performance de ffsll() en fonction de l’alignement du code ; amélioration des performances pour memcpy() sur arm64 ; correction de la régression de concernant l'année 2038 dans nscd à la suite du CVE-2024-33601 et du CVE-2024-33602 |
| graphviz | Correction de la mise à l'échelle cassée |
| gtk+2.0 | Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655] |
| gtk+3.0 | Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655] |
| healpix-java | Correction d'un échec de construction |
| imagemagick | Correction de problèmes de division par zéro [CVE-2021-20312 CVE-2021-20313] ; correction d'un correctif incomplet pour le CVE-2023-34151 |
| indent | Rétablissement de la macro ROUND_UP et ajustement de la taille initiale du tampon pour corriger des problèmes de gestion de mémoire ; correction d'une lecture en dehors du tampon dans search_brace()/lexi() ; correction d'écrasement de tampon de tas dans search_brace() [CVE-2023-40305] ; correction d'une lecture avant le début du tampon de tas dans set_buf_break() [CVE-2024-0911] |
| intel-microcode | Nouvelle version amont ; corrections de sécurité [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939] |
| libvirt | Correction d'un problème de confinement de sVirt [CVE-2021-3631], d'une utilisation de mémoire après libération [CVE-2021-3975], de problèmes de déni de service [CVE-2021-3667 CVE-2021-4147 CVE-2022-0897 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496] |
| midge | Exclusion de examples/covers/* pour des raisons de conformité à la DFSG ; ajout des cibles de construction build-arch/build-indep ; utilisation du format de paquet source quilt (3.0) |
| mlpost | Correction d'un échec de construction avec les versions récentes d'ImageMagick |
| net-tools | Suppression de la dépendance de construction à libdnet-dev |
| nfs-utils | Passage de tous les drapeaux d'export valables à nfsd |
| ntfs-3g | Correction d'une utilisation de mémoire après libération dans ntfs_uppercase_mbs[CVE-2023-52890] |
| nvidia-graphics-drivers-tesla-418 | Correction de l'utilisation de symboles uniquement GPL provoquant des échecs de construction |
| nvidia-graphics-drivers-tesla-450 | Nouvelle version amont stable |
| nvidia-graphics-drivers-tesla-460 | Nouvelle version amont stable |
| ocsinventory-server | Rétro-portage de la compatibilité avec la version de php-cas traitant le CVE 2022-39369 |
| onionshare | Rétrogradation de la dépendance d'obfs4proxy à Recommends, pour permettre le retrait d'obfs4proxy |
| php-cas | Correction d'un problème d'exploitation du service de découverte de nom d'hôte [CVE-2022-39369] |
| poe.app | Cellules de commentaire éditables ; correction du dessin quand une NSActionCelldans les préférences applique un changement d'état |
| putty | Correction d'une génération de nombre arbitraire ECDSA faible permettant la récupération de la clé secrète [CVE-2024-31497] |
| riemann-c-client | Charge utile malformée évitée dans les opérations envoi/réception de GnuTLS |
| runc | Correction de l'URL de l'archive de busybox ; dépassement de tampon évité lors de l'écriture de messages netlink [CVE-2021-43784] ; correction des tests sur les noyaux récents ; accès en écriture empêchée à la hiérarchie du cgroup appartenant à l'utilisateur /sys/fs/cgroup/user.slice/...[CVE-2023-25809] ; correction d'une régression du contrôle d'accès [CVE-2023-27561 CVE-2023-28642] |
| rustc-web | Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium et de Firefox ESR |
| shim | Nouvelle version amont |
| shim-helpers-amd64-signed | Reconstruction avec shim 15.8.1 |
| shim-helpers-arm64-signed | Reconstruction avec shim 15.8.1 |
| shim-helpers-i386-signed | Reconstruction avec shim 15.8.1 |
| shim-signed | Nouvelle version amont stable |
| symfony | Correction du chargement automatique de HttpClient |
| trinity | Correction d'un échec de construction en supprimant la prise en charge de DECNET |
| usb.ids | Mise à jour de la liste des données incluses |
| xmedcon | Correction d'un dépassement de tas [CVE-2024-29421] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| bcachefs-tools | Bogué ; obsolète |
| dnprogs | Bogué ; obsolète |
| iotjs | Pas entretenu, problèmes de sécurité |
| obfs4proxy | Problèmes de sécurité |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.