Publication de la mise à jour de Debian 11.11

31 août 2024

Le projet Debian a l'honneur d'annoncer la onzième et dernière mise à jour de sa distribution oldstable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Secure Boot et les autres systèmes d'exploitation

Les utilisateurs qui démarrent d'autres systèmes d'exploitation sur la même machine et où le démarrage sécurisé (Secure Boot) est activé, doivent savoir que shim 15.8 (inclus dans Debian 11.11) révoque les signatures de toutes les versions antérieures de shim dans le microprogramme UEFI. Cela peut empêcher de démarrer tous les autres systèmes d'exploitation utilisant des versions de shim antérieures à 15.8.

Les utilisateurs affectés peuvent désactiver temporairement le démarrage sécurisé avant de mettre à jour les autres systèmes d’exploitation.

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
amd64-microcode Nouvelle version amont ; corrections de sécurité [CVE-2023-31315] ; corrections du microprogramme SEV [CVE-2023-20584 CVE-2023-31356]
ansible Nouvelle version amont stable ; correction d'un problème d'injection de modèle [CVE-2021-3583], d'un problème de divulgation d'informations [CVE-2021-3620], d'un problème d'écrasement de fichier [CVE-2023-5115], correction d'un problème d'injection de modèle [CVE-2023-5764], de problèmes de divulgation d'informations [CVE-2024-0690 CVE-2022-3697] ; documentation d'une solution de contournement d'une divulgation de clé ec2 privée [CVE-2023-4237]
apache2 Nouvelle version amont stable ; correction d'un problème de divulgation de contenu [CVE-2024-40725]
base-files Mise à jour pour cette version
bind9 Configuration autorisée des limites introduites pour corriger le CVE-2024-1737
calibre Correction d'un problème de script intersite [CVE-2024-7008], d'un problème d'injection de code SQL [CVE-2024-7009]
choose-mirror Mise à jour de la liste des miroirs disponibles
cjson Ajout de vérification de NULL à cJSON_SetValuestring et à cJSON_InsertItemInArray [CVE-2023-50472 CVE-2023-50471 CVE-2024-31755]
cups Correction de problèmes de gestion de socket de domaine [CVE-2024-35235] ; correction d'une régression quand uniquement des sockets de domaine sont utilisés
curl Correction d'un problème de lecture hors limite lors de l'analyse de date d'ASN.1 [CVE-2024-7264]
debian-installer Passage de l'ABI du noyau Linux à la version 5.10.0-32 ; reconstruction avec proposed-updates
debian-installer-netboot-images Reconstruction avec proposed-updates
dropbear Correction du comportement noremotetcp des paquets keepalive en combinaison avec la restriction no-port-forwarding d'authorized_keys(5)
fusiondirectory Rétro-portage de la compatibilité avec la version de php-cas traitant le CVE 2022-39369 ; correction d'un problème de gestion de session incorrecte [CVE-2022-36179] ; correction d'un problème de script intersite [CVE-2022-36180]
gettext.js Correction d'un problème de contrefaçon de requête côté serveur [CVE-2024-43370]
glewlwyd Correction d'un dépassement de tampon pendant l'assertion de signature webauthn [CVE-2022-27240] ; traversée de répertoire évitée dans static_compressed_inmemory_website_callback.c [CVE-2022-29967] ; copie de bootstrap, jquery et de fork-awesome à la place d'un lien ; dépassement de tampon lors de la validation de signature FIDO2 [CVE-2023-49208]
glibc Correction d'un problème de performance de ffsll() en fonction de l’alignement du code ; amélioration des performances pour memcpy() sur arm64 ; correction de la régression de concernant l'année 2038 dans nscd à la suite du CVE-2024-33601 et du CVE-2024-33602
graphviz Correction de la mise à l'échelle cassée
gtk+2.0 Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
gtk+3.0 Recherche évitée de modules dans le répertoire de travail en cours [CVE-2024-6655]
healpix-java Correction d'un échec de construction
imagemagick Correction de problèmes de division par zéro [CVE-2021-20312 CVE-2021-20313] ; correction d'un correctif incomplet pour le CVE-2023-34151
indent Rétablissement de la macro ROUND_UP et ajustement de la taille initiale du tampon pour corriger des problèmes de gestion de mémoire ; correction d'une lecture en dehors du tampon dans search_brace()/lexi() ; correction d'écrasement de tampon de tas dans search_brace() [CVE-2023-40305] ; correction d'une lecture avant le début du tampon de tas dans set_buf_break() [CVE-2024-0911]
intel-microcode Nouvelle version amont ; corrections de sécurité [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939]
libvirt Correction d'un problème de confinement de sVirt [CVE-2021-3631], d'une utilisation de mémoire après libération [CVE-2021-3975], de problèmes de déni de service [CVE-2021-3667 CVE-2021-4147 CVE-2022-0897 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
midge Exclusion de examples/covers/* pour des raisons de conformité à la DFSG ; ajout des cibles de construction build-arch/build-indep ; utilisation du format de paquet source quilt (3.0)
mlpost Correction d'un échec de construction avec les versions récentes d'ImageMagick
net-tools Suppression de la dépendance de construction à libdnet-dev
nfs-utils Passage de tous les drapeaux d'export valables à nfsd
ntfs-3g Correction d'une utilisation de mémoire après libération dans ntfs_uppercase_mbs [CVE-2023-52890]
nvidia-graphics-drivers-tesla-418 Correction de l'utilisation de symboles uniquement GPL provoquant des échecs de construction
nvidia-graphics-drivers-tesla-450 Nouvelle version amont stable
nvidia-graphics-drivers-tesla-460 Nouvelle version amont stable
ocsinventory-server Rétro-portage de la compatibilité avec la version de php-cas traitant le CVE 2022-39369
onionshare Rétrogradation de la dépendance d'obfs4proxy à Recommends, pour permettre le retrait d'obfs4proxy
php-cas Correction d'un problème d'exploitation du service de découverte de nom d'hôte [CVE-2022-39369]
poe.app Cellules de commentaire éditables ; correction du dessin quand une NSActionCell dans les préférences applique un changement d'état
putty Correction d'une génération de nombre arbitraire ECDSA faible permettant la récupération de la clé secrète [CVE-2024-31497]
riemann-c-client Charge utile malformée évitée dans les opérations envoi/réception de GnuTLS
runc Correction de l'URL de l'archive de busybox ; dépassement de tampon évité lors de l'écriture de messages netlink [CVE-2021-43784] ; correction des tests sur les noyaux récents ; accès en écriture empêchée à la hiérarchie du cgroup appartenant à l'utilisateur /sys/fs/cgroup/user.slice/... [CVE-2023-25809] ; correction d'une régression du contrôle d'accès [CVE-2023-27561 CVE-2023-28642]
rustc-web Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium et de Firefox ESR
shim Nouvelle version amont
shim-helpers-amd64-signed Reconstruction avec shim 15.8.1
shim-helpers-arm64-signed Reconstruction avec shim 15.8.1
shim-helpers-i386-signed Reconstruction avec shim 15.8.1
shim-signed Nouvelle version amont stable
symfony Correction du chargement automatique de HttpClient
trinity Correction d'un échec de construction en supprimant la prise en charge de DECNET
usb.ids Mise à jour de la liste des données incluses
xmedcon Correction d'un dépassement de tas [CVE-2024-29421]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-5718 org-mode
DSA-5719 emacs
DSA-5721 ffmpeg
DSA-5722 libvpx
DSA-5723 plasma-workspace
DSA-5725 znc
DSA-5726 krb5
DSA-5727 firefox-esr
DSA-5728 exim4
DSA-5729 apache2
DSA-5730 linux-signed-amd64
DSA-5730 linux-signed-arm64
DSA-5730 linux-signed-i386
DSA-5730 linux
DSA-5734 bind9
DSA-5736 openjdk-11
DSA-5737 libreoffice
DSA-5738 openjdk-17
DSA-5739 wpa
DSA-5740 firefox-esr
DSA-5742 odoo
DSA-5743 roundcube
DSA-5746 postgresql-13
DSA-5747 linux-signed-amd64
DSA-5747 linux-signed-arm64
DSA-5747 linux-signed-i386
DSA-5747 linux

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
bcachefs-tools Bogué ; obsolète
dnprogs Bogué ; obsolète
iotjs Pas entretenu, problèmes de sécurité
obfs4proxy Problèmes de sécurité

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.