Atualização Debian 11: 11.11 lançado

31 de Agosto de 2024

O projeto Debian está feliz em anunciar a décima primeira e última atualização de sua antiga versão estável (oldstable) do Debian 11 (codinome bullseye). Esta versão pontual adiciona principalmente correções para problemas de segurança, além de pequenos ajustes para problemas mais sérios. Avisos de segurança já foram publicados em separado e são referenciados quando necessário.

Por favor, note que a versão pontual não constitui uma nova versão do Debian 11, mas apenas atualiza alguns dos pacotes já incluídos. Não há necessidade de jogar fora as antigas mídias do bullseye. Após a instalação, os pacotes podem ser atualizados para as versões atuais usando um espelho atualizado do Debian.

Aquelas pessoas que frequentemente instalam atualizações a partir de security.debian.org não terão que atualizar muitos pacotes, e a maioria de tais atualizações estão incluídas na versão pontual.

Novas imagens de instalação logo estarão disponíveis nos locais habituais.

A atualização de uma instalação existente para esta revisão pode ser feita apontando o sistema de gerenciamento de pacotes para um dos muitos espelhos HTTP do Debian. Uma lista abrangente de espelhos está disponível em:

https://www.debian.org/mirror/list

Secure Boot e outros sistemas operacionais

Pessoas que inicializam outros sistemas operacionais no mesmo hardware, e que possuem Secure Boot habilitado, devem estar cientes que o shim 15.8 (incluso no Debian 11.11) revoga assinaturas espalhadas em versões anteriores do shim no firmware UEFI. Isso pode causar a falha de inicialização de outros sistemas operacionais que utilizem uma versão shim anterior à 15.8.

Pessoas afetadas podem desabilitar temporariamente o Secure Boot antes de atualizar outros sistemas operacionais.

Correções gerais de bugs

Esta atualização da antiga versão estável (oldstable) adiciona algumas correções importantes para os seguintes pacotes:

Pacote	Justificativa
amd64-microcode	New upstream release; security fixes [CVE-2023-31315]; SEV firmware fixes [CVE-2023-20584 CVE-2023-31356]
ansible	New usptream stable release; fix template injection issue [CVE-2021-3583], information disclosure issue [CVE-2021-3620], file overwrite issue [CVE-2023-5115], template injection issue [CVE-2023-5764], information disclosure issues [CVE-2024-0690 CVE-2022-3697]; document workaround for ec2 private key leak [CVE-2023-4237]
apache2	New upstream stable release; fix content disclosure issue [CVE-2024-40725]
base-files	Update for the point release
bind9	Allow the limits introduced to fix CVE-2024-1737 to be configured
calibre	Fix cross site scripting issue [CVE-2024-7008], SQL injection issue [CVE-2024-7009]
choose-mirror	Update list of available mirrors
cjson	Add NULL checks to cJSON_SetValuestring and cJSON_InsertItemInArray [CVE-2023-50472 CVE-2023-50471 CVE-2024-31755]
cups	Fix issues with domain socket handling [CVE-2024-35235]; fix regression when domain sockets only are used
curl	Fix ASN.1 date parser overread issue [CVE-2024-7264]
debian-installer	Increase Linux kernel ABI to 5.10.0-32; rebuild against proposed-updates
debian-installer-netboot-images	Rebuild against proposed-updates
dropbear	Fix noremotetcp behaviour of keepalive packets in combination with the no-port-forwarding authorized_keys(5) restriction
fusiondirectory	Backport compatibility with php-cas version addressing CVE 2022-39369; fix improper session handling issue [CVE-2022-36179]; fix cross site scripting issue [CVE-2022-36180]
gettext.js	Fix server side request forgery issue [CVE-2024-43370]
glewlwyd	Fix buffer overflow during webauthn signature assertion [CVE-2022-27240]; prevent directory traversal in static_compressed_inmemory_website_callback.c [CVE-2022-29967]; copy bootstrap, jquery, fork-awesome instead of linking them; buffer overflow during FIDO2 signature validation [CVE-2023-49208]
glibc	Fix ffsll() performance issue depending on code alignment; performance improvements for memcpy() on arm64; fix y2038 regression in nscd following CVE-2024-33601 and CVE-2024-33602 fix
graphviz	Fix broken scaling
gtk+2.0	Avoid looking for modules in current working directory [CVE-2024-6655]
gtk+3.0	Avoid looking for modules in current working directory [CVE-2024-6655]
healpix-java	Fix build failure
imagemagick	Fix divide by zero issues [CVE-2021-20312 CVE-2021-20313]; fix incomplete fix for CVE-2023-34151
indent	Reinstate ROUND_UP macro and adjust the initial buffer size to fix memory handling problems; fix out-of-buffer read in search_brace()/lexi(); fix heap buffer overwrite in search_brace() [CVE-2023-40305]; heap buffer underread in set_buf_break() [CVE-2024-0911]
intel-microcode	New upstream release; security fixes [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939]
libvirt	Fix sVirt confinement issue [CVE-2021-3631], use after free issue [CVE-2021-3975], denial of service issues [CVE-2021-3667 CVE-2021-4147 CVE-2022-0897 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
midge	Exclude examples/covers/* for DFSG-compliance; add build-arch/build-indep build targets; use quilt (3.0) source package format
mlpost	Fix build failure with newer ImageMagick versions
net-tools	Drop build-dependency on libdnet-dev
nfs-utils	Pass all valid export flags to nfsd
ntfs-3g	Fix use-after-free in ntfs_uppercase_mbs [CVE-2023-52890]
nvidia-graphics-drivers-tesla-418	Fix use of GPL-only symbols causing build failures
nvidia-graphics-drivers-tesla-450	New upstream stable release
nvidia-graphics-drivers-tesla-460	New upstream stable release
ocsinventory-server	Backport compatibility with php-cas version addressing CVE 2022-39369
onionshare	Demote obfs4proxy dependency to Recommends, to allow removal of obfs4proxy
php-cas	Fix Service Hostname Discovery Exploitation issue [CVE-2022-39369]
poe.app	Make comment cells editable; fix drawing when an NSActionCell in the preferences is acted on to change state
putty	Fix weak ECDSA nonce generation allowing secret key recovery [CVE-2024-31497]
riemann-c-client	Prevent malformed payload in GnuTLS send/receive operations
runc	Fix busybox tarball url; prevent buffer overflow writing netlink messages [CVE-2021-43784]; fix tests on newer kernels; prevent write access to user-owned cgroup hierarchy /sys/fs/cgroup/user.slice/... [CVE-2023-25809]; fix access control regression [CVE-2023-27561 CVE-2023-28642]
rustc-web	New upstream stable release, to support building new chromium and firefox-esr versions
shim	New upstream release
shim-helpers-amd64-signed	Rebuild against shim 15.8.1
shim-helpers-arm64-signed	Rebuild against shim 15.8.1
shim-helpers-i386-signed	Rebuild against shim 15.8.1
shim-signed	New upstream stable release
symfony	Fix autoloading of HttpClient
trinity	Fix build failure by dropping support for DECNET
usb.ids	Update included data list
xmedcon	Fix heap overflow [CVE-2024-29421]

Atualizações de segurança

Esta revisão adiciona as seguintes atualizações de segurança para a antiga versão estável (oldstable). A equipe de segurança já lançou um aviso para cada uma dessas atualizações:

ID do aviso	Pacote
DSA-5718	org-mode
DSA-5719	emacs
DSA-5721	ffmpeg
DSA-5722	libvpx
DSA-5723	plasma-workspace
DSA-5725	znc
DSA-5726	krb5
DSA-5727	firefox-esr
DSA-5728	exim4
DSA-5729	apache2
DSA-5730	linux-signed-amd64
DSA-5730	linux-signed-arm64
DSA-5730	linux-signed-i386
DSA-5730	linux
DSA-5734	bind9
DSA-5736	openjdk-11
DSA-5737	libreoffice
DSA-5738	openjdk-17
DSA-5739	wpa
DSA-5740	firefox-esr
DSA-5742	odoo
DSA-5743	roundcube
DSA-5746	postgresql-13
DSA-5747	linux-signed-amd64
DSA-5747	linux-signed-arm64
DSA-5747	linux-signed-i386
DSA-5747	linux

Pacotes removidos

Os seguintes pacotes foram removidos por circunstâncias fora de nosso controle:

Pacote	Justificativa
bcachefs-tools	Buggy, obsolete
dnprogs	Buggy, obsolete
iotjs	Unmaintained, security concerns
obfs4proxy	Security issues

Instalador do Debian

O instalador foi atualizado para incluir as correções incorporadas na antiga versão estável (oldstable) pela versão pontual.

URLs

As listas completas dos pacotes que foram alterados por esta revisão:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

A atual antiga versão estável (oldstable):

https://deb.debian.org/debian/dists/oldstable/

Atualizações propostas (proposed updates) para a antiga versão estável (oldstable):

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informações da antiga versão estável (oldstable) (notas de lançamento, errata, etc):

https://www.debian.org/releases/oldstable/

Anúncios de segurança e informações:

https://www.debian.org/security/

Sobre o Debian

O projeto Debian é uma associação de desenvolvedores(as) de Software Livre que dedicam seu tempo e esforço como voluntários(as) para produzir o sistema operacional completamente livre Debian.

Informações de contato

Para mais informações, por favor visite as páginas web do Debian em https://www.debian.org/, envie um e-mail (em inglês) para <press@debian.org>, ou entre em contato (em inglês) com a equipe de lançamento da versão estável (stable) em <debian-release@lists.debian.org>.