Publication de la mise à jour de Debian 12.9

11 janvier 2025

Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa distribution stable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
allow-html-temp	Mise à jour pour la compatibilité avec Thunderbird 128
ansible-core	Nouvelle version amont stable ; correction d'un problème d'exécution de code arbitraire [CVE-2024-11079] ; correction d'un problème de divulgation d'information [CVE-2024-8775] ; correction d'un problème d'écrasement de fichier [CVE-2024-9902] ; correction d'un échec de test
audiofile	Correction d'un problème de déréférencement de pointeur NULL [CVE-2019-13147] ; correction d'un problème de fuite d'information [CVE-2022-24599]
avahi	Correction de déni de service [CVE-2023-38469 CVE-2023-38470 CVE-2023-38471 CVE-2023-38472 CVE-2023-38473] ; correction d'un problème de navigation quand des services non valables sont présents
base-files	Mise à jour pour la version 12.9
bochs	Construction des images du BIOS pour les processeurs i386
cpuinfo	Échecs des tests rendus non fatals durant la construction
criu	Gestion dynamique de libc différente au moment de l'exécution et de la compilation
debian-installer	Passage de l'ABI du noyau Linux à la version 6.1.0-29 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-security-support	Mise à jour de la liste des paquets recevant une prise en charge limitée dans Bookworm
debootstrap	Pas d'intégration de usr-is-merged dans Trixie et Sid
dnsmasq	Correction de problèmes de déni de service [CVE-2023-50387 CVE-2023-50868] ; définition de la taille maximale de paquet EDNS.0 UDP à 1232 [CVE-2023-28450]
eas4tbsync	Mise à jour pour la compatibilité avec Thunderbird 128
espeak-ng	Correction de la suppression du dernier octet de l'entrée stdin
geoclue-2.0	Utilisation de beaconDB à la place du service de localisation de Mozilla désormais abandonné
glib2.0	Correction d'un dépassement de tampon avec une configuration pour utiliser un mandataire SOCKS4a avec un nom d'utilisateur très long [CVE-2024-52533]
gnuchess	Correction d'un problème d'exécution de code arbitraire [CVE-2021-30184]
grml-rescueboot	Mise à jour des architectures prises en charge de amd64/i386 à arm64/amd64
gsl	Correction d'un dépassement de tampon lors du calcul de quantiles [CVE-2020-35357]
gst-plugins-base1.0	Pas de tentative d'analyse d'en-tête étendu s'il n'y a pas suffisamment de données disponibles (id3v2) [CVE-2024-47542]
gunicorn	Dissimulation de requête HTTP évitée [CVE-2024-1135]
icinga2	Contournement de certificat TLS évité [CVE-2024-49369]
intel-microcode	Nouvelle version de sécurité amont [CVE-2024-21853 CVE-2024-23918 CVE-2024-24968 CVE-2024-23984]
jinja2	Injection d'attribut HTML évitée [CVE-2024-22195 CVE-2024-34064]
lemonldap-ng	Correction d'une élévation de privilèges lors de l'utilisation de niveaux d'authentification adaptatifs [CVE-2024-52946] ; correction d'un problème de script intersite (XSS) dans le greffon de mise à niveau [CVE-2024-52947]
libebml	Correction d'un problème de dépassement de tampon [CVE-2023-52339]
libpgjava	Correction d'un problème d'injection de code SQL [CVE-2024-1597]
libsoup2.4	Dissimulation de requête HTTP évitée [CVE-2024-52530] ; correction d'un problème de dépassement de tampon dans soup_header_parse_param_list_strict [CVE-2024-52531] ; correction d'un problème de déni de service par lecture de clients WebSocket [CVE-2024-52532]
libxstream-java	Correction d'un problème de déni de service [CVE-2024-47072]
linux	Nouvelle version amont ; passage de l'ABI à la version 29
linux-signed-amd64	Nouvelle version amont ; passage de l'ABI à la version 29
linux-signed-arm64	Nouvelle version amont ; passage de l'ABI à la version 29
linux-signed-i386	Nouvelle version amont ; passage de l'ABI à la version 29
live-boot	DHCP tenté sur toutes les interfaces connectées
llvm-toolchain-19	Nouveau paquet source pour prendre en charge les constructions de chromium
lxc	Correction d'un déréférencement de pointeur NULL lors de l'utilisation d'un rootfs partagé
mailmindr	Mise à jour pour la compatibilité avec Thunderbird 128
nfs-utils	Correction des références quand --enable-junction=no
nvidia-graphics-drivers	Nouvelle version amont stable [CVE-2024-0126]
nvidia-open-gpu-kernel-modules	Nouvelle version amont LTS [CVE-2024-0126]
oar	Ajout d'une dépendance manquante à libcgi-fast-perl ; correction de la création d'un utilisateur oar lors des nouvelles installations ; corrections de fonctions SVG avec PHP 8
opensc	Correction d'un problème de fuite de données [CVE-2023-5992] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2024-1454] ; correction d'un problème d'absence d'initialisation [CVE-2024-45615] ; correction de divers problèmes dans la gestion d'un tampon APDU [CVE-2024-45616] ; correction de vérifications des valeurs de retour de fonction absentes ou incorrectes [CVE-2024-45617 CVE-2024-45618] ; correction de problèmes de gestion incorrecte de longueurs de tampon ou de fichier [CVE-2024-45619 CVE-2024-45620] ; correction d'un problème d'exécution de code arbitraire [CVE-2024-8443]
openssh	Utilisation systématique de l'implémentation interne de mkdtemp ; correction de la déclaration de gssapi-keyex ; ajout du test automatique de ssh-gssapi ; pas d'utilisation privilégiée de signatures de clés publiques liées à l'hôte s'il n'y a pas de clé d'hôte initiale ; algorithme d'échange de clés sntrup761x25519-sha512 disponible également sans le suffixe @openssh.com
pgtcl	Installation de la bibliothèque dans l'auto_path Tcl par défaut
poco	Correction d'un problème de dépassement d'entier [CVE-2023-52389]
prometheus-node-exporter-collectors	Rétablissement des métriques « apt_package_cache_timestamp_seconds » ; corrections des métriques apt_upgrades_pending et apt_upgrades_held ; amélioration de l'heuristique pour « apt update last run time »
pypy3	Correction d'un problème d'analyse d'adresse de courriel [CVE-2023-27043] ; correction d'un possible problème de contrefaçon de requête côté serveur [CVE-2024-11168] ; correction de l'analyse des plages d'adresses IP privées [CVE-2024-4032] ; correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2024-6232] ; correction d'un problème d'injection d'en-tête [CVE-2024-6923] ; correction d'un problème de déni de service [CVE-2024-7592 CVE-2024-8088] ; correction d'un problème d'injection de commande [CVE-2024-9287]
python-asyncssh	Correction d'un problème de négociation d'expression incontrôlable [CVE-2023-46445] ; correction d'un problème d'attaque par session incontrôlable [CVE-2023-46446]
python-tornado	Correction d'un problème de redirection ouverte [CVE-2023-28370] ; correction d'un problème de déni de service [CVE-2024-52804]
python-urllib3	Correction d'une possible fuite d'information durant des redirections d'origines différentes [CVE-2023-43804] ; correction du corps de requête non enlevé après que la redirection de l'état 303 a changé la méthode de requête à GET [CVE-2023-45803] ; correction de l'en-tête de requête Proxy-Authorization n'est pas enlevé durant les redirections d'origines différentes [CVE-2024-37891]
python-werkzeug	Correction d'un déni de service quand un chargement de fichier commence par un CR or LF [CVE-2023-46136] ; correction d'une exécution de code arbitraire sur la machine du développeur au moyen du débogueur [CVE-2024-34069] ; correction d'un déni de service lors du traitement de requêtes multipart/form-data [CVE-2024-49767]
python3.11	Rejet des adresses mal formées dans email.parseaddr() [CVE-2023-27043] ; encodage des séquences « nouvelle ligne » dans les en-têtes du module de courriel [CVE-2024-6923] ; correction de la complexité quadratique de l'analyse des cookies avec des barres obliques inverses [CVE-2024-7592] ; correction de l'échec des scripts d'activation de venv pour protéger les chemins [CVE-2024-9287] ; correction de la validation incorrecte des hôtes entre crochets dans les fonctions d'urllib [CVE-2024-11168]
qemu	Nouvelle version amont de correction de bogues [CVE-2024-7409] ; marquage des symboles d'assistants internes de codegen comme cachés, corrigeant un échec de construction sur arm64
quicktext	Mise à jour pour la compatibilité avec Thunderbird 128
redis	Correction d'un déni de service avec des sélecteurs d'ACL mal formés [CVE-2024-31227] ; correction d'un déni de service au moyen de correspondances de motif illimitées [CVE-2024-31228] ; correction d'un dépassement de pile [CVE-202431449]
renderdoc	Correction de dépassements d'entier [CVE-2023-33863 CVE-2023-33864] ; correction d'un vecteur d'attaque par lien symbolique [CVE-2023-33865]
ruby-doorkeeper	Évitement des étapes d'autorisation empêché [CVE-2023-34246]
setuptools	Correction d'un problème d'exécution de code à distance [CVE-2024-6345]
sqlparse	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2023-30608] ; correction d'un problème de déni de service dû à un problème de récursion [CVE-2024-4340]
srt	Corrections de dépendance pour les utilisateurs des paquets -dev
systemd	Nouvelle version amont stable
tango	Tables property_* compatibles avec MariaDB 10.11 au moment de l'installation ; ajout d'autopkgtest
tbsync	Mise à jour pour la compatibilité avec Thunderbird 128
texlive-bin	Correction d'une perte de données lors de l'utilisation de « discretionary » avec des priorités ; correction d'un dépassement de tas [CVE-2024-25262]
tiff	Corrections de problèmes de dépassement de tampon [CVE-2023-25433 CVE-2023-26966] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2023-26965] ; correction d'un problème de déréférencement de pointeur NULL [CVE-2023-2908] ; correction de problèmes de déni de service [CVE-2023-3618 CVE-2023-52356 CVE-2024-7006]
tzdata	Nouvelle version amont : amélioration des données historiques pour certaines zones ; confirmation de l'absence de seconde intercalaire en 2024
ucf	Initialisation de la variable transmise ensuite à eval
util-linux	Correction d'une mitigation plus étendue pour le CVE-2024-28085
xsane	Ajout de la recommandation de firefox-esr ainsi que de firefox
zfs-linux	Ajout de symboles manquant dans libzfs4linux et libzpool5linux ; correction du test sale de denode [CVE-2023-49298] ; correction de l'analyse d'adresse IPv6 par la fonction sharenfs [CVE-2013-20001] ; correctifs liés à un pointeur NULL, une allocation de mémoire, etc.
zookeeper	Correction de divulgation d'informations dans la gestion des observateurs permanents [CVE-2024-23944]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5801	firefox-esr
DSA-5803	thunderbird
DSA-5804	webkit2gtk
DSA-5805	guix
DSA-5806	libarchive
DSA-5807	nss
DSA-5808	ghostscript
DSA-5809	symfony
DSA-5810	chromium
DSA-5811	mpg123
DSA-5812	postgresql-15
DSA-5813	symfony
DSA-5814	thunderbird
DSA-5815	needrestart
DSA-5816	libmodule-scandeps-perl
DSA-5817	chromium
DSA-5818	linux-signed-amd64
DSA-5818	linux-signed-arm64
DSA-5818	linux-signed-i386
DSA-5818	linux
DSA-5819	php8.2
DSA-5820	firefox-esr
DSA-5821	thunderbird
DSA-5822	simplesamlphp
DSA-5823	webkit2gtk
DSA-5824	chromium
DSA-5825	ceph
DSA-5826	smarty3
DSA-5827	proftpd-dfsg
DSA-5828	python-aiohttp
DSA-5829	chromium
DSA-5830	smarty4
DSA-5831	gst-plugins-base1.0
DSA-5832	gstreamer1.0
DSA-5833	dpdk
DSA-5835	webkit2gtk
DSA-5837	fastnetmon
DSA-5838	gst-plugins-good1.0

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
criu	[armhf] Échec de construction sur un hôte arm64
tk-html3	Non entretenu ; problèmes de sécurité

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.