Publication de la mise à jour de Debian 12.10

15 mars 2025

Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa distribution stable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
389-ds-base	Correction d'un plantage lors de la modification de userPassword avec une entrée mal formée [CVE-2024-2199 CVE-2024-8445] ; déni de service évité lors d'une tentative de connexion d'un utilisateur avec un hachage de mot de passe malformé [CVE-2024-5953] ; déni de service évité sur le serveur de répertoires au moyen d'une requête LDAP contrefaite pour l'occasion [CVE-2024-3657]
base-files	Mise à jour pour la version 12.10
bup	Nouvelle version amont de correction de bogues
containerd	Correction de tests provoquant un échec de construction depuis le source sur le réseau auto-builder
curl	Correction de mises à niveau vers HTTPS imprévues ou d'un retour prématuré vers HTTP quand des sous-domaines et des domaines parents sont employés ensemble [CVE-2024-9681] ; arrêt de stunnel évité avant de nouveaux essais durant les tests au moment de la construction ; correction de problèmes de fuites d'identifiant [CVE-2024-11053 CVE-2025-0167] ; correction d'échecs de test dus à des conflits de ports
dacite	Pas de mise en cache du résultat de get_default_value_for_field
dcmtk	Correction d'un problème lors du rendu d'images DICOM monochromes non valables [CVE-2024-47796] ; assurance de HighBit < BitsAllocated [CVE-2024-52333] ; correction de possible dépassement lors de l'allocation de mémoire [CVE-2024-27628] ; correction de deux erreurs de segmentation [CVE-2024-34508 CVE-2024-34509] ; correction d'un problème d'exécution de code arbitraire [CVE-2024-28130] ; correction de problèmes de dépassement de tampon [CVE-2025-25472 CVE-2025-25474] ; correction d'un problème de déréférencement de pointeur NULL [CVE-2025-25475]
debian-installer	Passage de l'ABI du noyau Linux à la version 6.1.0-32 ; reconstruction avec proposed-updates
debian-ports-archive-keyring	Ajout de la clé de signature 2026 ; déplacement des clés de signature 2023 et 2024 dans le trousseau de clés retirées
dgit	Ajout de paramètres absents pour la cible de chargement de la source
djoser	Correction d'un contournement d'authentification [CVE-2024-21543]
dns-root-data	Ajout de l'enregistrement DNSKEY pour KSK-2024
edk2	Correction d'une condition de dépassement dans PeCoffLoaderRelocateImage() [CVE-2024-38796] ; correction d'un possible dépassement de UINT32 dans S3 ResumeCount [CVE-2024-1298]
elpa	Correction des tests sur les machines avec deux vCPU ou moins
flightgear	Correction d'une vulnérabilité de contournement de bac à sable dans les scripts en Nasal [CVE-2025-0781]
gensim	Échec de construction sur les machines à processeur unique
glibc	Correction d'un dépassement de tampon lors de l'affichage d'un message d'échec d'assertion [CVE-2025-0395] ; correction des performances de memset pour des destinations non-alignées ; correction de la dégradation des performances de TLS après l'utilisation de dlopen() ; troncature d'entier évitée lors de l'analyse de données de CPUID avec des grandes tailles de cache ; initialisation correcte assurée pour les données passées à l'appel système rseq
golang-github-containers-buildah	Désactivation d'un test connu pour échouer sur le réseau auto-builder, corrigeant un échec de construction
intel-microcode	Nouvelle version amont de sécurité [CVE-2023-34440 CVE-2023-43758 CVE-2024-24582 CVE-2024-28047 CVE-2024-28127 CVE-2024-29214 CVE-2024-31068 CVE-2024-31157 CVE-2024-36293 CVE-2024-37020 CVE-2024-39279 CVE-2024-39355]
iptables-netflow	Correction de la construction avec les noyaux récents de Bullseye
jinja2	Corrections de problèmes d'exécution de code arbitraire [CVE-2024-56201 CVE-2024-56326]
joblib	Échec de construction sur les systèmes à processeur unique
lemonldap-ng	Correction d'une vulnérabilité de contrefaçon de requête intersite dans l'interface d'authentification à deux facteurs (2FA) [CVE-2024-52948]
libapache-mod-jk	Définition de permissions par défaut correctes pour la mémoire partagée [CVE-2024-46544]
libeconf	Correction d'une vulnérabilité de dépassement de tampon [CVE-2023-32181 CVE-2023-22652]
librabbitmq	Ajout de l'option de lecture du nom d'utilisateur et du mot passe à partir d'un fichier [CVE-2023-35789]
libtar	Correction d'une lecture hors limites dans gnu_longlink() [CVE-2021-33643] ; correction d'une lecture hors limites dans gnu_longname() [CVE-2021-33644] ; correction d'une fuite de mémoire dans th_read() [CVE-2021-33645] ; correction d'une fuite de mémoire dans th_read() [CVE-2021-33646]
linux	Nouvelle version amont ; passage de l'ABI à la version 32
linux-signed-amd64	Nouvelle version amont ; passage de l'ABI à la version 32
linux-signed-arm64	Nouvelle version amont ; passage de l'ABI à la version 32
linux-signed-i386	Nouvelle version amont ; passage de l'ABI à la version 32
linuxcnc	Correction de mouvements multiaxes avec un appel G0 MDI à axe unique
ltt-control	Correction du plantage du « consumer » lors de l'arrêt
lttng-modules	Correction de la construction avec les noyaux récents de Bullseye
mariadb	Nouvelle version amont stable ; correction d'un problème de sécurité [CVE-2024-21096] ; correction d'un problème de déni de service [CVE-2025-21490]
monero	Limitation imposée des réponses pour les connexions au serveur HTTP [CVE-2025-26819]
mozc	Installation des icônes fcitx à des emplacements corrects
ndcube	Avertissements du test d'astropy ignorés
nginx	Correction d'un potentiel contournement de l'authentification du certificat du client [CVE-2025-23419]
node-axios	Correction d'une vulnérabilité de contrefaçon de requête intersite [CVE-2023-45857] ; correction d'une possible vulnérabilité lors de la détermination d'origine d'un URL [CVE-2024-57965]
node-js-sdsl	Correction d'un échec de construction
node-postcss	Correction d'une gestion incorrecte de valeurs non entières menant à un déni de service dans nanoid [CVE-2024-55565] ; correction de l'analyse de CSS externes non fiables [CVE-2023-44270]
node-recast	Correction d'un échec de construction
node-redis	Correction d'un échec de construction
node-rollup	Échec de construction résultant de la modification du changement du délai d'expiration de l'API
openh264	Correction de l'URL de téléchargement de Cisco
php-nesbot-carbon	Correction d'un problème d'inclusion de fichier arbitraire [CVE-2025-22145]
postgresql-15	Nouvelle version amont stable ; durcissement des fonctions PQescapeString et apparentées contre les chaînes encodées de façon incorrecte ; amélioration du comportement des fonctions de protection de libpq [CVE-2025-1094]
puma	Correction du comportement lors de l'analyse des corps à encodage de transfert en blocs et des en-têtes Content-Length de longueur nulle [CVE-2023-40175] ; limitation de la taille des extensions de bloc [CVE-2024-21647] ; manipulation interdite des en-têtes définis par des mandataires intermédiaires [CVE-2024-45614]
python-django	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2023-36053], de problèmes de déni de service [CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], d'un problème d'énumération d'utilisateurs [CVE-2024-39329], d'un problème de traversée de répertoires [CVE-2024-39330], d'un problème de consommation excessive de mémoire [CVE-2024-41989], d'un problème d'injection de code SQL [CVE-2024-42005]
python-pycdlib	Exécution des tests seulement si /tmp est tmpfs, sinon ils sont réputés échouer
rapiddisk	Prise en charge des versions de Linux jusqu'à la version 6.10
rsyslog	Erreur de segmentation évitée si un SIGTERM est reçu pendant le démarrage
runit-services	Pas d'activation par défaut du service dhclient
seqan3	Correction de l'exécution de tests en parallèle
simgear	Correction d'une vulnérabilité de contournement de bac à sable dans les scripts en Nasal [CVE-2025-0781]
spamassassin	Nouvelle version amont stable
sssd	Application cohérente de la politique de GPO [CVE-2023-3758]
subversion	Correction d'une vulnérabilité lors de l'analyse des caractères de contrôle dans les chemins servis par mod_dav_svn [CVE-2024-46901]
sunpy	Avertissements du test d'astropy ignorés
systemd	Nouvelle version amont stable
tzdata	Nouvelle version amont ; mise à jour des données du Paraguay ; mise à jour des informations sur les secondes intercalaires
vagrant	Correction de l'URL du registre public de Vagrant
vim	Correction d'un plantage lors du développement de ~ dans la commande substitute [CVE-2023-2610] ; correction d'un dépassement de tampon dans vim_regsub_both() [CVE-2023-4738] ; correction d'utilisation de tas après libération dans ins_compl_get_exp() [CVE-2023-4752] ; correction d'un dépassement de tampon de tas dans vim_regsub_both [CVE-2023-4781] ; correction d'un dépassement de tampon dans trunc_string() [CVE-2023-5344] ; correction d'un dépassement de pile dans les fonctions de rappel d'option [CVE-2024-22667] ; correction d'un dépassement de tas dans ins_typebuf (CVE-2024-43802] ; correction d'une utilisation de mémoire après libération lors de la fermeture d'un tampon [CVE-2024-47814] ; correction d'un échec de construction sur les architectures 32 bits
wget	Correction d'un mauvaise utilisation des points-virgules dans userinfo dans les URL [CVE-2024-38428]
xen	Démarrage direct du noyau autorisé avec les noyaux >= 6.12

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5834	chromium
DSA-5836	xen
DSA-5839	firefox-esr
DSA-5840	chromium
DSA-5841	thunderbird
DSA-5842	openafs
DSA-5843	rsync
DSA-5844	chromium
DSA-5845	tomcat10
DSA-5846	libreoffice
DSA-5847	snapcast
DSA-5848	chromium
DSA-5849	git-lfs
DSA-5850	git
DSA-5851	openjpeg2
DSA-5852	pdns-recursor
DSA-5853	pam-u2f
DSA-5854	bind9
DSA-5855	chromium
DSA-5856	redis
DSA-5857	openjdk-17
DSA-5858	firefox-esr
DSA-5859	chromium
DSA-5860	linux-signed-amd64
DSA-5860	linux-signed-arm64
DSA-5860	linux-signed-i386
DSA-5860	linux
DSA-5861	thunderbird
DSA-5862	cacti
DSA-5863	libtasn1-6
DSA-5864	pam-pkcs11
DSA-5865	webkit2gtk
DSA-5866	chromium
DSA-5867	gnutls28
DSA-5868	openssh
DSA-5869	chromium
DSA-5870	openh264
DSA-5871	emacs
DSA-5872	xorg-server
DSA-5873	libreoffice
DSA-5874	firefox-esr
DSA-5875	chromium
DSA-5876	thunderbird

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
kanboard	Non entretenu ; problèmes de sécurité
libnet-easytcp-perl	Amont non entretenu ; problèmes de sécurité
looking-glass	Pas approprié pour une version stable

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.