Publication de la mise à jour de Debian 12.2
7 octobre 2023
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa
distribution stable Debian 12 (nom de code Bookworm
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| amd64-microcode | Mise à jour du microcode inclus, y compris des corrections pour AMD Inceptionpour les processeurs AMD Zen4 [CVE-2023-20569] |
| arctica-greeter | Prise en charge de la configuration du thème du clavier à l'écran au moyen de gsettings de ArcticaGreeter ; utilisation de la disposition OSK Compact(à la place de Small) qui inclut des touches spéciales telles que le umlaut allemand ; correction de l'affichage des messages d'échec d'authentification ; utilisation du thème Active à la place d'Emerald |
| autofs | Correction d'une régression affectant l'accessibilité des hôtes double couche |
| base-files | Mise à jour pour cette version |
| batik | Correction de problèmes de contrefaçon de requête côté serveur [CVE-2022-44729 CVE-2022-44730] |
| boxer-data | Plus d'installation de https-everywhere pour Firefox |
| brltty | xbrlapi : pas de tentative de démarrage de brltty avec ba+a2 quand ce n'est pas disponible ; correction du déplacement du curseur et du défilement braille dans Orca quand xbrlapi est installé mais que le pilote d'écran a2 ne l'est pas |
| ca-certificates-java | Contournement de la non configuration de JRE lors des nouvelles installations |
| cairosvg | Gestion de données : URL en mode sûr |
| calibre | Correction de la fonction d'exportation |
| clamav | Nouvelle version amont stable ; corrections de sécurité [CVE-2023-20197 CVE-2023-20212] |
| cryptmount | Problèmes d'initialisation de mémoire évités dans l'analyseur de ligne de commande |
| cups | Correction d'un problème de dépassement de tampon de tas [CVE-2023-4504] ; correction d'un problème d'accès non authentifié [CVE-2023-32360] |
| curl | Construction avec OpenLDAP pour corriger la récupération incorrecte des attributs binaires de LDAP ; correction d'un problème de consommation excessive de mémoire [CVE-2023-38039] |
| cyrus-imapd | Assurance que les boîtes aux lettres ne disparaissent pas lors des mises à niveau à partir de Bullseye |
| dar | Correction de problèmes lors de la création de catalogues isolés quand dar a été construit avec une version récente de gcc |
| dbus | Nouvelle version amont stable ; correction d'un plantage de dbus-daemon lors du rechargement de la politique lorsqu'une connexion appartient à un compte utilisateur qui a été supprimé, ou si un greffon NSS (Name Service Switch) est cassé, sur les noyaux qui ne prennent pas en charge SO_PEERGROUPS ; rapport d'erreur correct quand l'obtention des groupes d'un UID échoue ; dbus-user-session : copie de XDG_CURRENT_DESKTOP dans l'environnement d'activation |
| debian-archive-keyring | Nettoyage des trousseaux de clés inutilisés dans trusted.gpg.d |
| debian-edu-doc | Mise à jour du manuel de Debian Edu Bookworm |
| debian-edu-install | Nouvelle version amont ; ajustement des tailles des partitions automatiques de l’installateur Debian |
| debian-installer | Passage de l'ABI du noyau Linux à la version 6.1.0-13 ; reconstruction avec proposed-updates |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| debian-parl | Reconstruction avec la nouvelle version de boxer-data ; plus de dépendance à webext-https-everywhere |
| debianutils | Correction d'entrées dupliquées dans /etc/shells ; gestion de /bin/sh dans le fichier d'état ; correction de la forme canonique des interpréteurs dans les emplacements des alias |
| dgit | Utilisation du mappage ancien /updates vers security seulement pour Buster ; chargement empêché des versions plus anciennes qui sont déjà dans l'archive |
| dhcpcd5 | Mises à niveau facilitée avec des programmes laissés par Wheezy ; abandon de l'intégration obsolète de ntpd ; correction de version dans le script de nettoyage |
| dpdk | Nouvelle version amont stable |
| dput-ng | Mise à jour des cibles de téléversement permises ; correction d'échec de construction à partir du paquet source |
| efibootguard | Correction d'une validation insuffisante ou absente et de nettoyage de l'entrée à partir de fichiers d'environnement d'un chargeur d'amorçage non sûr [CVE-2023-39950] |
| electrum | Correction d'un problème de sécurité de Lightning |
| filezilla | Correction de construction pour les architectures 32 bits ; correction d'un plantage lors du retrait de types de fichier d'une liste |
| firewalld | Pas de mélange d'adresses IPv4 et IPv6 dans une règle unique de nftables |
| flann | Abandon de la bibliothèque supplémentaire -llz4 dans flann.pc |
| foot | Requêtes XTGETTCAP avec un encodage hexadécimal non valable ignorées |
| freedombox | Utilisation de n= dans les préférences d'apt pour des mises à niveau sans problème |
| freeradius | Données correctes dans TLS-Client-Cert-Common-Name assurée |
| ghostscript | Correction d'un problème de dépassement de tampon [CVE-2023-38559] ; essai et sécurisation du démarrage du serveur IJS [CVE-2023-43115] |
| gitit | Reconstruction avec la nouvelle version de pandoc |
| gjs | Boucles infinies évitées des rappels de suspension si un gestionnaire de suspension est appelé durant l’utilisation du ramasse miettes (GC) |
| glibc | Correction de la valeur de F_GETLK/F_SETLK/F_SETLKW avec __USE_FILE_OFFSET64 sur ppc64el ; correction d'un dépassement de lecture de pile dans getaddrinfo en mode no-aaaa [CVE-2023-4527] ; correction d'une utilisation de mémoire après libération dans getcanonname [CVE-2023-4806 CVE-2023-5156] ; correction de _dl_find_object pour renvoyer des valeurs correctes même durant le début du démarrage |
| gosa-plugins-netgroups | Avertissements de dépréciation silencieux dans l'interface web |
| gosa-plugins-systems | Correction de la gestion des entrées DHCP/DNS dans le thème par défaut ; correction de l'ajout de systèmes (autonomes) Imprimante réseau; correction de la génération de DNS cible pour divers types de systèmes ; correction du rendu des icônes dans le servlet DHCP ; nom d'hôte non qualifié appliqué pour les stations de travail |
| gtk+3.0 | Nouvelle version amont stable ; correction de plusieurs plantages ; plus d'informations montrées dans l'interface de débogage inspector; avertissements silencieux de GFileInfo lors d'une utilisation d'une version de Glibc rétroportée ; utilisation d'une couleur claire pour le curseur pour les thèmes sombres, améliorant beaucoup sa visibilité dans certaines applications et en particulier Evince |
| gtk4 | Correction d'une troncature dans PlacesSidebar avec la configuration d'accessibilité des textes longs |
| haskell-hakyll | Reconstruction avec la nouvelle version de pandoc |
| highway | Correction de la prise en charge des systèmes armhf où NEON est absent |
| hnswlib | Correction d'une double libération de mémoire dans init_index quand l'argument M est un grand entier [CVE-2023-37365] |
| horizon | Correction d'un problème de redirection ouverte [CVE-2022-45582] |
| icingaweb2 | Suppression de notices de dépréciation indésirable |
| imlib2 | Correction de la préservation de l'attribut de canal alpha |
| indent | Correction d'une lecture hors tampon ; correction d'écrasement de tampon [CVE-2023-40305] |
| inetutils | Vérification des valeurs de retour lors de l'abandon de privilèges [CVE-2023-40303] |
| inn2 | Correction des blocages de nnrpd quand la compression est activée ; ajout de la prise en charge des horodatages de haute précision pour syslog ; inn-{radius,secrets}.conf rendus non lisibles par tous |
| jekyll | Prise en charge des alias YAML |
| kernelshark | Correction d'une erreur de segmentation dans libshark-tepdata ; correction de la capture quand le répertoire cible contient un espace |
| krb5 | Correction de libération d'un pointeur non initialisé [CVE-2023-36054] |
| lemonldap-ng | Application du contrôle d'identifiant pour les requêtes auth-slave ; correction d'une redirection ouverte due au traitement incorrect d'un échappement ; correction d'une redirection ouverte quand OIDC RP n'a pas d'URI de redirection ; correction d'un problème de contrefaçon de requête côté serveur [CVE-2023-44469] |
| libapache-mod-jk | Suppression de la fonctionnalité de mappage implicite qui pouvait mener à l'exposition imprévue de l'état workeret/ou bypassdes contraintes de sécurité [CVE-2023-41081] |
| libclamunrar | Nouvelle version amont stable |
| libmatemixer | Correction de corruptions de tas ou de plantages des applications lors du retrait de périphériques audio |
| libpam-mklocaluser | pam-auth-update : assurance que le module est ordonnancé avant les autres modules de type session |
| libxnvctrl | Nouveau paquet source séparé de nvidia-settings |
| linux | Nouvelle version amont stable |
| linux-signed-amd64 | Nouvelle version amont stable |
| linux-signed-arm64 | Nouvelle version amont stable |
| linux-signed-i386 | Nouvelle version amont stable |
| llvm-defaults | Correction du lien symbolique /usr/include/lld ; ajout de Breaks sur les paquets non co-installables pour des mises à niveau sans problème à partir de Bullseye |
| ltsp | Utilisation évitée de mv sur le lien symbolique init |
| lxc | Correction de la syntaxe de nftables pour la traduction d'adresse réseau pour les paquets IPv6 |
| lxcfs | Correction du rapport de processeur dans un conteneur arm32 avec un grand nombre de processeurs |
| marco | Activation de la composition seulement si elle est disponible |
| mariadb | Nouvelle version amont de correction de bogues |
| mate-notification-daemon | Correction de deux fuites de mémoire |
| mgba | Correction du son cassé dans libretro core ; correction d'un plantage sur le matériel ignorant OpenGL 3.2 |
| modsecurity | Correction d'un problème de déni de service [CVE-2023-38285] |
| monitoring-plugins | check_disk : montage évité lors de la recherche de point des montages correspondants, résolvant une régression de vitesse depuis Bullseye |
| mozjs102 | Nouvelle version amont stable ; correction de valeur incorrecte utilisée durant la compilation de WASM[CVE-2023-4046], problème potentiel d'utilisation de mémoire après libération [CVE-2023-37202], problème de sécurité mémoire [CVE-2023-37211 CVE-2023-34416] |
| mutt | Nouvelle version amont stable |
| nco | Réactivation de la prise en charge de udunits2 |
| nftables | Correction de la génération incorrecte de bytecode touchée par la nouvelle vérification du noyau qui rejette l'ajout de règles à la chaîne de liens |
| node-dottie | Correction de sécurité (pollution de prototype) [CVE-2023-26132] |
| nvidia-settings | Nouvelle version amont de correction de bogues |
| nvidia-settings-tesla | Nouvelle version amont de correction de bogues |
| nx-libs | Correction de l'absence du lien symbolique /usr/share/nx/fonts ; correction de la page de manuel |
| open-ath9k-htc-firmware | Chargement du microprogramme correct |
| openbsd-inetd | Correction de problèmes de gestion de mémoire |
| openrefine | Correction d'un problème d'exécution de code arbitraire [CVE-2023-37476] |
| openscap | Correction des dépendances à openscap-utils et python3-openscap |
| openssh | Correction d'un problème d'exécution de code à distance au moyen d'un socket d'agent transmis [CVE-2023-38408] |
| openssl | Nouvelle version amont stable ; corrections de sécurité [CVE-2023-2975 CVE-2023-3446 CVE-2023-3817] |
| pam | Correction de pam-auth-update --disable ; mise à jour de la traduction en turc |
| pandoc | Correction d'un problème d'écriture d'un fichier arbitraire [CVE-2023-35936] |
| plasma-framework | Correction de plantages de plasmashell |
| plasma-workspace | Correction d'un plantage dans krunner |
| python-git | Correction d'un problème d'exécution de code à distance [CVE-2023-40267], d'un problème d'inclusion inaperçue de fichier local [CVE-2023-41040] |
| pywinrm | Correction de compatibilité avec Python 3.11 |
| qemu | Mise à jour vers l'arbre 7.2.5 amont ; ui/vnc-clipboard : correction d'une boucle infinie dans inflate_buffer [CVE-2023-3255] ; correction d'un problème de déréférencement de pointeur NULL [CVE-2023-3354] ; correction d'un problème de dépassement de tampon [CVE-2023-3180] |
| qtlocation-opensource-src | Correction de gel lors du chargement de tuiles de cartes |
| rar | Version amont de correction de bogues [CVE-2023-40477] |
| reprepro | Correction d'une situation de compétition lors de l'utilisation de décompresseurs externes |
| rmlint | Correction d'erreur dans d'autres paquets provoquée par une version erronée du paquet python ; correction d'échec de démarrage de l'interface graphique avec les versions récentes de Python 3.11 |
| roundcube | Nouvelle version amont stable ; correction de l'authentification OAuth2 ; corrections de problèmes de script intersite [CVE-2023-43770] |
| runit-services | dhclient : pas d'utilisation d'eth1 codé en dur |
| samba | Nouvelle version amont stable |
| sitesummary | Nouvelle version amont ; correction de l'installation du script sitesummary-maintenance de CRON/systemd-timerd ; correction de la création non sûre de fichiers et de répertoires temporaires |
| slbackup-php | corrections de bogues : journalisation des commandes distantes vers stderr ; désactivation de fichiers d'hôtes SSH connus ; compatibilité avec PHP 8 |
| spamprobe | Correction de plantage dans l'analyse de pièces jointes JPEG |
| stunnel4 | Correction de la fermeture par un pair d'une connexion TLS sans envoi d'un message correct de fermeture |
| systemd | Nouvelle version amont stable ; correction d'un problème de sécurité mineur dans systemd-boot (EFI) d'arm64 et de riscv64 avec le chargement de l'arbre des périphériques (device-tree blob) |
| testng7 | Rétroportage dans stable pour les constructions futures d'openjdk-17 |
| timg | Correction d'une vulnérabilité de dépassement de tampon [CVE-2023-40968] |
| transmission | Remplacement du correctif de compatibilité avec openssl3 pour corriger une fuite de mémoire |
| unbound | Correction de saturation du journal d'erreurs lors de l'utilisation de DNS sur TLS avec openssl 3.0 |
| unrar-nonfree | Correction d'un problème d'exécution de code à distance [CVE-2023-40477] |
| vorta | Gestion des modifications de ctime et mtime dans les fichiers diff |
| vte2.91 | Ring viewinvalidé plus souvent quand c'est nécessaire, correction de divers échecs d'assertion durant la gestion d'événements |
| x2goserver | x2goruncommand : ajout de la prise en charge de KDE Plasma 5 ; x2gostartagent : corruption de fichier journal empêchée ; keystrokes.cfg : synchronisation avec nx-libs ; correction de la traduction en finnois |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| https-everywhere | Obsolète, les principaux navigateurs proposent une prise en charge native |