Publication de la mise à jour de Debian 11.08

7 octobre 2023

Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa distribution oldstable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
adduser	Correction d'une vulnérabilité d'injection de commande dans deluser
aide	Correction de la gestion des attributs étendus dans les liens symboliques
amd64-microcode	Mise à jour du microcode inclus, y compris des corrections pour AMD Inception pour les processeurs AMD Zen4 [CVE-2023-20569]
appstream-glib	Gestion des étiquettes <em> et <code> dans les métadonnées
asmtools	Rétroportage pour Bullseye pour les constructions futures d'openjdk-11
autofs	Correction du déverrouillage de mutex absent ; pas d'utilisation de rpcbind pour les montages NFS4 ; correction d'une régression affectant l'accessibilité des hôtes double couche
base-files	Mise à jour pour la version 11.8
batik	Correction de problèmes de contrefaçons de requête côté serveur [CVE-2022-44729 CVE-2022-44730]
bmake	Conflit avec bsdowl (<< 2.2.2-1.2~) pour assurer des mises à niveau sans problème
boxer-data	Rétroportage de corrections de compatibilité avec Thunderbird
ca-certificates-java	Contournement de la non configuration de JRE lors des nouvelles installations
cairosvg	Gestion de données : URL en mode sûr
cargo-mozilla	Nouvelle version amont, pour prendre en charge la construction des versions récentes de firefox-esr
clamav	Nouvelle version amont stable ; correction d'une vulnérabilité de déni de service au moyen de l'analyseur HFS+ [CVE-2023-20197]
cpio	Correction d'un problème d'exécution de code arbitraire [CVE-2021-38185] ; replacement de Suggests : libarchive1 par libarchive-dev
cryptmount	Correction de l'initialisation de la mémoire dans l'analyseur de ligne de commande
cups	Correction de problèmes de dépassement de tampon de tas [CVE-2023-4504 CVE-2023-32324], d'un problème d'accès non authentifié [CVE-2023-32360], d'un problème d'utilisation de mémoire après libération [CVE-2023-34241]
curl	Correction de problèmes d'exécution de code [CVE-2023-27533 CVE-2023-27534], de problèmes de divulgation d'informations [CVE-2023-27535 CVE-2023-27536 CVE-2023-28322], d'un problème de réutilisation inappropriée de connexion [CVE-2023-27538], d'un problème de validation incorrecte de certificat [CVE-2023-28321]
dbus	Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2023-34969]
debian-design	Reconstruction avec la nouvelle version de boxer-data
debian-installer	Passage de l'ABI du noyau Linux à la version 5.10.0-26 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-parl	Reconstruction avec la nouvelle version de boxer-data
debian-security-support	Réglage DEB_NEXT_VER_ID=12 comme Bookworm est la version suivante ; security-support-limited : ajout de gnupg1
distro-info-data	Ajout de Debian 14 Forky ; correction de la date de publication d'Ubuntu 23.04 ; ajout d'Ubuntu 23.10 Mantic Minotaur ; ajout de la date de publication de Debian Bookworm
dkimpy	Nouvelle version amont de correction de bogues
dpdk	Nouvelle version amont stable
dpkg	Ajout de la prise en charge des processeurs loong64 ; gestion de l'absence de Version lors du formatage de source:Upstream-Version ; correction d'une fuite de mémoire de varbuf dans pkg_source_version()
flameshot	Désactivation des téléversements vers imgur par défaut ; correction du nom du fichier d/NEWS dans le téléversement précédent
ghostscript	Correction d'un problème de dépassement de tampon [CVE-2023-38559] ; essai et sécurisation du démarrage du serveur IJS [CVE-2023-43115]
gitit	Reconstruction avec la nouvelle version de pandoc
grunt	Correction d'une situation de compétition pendant la copie de liens symboliques [CVE-2022-1537]
gss	Ajout de Breaks+Replaces : libgss0 (<< 0.1)
haskell-hakyll	Reconstruction avec la nouvelle version de pandoc
haskell-pandoc-citeproc	Reconstruction avec la nouvelle version de pandoc
hnswlib	Correction d'une double libération de mémoire dans init_index quand l'argument M est un grand entier [CVE-2023-37365]
horizon	Correction d'un problème de redirection ouverte [CVE-2022-45582]
inetutils	Vérification des valeurs de retour pour les fonctions set*id() pour éviter d'éventuels problèmes de sécurité [CVE-2023-40303]
krb5	Correction de libération d'un pointeur non initialisé [CVE-2023-36054]
kscreenlocker	Correction d'une erreur d'authentification lors de l'utilisation de PAM
lacme	Gestion correcte des états de certificats d'autorité ready, processing et valid
lapack	Correction des vecteurs propres de matrice
lemonldap-ng	Correction d'une redirection ouverte quand OIDC RP n'a pas d'URI de redirection ; correction d'un problème de contrefaçon de requête côté serveur [CVE-2023-44469] ; correction d'une redirection ouverte due au traitement incorrect d'un échappement
libapache-mod-jk	Suppression de la fonctionnalité de mappage implicite qui pouvait mener à l'exposition imprévue de l'état worker et/ou bypass des contraintes de sécurité [CVE-2023-41081]
libbsd	Correction de boucle infinie dans MD5File
libclamunrar	Nouvelle version amont stable
libprelude	Module Python rendu utilisable
libreswan	Correction d'un problème de déni de service [CVE-2023-30570]
libsignal-protocol-c	Correction d'un problème de dépassement d'entier [CVE-2022-48468]
linux	Nouvelle version amont stable
linux-signed-amd64	Nouvelle version amont stable
linux-signed-arm64	Nouvelle version amont stable
linux-signed-i386	Nouvelle version amont stable
logrotate	Remplacement évité de /dev/null par un fichier ordinaire lorsqu'utilisé pour le fichier d'état
ltsp	Utilisation évitée de mv d'un lien symbolique d'init afin de contourner un problème d'overlayfs
lttng-modules	Correction de problèmes de construction avec les versions récentes du noyau
lua5.3	Correction d'utilisation de mémoire après libération dans lua_upvaluejoin (lapi.c) [CVE-2019-6706] ; correction d'une erreur de segmentation dans getlocal et setlocal (ldebug.c) [CVE-2020-24370]
mariadb-10.5	Nouvelle version amont de correction de bogues [CVE-2022-47015]
mujs	Correction de sécurité
ncurses	Chargement refusé d'entrées terminfo personnalisées dans les programmes setuid ou setgid [CVE-2023-29491]
node-css-what	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2022-21222 CVE-2021-33587]
node-json5	Correction d'un problème de pollution de prototype [CVE-2022-46175]
node-tough-cookie	Correction de sécurité : pollution de prototype [CVE-2023-26136]
nvidia-graphics-drivers	Nouvelle version amont [CVE-2023-25515 CVE-2023-25516] ; amélioration de la compatibilité avec les noyaux récents
nvidia-graphics-drivers-tesla-450	Nouvelle version amont [CVE-2023-25515 CVE-2023-25516]
nvidia-graphics-drivers-tesla-470	Nouvelle version amont de correction de bogues [CVE-2023-25515 CVE-2023-25516]
openblas	Correction des résultats de DGEMM sur du matériel compatible AVX512, quand le paquet a été construit sur du matériel antérieur à AVX2
openssh	Correction d'un problème d'exécution de code à distance au moyen d'un socket d'agent transmis [CVE-2023-38408]
openssl	Nouvelle version amont stable ; correction de problèmes de déni de service [CVE-2023-3446 CVE-2023-3817]
org-mode	Correction d'une vulnérabilité d'injection de commande [CVE-2023-28617]
pandoc	Correction de problèmes d'écriture de fichiers arbitraires [CVE-2023-35936 CVE-2023-38745]
pev	Correction d'un problème de dépassement de tampon [CVE-2021-45423]
php-guzzlehttp-psr7	Correction d'une validation d'entrée incorrecte [CVE-2023-29197]
php-nyholm-psr7	Correction d'un problème de validation d'entrée incorrecte [CVE-2023-29197]
postgis	Correction d'une régression dans l'ordre des axes
protobuf	Corrections de sécurité : déni de service dans Java [CVE-2021-22569] ; déréférencement de pointeur NULL [CVE-2021-22570] ; déni de service de mémoire [CVE-2022-1941]
python2.7	Correction d'un problème de masquage de paramètre [CVE-2021-23336], d'un problème d'injection d'URL [CVE-2022-0391], d'un problème d'utilisation de mémoire après libération [CVE-2022-48560], d'un problème d'entité externe XML [CVE-2022-48565] ; amélioration des comparaisons de temps constant dans compare_digest() [CVE-2022-48566] ; amélioration de l'analyse d'URL [CVE-2023-24329] ; lecture interdite de données non authentifiées sur un SSLSocket [CVE-2023-40217]
qemu	Correction de boucle infinie [CVE-2020-14394], d'un problème de déréférencement de pointeur NULL [CVE-2021-20196], d'un problème de dépassement d'entier [CVE-2021-20203], de problèmes de dépassement de tampon [CVE-2021-3507 CVE-2023-3180], de problèmes de déni de service [CVE-2021-3930 CVE-2023-3301], d'un problème d'utilisation de mémoire après libération [CVE-2022-0216], de possibles problèmes de dépassement de tas et d'utilisation de mémoire après libération, [CVE-2023-0330], d'un problème de lecture hors limites [CVE-2023-1544]
rar	Nouvelle version amont ; correction d'un problème de traversée de répertoire [CVE-2022-30333] ; correction d'un problème d'exécution de code arbitraire [CVE-2023-40477]
rhonabwy	Correction de dépassement de tampon d'aesgcm [CVE-2022-32096]
roundcube	Nouvelle version amont stable ; correction d'un problème de script intersite [CVE-2023-43770] ; Enigma : Correction de la synchronisation initiale des clés privées
rust-cbindgen	Nouvelle version amont pour prendre en charge la construction des versions récentes de firefox-esr
rustc-mozilla	Nouvelle version amont pour prendre en charge la construction des versions récentes de firefox-esr
schleuder	Ajout d'une dépendance versionnée à ruby-activerecord
sgt-puzzles	Correction de divers problèmes de sécurité dans le chargement de jeux [CVE-2023-24283 CVE-2023-24284 CVE-2023-24285 CVE-2023-24287 CVE-2023-24288 CVE-2023-24291]
spip	Plusieurs corrections de sécurité ; correction de sécurité pour le filtrage étendu de données d'authentification
spyder	Correction d'un correctif cassé lors d'une mise à jour précédente
systemd	Udev : correction de la création de liens symboliques /dev/serial/by-id/ symlinks pour les périphériques USB ; correction de fuite de mémoire dans daemon-reload ; correction d'un blocage de calcul des spécifications de calendrier lors du changement d'heure d'été quand fuseau horaire = Europe/Dublin
tang	Correction d'une situation de compétition lors de la création ou la rotation des clés ; assertion de permissions restrictives sur le répertoire de clés [CVE-2023-1672] ; tangd-rotate-keys rendu exécutable
testng7	Rétroportage dans stable pour les constructions futures d'openjdk-17
tinyssh	Contournement des paquets entrants qui ne respectent pas la longueur de paquet maximale
unrar-nonfree	Correction d'un problème d'écrasement de fichier [CVE-2022-48579] ; correction d'un problème d'exécution de code à distance [CVE-2023-40477]
xen	Nouvelle version amont stable ; corrections de problèmes de sécurité [CVE-2023-20593 CVE-2023-20569 CVE-2022-40982]
yajl	Correction de sécurité de fuite de mémoire ; corrections de sécurité : déni de service potentiel grâce à un fichier JSON contrefait [CVE-2017-16516] ; corruption de mémoire de tas lors de traitement de grandes entrées (~2Go) [CVE-2022-24795] ; correction d'un correctif incomplet pour CVE-2023-33460

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5394	ffmpeg
DSA-5395	nodejs
DSA-5396	evolution
DSA-5396	webkit2gtk
DSA-5397	wpewebkit
DSA-5398	chromium
DSA-5399	odoo
DSA-5400	firefox-esr
DSA-5401	postgresql-13
DSA-5402	linux-signed-amd64
DSA-5402	linux-signed-arm64
DSA-5402	linux-signed-i386
DSA-5402	linux
DSA-5403	thunderbird
DSA-5404	chromium
DSA-5405	libapache2-mod-auth-openidc
DSA-5406	texlive-bin
DSA-5407	cups-filters
DSA-5408	libwebp
DSA-5409	libssh
DSA-5410	sofia-sip
DSA-5411	gpac
DSA-5412	libraw
DSA-5413	sniproxy
DSA-5414	docker-registry
DSA-5415	libreoffice
DSA-5416	connman
DSA-5417	openssl
DSA-5418	chromium
DSA-5419	c-ares
DSA-5420	chromium
DSA-5421	firefox-esr
DSA-5422	jupyter-core
DSA-5423	thunderbird
DSA-5424	php7.4
DSA-5426	owslib
DSA-5427	webkit2gtk
DSA-5428	chromium
DSA-5430	openjdk-17
DSA-5431	sofia-sip
DSA-5432	xmltooling
DSA-5433	libx11
DSA-5434	minidlna
DSA-5435	trafficserver
DSA-5436	hsqldb1.8.0
DSA-5437	hsqldb
DSA-5438	asterisk
DSA-5439	bind9
DSA-5440	chromium
DSA-5441	maradns
DSA-5442	flask
DSA-5443	gst-plugins-base1.0
DSA-5444	gst-plugins-bad1.0
DSA-5445	gst-plugins-good1.0
DSA-5446	ghostscript
DSA-5447	mediawiki
DSA-5449	webkit2gtk
DSA-5450	firefox-esr
DSA-5451	thunderbird
DSA-5452	gpac
DSA-5453	linux-signed-amd64
DSA-5453	linux-signed-arm64
DSA-5453	linux-signed-i386
DSA-5453	linux
DSA-5455	iperf3
DSA-5456	chromium
DSA-5457	webkit2gtk
DSA-5459	amd64-microcode
DSA-5461	linux-signed-amd64
DSA-5461	linux-signed-arm64
DSA-5461	linux-signed-i386
DSA-5461	linux
DSA-5463	thunderbird
DSA-5464	firefox-esr
DSA-5465	python-django
DSA-5467	chromium
DSA-5468	webkit2gtk
DSA-5470	python-werkzeug
DSA-5471	libhtmlcleaner-java
DSA-5472	cjose
DSA-5473	orthanc
DSA-5474	intel-microcode
DSA-5475	linux-signed-amd64
DSA-5475	linux-signed-arm64
DSA-5475	linux-signed-i386
DSA-5475	linux
DSA-5476	gst-plugins-ugly1.0
DSA-5478	openjdk-11
DSA-5479	chromium
DSA-5480	linux-signed-amd64
DSA-5480	linux-signed-arm64
DSA-5480	linux-signed-i386
DSA-5480	linux
DSA-5481	fastdds
DSA-5482	tryton-server
DSA-5483	chromium
DSA-5484	librsvg
DSA-5485	firefox-esr
DSA-5486	json-c
DSA-5487	chromium
DSA-5489	file
DSA-5490	aom
DSA-5491	chromium
DSA-5493	open-vm-tools
DSA-5494	mutt
DSA-5495	frr
DSA-5497	libwebp
DSA-5500	flac
DSA-5502	xorgxrdp
DSA-5502	xrdp
DSA-5503	netatalk
DSA-5504	bind9
DSA-5505	lldpd
DSA-5507	jetty9
DSA-5510	libvpx

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
atlas-cpp	Version amont instable, inappropriée pour Debian
ember-media	Version amont instable, inappropriée pour Debian
eris	Version amont instable, inappropriée pour Debian
libwfut	Version amont instable, inappropriée pour Debian
mercator	Version amont instable, inappropriée pour Debian
nomad	Plus de correctif de sécurité disponible
nomad-driver-lxc	Dépend de nomad qui doit être retiré
skstream	Version amont instable, inappropriée pour Debian
varconf	Version amont instable, inappropriée pour Debian
wfmath	Version amont instable, inappropriée pour Debian

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.