Publication de la mise à jour de Debian 11.1

9 octobre 2021

Le projet Debian a l'honneur d'annoncer la première mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apr Déréférencement de tableau hors limites évité
atftp Correction de dépassement de tampon [CVE-2021-41054]
automysqlbackup Correction de plantage lors de l'utilisation de LATEST=yes
base-files Mise à jour pour cette version
clamav Nouvelle version amont stable ; correction d'erreurs de segmentation de clamdscan quand --fdpass et --multipass sont utilisés conjointement avec ExcludePath
cloud-init Duplication d'includedir évitée dans /etc/sudoers
cyrus-imapd Correction d'un problème de déni de service [CVE-2021-33582]
dazzdb Correction d'une utilisation de mémoire après libération dans DBstats
debian-edu-config debian-edu-ltsp-install : extension de la liste des exclusions relatives au serveur principal ; ajout de slapd et de xrdp-sesman à la liste des services masqués
debian-installer Reconstruction avec proposed-updates ; mise à jour de l'ABI de Linux vers la version 5.10.0-9 ; utilisation des fichiers udeb issus de proposed-updates
debian-installer-netboot-images Reconstruction avec proposed-updates ; utilisation des fichiers udeb issus de proposed-updates et de stable ; utilisation des fichiers de paquets avec la compression xz
detox Correction de la gestion des grands fichiers
devscripts bullseye-backports cible de l'option --bpo
dlt-viewer Ajout des fichiers d'en-tête qdlt/qdlt*.h au paquet dev
dpdk Nouvelle version amont stable
fetchmail Correction d'erreur de segmentation et de régression de sécurité
flatpak Nouvelle version amont stable ; plus d'héritage d'un réglage inhabituel de $XDG_RUNTIME_DIR dans le bac à sable
freeradius Correction de plantage de thread et de configuration d'exemple
galera-3 Nouvelle version amont stable
galera-4 Nouvelle version amont stable ; résolution de conflits circulaires avec galera-3 en ne fournissant plus de paquet galera virtuel
glewlwyd Correction d'un possible dépassement de tampon lors de la validation de signature FIDO2 dans l'enregistrement de webauthn [CVE-2021-40818]
glibc Redémarrage d'openssh-server même s'il a été déconfiguré durant la mise à niveau ; correction du repli en mode texte quand debconf est inutilisable
gnome-maps Nouvelle version amont stable ; correction d'un plantage lors du démarrage avec aérien comme dernier type de carte utilisé et qu'une définition de tuile non aérienne est trouvée ; parfois pas d'écriture de position de dernière vue cassée lors de la sortie ; correction de blocage lors de la sélection de marqueurs de route
gnome-shell Nouvelle version amont stable ; correction de gel après l'annulation de (certains) dialogues de mode système ; correction de suggestions de mot dans les claviers virtuels ; correction de plantages
hdf5 Ajustement des dépendances de paquets pour améliorer la mise à niveau des chemins à partir des versions plus anciennes
iotop-c Gestion correcte des noms de processus en UTF-8
jailkit Correction de la création de prisons qui ont besoin d'utiliser /dev ; correction de la vérification de la présence de bibliothèques
java-atk-wrapper Utilisation également de dbus pour détecter l'activation de l'accessibilité
krb5 Correction d'un plantage de déréférencement de pointeur NULL de KDC dans les requêtes FAST sans champ de serveur [CVE-2021-37750] ; correction de fuite de mémoire dans krb5_gss_inquire_cred
libavif Utilisation de la libdir correcte dans le fichier pkgconfig de libavif.pc
libbluray Passage à libasm incorporé ; la version issue de libasm-java est trop récente
libdatetime-timezone-perl Nouvelle version amont stable ; mise à jour des règles DST pour les Samoa et la Jordanie ; confirmation de l'absence de seconde intercalaire le 31 décembre 2021
libslirp Correction de plusieurs problèmes de dépassement de tampon [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595]
linux Nouvelle version amont stable ; passage de l'ABI à la version 9 ; [rt] mise à jour vers la version 5.10.65-rt53 ; [mipsel] bpf, mips : validation des positions de branche conditionnelle [CVE-2021-38300]
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 9 ; [rt] mise à jour vers la version 5.10.65-rt53 ; [mipsel] bpf, mips : validation des positions de branche conditionnelle [CVE-2021-38300]
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 9 ; [rt] mise à jour vers la version 5.10.65-rt53 ; [mipsel] bpf, mips : validation des positions de branche conditionnelle [CVE-2021-38300]
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 9 ; [rt] mise à jour vers la version 5.10.65-rt53 ; [mipsel] bpf, mips : validation des positions de branche conditionnelle [CVE-2021-38300]
mariadb-10.5 Nouvelle version amont stable ; corrections de sécurité [CVE-2021-2372 CVE-2021-2389]
mbrola Correction de la détection de fin de fichier
modsecurity-crs Correction d'un problème de contournement de corps de requête [CVE-2021-35368]
mtr Correction d'une régression dans une sortie JSON
mutter Nouvelle version amont stable ; kms : amélioration de la gestion des modes vidéo courants qui pourraient dépasser la bande passante possible ; assurance d'une taille de texture de fenêtre valable après une modification de fenêtre
nautilus Ouverture évitée de plusieurs fichiers sélectionnés dans de multiples instances de l'application ; pas de sauvegarde de la taille et de la position des fenêtres quand elles sont tuilées ; correction de certaines fuites de mémoire ; mise à jour des traductions
node-ansi-regex Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-3807]
node-axios Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-3749]
node-object-path Correction de problèmes de pollution de prototype [CVE-2021-23434 CVE-2021-3805]
node-prismjs Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-3801]
node-set-value Correction d'une pollution de prototype [CVE-2021-23440]
node-tar Suppression des chemins qui ne sont pas des répertoires du cache de répertoires [CVE-2021-32803] ; retrait des chemins absolus de façon plus complète [CVE-2021-32804]
osmcoastline Correction de projections autres que WGS84
osmpbf Reconstruction avec protobuf 3.12.4
pam Correction d'erreur de syntaxe dans libpam0g.postinst quand une unité systemd échoue
perl Mise à jour de sécurité ; correction d'une fuite de mémoire d'expression rationnelle
pglogical Mise à jour de l'instantané de PostgreSQL 13.4 gérant les corrections
pmdk Correction de l'absence de barrière après un appel memcpy non temporaire
postgresql-13 Nouvelle version amont stable ; correction d'une mauvaise programmation de l'application répétée d'une étape de projection [CVE-2021-3677] ; interdiction plus complète des renégociations SSL
proftpd-dfsg Correction de mod_radius divulgue des contenus de la mémoire au serveur radius et de la connexion sftp échoue avec MAC corrompue sur l'entrée de  ; échappement évité de texte SQL déjà protégé
pyx3 Correction d'un problème d'alignement horizontal de fonte avec texlive 2020
reportbug Mise à jour des noms de suite après la publication de Bullseye
request-tracker4 Correction d'un problème d'attaque temporelle par canal auxiliaire pour la connexion [CVE-2021-38562]
rhonabwy Correction du calcul de l'étiquette JWE CBC et de la vérification de la signature JWS alg:none
rpki-trust-anchors Ajout de l'URL HTTPS au LACNIC TAL
rsync Réintégration de --copy-devices ; correction de regression dans --delay-updates ; correction de cas extrêmes dans --mkpath ; correction de rsync-ssl ; correction de --sparce et --inplace ; mise à jour des options disponibles pour rrsync ; corrections de la documentation
ruby-rqrcode-rails3 Correction de la compatibilité avec ruby-rqrcode 1.0
sabnzbdplus Échappement de répertoire évité dans la fonction de renommage [CVE-2021-29488]
shellcheck Correction du rendu des options longues dans les pages de manuel
shiro Correction de problèmes de contournement d'authentification [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510] ; mise à jour du correctif de la compatibilité avec le cadriciel Spring ; prise en charge de Guice 4
speech-dispatcher Correction du réglage du nom de voix pour le module générique
telegram-desktop Plantage évité lorsque la suppression automatique est activée
termshark Inclusion de thèmes dans le paquet
tmux Correction d'une situation de compétition qui a pour conséquence que la configuration n'est pas chargée si plusieurs clients interagissent avec le serveur lors de son initialisation
txt2man Correction de la régression dans la gestion de display blocks
tzdata Mise à jour des règles DST pour les Samoa et la Jordanie ; confirmation de l'absence de seconde intercalaire le 31 décembre 2021
ublock-origin Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2021-36773]
ulfius Initialisation assurée de la mémoire avant utilisation [CVE-2021-40540]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4959 thunderbird
DSA-4960 haproxy
DSA-4961 tor
DSA-4962 ledgersmb
DSA-4963 openssl
DSA-4964 grilo
DSA-4965 libssh
DSA-4966 gpac
DSA-4967 squashfs-tools
DSA-4968 haproxy
DSA-4969 firefox-esr
DSA-4970 postorius
DSA-4971 ntfs-3g
DSA-4972 ghostscript
DSA-4973 thunderbird
DSA-4974 nextcloud-desktop
DSA-4975 webkit2gtk
DSA-4976 wpewebkit
DSA-4977 xen
DSA-4978 linux-signed-amd64
DSA-4978 linux-signed-arm64
DSA-4978 linux-signed-i386
DSA-4978 linux
DSA-4979 mediawiki

Durant les étapes finales du gel de Bullseye, certaines mises à jour ont été publiées au moyen de l'archive de sécurité mais sans une DSA d'accompagnement. Ces mises à jour sont détaillées ci-dessous.

Paquet Raison
apache2 Correction d'injection d'une ligne de requête HTTP2 mod_proxy [CVE-2021-33193]
btrbk Correction d'un problème d'exécution de code arbitraire [CVE-2021-38173]
c-ares Correction de l'absence de validation d'entrée sur les noms d'hôte renvoyés par les serveurs DNS [CVE-2021-3672]
exiv2 Correction de problèmes de dépassement de tampon [CVE-2021-29457 CVE-2021-31292]
firefox-esr Nouvelle version amont stable [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989]
libencode-perl Encode : atténuation de la pollution d'@INC lors du chargement de ConfigLocal [CVE-2021-36770]
libspf2 spf_compile.c : rectification de la taille de ds_avail [CVE-2021-20314] ; correction du modificateur de macro reverse
lynx Correction d'une fuite d'identifiant si SNI était utilisé conjointement avec une URL contenant l'identifiant [CVE-2021-38165]
nodejs Nouvelle version amont stable ; correction d'un problème d'utilisation de mémoire après libération [CVE-2021-22930]
tomcat9 Correction d'un problème de contournement d'authentification [CVE-2021-30640] et d'un problème de dissimulation de requête [CVE-2021-33037]
xmlgraphics-commons Correction d'un problème de contrefaçon de requête côté serveur [CVE-2020-11988]

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contact Information

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.