Publication de la mise à jour de Debian 11.3

26 mars 2022

Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
apache-log4j1.2	Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] résolus en supprimant la prise en charge des modules JMSSink, JDBCAppender, JMSAppender et Apache Chainsaw
apache-log4j2	Correction d'un problème d'exécution de code à distance [CVE-2021-44832]
apache2	Nouvelle version amont ; correction d'un plantage dû à une lecture aléatoire de mémoire [CVE-2022-22719] ; correction d'un problème de dissimulation de requête HTTP [CVE-2022-22720] ; corrections de problèmes de lecture hors limites [CVE-2022-22721 CVE-2022-23943]
atftp	Correction d'un problème de fuite d'informations [CVE-2021-46671]
base-files	Mise à jour pour cette version 11.3
bible-kjv	Correction d'une erreur due à un décalage d'entier dans la recherche
chrony	Lecture permise du fichier de configuration de chronyd que génère timemaster(8)
cinnamon	Correction d'un plantage lors de l'ajout d'un compte en ligne avec connexion
clamav	Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2022-20698]
cups-filters	Apparmor : lecture permise à partir du fichier de configuration de cups-browsed dans Debian Edu
dask.distributed	Correction de l'écoute non souhaitée de >workers> sur les interfaces publiques [CVE-2021-42343] ; correction de la compatibilité avec Python 3.9
debian-installer	Reconstruction avec proposed-updates ; mise à jour de l'ABI du noyau vers la version 5.10.0-13
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-ports-archive-keyring	Ajout de la clé de signature automatique de l'archive des portages de Debian (2023) ; migration de la clé de 2021 dans le trousseau retiré
django-allauth	Correction de la prise en charge d'OpenID
djbdns	Limite des données de axfrdns, dnscache et tinydns réhaussée
dpdk	Nouvelle version amont stable
e2guardian	Correction d'un problème de certificat SSL manquant [CVE-2021-44273]
epiphany-browser	Contournement d'un bogue dans la GLib, corrigeant un plantage du processus de l'interface utilisateur
espeak-ng	Suppression du délai infondé de 50 ms durant le traitement des événements
espeakup	debian/espeakup.service : protection d'espeakup contre les surcharges du système
fcitx5-chinese-addons	fcitx5-table : ajout de dépendances manquantes à fcitx5-module-pinyinhelper et fcitx5-module-punctuation
flac	Correction d'un problème de lecture hors limites [CVE-2021-0561]
freerdp2	Désactivation de la journalisation supplémentaire de débogage
galera-3	Nouvelle version amont
galera-4	Nouvelle version amont
gbonds	Utilisation de l'API Treasury pour les données de remboursement
glewlwyd	Correction d'une possible élévation de privilèges
glibc	Correction d'une conversion incorrecte à partir d'ISO-2022-JP-3 avec iconv [CVE-2021-43396] ; correction de problèmes de dépassement de tampon [CVE-2022-23218 CVE-2022-23219] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2021-33574] ; arrêt du remplacement des versions plus anciennes de /etc/nsswitch.conf ; simplification de la vérification des versions du noyau prises en charge dans la mesure où les noyaux 2.x ne sont plus pris en charge ; prise en charge de l'installation des noyaux avec un numéro supérieur à 255
glx-alternatives	Après la configuration initiale des détournements, installation d'une alternative minimale aux fichiers détournés afin que des bibliothèques ne soient pas manquantes jusqu'à ce que glx-alternative-mesa traite ses déclenchements
gnupg2	scd : Correction du pilote CCID pour SCM SPR332/SPR532 ; interaction réseau évitée dans generator qui peut mener à des blocages
gnuplot	Correction d'une division par zéro [CVE-2021-44917]
golang-1.15	Correction d'IsOnCurve pour les valeurs big.Int qui n'ont pas de coordonnées valables [CVE-2022-23806] ; math/big : grosse consommation de mémoire évitée dans Rat.SetString [CVE-2022-23772] ; cmd/go : pas de matérialisation des branches en versions [CVE-2022-23773] ; correction d'épuisement de pile lors de la compilation d'expressions profondément imbriquées [CVE-2022-24921]
golang-github-containers-common	Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau
golang-github-opencontainers-specs	Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau
gtk+3.0	Correction de résultats de recherche manquants lors de l'utilisation de NFS ; verrouillage de la gestion du presse-papier de Wayland évité dans certains cas particuliers ; amélioration de l'impression sur les imprimantes découvertes par mDNS
heartbeat	Correction de la création de /run/heartbeat sur les systèmes utilisant systemd
htmldoc	Correction d'un problème de lecture hors limites [CVE-2022-0534]
installation-guide	Mise à jour de la documentation et des traductions
intel-microcode	Mise en jour du microprogramme inclus ; atténuation de certains problèmes de sécurité [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
ldap2zone	Utilisation de mktemp à la place de tempfile obsolète, évitant des avertissements
lemonldap-ng	Correction du processus d'authentification dans les greffons de test de mot de passe [CVE-2021-40874]
libarchive	Correction de l'extraction de liens directs en liens symboliques ; correction de la gestion des ACL des liens symboliques [CVE-2021-23177] ; liens symboliques non suivis lors de la configuration des attributs de fichier [CVE-2021-31566]
libdatetime-timezone-perl	Mise à jour des données incluses
libgdal-grass	Reconstruction avec grass 7.8.5-1+deb11u1
libpod	Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau
libxml2	Correction d'un problème d'utilisation de mémoire après libération [CVE-2022-23308]
linux	Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64; passage de l'ABI à la version 13
linux-signed-amd64	Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64 ; passage de l'ABI à la version 13
linux-signed-arm64	Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64 ; passage de l'ABI à la version 13
linux-signed-i386	Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64 ; passage de l'ABI à la version 13
mariadb-10.5	Nouvelle version amont stable ; corrections de sécurité [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
mpich	Ajout du champ Break dans les versions plus anciennes de libmpich1.0-dev, résolvant certains problèmes de mise à niveau
mujs	Correction d'un problème de dépassement de tampon [CVE-2021-45005]
mutter	Rétroportage de divers correctifs de la branche stable amont
node-cached-path-relative	Correction d'un problème de pollution de prototype [CVE-2021-23518]
node-fetch	Pas de transmission d'en-têtes sécurisés aux domaines tiers [CVE-2022-0235]
node-follow-redirects	Pas d'envoi d'en-tête Cookie entre domaines [CVE-2022-0155] ; pas d'envoi d'en-têtes confidentiels entre schémas [CVE-2022-0536]
node-markdown-it	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2022-21670]
node-nth-check	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-3803]
node-prismjs	Balise protégée dans les sorties de la ligne de commande [CVE-2022-23647] ; mise à jour des fichiers minimisés pour assurer que le problème de déni de service basé sur les expressions rationnelles est résolu [CVE-2021-3801]
node-trim-newlines	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-33623]
nvidia-cuda-toolkit	cuda-gdb : désactivation de la prise en charge non fonctionnelle de Python provoquant des erreurs de segmentation ; utilisation d'un instantané (snapshot) d'openjdk-8-jre (8u312-b07-1)
nvidia-graphics-drivers-tesla-450	Nouvelle version amont ; corrections de problèmes de déni de service [CVE-2022-21813 CVE-2022-21814] ; nvidia-kernel-support : fourniture de /etc/modprobe.d/nvidia-options.conf comme modèle
nvidia-modprobe	Nouvelle version amont
openboard	Correction de l'icône de l'application
openssl	Nouvelle version amont ; correction de l’authentification de pointeur d'armv8
openvswitch	Correction d'un problème d'utilisation de mémoire après libération [CVE-2021-36980] ; correction de l'installation de libofproto
ostree	Correction de compatibilité avec eCryptFS ; récursion infinie évitée lors de la récupération de certaines erreurs ; commits marqués comme partiels avant téléchargement ; correction d'un échec d'assertion lors de l'utilisation d'un rétroportage ou d'une construction locale de GLib >= 2.71 ; correction de la possibilité de récupérer du contenu d'OSTree à partir de chemins contenant des caractères inconnus dans les URI (tels qu'une barre oblique inverse) ou non ASCII
pdb2pqr	Correction de la compatibilité de propka avec Python 3.8 ou supérieur
php-crypt-gpg	Passage d'option supplémentaire à GPG empêché [CVE-2022-24953]
php-laravel-framework	Correction d'un problème de script intersite [CVE-2021-43808], et de l'absence de blocage de téléchargement de contenu exécutable [CVE-2021-43617]
phpliteadmin	Correction d'un problème de script intersite [CVE-2021-46709]
prips	Correction d'une encapsulation infinie si une plage atteint 255.255.255.255 ; correction de sortie de CIDR avec des adresses dont le premier bit diffère
pypy3	Correction d'échecs de construction en supprimant un #endif superflu de import.h
python-django	Correction d'un problème de déni de service [CVE-2021-45115], d'un problème de divulgations d'informations [CVE-2021-45116], d'un problème de traversée de répertoires [CVE-2021-45452] ; correction d'une trace d'appel autour de la gestion de RequestSite/get_current_site() due à une importation circulaire
python-pip	Situation de compétition évitée lors de l'utilisation de dépendances importées par zip
rust-cbindgen	Nouvelle version amont stable pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird
s390-dasd	Plus de transmission de l'option obsolète -f à dasdfmt
schleuder	Migration de valeurs booléennes en entiers, si l'adaptateur de connexion ActiveRecord de SQLite3 est utilisé, rétablissant la fonctionnalité
sphinx-bootstrap-theme	Correction de la fonction de recherche
spip	Correction de plusieurs problèmes de script intersite
symfony	Correction d'un problème d'injection de CVE [CVE-2021-41270]
systemd	Correction d'une récursion non contrôlée dans systemd-tmpfiles [CVE-2021-3997] ; passage de systemd-timesyncd de Depends à Recommends, supprimant un cycle de dépendances ; correction d'un échec de montage avec l'option bind d'un répertoire dans un conteneur avec machinectl ; correction d'une régression dans udev provoquant de longs délais lors du traitement de partitions portant la même étiquette ; correction d'une régression lors de l'utilisation de systemd-networkd dans un conteneur LXD non privilégié
sysvinit	Correction de l'analyse de shutdown +0 ; clarification du fait que lorsqu'il est appelé avec heure shutdown ne quittera pas
tasksel	Installation de CUPS pour toutes les tâches *-desktop dans la mesure où task-print-service n'existe plus
usb.ids	Mise à jour des données incluses
weechat	Correction d'un problème de déni de service [CVE-2021-40516]
wolfssl	Correction de plusieurs problèmes liés à la gestion d'OCSP [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] et à la prise en charge de TLS1.3 [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel	Correction d'un plantage de SIGILL avec les processeurs non SSE2
xterm	Correction d'un problème de dépassement de tampon [CVE-2022-24130]
zziplib	Correction d'un problème de déni de service [CVE-2020-18442]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5000	openjdk-11
DSA-5001	redis
DSA-5012	openjdk-17
DSA-5021	mediawiki
DSA-5023	modsecurity-apache
DSA-5024	apache-log4j2
DSA-5025	tang
DSA-5027	xorg-server
DSA-5028	spip
DSA-5029	sogo
DSA-5030	webkit2gtk
DSA-5031	wpewebkit
DSA-5033	fort-validator
DSA-5035	apache2
DSA-5037	roundcube
DSA-5038	ghostscript
DSA-5039	wordpress
DSA-5040	lighttpd
DSA-5041	cfrpki
DSA-5042	epiphany-browser
DSA-5043	lxml
DSA-5046	chromium
DSA-5047	prosody
DSA-5048	libreswan
DSA-5049	flatpak-builder
DSA-5049	flatpak
DSA-5050	linux-signed-amd64
DSA-5050	linux-signed-arm64
DSA-5050	linux-signed-i386
DSA-5050	linux
DSA-5051	aide
DSA-5052	usbview
DSA-5053	pillow
DSA-5054	chromium
DSA-5055	util-linux
DSA-5056	strongswan
DSA-5057	openjdk-11
DSA-5058	openjdk-17
DSA-5059	policykit-1
DSA-5060	webkit2gtk
DSA-5061	wpewebkit
DSA-5062	nss
DSA-5063	uriparser
DSA-5064	python-nbxmpp
DSA-5065	ipython
DSA-5067	ruby2.7
DSA-5068	chromium
DSA-5070	cryptsetup
DSA-5071	samba
DSA-5072	debian-edu-config
DSA-5073	expat
DSA-5075	minetest
DSA-5076	h2database
DSA-5077	librecad
DSA-5078	zsh
DSA-5079	chromium
DSA-5080	snapd
DSA-5081	redis
DSA-5082	php7.4
DSA-5083	webkit2gtk
DSA-5084	wpewebkit
DSA-5085	expat
DSA-5087	cyrus-sasl2
DSA-5088	varnish
DSA-5089	chromium
DSA-5091	containerd
DSA-5092	linux-signed-amd64
DSA-5092	linux-signed-arm64
DSA-5092	linux-signed-i386
DSA-5092	linux
DSA-5093	spip
DSA-5095	linux-signed-amd64
DSA-5095	linux-signed-arm64
DSA-5095	linux-signed-i386
DSA-5095	linux
DSA-5098	tryton-server
DSA-5099	tryton-proteus
DSA-5100	nbd
DSA-5101	libphp-adodb
DSA-5102	haproxy
DSA-5103	openssl
DSA-5104	chromium
DSA-5105	bind9

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
angular-maven-plugin	Plus nécessaire
minify-maven-plugin	Plus nécessaire

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.