Publication de la mise à jour de Debian 11.4

9 juillet 2022

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apache2 Nouvelle version amont stable ; correction d'un problème de dissimulation de requête HTTP [CVE-2022-26377], problèmes de lecture hors limites [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], problèmes de déni de service [CVE-2022-29404 CVE-2022-30522], possible problème de lecture hors limites [CVE-2022-30556], possible problème de contournement d'authentification basée sur l'IP [CVE-2022-31813]
base-files Mise à jour de /etc/debian_version pour cette version 11.4
bash Correction d'une lecture hors limite d’un octet, provoquant la corruption de caractères multi-octets dans les substitutions de commande
clamav Nouvelle version amont stable ; correction de sécurité [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
clementine Ajout d'une dépendance manquante à libqt5sql5-sqlite
composer Correction d'un problème d'injection de code [CVE-2022-24828] ; mise à jour du modèle de jeton de GitHub
cyrus-imapd Présence d'un champ uniqueid dans toutes les boîtes aux lettres, corrigeant les mises à niveau vers la version 3.6
dbus-broker Correction d'un problème de dépassement de tampon [CVE-2022-31212]
debian-edu-config Acceptation d'un courriel du réseau local envoyé à root@<mynetwork-names> ; création des principaux d'hôte et de service de Kerberos s'ils n'existent pas encore ; assurance que libsss-sudo est installé sur les stations de travail itinérantes ; correction du nommage et de la visibilité des files d'impression ; prise en charge de krb5i sur les stations de travail sans disque ; squid : recherches DNSv4 préférées aux recherches DNSv6
debian-installer Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd)
debian-installer-netboot-images Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd)
distro-info-data Ajout d'Ubuntu 22.10, Kinetic Kudu
docker.io Ordonnancement de docker.service après containerd.service pour corriger l'arrêt de conteneurs ; passage explicite du chemin du socket containerd à dockerd pour assurer qu'il ne démarre pas containerd tout seul
dpkg dpkg-deb : correction de conditions de fin de fichier inattendues lors de l'extraction de .deb ; libdpkg : pas de restriction des champs virtuels source:* pour les paquets installés ; Dpkg::Source::Package::V2 : correction systématique des permissions des archives amont (régression venue de DSA-5147-1]
freetype Correction d'un problème de dépassement de tampon [CVE-2022-27404] ; correction de plantages [CVE-2022-27405 CVE-2022-27406]
fribidi Correction de problèmes de dépassement de tampon [CVE-2022-25308 CVE-2022-25309] ; correction de plantage [CVE-2022-25310]
ganeti Nouvelle version amont ; correction de plusieurs problèmes de mise à niveau ; correction de migration en direct avec QEMU 4 et security_model de user ou de pool
geeqie Correction du Ctrl clic dans une sélection de bloc
gnutls28 Correction d'un mauvais calcul de SHA384 de SSSE3 ; correction d'un problème de déréférencement de pointeur NULL [CVE-2021-4209]
golang-github-russellhaering-goxmldsig Correction d'un déréférencement de pointeur NULL provoqué par des signatures XML contrefaites [CVE-2020-7711]
grunt Correction d'un problème de traversée de répertoires [CVE-2022-0436]
hdmi2usb-mode-switch udev : ajout d'un suffixe aux nœuds de périphériques /dev/video pour les désambiguïser ; modification des règles udev à la priorité 70 pour qu'elles surviennent après 60-persistent-v4l.rules
hexchat Ajout d'une dépendance manquante à python3-cffi-backend
htmldoc Correction de boucle infinie [CVE-2022-24191], de problèmes de dépassement d'entier [CVE-2022-27114] et d'un problème de dépassement de tampon de tas [CVE-2022-28085]
knot-resolver Correction d'un possible échec d'assertion dans des cas extrêmes de NSEC3 [CVE-2021-40083]
libapache2-mod-auth-openidc Nouvelle version amont stable ; correction d'un problème de redirection ouverte [CVE-2021-39191] ; correction de plantage lors d'un rafraîchissement ou d'un redémarrage
libintl-perl Installation réelle de gettext_xs.pm
libsdl2 Lecture hors limites évitée lors du chargement d'un fichier BMP mal formé [CVE-2021-33657] et durant la conversion de YUV à RGB
libtgowt Nouvelle version amont stable pour prendre en charge la nouvelle version de telegram-desktop
linux Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 16
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 16
logrotate Verrouillage ignoré si le fichier d'état est lisible par tous [CVE-2022-1348] ; analyse de configuration plus stricte afin d'éviter l'analyse de fichiers extérieurs tels que les vidages d'image mémoire
lxc Mise à jour du serveur de clés GPG par défaut corrigeant la création de conteneurs utilisant le modèle download
minidlna Validation des requêtes HTTP pour protéger contre les attaques de « DNS rebinding » [CVE-2022-26505]
mutt Correction d'un problème de dépassement de tampon d'uudecode [CVE-2022-1328]
nano Correction de plusieurs bogues, y compris des corrections de plantages
needrestart Détection des groupes de contrôle de sessions de services et d'utilisateur prenant en compte cgroup v2
network-manager Nouvelle version amont stable
nginx Correction de plantage quand libnginx-mod-http-lua est chargé et que init_worker_by_lua* est utilisé ; palliatif d'une attaque de confusion de contenu du protocole de la couche application dans le module Mail [CVE-2021-3618]
node-ejs Correction d'un problème d'injection de modèle côté serveur [CVE-2022-29078]
node-eventsource Retrait d'en-têtes sensibles lors d'une redirection vers une origine différente [CVE-2022-1650]
node-got Redirection vers un socket Unix interdite [CVE-2022-33987]
node-mermaid Correction de problèmes de scripts intersites [CVE-2021-23648 CVE-2021-43861]
node-minimist Correction d'un problème de pollution de prototype [CVE-2021-44906]
node-moment Correction d'un problème de traversée de répertoires [CVE-2022-24785]
node-node-forge Correction de problèmes de vérification de signature [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-raw-body Correction d'un problème potentiel de déni de service dans node-express, en utilisant node-iconv-lite plutôt que node-iconv
node-sqlite3 Correction d'un problème de déni de service [CVE-2022-21227]
node-url-parse Correction de problèmes de contournement d'authentification [CVE-2022-0686 CVE-2022-0691]
nvidia-cuda-toolkit Utilisation des archives OpenJDK8 pour amd64 et ppc64el ; vérification de l'opérabilité du binaire de Java ; nsight-compute : déplacement du dossier « sections » vers un emplacement multi-architecture ; correction de l’ordre des versions de nvidia-openjdk-8-jre
nvidia-graphics-drivers Nouvelle version amont ; passage à l'arbre 470 amont ; correction de problèmes de déni de service [CVE-2022-21813 CVE-2022-21814] ; correction d'un problème d'écriture hors limites [CVE-2022-28181], de problèmes de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-graphics-drivers-legacy-390xx Nouvelle version amont ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185]
nvidia-graphics-drivers-tesla-418 Nouvelle version amont stable
nvidia-graphics-drivers-tesla-450 Nouvelle version amont stable ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185], d'un problème de déni de service [CVE-2022-28192]
nvidia-graphics-drivers-tesla-460 Nouvelle version amont stable
nvidia-graphics-drivers-tesla-470 Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont ; correction d'un problème d'écriture hors limites [CVE-2022-28181], d'un problème de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-persistenced Nouvelle version amont ; passage à l'arbre 470 amont
nvidia-settings Nouvelle version amont ; passage à l'arbre 470 amont
nvidia-settings-tesla-470 Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont
nvidia-xconfig Nouvelle version amont
openssh seccomp : ajout de l'appel système pselect6_time64 sur les architectures 32 bits
orca Correction de l'utilisation avec webkitgtk 2.36
php-guzzlehttp-psr7 Correction d'une analyse d'en-tête incorrecte [CVE-2022-24775]
phpmyadmin Correction de certaines requêtes SQL générant une erreur du serveur
postfix Nouvelle version amont stable ; pas d'écrasement du transport par défaut défini par l'utilisateur dans postinst ; if-up.d : pas d'émission d'erreur si postfix ne peut pas encore envoyer de message
procmail Correction d'un déréférencement de pointeur NULL
python-scrapy Pas d'envoi de données d'authentification avec chaque requête [CVE-2021-41125] ; pas d'exposition de cookies inter-domaines lors des redirections [CVE-2022-0577]
ruby-net-ssh Correction de l'authentification avec les systèmes utilisant OpenSSH 8.8
runc Respect de defaultErrnoRet de seccomp ; pas de définition de capacités héritables [CVE-2022-29162]
samba Correction d'échec de démarrage de winbind quand allow trusted domains = no est utilisé ; correction de l'authentification de Kerberos du MIT ; correction d'un problème de protection de partage au moyen d'une situation de compétition dans mkdir [CVE-2021-43566] ; correction d'un possible problème sérieux de corruption de données dû à l'empoisonnement de cache d'un client Windows ; correction de l'installation sur des systèmes non systemd
tcpdump Mise à jour du profil d'AppArmor pour permettre l'accès aux fichiers *.cap et gestion de suffixes numériques dans les noms de fichiers ajoutés par -W
telegram-desktop Nouvelle version amont stable, rétablissant la fonctionnalité
tigervnc Correction du démarrage du bureau de GNOME lors de l'utilisation de tigervncserver@.service ; correction de l'affichage des couleurs lorsque vncviewer et le serveur X11 utilisent des boutismes différents
twisted Correction d'un problème de divulgation d'informations avec des redirections inter-domaines [CVE-2022-21712], d'un problème de déni de service lors des négociations de connexion SSH [CVE-2022-21716], de problèmes de dissimulation de requête HTTP [CVE-2022-24801]
tzdata Mise à jour des données du fuseau horaire de la Palestine ; mise à jour de la liste des secondes intercalaires
ublock-origin Nouvelle version amont stable
unrar-nonfree Correction d'un problème de traversée de répertoires [CVE-2022-30333]
usb.ids Nouvelle version amont ; mise à jour des données incluses
wireless-regdb Nouvelle version amont ; suppression du détournement ajouté par l'installateur assurant que les fichiers venant du paquet sont utilisés

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4999 asterisk
DSA-5026 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5107 php-twig
DSA-5108 tiff
DSA-5110 chromium
DSA-5111 zlib
DSA-5112 chromium
DSA-5113 firefox-esr
DSA-5114 chromium
DSA-5115 webkit2gtk
DSA-5116 wpewebkit
DSA-5117 xen
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5120 chromium
DSA-5121 chromium
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5124 ffmpeg
DSA-5125 chromium
DSA-5127 linux-signed-amd64
DSA-5127 linux-signed-arm64
DSA-5127 linux-signed-i386
DSA-5127 linux
DSA-5128 openjdk-17
DSA-5129 firefox-esr
DSA-5130 dpdk
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5133 qemu
DSA-5134 chromium
DSA-5136 postgresql-13
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5148 chromium
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5155 wpewebkit
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5161 linux-signed-amd64
DSA-5161 linux-signed-arm64
DSA-5161 linux-signed-i386
DSA-5161 linux
DSA-5162 containerd
DSA-5163 chromium
DSA-5164 exo
DSA-5165 vlc
DSA-5166 slurm-wlm
DSA-5167 firejail
DSA-5168 chromium
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5174 gnupg2

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
elog non maintenu ; problèmes de sécurité
python-hbmqtt non maintenu et cassé

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.