Publication de la mise à jour de Debian 11.7

29 avril 2023

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
akregator	Correction de vérifications de sécurité, y compris la correction de suppression de flux et de dossiers
apache2	Pas d'activation automatique d'apache2-doc.conf ; correction de régressions dans http2 et mod_rewrite introduites dans 2.4.56
at-spi2-core	Réglage du délai d'arrêt à 5 secondes, afin de ne pas bloquer inutilement l'arrêt du système
avahi	Correction d'un problème de déni de service local [CVE-2021-3468]
base-files	Mise à jour pour la version 11.7
c-ares	Dépassement de pile et déni de service évités [CVE-2022-4904]
clamav	Nouvelle version amont stable ; correction d'un problème potentiel d'exécution de code à distance dans l'analyseur de fichiers HFS+ [CVE-2023-20032], d'une possible fuite d'informations dans l'analyseur de fichiers DMG [CVE-2023-20052]
command-not-found	Ajout du nouveau composant non-free-firmware, corrigeant les mises à niveau vers Bookworm
containerd	Correction d'un problème de déni de service [CVE-2023-25153] ; correction d'une possible élévation de privilèges au moyen d'un réglage incorrect de groupes supplémentaires [CVE-2023-25173]
crun	Correction d'un problème d'élévation de capacités due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27650]
cwltool	Ajout d'une dépendance manquante à python3-distutils
debian-archive-keyring	Ajout des clés de Bookworm ; déplacement des clés de Stretch dans le trousseau de clés retirées
debian-installer	Passage de l'ABI du noyau Linux à la version 5.10.0-22 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-ports-archive-keyring	Extension d'un an du délai d'expiration de la clé de signature 2023 ; ajout de la clé de signature 2024 ; déplacement de la clé de signature 2022 dans le trousseau de clés retirées
dpdk	Nouvelle version amont stable
duktape	Correction d'un problème de plantage [CVE-2021-46322]
e2tools	Correction d'un échec de construction en ajoutant une dépendance de construction à e2fsprogs
erlang	Correction d'un problème de contournement d'authentification du client [CVE-2022-37026] ; utilisation de l'optimisation -O1 pour armel parce que -O2 produit une erreur de segmentation d'erl sur certaines plateformes, par exemple Marvell
exiv2	Corrections de sécurité [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623]
flask-security	Correction d'une vulnérabilité de redirection ouverte [CVE-2021-23385]
flatpak	Nouvelle version amont stable ; protection des caractères spéciaux lors de l'affichage des permissions et des métadonnées [CVE-2023-28101] ; pas de copier-coller au moyen de l'ioctl TIOCLINUX permis lors de l'exécution dans une console virtuelle Linux [CVE-2023-28100]
galera-3	Nouvelle version amont stable
ghostscript	Correction du chemin du fichier d'assistance PostScript dans ps2epsi
glibc	Correction d'une fuite de mémoire dans les fonctions de la famille de printf avec des chaînes longues multi-octets ; correction d'un plantage dans cette famille de fonctions dû à des allocations dépendant de la taille et de la précision ; correction d'erreur de segmentation dans printf gérant des milliers de séparateurs ; correction de dépassement dans l'implémentation de AVX2 de wcsnlen avec des pages croisées
golang-github-containers-common	Correction de l'analyse de DBUS_SESSION_BUS_ADDRESS
golang-github-containers-psgo	Pas d'entrée dans l'espace de noms utilisateur du processus [CVE-2022-1227]
golang-github-containers-storage	Fonctions précédemment internes rendues publiquement accessibles, ce qui est nécessaire pour permettre la correction du CVE-2022-1227 dans d'autres paquets
golang-github-prometheus-exporter-toolkit	Correction des tests pour éviter une situation de compétition ; correction d'un problème d'empoisonnement du cache d'authentification [CVE-2022-46146]
grep	Correction d'une correspondance incorrecte quand le dernier d'une série de motifs inclut une référence arrière
gtk+3.0	Correction de l'association Wayland + EGL sur les plateformes uniquement GLES
guix	Correction d'un échec de construction dû à l'utilisation de clés expirées dans la suite de tests
intel-microcode	Nouvelle version amont de correction de bogues
isc-dhcp	Correction de la gestion de la durée de vie des adresses IPv6
jersey1	Correction d'un échec de construction avec libjettison-java 1.5.3
joblib	Correction d'un problème d'exécution de code arbitraire [CVE-2022-21797]
lemonldap-ng	Correction d'un problème de contournement de validation d'URL ; correction d'un problème d'authentification à deux facteurs lors de l'utilisation du gestionnaire AuthBasic [CVE-2023-28862]
libapache2-mod-auth-openidc	Correction d'un problème de redirection ouverte [CVE-2022-23527]
libapreq2	Correction d'un problème de dépassement de tampon [CVE-2022-22728]
libdatetime-timezone-perl	Mise à jour des données incluses
libexplain	Amélioration de la compatibilité avec les dernières versions du noyau - Linux 5.11 n'a plus l'en-tête if_frad.h, termiox supprimé depuis le noyau 5.12
libgit2	Activation de la vérification de clé SSH par défaut [CVE-2023-22742]
libpod	Correction d'un problème d'élévation de privilèges [CVE-2022-1227] ; correction d'un problème d'élévation de capacité due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27649] ; correction de l'analyse de DBUS_SESSION_BUS_ADDRESS
libreoffice	Changement de la monnaie par défaut de la Croatie pour l'Euro ; -Djava.class.path= vide évitée [CVE-2022-38745]
libvirt	Correction de problèmes liés au redémarrage de conteneurs ; correction d'échecs de tests combinés avec les nouvelles versions de Xen
libxpm	Correction de problèmes de boucle infinie [CVE-2022-44617 CVE-2022-46285] ; correction d'un problème de double libération de mémoire dans le code de gestion d'erreur ; correction de les commandes de compression dépendent de PATH [CVE-2022-4883]
libzen	Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-36646]
linux	Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-amd64	Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-arm64	Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-i386	Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
lxc	Correction de la présomption d'existence d'un fichier [CVE-2022-47952]
macromoleculebuilder	Correction d'un échec de construction en ajoutant une dépendance de construction à docbook-xsl
mariadb-10.5	Nouvelle version amont stable ; suppression de la modification amont de l'API libmariadb
mono	Retrait du fichier de bureau
ncurses	Mise en garde contre la corruption de données de terminfo [CVE-2022-29458] ; correction du plantage de tic sur les clauses tc/use très longues
needrestart	Correction des avertissements lors de l'utilisation de l'option -b
node-cookiejar	Mise en garde contre les cookies de taille malveillante [CVE-2022-25901]
node-webpack	Accès à des objets interdomaines évité [CVE-2023-28154]
nvidia-graphics-drivers	Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-450	Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-470	Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-modprobe	Nouvelle version amont
openvswitch	Correction de la mise à jour d'openvswitch-switch laisse les interfaces arrêtées
passenger	Correction de la compatibilité avec les versions plus récentes de NodeJS
phyx	Retrait d'une dépendance de construction à libatlas-cpp non nécessaire
postfix	Nouvelle version amont stable
postgis	Correction du mauvais ordre des axes de projections polaires stéréographiques
postgresql-13	Nouvelle version amont stable ; correction d'un problème de divulgation de la mémoire du client [CVE-2022-41862]
python-acme	Correction de la version des CSR créées, pour éviter des problèmes avec les implémentations de l'API ACME respectant strictement les RFC
ruby-aws-sdk-core	Correction de la création du fichier de version
ruby-cfpropertylist	Correction de certaines fonctionnalités en abandonnant la compatibilité avec Ruby 1.8
shim	Nouvelle version amont ; nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-amd64-signed	Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-arm64-signed	Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-i386-signed	Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-signed	Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
snakeyaml	Correction de problèmes de déni de service [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751] ; ajout de documentation concernant la prise en charge et les problèmes de sécurité
spyder	Correction de la duplication de code lors de l'enregistrement
symfony	Retrait des en-têtes privés avant le stockage de réponses avec HttpCache [CVE-2022-24894] ; suppression des jetons CSRF du stockage en cas de connexion réussie [CVE-2022-24895]
systemd	Correction d'une fuite d'informations [CVE-2022-4415], d'un problème de déni de service [CVE-2022-3821] ; ata_id : correction de l'obtention du code de réponse à partir des SCSI Sense Data ; logind : correction de l'obtention de la propriété OnExternalPower au moyen de D-Bus ; correction d'un plantage dans systemd-machined
tomcat9	Ajout de la prise en charge d'OpenJDK 17 à la détection de JDK
traceroute	Interprétation des adresses v4mapped-IPv6 comme des adresses IPv4
tzdata	Mise à jour des données incluses
unbound	Correction d'une Non-Responsive Delegation Attack [CVE-2022-3204] ; correction d'un problème de noms de domaine fantômes [CVE-2022-30698 CVE-2022-30699]
usb.ids	Mise à jour des données incluses
vagrant	Ajout de la prise en charge de VirtualBox 7.0
voms-api-java	Correction d'échecs de construction en désactivant certains tests non fonctionnels
w3m	Correction d'un problème d'écriture hors limites [CVE-2022-38223]
x4d-icons	Correction d'un échec de construction avec les nouvelles versions d'imagemagick
xapian-core	Corruption de la base de données évitée lors d'une saturation du disque
zfs-linux	Ajout de plusieurs améliorations de stabilité

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5170	nodejs
DSA-5237	firefox-esr
DSA-5238	thunderbird
DSA-5259	firefox-esr
DSA-5262	thunderbird
DSA-5282	firefox-esr
DSA-5284	thunderbird
DSA-5300	pngcheck
DSA-5301	firefox-esr
DSA-5302	chromium
DSA-5303	thunderbird
DSA-5304	xorg-server
DSA-5305	libksba
DSA-5306	gerbv
DSA-5307	libcommons-net-java
DSA-5308	webkit2gtk
DSA-5309	wpewebkit
DSA-5310	ruby-image-processing
DSA-5311	trafficserver
DSA-5312	libjettison-java
DSA-5313	hsqldb
DSA-5314	emacs
DSA-5315	libxstream-java
DSA-5316	netty
DSA-5317	chromium
DSA-5318	lava
DSA-5319	openvswitch
DSA-5320	tor
DSA-5321	sudo
DSA-5322	firefox-esr
DSA-5323	libitext5-java
DSA-5324	linux-signed-amd64
DSA-5324	linux-signed-arm64
DSA-5324	linux-signed-i386
DSA-5324	linux
DSA-5325	spip
DSA-5326	nodejs
DSA-5327	swift
DSA-5328	chromium
DSA-5329	bind9
DSA-5330	curl
DSA-5331	openjdk-11
DSA-5332	git
DSA-5333	tiff
DSA-5334	varnish
DSA-5335	openjdk-17
DSA-5336	glance
DSA-5337	nova
DSA-5338	cinder
DSA-5339	libhtml-stripscripts-perl
DSA-5340	webkit2gtk
DSA-5341	wpewebkit
DSA-5342	xorg-server
DSA-5343	openssl
DSA-5344	heimdal
DSA-5345	chromium
DSA-5346	libde265
DSA-5347	imagemagick
DSA-5348	haproxy
DSA-5349	gnutls28
DSA-5350	firefox-esr
DSA-5351	webkit2gtk
DSA-5352	wpewebkit
DSA-5353	nss
DSA-5355	thunderbird
DSA-5356	sox
DSA-5357	git
DSA-5358	asterisk
DSA-5359	chromium
DSA-5361	tiff
DSA-5362	frr
DSA-5363	php7.4
DSA-5364	apr-util
DSA-5365	curl
DSA-5366	multipath-tools
DSA-5367	spip
DSA-5368	libreswan
DSA-5369	syslog-ng
DSA-5370	apr
DSA-5371	chromium
DSA-5372	rails
DSA-5373	node-sqlite3
DSA-5374	firefox-esr
DSA-5375	thunderbird
DSA-5376	apache2
DSA-5377	chromium
DSA-5378	xen
DSA-5379	dino-im
DSA-5380	xorg-server
DSA-5381	tomcat9
DSA-5382	cairosvg
DSA-5383	ghostscript
DSA-5384	openimageio
DSA-5385	firefox-esr
DSA-5386	chromium
DSA-5387	openvswitch
DSA-5388	haproxy
DSA-5389	rails
DSA-5390	chromium
DSA-5391	libxml2
DSA-5392	thunderbird
DSA-5393	chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
bind-dyndb-ldap	Cassé avec les nouvelles versions de bind9 ; pas de prise en charge possible dans stable
matrix-mirage	Dépend de python-matrix-nio qui doit être retiré
pantalaimon	Dépend de python-matrix-nio qui doit être retiré
python-matrix-nio	Problèmes de sécurité ; ne fonctionne pas avec les serveurs Matrix actuels
weechat-matrix	Dépend de python-matrix-nio qui doit être retiré

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.