Publication de la mise à jour de Debian 12.11

17 mai 2025

Le projet Debian a l'honneur d'annoncer la onzième mise à jour de sa distribution stable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

Problème connu

Linux 6.1.137-1, inclus dans Debian 12.11 ne parvient pas à charger les modules watchdog et w83977f_wdt sur l'architecture amd64. C'est une régression.

Ce problème sera corrigé dans une prochaine mise à jour.

Les utilisateurs qui dépendent des fonctionnalités de watchdog devraient désactiver sur leur système ou éviter de mettre à niveau vers cette version du noyau jusqu'à ce qu'un correctif soit disponible.

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
abseil	Correction d'un problème de dépassement de tas [CVE-2025-0838] ; correction d'un échec de construction sur ppc64el
adonthell	Correction de la compatibilité avec SWIG 4.1
base-files	Mise à jour pour la version 12.11
bash	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u5)
busybox	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9)
cdebootstrap	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9)
chkrootkit	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u5)
crowdsec	Reconstruction pour corriger un Built-Using obsolète (docker.io/20.10.24+dfsg1-1)
dar	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u5)
debian-archive-keyring	Ajout des clés SRM et pour signer l'archive pour Trixie et (Debian 13) ; déplacement des clés de Buster (Debian 10) dans le trousseau de clés retirées
debian-installer	Passage de l'ABI du noyau Linux à la version 6.1.0-35 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-security-support	Mise à jour de la liste des paquets recevant une prise en charge limitée ou plus de prise en charge dans Bookworm
distro-info-data	Ajout de Debian 15 et Ubuntu 25.10
docker.io	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1, glibc/2.36-9+deb12u8)
dpdk	Nouvelle version amont stable
fig2dev	Rejet des motifs de grande longueur [CVE-2025-31162] ; rejet des arcs avec des points coïncidents [CVE-2025-31163] ; coins arrondis de rayon nul autorisés [CVE-2025-31164]
fossil	Correction de l'interaction avec un serveur HTTP Apache incluant le correctif pour CVE-2024-24795
gcc-12	Correction de la gestion des dépassements sur AArch64 par -fstack-protector [CVE-2023-4039]
gcc-mingw-w64	Reconstruction pour corriger un Built-Using obsolète (gcc-12/12.2.0-13)
glib2.0	Correction d'un dépassement d'entier dans g_date_time_new_from_iso8601() [CVE-2025-3360]
golang-github-containerd-stargz-snapshotter	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1, runc/1.1.5+ds1-1)
golang-github-containers-buildah	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1)
golang-github-openshift-imagebuilder	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1)
haproxy	Correction d'un problème de dépassement de tas [CVE-2025-32464]
igtf-policy-bundle	Rétroportage de l'ensemble de politiques actuelles
imagemagick	Correction de profondeur d'image MIFF après SetQuantumFormat [CVE-2025-43965]
initramfs-tools	Restauration de la gestion de copy_file d'une cible se terminant par une barre oblique ; exclusion des liens symboliques de usr-merge dans copy_file ; ajout des pilotes de réinitialisation quand MODULES=dep
krb5	Correction d'une fuite de mémoire dans ndr.c [CVE-2024-26462] ; dépassement de tampon évité lors du calcul de la taille du tampon d'ulog [CVE-2025-24528]
libbson-xs-perl	Correction de problèmes de sécurité dans la copie intégrée de libbson : déni de service [CVE-2017-14227] ; lecture excessive de tampon [CVE-2018-16790] ; boucle infinie [CVE-2023-0437] ; corruption de mémoire [CVE-2024-6381] ; dépassements de tampon [CVE-2024-6383 CVE-2025-0755]
libcap2	Correction d'une reconnaissance incorrecte de noms de groupe [CVE-2025-1390]
libdata-entropy-perl	Ensemencement du pool d'entropie avec urandom par défaut [CVE-2025-1860]
libpod	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1, golang-github-containers-buildah/1.28.2+ds1-3)
libsub-handlesvia-perl	Correction d'un problème d'exécution de code arbitraire [CVE-2025-30673]
linux	Nouvelle version amont ; passage de l'ABI à la version 35
linux-signed-amd64	Nouvelle version amont ; passage de l'ABI à la version 35
linux-signed-arm64	Nouvelle version amont ; passage de l'ABI à la version 35
linux-signed-i386	Nouvelle version amont ; passage de l'ABI à la version 35
logcheck	Respect du retrait de /etc/logcheck/header.txt
mongo-c-driver	Correction d'un problème de boucle infinie [CVE-2023-0437] ; correction d'un problème de dépassement d'entier [CVE-2024-6381] ; correction de problèmes de dépassement de tampon [CVE-2024-6383 CVE-2025-0755]
network-manager	Correction d'un plantage par déréférencement de pointeur NULL lors de la journalisation de DEBUG [CVE-2024-6501]
nginx	Correction de vulnérabilités de lecture insuffisante de tampon et de blocs non ordonnés dans mp4 [CVE-2024-7347]
node-fstream-ignore	Correction d'un échec de construction en n'exécutant pas les tests en parallèle
node-send	Correction d'un problème de script intersite [CVE-2024-43799]
node-serialize-javascript	Correction d'un problème de script intersite [CVE-2024-11831]
nvidia-graphics-drivers	Nouvelle version amont stable ; suppression de la prise en charge de ppc64el (migration vers src:nvidia-graphics-drivers-tesla-535) ; correction de problèmes de construction avec les versions plus récentes du noyau ; corrections de sécurité [CVE-2024-0131 CVE-2024-0147 CVE-2024-0149 CVE-2024-0150 CVE-2024-53869 CVE-2025-23244]
nvidia-graphics-drivers-tesla	Nouvelle version amont stable ; transition vers les paquets issus de src:nvidia-graphics-drivers-tesla-535 sur ppc64el ; correction de problèmes de construction avec les versions plus récentes du noyau
nvidia-graphics-drivers-tesla-535	Nouveau paquet pour la prise en charge de ppc64el désormais en fin de vie
nvidia-open-gpu-kernel-modules	Nouvelle version amont stable ; corrections de sécurité [CVE-2024-0131 CVE-2024-0147 CVE-2024-0149 CVE-2024-0150 CVE-2024-53869 CVE-2025-23244]
nvidia-settings	Nouvelle version amont stable ; suppression de la prise en charge de quelques paquets obsolètes ; assouplissement de la dépendance de nvidia-alternative à une suggestion dans ppc64el
openrazer	Correction d'un problème de lecture hors limites [CVE-2025-32776]
opensnitch	Reconstruction pour corriger un Built-Using obsolète (golang-github-google-nftables/0.1.0-3)
openssh	Correction de la directive DisableForwarding [CVE-2025-32728]
openssl	Nouvelle version amont stable ; correction d'un problème d'attaque temporelle par canal auxiliaire [CVE-2024-13176]
openvpn	Potentiel ASSERT() évité sur les serveurs OpenVPN utilisant --tls-crypt-v2 [CVE-2025-2704] ; attaques par déni de service par des pairs et saturation de journal évitées [CVE-2024-5594] ; refus de plusieurs notifications de sortie des clients authentifiés [CVE-2024-28882] ; mise à jour des certificats expirés dans les tests de construction
phpmyadmin	Correction de vulnérabilités de script intersite [CVE-2025-24529 CVE-2025-24530]
policyd-rate-limit	Correction du démarrage avec la version récente de python3-yaml
poppler	Correction de plantage avec des fichiers mal formés [CVE-2023-34872] ; correction de problèmes de lecture hors limites [CVE-2024-56378 CVE-2025-32365] ; correction d'un problème d'exception de virgule flottante [CVE-2025-32364]
postgresql-15	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon en lecture [CVE-2025-4207]
prometheus	Reconstruction pour corriger un Built-Using obsolète (docker.io/20.10.24+dfsg1-1)
prometheus-postfix-exporter	Reconstruction pour corriger un Built-Using obsolète (docker.io/20.10.24+dfsg1-1)
python-h11	Correction d'un problème de dissimulation de requête [CVE-2025-43859]
python3.11	Correction de problèmes d'erreur d'analyse [CVE-2025-0938 CVE-2025-1795]
qemu	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u9, gnutls28/3.7.9-2+deb12u3) ; nouvelle version amont de correction de bogues
qtbase-opensource-src	Communication HTTP2 retardée jusqu'à ce que encrypted() puisse recevoir une réponse [CVE-2024-39936] ; correction du plantage des vérifications de null dans les méthodes de table iface
redis	Correction d'un problème de déni de service [CVE-2025-21605]
renaissance	Exception évitée au démarrage
sash	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9)
shadow	Correction d'un problème de fuite de mot de passe [CVE-2023-4641] ; correction d'un problème d'injection de caractère de contrôle chfn [CVE-2023-29383]
skeema	Reconstruction pour corriger un Built-Using obsolète (containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1)
skopeo	Reconstruction pour corriger un Built-Using obsolète (docker.io/20.10.24+dfsg1-1)
telegram-desktop	Reconstruction pour corriger un Built-Using obsolète (ms-gsl/4.0.0-2)
tripwire	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u5)
twitter-bootstrap3	Correction de problèmes de script intersite [CVE-2024-6485 CVE-2024-6484]
twitter-bootstrap4	Correction d'un problème de script intersite [CVE-2024-6531]
tzdata	Nouvelle zone America/Coyhaique pour la région d'Aysén au Chili
user-mode-linux	Reconstruction pour corriger un Built-Using obsolète (linux/6.1.82-1)
varnish	Désynchronisation côté client par requête HTTP/1 évitée [CVE-2025-30346]
wireless-regdb	Nouvelle version amont
xmedcon	Correction d'un dépassement de tampon [CVE-2025-2581]
zsh	Reconstruction pour corriger un Built-Using obsolète (glibc/2.36-9+deb12u5, libcap2/1:2.66-4)

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5877	chromium
DSA-5878	php8.2
DSA-5879	opensaml
DSA-5880	freetype
DSA-5881	rails
DSA-5882	chromium
DSA-5883	mercurial
DSA-5884	libxslt
DSA-5885	webkit2gtk
DSA-5886	ruby-rack
DSA-5887	exim4
DSA-5888	ghostscript
DSA-5889	firefox-esr
DSA-5890	chromium
DSA-5891	thunderbird
DSA-5892	atop
DSA-5893	tomcat10
DSA-5894	jetty9
DSA-5895	xz-utils
DSA-5896	trafficserver
DSA-5897	lemonldap-ng
DSA-5898	chromium
DSA-5899	webkit2gtk
DSA-5900	linux-signed-amd64
DSA-5900	linux-signed-arm64
DSA-5900	linux-signed-i386
DSA-5900	linux
DSA-5901	mediawiki
DSA-5902	perl
DSA-5903	chromium
DSA-5904	libapache2-mod-auth-openidc
DSA-5905	graphicsmagick
DSA-5906	erlang
DSA-5907	linux-signed-amd64
DSA-5907	linux-signed-arm64
DSA-5907	linux-signed-i386
DSA-5907	linux
DSA-5908	libreoffice
DSA-5909	request-tracker5
DSA-5910	firefox-esr
DSA-5911	request-tracker4
DSA-5912	thunderbird
DSA-5913	openjdk-17
DSA-5915	vips
DSA-5917	libapache2-mod-auth-openidc

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
pidgin-skype	Inutile car le service est interrompu
viagee	Plus capable de se connecter à Gmail

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.