Publication de la mise à jour de Debian 12.12

6 septembre 2025

Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa distribution oldstable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
amd64-microcode	Mise à jour du microprogramme AMD-SEV [CVE-2024-56161] ; mise à jour du microcode inclus
aom	Correction de la validité de la sortie de l'encodeur libaom
apache2	Nouvelle version amont stable ; correction d'un problème de découpage de réponse HTTP [CVE-2024-42516] ; correction d'un problème de contrefaçon de requête du côté du serveur [CVE-2024-43204 CVE-2024-43394] ; correction d'un problème d'injection de journal [CVE-2024-47252] ; correction d'un problème de contournement de contrôle d'accès [CVE-2025-23048] ; correction d'un problème de déni de service [CVE-2025-49630] ; correction d'un problème potentiel de type homme du milieu [CVE-2025-49812] ; correction d'un problème de gestion de durée de vie de la mémoire [CVE-2025-53020]
b43-fwcutter	Mise à jour de l'URL du microprogramme
balboa	Reconstruction avec la glibc 2.36-9+deb12u12
base-files	Mise à jour pour la version 12.12
bash	Reconstruction avec la glibc 2.36-9+deb12u12
botan	Correction de problèmes de déni de service [CVE-2024-34702 CVE-2024-34703] ; correction de l'analyse incorrecte des contraintes de nom [CVE-2024-39312] ; correction d'un problème d'opération dépendant du secret induit par le compilateur [CVE-2024-50383]
busybox	Reconstruction avec la glibc 2.36-9+deb12u12
ca-certificates	Ajout de Sectigo Public Server Authentication Root E46 et Sectigo Public Server Authentication Root R46
catatonit	Reconstruction avec la glibc 2.36-9+deb12u12
cdebootstrap	Reconstruction avec la glibc 2.36-9+deb12u12
chkrootkit	Reconstruction avec la glibc 2.36-9+deb12u12
cjson	Correction d'un problème de déni de service [CVE-2023-26819] ; correction d'un problème de dépassement de tampon [CVE-2023-53154]
clamav	Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2025-20128 CVE-2025-20260]
cloud-init	Socket hotplug rendu accessible en écriture uniquement par le superutilisateur [CVE-2024-11584] ; pas de tentative d'identification des instances OpenStack non-x86 [CVE-2024-6174]
commons-beanutils	Correction d'un problème de contrôle d'accès incorrect [CVE-2025-48734]
commons-vfs	Correction d'un problème de traversée de répertoires [CVE-2025-27553]
corosync	Correction d'une vulnérabilité de dépassement de tampon sur les grands paquets UDP [CVE-2025-30472]
criu	Correction de la fonctionnalité de restauration des espaces de noms de montage avec les versions récentes du noyau
curl	Correction de régression de gestion des URI sftp://host/~ ; correction d'une fuite de mémoire
dar	Reconstruction avec la glibc 2.36-9+deb12u12
debian-edu-config	Correction des guillemets dans la configuration d'Exim ; gosa-sync : correction de la vérification de mot de passe ; correction des guillemets dans gosa.conf
debian-installer	Passage de l'ABI du noyau Linux à la version 6.1.0-39 ; reconstruction avec oldstable-proposed-updates ; ajout de console-setup-pc-ekmap pour les images de CD arm64 et armhf ; utilisation de nomodeset plutôt que de fb=false pour désactiver le framebuffer
debian-installer-netbook-images	Reconstruction avec oldstable-proposed-updates
debian-security-support	Requête de source:Package à la place de Source pour obtenir une liste correcte des paquets ; correction d'une coquille liée à gobgp
distro-info-data	Ajout des dates de la fin de la prise en charge Legacy d'Ubuntu ; ajout des dates de publication et de fin de vie estimée de Trixie
djvulibre	Correction de problèmes de déni de service [CVE-2021-46310 CVE-2021-46312]
docker.io	Reconstruction avec la glibc 2.36-9+deb12u12
dpdk	Nouvelle version amont stable
dropbear	Correction d'une vulnérabilité d'injection de commande d'interpréteur dans la gestion de multihop [CVE-2025-47203]
e2fsprogs	Reconstruction avec la glibc 2.36-9+deb12u12
erlang	ssh : correction du durcissement strict de KEX [CVE-2025-46712] ; zip : nettoyage des noms de chemin lors de l'extraction de fichiers avec des noms de chemin absolus [CVE-2025-4748] ; correction de l'échec de construction de la documentation avec les versions récentes de xsltproc
expat	Correction de problèmes de déni de service [CVE-2023-52425 CVE-2024-8176] ; correction du plantage de l'analyseur [CVE-2024-50602]
fig2dev	Détection de NaN dans les valeurs de contrôle de spline [CVE-2025-46397] ; \0 permis dans la deuxième ligne d'un fichier fig [CVE-2025-46398] ; sortie de ge : calcul correct de spline [CVE-2025-46399] ; rejet des arcs avec un rayon inférieur à trois [CVE-2025-46400]
firebird3.0	Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-54989]
fort-validator	Correction de problèmes de déni de service [CVE-2024-45234 CVE-2024-45235 CVE-2024-45236 CVE-2024-45238 CVE-2024-45239 CVE-2024-48943] ; correction d'un problème de dépassement de tampon [CVE-2024-45237]
galera-4	Nouvelle version amont stable
glib2.0	Correction d'un problème de dépassement de tampon par le bas [CVE-2025-4373 CVE-2025-7039] ; amélioration de la sécurité de mise à niveau
glibc	Correction d'une recherche incorrecte de binaires statiques setuid par LD_LIBRARY_PATH dans dlopen [CVE-2025-4802] ; amélioration de la disposition de la mémoire des structures dans les fonctions exp/exp10/expf ; ajout d'une implémentation SVE de memset sur aarch64 ; ajout d'une implémentation générique de memset sur aarch64 ; correction d'un problème de double libération de mémoire [CVE-2025-8058]
gnupg2	Reconstruction avec la glibc 2.36-9+deb12u12 ; correction des recommandations des paquets architecture-any sur le paquet architecture-all pour prendre en charge les binNMU
golang-github-gin-contrib-cors	Correction de la gestion incorrecte des caractères génériques [CVE-2019-25211]
gst-plugins-base1.0	Correction d'un problème de dépassement de tampon [CVE-2025-47806] ; correction de problèmes de déréférencement de pointeur NULL [CVE-2025-47807 CVE-2025-47808]
gst-plugins-good1.0	Correction d'un problème potentiel de divulgation d'informations [CVE-2025-47219]
init-system-helpers	Correction de la gestion des détournements d'os-release à partir de live-build, assurant qu'elles n'existent pas dans les systèmes autres qu'autonomes
insighttoolkit4	Correction de construction sur les systèmes avec un seul processeur
insighttoolkit5	Correction de construction sur les systèmes avec un seul processeur
integrit	Reconstruction avec la glibc 2.36-9+deb12u12
iperf3	Correction d'un problème de dépassement de tampon [CVE-2025-54349] ; correction d'un échec d'assertion [CVE-2025-54350]
jinja2	Correction d'un problème d'exécution de code arbitraire [CVE-2025-27516]
jq	Chaîne terminée par zéro dans jv.c [CVE-2025-48060]
kexec-tools	Suppression de dépendances plus requises
kmail-account-wizard	Correction d'un problème d'attaque de type homme du milieu [CVE-2024-50624]
krb5	Correction d'un problème de falsification de message [CVE-2025-3576] ; désactivation par défaut de l'émission de tickets utilisant des clés de session RC4 ou triple-DES
kubernetes	Nettoyage de la sortie des données brutes vers le terminal [CVE-2021-25743] ; chaînes longues et multilignes masquées lors de l'affichage
libarchive	Correction de problèmes de dépassement d'entier [CVE-2025-5914 CVE-2025-5916], d'un problème de lecture hors limites de tampon [CVE-2025-5915], d'un problème de dépassement de tampon [CVE-2025-5917]
libbpf	Correction de fonctionnement avec les versions récentes de systemd
libcap2	Reconstruction avec la glibc 2.36-9+deb12u12 ; ajout de Built-Using: glibc manquant
libcgi-simple-perl	Correction d'un problème de découpage de réponse HTTP [CVE-2025-40927]
libfcgi	Correction d'un problème de dépassement d'entier [CVE-2025-23016]
libfile-tail-perl	Correction d'un problème de variable non initialisée
libphp-adodb	Correction d'une vulnérabilité d'injection de code SQL dans pg_insert_id() [CVE-2025-46337]
libraw	Correction de problèmes de lecture hors limites [CVE-2025-43961 CVE-2025-43962 CVE-2025-43963] ; application des valeurs minimales w0 et w1 [CVE-2025-43964]
libreoffice	Ajout de la prise en charge de EUR pour la Bulgarie
libsndfile	Correction de problèmes de dépassement d'entier [CVE-2022-33065] ; correction d'un problème de lecture hors limites [CVE-2024-50612]
libsoup3	Nouvelle version amont de correction de bogues ; correction d'un problème de dépassement de tampon [CVE-2024-52531] ; correction de problèmes de déni de service [CVE-2024-52532 CVE-2025-32051] ; correction de problèmes de dépassement de tas [CVE-2025-32052 CVE-2025-32053] ; correction d'un problème de dépassement d'entier [CVE-2025-32050] ; correction de problèmes de dépassement de tas [CVE-2025-2784] ; rejet des en-têtes HTTP s'ils contiennent des octets NULL [CVE-2024-52530] ; correction de problèmes de déni de service [CVE-2025-32909 CVE-2025-32910 CVE-2025-46420 CVE-2025-32912 CVE-2025-32906] ; correction de problèmes de gestion de mémoire [CVE-2025-32911 CVE-2025-32913] ; correction d'un problème de divulgation d'identifiant [CVE-2025-46421] ; correction d'une utilisation de mémoire après libération durant la déconnexion qui peut provoquer le blocage au démarrage de la calculatrice de GNOME ; correction d'un échec de test sur certains systèmes 32 bits
libtheora	Correction d'une erreur de segmentation durant l'initialisation du décodeur ; potentiel décalage de bit évité dans le décodeur
libtpms	Correction d'un problème de lecture hors limites [CVE-2025-49133]
libxml2	Correction d'un problème de dépassement d'entier dans xmlBuildQName [CVE-2025-6021] ; correction de dépassements d'entier potentiels dans l'interprétateur de commandes interactif [CVE-2025-6170] ; correction d'un problème d'utilisation de mémoire après libération dans xmlSchematronReportOutput [CVE-2025-49794] ; correction d'un problème de confusion de type dans xmlSchematronReportOutput [CVE-2025-49796]
libyaml-libyaml-perl	Correction d'un problème de modification de fichier arbitraire [CVE-2025-40908]
lintian	Ajout de Bookworm à Duke la liste de noms de versions de Debian ; pas de message source-nmu-has-incorrect-version-number pour les mises à jour de stable
linux	Nouvelle version amont stable ; passage de l'ABI à la version 39
linux-signed-amd64	Nouvelle version amont stable ; passage de l'ABI à la version 39
linux-signed-arm64	Nouvelle version amont stable ; passage de l'ABI à la version 39
linux-signed-i386	Nouvelle version amont stable ; passage de l'ABI à la version 39
llvm-toolchain-19	Nouvelle version amont stable
luajit	Correction d'un problème de dépassement de tampon [CVE-2024-25176] ; correction d'un problème de déni de service [CVE-2024-25177] ; correction d'un problème de lecture hors limites [CVE-2024-25178]
lxc	Reconstruction avec la glibc 2.36-9+deb12u12
mailgraph	Mise à jour de la copie intégrée Parse::Syslog permettant la prise en charge des dates RFC3339
mariadb	Nouvelle version amont stable ; correctifs de sécurité [CVE-2023-52969 CVE-2023-52970 CVE-2023-52971 CVE-2025-30693 CVE-2025-30722] ; correction du redémarrage après un manque de mémoire ; nouvelle version amont stable ; correction de nom de variable dans debian-start.sh
mkchromecast	Remplacement de youtube-dl par yt-dlp
mlt	Correction de scripts Python
mono	Suppression du paquet mono-source non nécessaire (et cassé)
mosquitto	Correction d'un problème de fuite de mémoire [CVE-2023-28366] ; correction d'un problème d'accès mémoire hors limites [CVE-2024-10525] ; correction d'un problème de double libération [CVE-2024-3935] ; correction d'un problème possible d'erreur de segmentation [CVE-2024-8376]
multipath-tools	Prioritiseur ANA rétabli dans le processus de construction
nextcloud-desktop	Correction des options partagées dans l'interface graphique
nginx	Correction d'une possible fuite de mémoire dans ngx_mail_smtp_module [CVE-2025-53859]
node-addon-api	Ajout de la prise en charge de nodejs >= 18.20
node-csstype	Correction d'un échec de construction
node-form-data	Correction d'un problème de randomisation insuffisante [CVE-2025-7783]
node-minipass	Correction du rapporteur de tap dans l'auto-test et autopkgtest
node-nodeunit	Correction de la fiabilité des tests
node-tar-fs	Correction de problèmes de traversée de répertoires [CVE-2024-12905 CVE-2025-48387]
node-tmp	Correction d'un problème d'écriture de fichier arbitraire [CVE-2025-54798]
nvda2speechd	Correction de la version requise de rmp-serde
openjpeg2	Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-50952]
openssh	Gestion de la compatibilité de l'ABI OpenSSL >=3 pour éviter l'échec des nouvelles connexions SSH lors des mises à niveau vers Trixie
openssl	Nouvelle version amont stable ; quelques modifications de l'amont annulées pour éviter les plantages dans les logiciels aval
perl	Correction d'un problème de vérification de certificat TLS [CVE-2023-31484] ; correction de l'accès aux fichiers non thread-safe [CVE-2025-40909]
postgresql-15	Nouvelle version amont stable ; vérifications de sécurité renforcées dans les fonctions d'estimation du planificateur [CVE-2025-8713] ; utilisation empêchée des scripts pg_dump pour attaquer l'utilisateur exécutant la restauration [CVE-2025-8714] ; conversion des sauts de ligne en espaces dans les noms inclus dans les commentaires de la sortie de pg_dump [CVE-2025-8715]
postgresql-common	PgCommon.pm : définition du chemin dans prepare_exec ; correction de la compatibilité avec la version de Perl de Trixie
prody	Correction d'un échec de construction ; ajout d'une tolérance pour certains tests qui échouent désormais sur i386
python-django	Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2023-36053], de problème de déni de service [CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], d'un problème d'énumération d'utilisateurs [CVE-2024-39329], d'un problème de traversée de répertoires [CVE-2024-39330], d'un problème de consommation de mémoire excessive [CVE-2024-41989], d'un problème d'injection de code SQL [CVE-2024-42005]
python-flask-cors	Correction d'un problème d'injection de données de journal [CVE-2024-1681] ; correction de problèmes de traitement de chemin incorrect [CVE-2024-6866 CVE-2024-6839 CVE-2024-6844]
python-mitogen	Prise en charge de cible avec Python >= 3.12
python-zipp	Correction d'un problème de déni de service [CVE-2024-5569]
qemu	Reconstruction avec la glibc 2.36-9+deb12u12 ; nouvelle version amont de correction de bogues
raptor2	Correction d'un problème de soupassement d'entier [CVE-2024-57823] ; correction d'un problème de dépassement de tas en lecture [CVE-2024-57822]
rar	Nouvelle version amont ; correction d'un problème d'injection de séquence d'échappement ANSI [CVE-2024-33899]
rubygems	Correction d'un problème de fuite d'identifiant [CVE-2025-27221] ; correction d'un problème de déni de service lié à des expressions rationnelles [CVE-2023-28755]
rust-cbindgen-web	Reconstruction avec la version actuelle de rustc-web
rustc-web	Nouvelle version amont stable pour prendre en charge la construction des nouvelles versions de Chromium
samba	Correction de divers bogues consécutifs à la modification de Microsoft Active Directory
sash	Reconstruction avec la glibc 2.36-9+deb12u12
setuptools	Correction d'un problème d'écriture de fichier arbitraire [CVE-2025-47273]
shaarli	Correction d'un problème de script intersite [CVE-2025-55291]
simplesamlphp	Correction d'un problème de vérification de signature [CVE-2025-27773]
snapd	Reconstruction avec la glibc 2.36-9+deb12u12
sqlite3	Correction d'un problème de corruption de mémoire [CVE-2025-6965] ; correction d'un bogue dans l'optimisation de NOT NULL/IS NULL qui peut entraîner des données non valables
supermin	Reconstruction avec la glibc 2.36-9+deb12u12
systemd	Nouvelle version amont stable
tini	Reconstruction avec la glibc 2.36-9+deb12u12
tripwire	Reconstruction avec la glibc 2.36-9+deb12u12
tsocks	Reconstruction avec la glibc 2.36-9+deb12u12
tzdata	État de la seconde intercalaire pour 2025 confirmé
usb.ids	Nouvelle mise à jour amont
waitress	Correction de situation de compétition dans le pipelining HTTP [CVE-2024-49768] ; correction d'un problème de déni de service [CVE-2024-49769]
webpy	Correction d'un problème d'injection de code SQL [CVE-2025-3818]
wireless-regdb	Nouvelle version amont mettant à jour les données de régulation incluses ; autoriser une bande passante de 320 MHz dans la bande de 6 GHz pour la Grande-Bretagne
wolfssl	Correction d'un problème de randomisation insuffisante [CVE-2025-7394]
wpa	Correction de réutilisation inappropriée des éléments de PKEX [CVE-2022-37660]
xfce4-weather-plugin	Migration vers les nouvelles API ; mise à jour des traductions
xrdp	Correction d'un problème de contournement de restrictions de session [CVE-2023-40184] ; correction d'un problème de lecture hors limites [CVE-2023-42822] ; correction d'un problème de contournement de restrictions de connexion [CVE-2024-39917]
ydotool	Reconstruction avec la glibc 2.36-9+deb12u12
zsh	Reconstruction avec la glibc 2.36-9+deb12u12

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-5914	chromium
DSA-5916	chromium
DSA-5918	varnish
DSA-5919	open-vm-tools
DSA-5920	chromium
DSA-5921	thunderbird
DSA-5922	firefox-esr
DSA-5923	net-tools
DSA-5924	intel-microcode
DSA-5925	linux-signed-amd64
DSA-5925	linux-signed-arm64
DSA-5925	linux-signed-i386
DSA-5925	linux
DSA-5926	firefox-esr
DSA-5927	yelp-xsl
DSA-5927	yelp
DSA-5928	libvpx
DSA-5929	chromium
DSA-5930	libavif
DSA-5931	systemd
DSA-5932	thunderbird
DSA-5933	tcpdf
DSA-5934	roundcube
DSA-5935	chromium
DSA-5936	libfile-find-rule-perl
DSA-5937	webkit2gtk
DSA-5938	python-tornado
DSA-5939	gimp
DSA-5940	modsecurity-apache
DSA-5941	gst-plugins-bad1.0
DSA-5942	chromium
DSA-5943	libblockdev
DSA-5943	udisks2
DSA-5944	chromium
DSA-5945	konsole
DSA-5946	gdk-pixbuf
DSA-5947	xorg-server
DSA-5948	trafficserver
DSA-5949	libxml2
DSA-5950	firefox-esr
DSA-5951	icu
DSA-5952	chromium
DSA-5953	catdoc
DSA-5954	sudo
DSA-5955	chromium
DSA-5956	ring
DSA-5957	mediawiki
DSA-5958	jpeg-xl
DSA-5959	thunderbird
DSA-5960	djvulibre
DSA-5961	slurm-wlm
DSA-5962	gnutls28
DSA-5963	chromium
DSA-5964	firefox-esr
DSA-5965	chromium
DSA-5966	thunderbird
DSA-5967	php8.2
DSA-5968	chromium
DSA-5969	redis
DSA-5970	sope
DSA-5971	chromium
DSA-5972	openjdk-17
DSA-5973	linux-signed-amd64
DSA-5973	linux-signed-arm64
DSA-5973	linux-signed-i386
DSA-5973	linux
DSA-5974	pgpool2
DSA-5976	chromium
DSA-5977	aide
DSA-5978	webkit2gtk
DSA-5979	libxslt
DSA-5980	firefox-esr
DSA-5981	chromium
DSA-5982	squid
DSA-5983	qemu
DSA-5984	thunderbird
DSA-5985	ffmpeg
DSA-5986	node-cipher-base
DSA-5987	unbound
DSA-5988	chromium
DSA-5989	udisks2
DSA-5990	libxml2
DSA-5991	nodejs

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
guix	Non entretenu ; problèmes de sécurité

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.