Publication de la mise à jour de Debian 13.2

15 novembre 2025

Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa distribution stable Debian 13 (nom de code Trixie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 13 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Trixie. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
7zip Nouvelle version amont stable ; corrections de sécurité [CVE-2025-55188 CVE-2025-11002 CVE-2025-11001]
7zip-rar Ajout du constructeur de table de CRC manquant
aide Correction de l'utilisation de bin/buildcache en l'exécutant depuis un minuteur root ; diverses mises à jour et corrections des règles incluses
allow-html-temp Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
alsa-ucm-conf-asahi Installation des configurations aop audio UCM manquantes
ansible Mise à jour des collections pour maintenir la compatibilité avec ansible-core 2.19
ansible-core Nouvelle version amont stable ; correction d'une régression depuis la version 2.18 concernant les gestionnaires et les balises des tâches
asahi-scripts Correction de la vérification du profil par défaut de MacAudio ; ajout explicite du module apple_nvmem_spmi à initramfs ; update-m1n1 rendu idempotent
base-files Mise à jour pour la version 13.2
brltty atSpi2  : pas de gestion des widgets sans interface texte ; message bluetooth/usbfs trop verbeux évités
console-setup Mise à jour des dispositions de claviers dz(la) en dz(azerty-oss) et utilisation de la variante ca/multix à la place de ca/multi ; correction de dz(azerty-oss/deadkeys) en dz, qui est ce que xkb fournit réellement ; correction de la disposition par défaut de dz
cups Correction du fonctionnement des cases à cocher dans l'interface d'administration
curl Correction d'un problème de dépassement de tampon en lecture [CVE-2025-9086] ; correction d’un problème d'empoisonnement de cache [CVE-2025-10148] ; correction d'un problème de traversée de répertoires [CVE-2025-11563] ; remplacement de --output par --curl-options autorisé ; correction de l'exemple de la page du manuel pour continue-at ; correction d'un problème de traversée de répertoires [CVE-2025-11563]
debian-edu-config Utilisation de SERVER_ADDRESS dans RewriteRule à la place de « www » codé en dur ; suppression de l'ensemble de bureau de la séquence d'ensembles
debian-installer Passage de l'ABI du noyau Linux à la version 6.12.57+deb13 ; reconstruction avec proposed-updates
debian-installer-netboot-images Passage de l'ABI du noyau Linux à la version 6.12.57+deb13 ; reconstruction avec proposed-updates
dhcpcd Correction d'un plantage lors de la suppression d'une adresse ; échec de démarrage évité si wpasupplicant n'est pas installé
distro-info-data Mise à jour de la date de fin de vie de Bookworm ; ajout d'Ubuntu 26.04 LTS Resolute Raccoon
dkms Nouvelle version amont stable ; dkms.service plus fourni, corrigeant le cycle de dépendances avec cloud-init-network.service ; émission d'un avertissement si aucun en-tête du noyau n'est trouvé
dns-root-data Mise à jour de root-anchors.p7s (la signature de root-anchors.xml) avec une nouvelle date d'expiration
dnsdist Correction de problèmes de déni de service [CVE-2025-8671 CVE-2025-30187]
dolphin-emu Correction de l'interaction avec RetroAchievements ; corrections de traductions
dovecot Correspondance assurée du format par défaut auth_username_format de lmtpd à la valeur globale ; correction de l'analyse de la configuration de OAuth ; lib-sieve : gestion correcte des erreurs ; nettoyage de quelques coquilles dans la configuration default/example
eas4tbsync Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
eperl Passage évité d'un environnement tronqué avec Perl 5.40
epiphany-browser Nouvelle version amont stable ; correction de divers plantages ; correction de l'authentification PKCS#11 pour des paires cert/priv non valables
evolution Nouvelle version amont stable
evolution-data-server Nouvelle version amont stable ; correction d'une boucle d'attente lors de l'utilisation de l'archive de courriel au format MH
fangfrisch Mise à jour du miroir sanesecurity parce que l'ancien va bientôt arrêter de fonctionner
fluidsynth Définition du taux d'échantillonnage à 48000 et la taille du tampon à 512 dans la configuration du service, corrigeant une utilisation élevée du processeur et un son déformé
folder-account Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
fonts-noto-color-emoji Nouvelle version amont stable ; ajout de la prise en charge de la norme Unicode 17.0
freeradius Correction de la compatibilité avec OpenSSL 3.5.2
gnome-maps Nouvelle version amont stable ; correction d'une régression lors de la requête de planification de route à transitous.org ; ajout des formats d'adresse pour l'Autriche et le Paraguay
gnome-session Correction de la priorité d'application par défaut pour les premiers utilisateurs de Papers et Showtime
google-recaptcha Correction des avertissements d'obsolescence de PHP 8.4
ikvswitch Utilisation de Trixie comme distribution par défaut pour la configuration ; pas d'échec en cas d'erreurs lors de la mise hors service d'un pont IPMI ; utilisation d’un fichier fragmenté sysctl.d plutôt que de sysctl.conf
imagemagick Correction d'un problème de dépassement d'entier [CVE-2025-62171]
input-remapper Ajout de la dépendance d'exécution à python3-psutil
irqbalance Activation de l'accès en écriture à /proc/irq dans la définition du service
jdupes Correction de la détection des fichiers uniques
jing-trang Nouvelle importation de la version amont pour supprimer des fichiers inclus incorrectement
keepassxc-browser Correction de la compatibilité avec Chromium
kmail-account-wizard Activation de la détection automatique des dépendances QML
lemonldap-ng Correction d'un problème d'injection de commandes [CVE-2025-59518] ; pas d'exposition de session-id dans les réponses Ajax ; correction de l'authentification Google
libcommons-lang-java Correction d'un problème de récursion non contrôlée [CVE-2025-48924]
libcommons-lang3-java Correction d'un problème de récursion non contrôlée [CVE-2025-48924]
libgpiod Suppression de « Breaks/Replaces » inutiles sur libgpiod2 et libgpiod2t64
libhtp Fuite mémoire évitée avec lzma [CVE-2025-53537]
libsmb2 Correction d'un problème de dépassement de tampon [CVE-2025-57632]
libssh Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-8114] ; correction d'un problème de déni de service [CVE-2025-8277]
libvirt Certificats TLS non requis pour la prise en charge de keyEncipherment ; niveau de journalisation abaissé pour un message évitant le spam du journal lors de l'utilisation du pilote LXC ; correction d'un plantage du démon se produisant lors de la recherche des capacités d'un binaire QEMU qui ne donne pas d'information sur les modèles de processeur
libwebsockets Correction d'un problème de déni de service [CVE-2025-11677] ; correction d'un problème de dépassement de tampon [CVE-2025-11678]
libxml2 Correction d'un déni de service lié à la profondeur de récursion de XPath [CVE-2025-9714]
libyaml-syck-perl Corruption de mémoire évitée qui faisait que la valeur str était définie sur des clés vides [CVE-2025-11683]
linux Nouvelle version amont stable
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
lnav Gestion de l'échec de la configuration des registres de couleurs depuis tmux
log4cxx Correction de problèmes d'échappement incorrect [CVE-2025-54812 CVE-2025-54813]
logcheck Mise à jour de ignore.d.paranoid/ssh et ignore.d.server/ssh
lttng-modules Correction d'un plantage potentiel du noyau avec le traçage des appels système
luksmeta Correction d'un problème de corruption de données avec LUKS1 [CVE-2025-11568]
lxcfs Ajout de dépendances manquantes à fuse3
magit Envoi de magit-dired.el manquant dans elpa-magit
mailfromd Reconstruction pour corriger une erreur de recherche de symbole
mailmindr Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
malcontent Correction du filtrage des snaps après snapd 2.72 ; correction de la liste des Flatpaks dans l'interface utilisateur du contrôle parental ; correction d'une fuite de mémoire lors de la vérification des snaps
mapserver Correction d'un problème d'injection de code SQL [CVE-2025-59431]
mc Correction de l'utilisation accidentelle de >&10 pour les sous-interpréteurs, évitant des retards au démarrage
modsecurity-apache Corrections de problèmes de sécurité liés à la gestion du Content-Type de réponse [CVE-2025-54571]
monitoring-plugins Correction de check_users en combinaison avec systemd ; correction du greffon check_mysql avec les versions récentes de MySQL
mpv Création de dossiers manquants pour l'historique de surveillance
mrtg Correction de lignes WorkDir en double dans la sortie de cfgmaker
nextcloud-desktop Nouvelle version amont stable
nfdump Option subdir (-S) respectée lors de l'utilisation de données dynamiques FlowSource (-M)
nova Correction d'un problème de divulgation d'informations
nvidia-graphics-drivers-tesla-535 Correction d'un problème d'utilisation de mémoire après libération [CVE-2025-23280] ; correction d'un problème d'élévation de privilèges [CVE-2025-23282] ; correction de problèmes de déni de service [CVE-2025-23300 CVE-2025-23330 CVE-2025-23332 CVE-2025-23345]
onetbb Correction d'échecs de test sur les machines à processeur unique ; tests mutex peu fiables ignorés
open-vm-tools Désactivation (par défaut) de l'exécution du script get-versions.sh de SDMP [CVE-2025-41244]
openssl Nouvelle version amont stable
openvpn-auth-radius Correction de l'authentification du paquet
orphan-sysvinit-scripts Ajout du script d'initialisation de haveged
patroni Nouvelle version amont stable
pdns-recursor Passage à dpkg/default.mk ; suppression du remplacement de CARGO_REGISTRY
phpmyadmin Traitement d'une vulnérabilité de script intersite dans la version de jquery.validate.js empaquetée [CVE-2025-3573]
poppler Correction d'une récursion infinie [CVE-2025-50420]
postfix Nouvelle version amont stable ; correction d'une coquille qui provoquait la recréation de cadir dans le chroot et une journalisation excessive
presage Plantage évité avec les apostrophes dans les suggestions de complétion
privatebin-cli Correction des connexions à pastebins avec des chiffrement GCM
proftpd-dfsg Pas de suppression de /srv/ftp lors de la purge du paquet
puppet-module-puppetlabs-rabbitmq Correction du fournisseur de list_users ; configuration de tous les nœuds comme nœuds de disque
puppet-module-tempest Correction du chargement automatique du fournisseur OpenStack
python-eventlet Correction de dissimulation de requête HTTP en supprimant des en-têtes Trailer de segments HTTP [CVE-2025-58068]
qemu Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2024-8354] ; correction de l'émulation incorrecte des ioctls FIBMAP et FIGETBSZ
qt6-base Correction d'un usage élevé du processeur par kwin_x11 lors du verrouillage de l'écran (X11)
quicktext Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
rabbitmq-server correction de la journalisation des données sensibles [CVE-2025-50200]
riseup-vpn Ajout de la dépendance à qml6-module-qtcore
rocm-hipamd Correction des liens pour les programmes qui incluent « hip/hip_bf16.h » dans plus d'une unité de traduction ; correction d'une coquille dans la page de manuel de roc-obj-ls
rsyslog-doc Passage au thème de documentation sphinx_rtd_theme
ruby-sys-filesystem Correction de la détection des systèmes d'exploitation 64 bits sur s390x et alpha
rust-virtiofsd Ajout de dépendances manquantes à uidmap
sail Correction de problèmes de corruption de mémoire [CVE-2025-32468 CVE-2025-35984 CVE-2025-46407 CVE-2025-50129 CVE-2025-52456 CVE-2025-52930 CVE-2025-53085 CVE-2025-53510]
samba Nouvelle version amont stable ; correction d'un problème de divulgation de mémoire non initialisée [CVE-2025-9640], d'un problème d'injection de commande [CVE-2025-10230]
samhain Désactivation de dnmalloc évitant de possibles erreurs de segmentation
spip Correction d'un problème de redirection ouverte dans le formulaire de connexion AJAX
stardict Séparation du greffon dans un nouveau paquet stardict-plugin-network-dictionary ; désactivation du greffon stardict_dictdotcn.so
suricata Correction d'un problème d'utilisation de mémoire non contrôlée [CVE-2025-53538] ; correction d'un problème de contournement de détection [CVE-2025-59147]
syslog-ng Désactivation par défaut de l'écriture des statistiques de journalisation
systemd Nouvelle version amont stable ; correction de la gestion de DNS-over-TLS dans systemd-resolved ; amélioration de la stabilité du service et du cycle de vie des unités ; gestion des cas particuliers de TPM2 et pcrlock ; mise à jour de la documentation ; actualisation des données hwdb ; synchronisation avec les en-têtes UAPI de Linux
systemd-boot-efi-amd64-signed Nouvelle version amont stable ; correction de la gestion de DNS-over-TLS dans systemd-resolved ; amélioration de la stabilité du service et du cycle de vie des unités ; gestion des cas particuliers de TPM2 et pcrlock ; mise à jour de la documentation ; actualisation des données hwdb ; synchronisation avec les en-têtes UAPI de Linux
systemd-boot-efi-arm64-signed Nouvelle version amont stable ; correction de la gestion de DNS-over-TLS dans systemd-resolved ; amélioration de la stabilité du service et du cycle de vie des unités ; gestion des cas particuliers de TPM2 et pcrlock ; mise à jour de la documentation ; actualisation des données hwdb ; synchronisation avec les en-têtes UAPI de Linux
tango Correction de la communication cassée entre les versions 9 et 10
tbsync Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
ublock-origin Nouvelle version amont stable ; amélioration de l'expérience utilisateur et ajout de nouvelles capacités de filtrage
virt-manager Correction de la fonction Browse local
watcher Correction d'un problème de divulgation d'informations
wike Configuration d'un agent utilisateur pour assurer que la version mobile de Wikipédia est utilisée
wtmpdb Rotation et réduction des journaux avec logrotate ; stockage des journaux dans le répertoire des journaux système
xnote Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
xorg Correction d'un échec de connexion avec les sessions utilisant plusieurs mots dans l'invocation
xssproxy Correction de la compatibilité avec Chromium et xdg-desktop-portal-gtk

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-5979 libxslt
DSA-5993 chromium
DSA-5994 shibboleth-sp
DSA-5995 hsqldb1.8.0
DSA-5996 chromium
DSA-5997 imagemagick
DSA-5998 cups
DSA-5999 libjson-xs-perl
DSA-6000 libcpanel-json-xs-perl
DSA-6001 cjson
DSA-6002 node-sha.js
DSA-6003 firefox-esr
DSA-6004 chromium
DSA-6005 jetty9
DSA-6006 jetty12
DSA-6007 ffmpeg
DSA-6008 linux-signed-amd64
DSA-6008 linux-signed-arm64
DSA-6008 linux
DSA-6010 chromium
DSA-6012 nncp
DSA-6013 node-tar-fs
DSA-6014 gimp
DSA-6015 openssl
DSA-6016 chromium
DSA-6017 haproxy
DSA-6018 gegl
DSA-6019 dovecot
DSA-6020 redis
DSA-6021 chromium
DSA-6022 valkey
DSA-6023 tiff
DSA-6024 ghostscript
DSA-6025 firefox-esr
DSA-6026 chromium
DSA-6027 incus
DSA-6028 lxd
DSA-6030 intel-microcode
DSA-6031 request-tracker5
DSA-6033 bind9
DSA-6034 tryton-sao
DSA-6035 python-internetarchive
DSA-6036 chromium
DSA-6037 openjdk-21
DSA-6039 openjdk-25
DSA-6040 thunderbird
DSA-6042 evolution
DSA-6042 webkit2gtk
DSA-6044 xorg-server
DSA-6045 pdns-recursor
DSA-6046 chromium
DSA-6047 squid
DSA-6048 ruby-rack
DSA-6049 gimp
DSA-6050 chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
rust-profiling-procmacros Non utilisé

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/trixie/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.