Publication de la mise à jour de Debian 13.3
10 janvier 2026
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa
distribution stable Debian 13 (nom de code Trixie
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 13 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Trixie. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| ansible | Nouvelle version amont stable |
| apache2 | Nouvelle version amont stable ; correction d'un problème de dépassement d'entier [CVE-2025-55753] ; pas de passage de chaîne de requête aux directives #exec [CVE-2025-58098] ; correction de l'analyse incorrecte des variables d'environnement [CVE-2025-65082] ; correction d'un problème de contournement de mod_userdir+suexec [CVE-2025-66200] |
| at-spi2-core | Prise en compte assurée du groupe xkb pour les événements de clavier |
| awffull | Correction de l'invocation du minuteur de systemd pour éviter la sortie prématurée de cron-script |
| base-files | Mise à jour pour la version 13.3 |
| bash | Reconstruction avec la glibc mise à jour |
| bglibs | Reconstruction avec la glibc mise à jour |
| busybox | Reconstruction avec la glibc mise à jour |
| calibre | Correction de la gestion du binaire FB2 incorporé dans le greffon de conversion [CVE-2025-64486] |
| catatonit | Reconstruction avec la glibc mise à jour |
| cdebootstrap | Reconstruction avec la glibc mise à jour |
| chkrootkit | Reconstruction avec la glibc mise à jour |
| cloud-init | Assurance d'un rendu correct du modèle de source.list au format deb822 |
| composer | Correction d'une injection de séquence ANSI [CVE-2025-67746] |
| condor | Reconstruction avec la glibc mise à jour |
| cups-filters | Correction de problèmes de limites et de validation de l'analyseur TIFF [CVE-2025-57812] ; limitation de la taille des pages PDF surdimensionnées dérivées de MediaBox dans pdftoraster [CVE-2025-64503] ; boucle infinie et dépassement de tas de rastertopclx évités lors de l'entrée de raster contrefaite [CVE-2025-64524] |
| dar | Reconstruction avec la glibc, curl et openssl mis à jour |
| debian-installer | Passage de l'ABI du noyau Linux à la version 6.12.63+deb13 ; reconstruction avec proposed-updates |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| debian-security-support | Marquage de hdf5 et zabbix comme recevant une prise en charge limitée ; wpewebkit marqué comme non pris en charge |
| debos | Passage de systemd-resolved de Recommends à Depends |
| dgit | git-debrebase : utilisation d'un répertoire différent pour les zones de travail imbriquées |
| dhcpcd | Réactivation de l'option ntp_servers par défaut |
| diffoscope | Correction des tests quand ukify est plus récent |
| distribution-gpg-keys | Mise à jour des clés incluses |
| distrobuilder | Reconstruction avec containerd et incus mis à jour |
| docker.io | Reconstruction avec la glibc et containerd mis à jour |
| dpdk | Nouvelle version amont stable |
| e2fsprogs | Reconstruction avec la glibc mise à jour |
| edk2 | Correction d'un problème d'attaque temporelle par canal auxiliaire dans le calcul des signatures ECDSA [CVE-2024-13176] ; correction d'un problème d'accès mémoire hors limites [CVE-2024-38805] ; correction d'un problème d'exécution de code [CVE-2025-3770] |
| exfatprogs | Utilisation de secteurs de 512 octets par mkfs.exfat assurée pour la compatibilité avec Windows |
| extrepo-data | Information sur les dépôts mise à jour ; correction de la gestion des versions futures de Debian |
| flatpak | Nouvelle version amont stable |
| fpdf2 | Correction de l'utilisation de fontes variables |
| freedombox | distupgrade : gestion des commentaires dans le fichier sources.list ; correction de la date de publication de Trixie ; backups : définition de permissions appropriées pour le répertoire backups-data [CVE-2025-68462] |
| freeradius | Correction d'une erreur de segmentation de la vérification TLS quand les chaînes de certificats comprennent plusieurs certificats intermédiaires |
| glib2.0 | Correction de divers problèmes de dépassement d'entier [CVE-2025-13601 CVE-2025-14087 CVE-2025-14512] |
| glibc | Correction d'un problème d'initialisation de double verrouillage après fork() ; correction de SYSCALL_CANCEL pour les valeurs de retour plus grandes que INT_MAX ; correction d'un plantage dans les fonctions ifunc sur arm64 lors du durcissement avec -ftrivial-auto-var-init=zero ; correction de _dl_find_object lorsque ld.so présente des lacunes dans le segment LOAD, provoquant un déroulement incorrect de la trace ; optimisation des fonctions trigonométriques inverses, SVE exp, fonctions hyperboliques et log1p sur arm64 |
| gnome-shell | Nouvelle version amont de correction de bogues |
| gnupg2 | Rétrogradation potentielle vers SHA1 évitée dans les signatures de clés tierces ; erreur lors de la sortie non vérifiée pour les signatures non détachées ; correction d'une possible corruption de mémoire dans l'analyseur d'armor [CVE-2025-68973] ; pas d'utilisation d'une valeur par défaut lors de la demande d'un autre nom de fichier de sortie ; reconstruction avec la glibc mise à jour |
| gnutls28 | Correction des limites des étiquettes de jeton PKCS#11 dans gnutls_pkcs11_token_init [CVE-2025-9820] ; initialisation des modules PKCS#11 en mode thread-safe avec repli |
| golang-github-awslabs-soci-snapshotter | Reconstruction avec containerd mis à jour |
| golang-github-containerd-imgcrypt | Reconstruction avec containerd mis à jour |
| golang-github-containerd-nydus-snapshotter | Reconstruction avec containerd mis à jour |
| golang-github-containerd-stargz-snapshotter | Reconstruction avec containerd mis à jour |
| golang-github-containers-buildah | Reconstruction avec containerd mis à jour |
| golang-github-openshift-imagebuilder | Reconstruction avec containerd mis à jour |
| imagemagick | Correction de problèmes de déni de service [CVE-2025-62594 CVE-2025-68618] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2025-65955] ; correction de problèmes de dépassement d'entier [CVE-2025-66628 CVE-2025-69204] ; correction d'un problème de boucle infinie [CVE-2025-68950] |
| incus | Correction de la génération du profil AppArmor pour les conteneurs imbriqués |
| integrit | Reconstruction avec la glibc mise à jour |
| intel-microcode | Mise à jour du microcode du processeur Intel vers la version 2025111 |
| iperf3 | Correction de l'initialisation de la longueur du tampon de chiffrement d’authentification RSA pour OpenSSL 3.5.3+ ; échecs de construction évités avec les versions récentes d'OpenSSL |
| kleopatra | Correction d'un échec de démarrage avec un argument de fichier avec GNOME |
| libcap2 | Reconstruction avec la glibc mise à jour |
| libcoap3 | Correction d'un problème d'analyse du fichier de configuration [CVE-2025-59391] ; correction de problèmes de déréférencement de pointeur NULL [CVE-2025-65493 CVE-2025-65494 CVE-2025-65496 CVE-2025-65497 CVE-2025-65498 CVE-2025-65500 CVE-2025-65501] ; correction d'un problème de signe des entiers [CVE-2025-65495] ; correction d'un problème d'erreur d'index de tableau [CVE-2025-65499] |
| libcupsfilters | Correction de problèmes de limites et de validation de l'analyseur TIFF [CVE-2025-57812] ; limitation de la taille des pages PDF surdimensionnées dérivées de MediaBox dans pdftoraster [CVE-2025-64503] |
| libphp-adodb | Correction d'un problème d'injection de code SQL dans les pilotes de sqlite(3) [CVE-2025-54119] |
| libreoffice | Définition par défaut de la devise bulgare à EURO |
| libvirt | Réalisation des vérifications d'ACL plus tôt, empêchant des utilisateurs malveillants de potentiellement faire planter le démon [CVE-2025-12748] ; assurance que les instantanés nouvellement créés ne sont pas lisibles par tous [CVE-2025-13193] ; application des réglages de detect_zeroes à tous les niveaux de la chaîne de sauvegarde plutôt qu'uniquement au niveau le plus haut |
| linux | Nouvelle version amont stable |
| linux-signed-amd64 | Nouvelle version amont stable |
| linux-signed-arm64 | Nouvelle version amont stable |
| lua-wsapi | Correction de la prise en charge de Lua 5.1 |
| lxc | Ajout au script sysvinit de la dépendance à lxc-net ; arrêt de l'affichage d'erreurs trompeuses dans enter_net_ns() ; correction de la création de apparmor.d/abstractions/lxc/container-base ; correction du redémarrage des conteneurs non privilégiés |
| lxd | Correction du mappage d'ID cassé avec les noyaux 6.9 et supérieurs ; restriction des permissions du volume du pool de stockage [CVE-2025-64507] |
| matlab-support | Renommage des bibliothèques Vulkan/FreeType fournies par MATLAB évité |
| mbedtls | Nouvelle version amont stable ; correction d'attaques temporelles [CVE-2025-54764 CVE-2025-59438] |
| mirrorbits | Correction des redirections de repli quand les métadonnées Redis/file ne sont pas disponibles ; normalisation des URL de repli des miroirs pour éviter des redirections malformées |
| mongo-c-driver | Lectures de mémoire invalides évitées [CVE-2025-12119] |
| mutter | Nouvelle version amont de correction de bogues |
| node-nodemailer | Correction de l'analyse des destinataires par addressparser pour les adresses imbriquées entre guillemets [CVE-2025-13033] |
| openconnect | Respect du chemin dans la gestion des formulaires XML AnyConnect/OpenConnect ; correction d'échec de construction avec MinGW32/64 ; utilisation des liaisons du canal tls-exporterRFC9266 pour STRAP de Cisco avec TLSv1.3 |
| pgbouncer | Correction d'un problème d'exécution de code SQL arbitraire [CVE-2025-12819] |
| podman | Reconstruction avec containerd mis à jour |
| postgresql-17 | Nouvelle version amont stable ; vérification des privilèges CREATE sur le schéma dans CREATE STATISTICS [CVE-2025-12817] ; dépassement d'entier évité dans les calculs de taille d'allocation au sein de libpq [CVE-2025-12818] |
| pylint-django | Correction de l'utilisation avec la nouvelle version d'astroid |
| qemu | Nouvelle version amont stable ; correction d'un problème d'utilisation de mémoire après libération [CVE-2025-11234] ; correction d'un problème de dépassement de tampon [CVE-2025-12464] |
| qiv | Correction du plantage au démarrage de Wayland en forçant l'utilisation du dorsal GDK X11 |
| r-bioc-beachmat | Correction d'un test qui dépend du paquet beachmat.hdf5de R pas encore dans Debian |
| r-cran-gh | Correction de l'exposition des en-têtes de requête dans les objets de réponse renvoyés [CVE-2025-54956] ; transmission explicite du contexte d’authentification par la pagination assurée ; mise à jour des tests et de la documentation |
| reform-tools | Correction de la construction de lpc avec Linux >= 6.17 |
| rlottie | Correction du rejet de coordonnées aberrantes dans le rasteriseur FreeType [CVE-2025-0634 CVE-2025-53074 CVE-2025-53075] |
| rsync | Correction de lecture hors limites au moyen d'un index de tableau négatif dans la gestion de la liste de fichiers d'envoi [CVE-2025-10158] |
| rust-repro-env | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-ripasso-cursive | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-chameleon-gnupg | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-git | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-keystore-server | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-octopus-librnp | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-openpgp | Correction d'un dépassement de tampon par le bas dans aes_key_unwrap [CVE-2025-67897] |
| rust-sequoia-sop | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-sq | Reconstruction avec rust-sequoia-openpgp mis à jour |
| rust-sequoia-sqv | Reconstruction avec rust-sequoia-openpgp mis à jour |
| sash | Reconstruction avec la glibc mise à jour |
| sbuild | Sélection explicite de l'architecture du paquet sbuild-build-depends-main-dummy ; conservation de TMPDIR lors de l'exécution d'autopkgtest ; lib/Sbuild/Build.pm : conservation de TMPDIR pour piuparts ; $TMPDIR respecté pour autopkgtest dsc mkdtemp |
| snapd | Reconstruction avec la glibc mise à jour |
| sogo | Correction de problèmes de script intersite [CVE-2025-63498 CVE-2025-63499] |
| suricata | Correction des contrôles de limites de journalisation des verdicts [CVE-2025-64330] ; correction de divers dépassements de pile dans les journaux [CVE-2025-64331 CVE-2025-64332 CVE-2025-64333 CVE-2025-64344] |
| survex | Correction de la largeur du champ de recherche trouver des stationspour la rendre à nouveau réellement utilisable |
| swupdate | Correction de la signalisation du reboot-mode de suricatta au moyen d'une interface de progression |
| symfony | Correction de l'analyse de PATH_INFO [CVE-2025-64500] ; suppression des entrées de données de la suite de tests Finder défaillante |
| tini | Reconstruction avec la glibc mise à jour |
| tripwire | Reconstruction avec la glibc mise à jour |
| tsocks | Reconstruction avec la glibc mise à jour |
| tzsetup | Correction du fuseau horaire pour l'Argentine et l'Ukraine |
| user-mode-linux | Reconstruction avec Linux 6.12.63-1 |
| yorick-gy | Correction du chargement de la version du module GIR pour Gtk/Gdk ; passage à la dépendance de construction libgirepository-1.0-dev compatible multi-architecture ; incorporation des correctifs de construction de GCC-14/15 ; mise à jour du fichier de suivi et des métadonnées |
| zsh | Reconstruction avec la glibc et pcre mis à jour |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.