Publication de la mise à jour de Debian 12.13

10 janvier 2026

Le projet Debian a l'honneur d'annoncer la treizième mise à jour de sa distribution oldstable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
allow-html-temp Nouvelle version amont pour prendre en charge les versions récentes de Thunderbird
angular.js Correction de problèmes de déni de service basé sur les expressions rationnelles [CVE-2022-25844 CVE-2023-26116 CVE-2023-26117 CVE-2023-26118] ; correction de problèmes de contournement de restriction [CVE-2024-8372 CVE-2024-8373] ; correction d'un problème de déni de service [CVE-2024-21490] ; correction de problèmes de nettoyage incorrect [CVE-2025-0716 CVE-2025-2336]
apache2 Nouvelle version amont stable ; correction d'un problème de dépassement d'entier [CVE-2025-55753] ; pas de passage de chaîne de requête aux directives #exec [CVE-2025-58098] ; correction de l'analyse incorrecte des variables d'environnement [CVE-2025-65082] ; correction d'un problème de contournement de mod_userdir+suexec [CVE-2025-66200]
base-files Mise à jour pour la version 12.13
bash Reconstruction avec la glibc mise à jour
btrfs-progs Statistiques du périphérique : correction de l'affichage de valeurs incorrectes dans la sortie tabulaire
busybox Reconstruction avec la glibc mise à jour
c-icap-modules Reconstruction avec libclamav12 ; désactivation de la prise en charge de clamav pour armel, mipsel et mips64el
calibre Correction d'un problème d'exécution de code [CVE-2025-64486]
cdebootstrap Reconstruction avec la glibc mise à jour
chkrootkit Reconstruction avec la glibc mise à jour
clamav Nouvelle version amont de prise en charge à long terme
composer Correction d'une injection de séquence ANSI [CVE-2025-67746]
cups-filters Correction de problèmes de limites et de validation de l'analyseur TIFF [CVE-2025-57812] ; limitation de la taille des pages PDF surdimensionnées dérivées de MediaBox dans pdftoraster [CVE-2025-64503] ; boucle infinie et dépassement de tas de rastertopclx évités lors de l'entrée de raster contrefaite [CVE-2025-64524]
cyrus-imapd Reconstruction avec libclamav12 ; désactivation de la prise en charge de clamav pour armel, mipsel et mips64el
dar Reconstruction avec la glibc mise à jour
debian-installer Passage de l'ABI du noyau Linux à la version 6.1.0-42 ; reconstruction avec oldstable-proposed-updates
debian-installer-netboot-images Reconstruction avec oldstable-proposed-updates
debian-security-support Marquage de hdf5, libsoup2.4, libsoup3 et zabbix comme recevant une prise en charge limitée ; dnsdist, pdns et pdns-recursor marqués comme non pris en charge
distro-info-data Mise à jour de la date de fin de vie de Bookworm ; ajout d'Ubuntu 26.04 LTS Resolute Raccoon
docker.io Reconstruction avec containerd et la glibc mis à jour
dpdk Nouvelle version amont stable
e2guardian Désactivation de la prise en charge de clamav pour armel, mipsel et mips64el
freerdp2 Nouvelle version amont ; correction de plusieurs vulnérabilités de sécurité de la mémoire : dépassement et soupassement d'entier et écriture hors limites dans les codecs bitmap NSC, Clear et GDI [CVE-2024-22211 CVE-2024-32037 CVE-2024-32038 CVE-2024-32039 CVE-2024-32040] ; lectures hors limites dans les codecs ZGFX, Planar, NCRUSH, Interleaved et RFX [CVE-2024-32041 CVE-2024-32457 CVE-2024-32458 CVE-2024-32459 CVE-2024-32460] ; accès mémoire non valable dans freerdp_peer_get_logon_info [CVE-2024-32661] ; corrections de vérification de limites et de dépassement de tampon ; mise à jour pour la compatibilité de construction avec GCC 14 et FFmpeg 7
gcc-bpf Reconstruction avec la glibc mise à jour
gcc-or1k-elf Reconstruction avec la glibc mise à jour
gcc-riscv64-unknown-elf Reconstruction avec la glibc mise à jour
gcc-xtensa-lx106 Reconstruction avec la glibc mise à jour
gdk-pixbuf Correction d'un problème de dépassement de tampon [CVE-2025-7345]
ghdl Reconstruction avec la glibc mise à jour
git Correction de troncature ou création de fichier arbitraire dans gitk [CVE-2025-27613] ; écrasement de fichier arbitraire évité dans git-gui avec des noms de répertoire contrefaits [CVE-2025-46835] ; correction de l'analyse de chemin de sous-module avec des CR finaux [CVE-2025-48384] ; validation de bundle-uri pour éviter une injection de protocole pendant un clonage [CVE-2025-48385]
glib2.0 Correction de divers problèmes de dépassement d'entier [CVE-2025-13601 CVE-2025-14087 CVE-2025-14512]
gnupg2 Rétrogradation potentielle vers SHA1 évitée dans les signatures de clés tierces ; erreur lors de la sortie non vérifiée pour les signatures non détachées ; correction d'une possible corruption de mémoire dans l'analyseur d'armor [CVE-2025-68973] ; pas d'utilisation d'une valeur par défaut lors de la demande d'un autre nom de fichier de sortie
golang-github-containerd-stargz-snapshotter Reconstruction avec containerd mis à jour
golang-github-containers-buildah Reconstruction avec containerd mis à jour
golang-github-openshift-imagebuilder Reconstruction avec containerd mis à jour
imagemagick Correction de problèmes de déni de service [CVE-2025-62594 CVE-2025-68618] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2025-65955] ; correction de problèmes de dépassement d'entier [CVE-2025-62171 CVE-2025-66628 CVE-2025-69204] ; correction d'un problème de boucle infinie [CVE-2025-68950]
intel-microcode Mise à jour du microcode du processeur Intel vers la version 2025111
lemonldap-ng Correction du nom de table des sessions quand il n'est pas par défaut ; correction du flux OIDC quand l'utilisateur rencontre une erreur côté serveur ; correction du JavaScript Kerberos lors de son utilisation avec Choice ; amélioration de la vérification CORS ; correction de la gestion de path_info ; correction d'un problème d'injection de commandes d'interpréteur [CVE-2025-59518] ; masquage de l'identifiant de session dans les réponses Ajax
libcap2 Reconstruction avec la glibc mise à jour
libclamunrar Nouvelle version amont s'alignant sur clamav 1.4.3
libcommons-lang-java Correction d'un problème de récursion incontrôlée [CVE-2025-48924]
libcommons-lang3-java Correction d'un problème de récursion incontrôlée [CVE-2025-48924]
libhtp Correction d'un problème de déni de service au moyen du traitement illimité d'en-tête HTTP [CVE-2024-23837 CVE-2024-45797]
libnginx-mod-http-lua Correction d'une dissimulation de requête HTTP HEAD [CVE-2024-33452]
libphp-adodb Correction d'une injection de code SQL dans les recherches de métadonnées de sqlite et sqlite3 [CVE-2025-54119]
libpod Reconstruction avec containerd mis à jour
libreoffice Définition par défaut de la devise bulgare à EURO
libssh Correction d'un problème de dépassement d'entier [CVE-2025-4877] ; correction de l'utilisation d'une variable non initialisée [CVE-2025-4878] ; correction d'un problème d'accès mémoire hors limites [CVE-2025-5318] ; correction d'un problème de double libération [CVE-2025-5351] ; correction d'un problème d'utilisation de mémoire non initialisée [CVE-2025-5372 CVE-2025-5987] ; correction d'un problème de déréférencement de pointeur NULL [CVE-2025-8114] ; correction d'une fuite de mémoire [CVE-2025-8277]
libxml2 Correction d'un problème de déni de service [CVE-2025-9714]
libyaml-syck-perl Correction d'une corruption de mémoire menant à la définition de la valeur str sur des clés vides
linux Nouvelle version amont stable
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
log4cxx Correction de problèmes d'échappement incorrect [CVE-2025-54812 CVE-2025-54813]
luksmeta Correction d'un problème de corruption de données avec LUKS1 [CVE-2025-11568]
modsecurity-apache Correction de la gestion d'erreur du corps de la requête pour propager correctement les échecs de filtrage ou lecture d'Apache [CVE-2025-54571] ; mise en correspondance des échecs de lecture du corps de requête avec les codes d'état HTTP appropriés ; simplification de la propagation des erreurs de corps de requête dans mod_security2
mongo-c-driver Lectures de mémoire incorrectes évitées [CVE-2025-12119]
mydumper Correction d'un problème de lecture d'un fichier arbitraire [CVE-2025-30224]
nvidia-graphics-drivers Nouvelle version amont de correction de bogues [CVE-2025-23279 CVE-2025-23286]
nvidia-open-gpu-kernel-modules Nouvelle version amont de correction de bogues [CVE-2025-23279 CVE-2025-23286]
onetbb Correction d'un échec de construction sur un processeur unique et des environnements CI en sautant les tests problématiques
open-vm-tools Désactivation par défaut de la collecte des versions du service SDMP pour atténuer le risque d'élévation de privilèges locale [CVE-2025-41244]
openrefine Correction de l'injection de paramètre de l'hôte MySQL dans l'analyse d'URL de JDBC [CVE-2024-23833] ; correction d'un problème de script intersite par réflexion dans le gestionnaire de rappel OAuth de gdata [CVE-2024-47878] ; correction d'un problème de script intersite lié à une confusion de type dans la terminaison de ExportRows [CVE-2024-47880] ; chargement distant ou d'extension, au moyen de l'URL de connexion de SQLite, empêché [CVE-2024-47881] ; échappement d'HTML dans les traces de la pile d'erreurs [CVE-2024-47882] ; traversée de répertoires évitée lors du chargement de fichier de langue [CVE-2024-49760]
openssl Nouvelle version amont stable
pam Correction d'un problème d'élévation de privilèges local dans pam_namespace [CVE-2025-6020]
pg-snakeoil Reconstruction avec libclamav12
pgbouncer Correction d'un problème d'exécution de code SQL arbitraire [CVE-2025-12819] ; correction d'un problème d'utilisation de mot de passe expiré [CVE-2025-2291]
postgresql-15 Nouvelle version amont stable ; vérification des privilèges CREATE sur le schéma dans CREATE STATISTICS [CVE-2025-12817] ; dépassement d'entier évité dans les calculs de taille d'allocation au sein de libpq [CVE-2025-12818]
qemu Nouvelle version amont stable ; correction de qemu-img info https://example.com ; correction de la migration des clients utilisant virtio-net ; correction d'un problème d'utilisation de mémoire après libération [CVE-2025-11234]
qpwgraph Ajout de la dépendance manquante à libqt6svg6
r-cran-gh Correction d'un problème de divulgation de données sensibles [CVE-2025-54956]
rear Accès en lecture par tous empêché de l'initrd créé quand GRUB_RESCUE=y [CVE-2024-23301]
rescue Amélioration de la prise en charge de btrfs
rlottie Correction du rejet de coordonnées aberrantes dans le rasteriseur FreeType [CVE-2025-0634 CVE-2025-53074 CVE-2025-53075]
rsync Amélioration de la couverture des tests pour les mises à jour futures ; correction de lecture hors limites au moyen d'un indice de tableau négatif dans la gestion de la liste de fichier d'envoi [CVE-2025-10158]
ruby-sinatra Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2025-61921]
samba Correction d'un problème de fuite d’informations [CVE-2018-14628] ; correction d'un problème d'injection de commandes [CVE-2025-10230] ; correction d'un problème de divulgation de mémoire non initialisée [CVE-2025-9640]
sash Reconstruction avec la glibc mise à jour
shadow Correction d'une erreur de segmentation dans groupmod
skeema Reconstruction avec containerd mis à jour
snapd Reconstruction avec containerd mis à jour
sogo Correction d'un problème d'injection de code HTML [CVE-2023-48104] ; correction d'un problème d'injection de code CSS [CVE-2024-24510] ; correction de problèmes de script intersite [CVE-2025-63498 CVE-2025-63499] ; correction d'un plantage provoqué par des identités de courriel incorrectes
squid Correction d'un problème de déni de service [CVE-2023-46728] ; correction de la mauvaise gestion des OID SNMP longs dans ASN.1 [CVE-2025-59362] ; désactivation de la fonction ESI, corrigeant plusieurs problèmes [CVE-2024-45802] ; suppression de la prise en charge de Gopher
sudo Activation d'Intel CET sur amd64 uniquement
supermin Reconstruction avec la glibc mise à jour
symfony Correction de l'analyse de PATH_INFO [CVE-2025-64500] ; suppression des entrées de données de la suite de tests de Finder en échec
syslog-ng Correction de correspondance incorrecte des caractères génériques dans les noms de certificats [CVE-2024-47619]
tripwire Reconstruction avec la glibc mise à jour
u-boot Correction de problèmes de dépassement d'entier [CVE-2024-57254 CVE-2024-57255 CVE-2024-57256 CVE-2024-57258] ; correction d'un problème de consommation de pile [CVE-2024-57257] ; correction d'un problème de corruption de tas [CVE-2024-57259]
ublock-origin Nouvelle version amont ; amélioration de l'expérience utilisateur et ajout de nouvelles fonctionnalités de filtrage ; correction d'un problème de déni de service [CVE-2025-4215]
unbound Correction d'un problème de déni de service [CVE-2024-33655] ; correction d'un problème potentiel de piratage de domaine [CVE-2025-11411] ; correction de unbound-anchor ne peut pas gérer un disque plein ; correction d'attaques possibles par déni de service par amplification  ; correction d'un retour incorrect de NODATA pour certaines requêtes ANY
user-mode-linux Reconstruction avec linux mis à jour
vtk9 Correction de l'incapacité de lecture des fichiers XML VTK avec des données ajoutées sur les versions récentes d'expat
zsh Reconstruction avec la glibc et libcap2 mis à jour,

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-5979 libxslt
DSA-5993 chromium
DSA-5994 shibboleth-sp
DSA-5996 chromium
DSA-5997 imagemagick
DSA-5998 cups
DSA-5999 libjson-xs-perl
DSA-6000 libcpanel-json-xs-perl
DSA-6001 cjson
DSA-6002 node-sha.js
DSA-6003 firefox-esr
DSA-6004 chromium
DSA-6005 jetty9
DSA-6009 linux-signed-amd64
DSA-6009 linux-signed-arm64
DSA-6009 linux-signed-i386
DSA-6009 linux
DSA-6010 chromium
DSA-6012 nncp
DSA-6013 node-tar-fs
DSA-6015 openssl
DSA-6016 chromium
DSA-6017 haproxy
DSA-6018 gegl
DSA-6020 redis
DSA-6021 chromium
DSA-6023 tiff
DSA-6024 ghostscript
DSA-6025 firefox-esr
DSA-6026 chromium
DSA-6028 lxd
DSA-6029 ark
DSA-6030 intel-microcode
DSA-6031 request-tracker5
DSA-6032 request-tracker4
DSA-6033 bind9
DSA-6034 tryton-sao
DSA-6035 python-internetarchive
DSA-6036 chromium
DSA-6038 openjdk-17
DSA-6040 thunderbird
DSA-6041 strongswan
DSA-6042 evolution
DSA-6042 webkit2gtk
DSA-6043 gimp
DSA-6044 xorg-server
DSA-6046 chromium
DSA-6047 squid
DSA-6048 ruby-rack
DSA-6049 gimp
DSA-6050 chromium
DSA-6053 linux-signed-amd64
DSA-6053 linux-signed-arm64
DSA-6053 linux-signed-i386
DSA-6053 linux
DSA-6054 firefox-esr
DSA-6055 chromium
DSA-6056 keystone
DSA-6056 swift
DSA-6057 lxd
DSA-6058 lasso
DSA-6059 thunderbird
DSA-6060 chromium
DSA-6061 tryton-sao
DSA-6062 pdfminer
DSA-6064 tryton-server
DSA-6065 krita
DSA-6067 containerd
DSA-6068 xen
DSA-6069 openvpn
DSA-6070 webkit2gtk
DSA-6072 chromium
DSA-6074 webkit2gtk
DSA-6075 wordpress
DSA-6076 libpng1.6
DSA-6078 firefox-esr
DSA-6079 ffmpeg
DSA-6080 chromium
DSA-6081 thunderbird
DSA-6082 vlc
DSA-6083 webkit2gtk
DSA-6085 mediawiki
DSA-6087 roundcube
DSA-6089 chromium
DSA-6090 rails

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
clamav [armel mipsel mips64el] Plus pris en charge par les architectures dépourvues de la prise en charge des versions récentes de Rust
clamsmtp [armel mipsel mips64el] Dépend de clamav qui doit être retiré
libc-icap-mod-virus-scan [armel mipsel mips64el] Dépend de clamav qui doit être retiré
libclamunrar [armel mipsel mips64el] Dépend de clamav qui doit être retiré
pagure Cassé, problèmes de sécurité
pg-snakeoil [armel mipsel mips64el] Dépend de clamav qui doit être retiré

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

>
https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.