Publication de la mise à jour de Debian 13.4

14 mars 2026

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 13 (nom de code Trixie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 13 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Trixie. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
akonadi	Affichage de tous les dossiers dans kmail
apache2	Correction d'une régression concernant HTTP/2
arduino-core-avr	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2025-69209]
asahi-scripts	Correction de la suspension automatique du lecteur de carte SD
augeas	Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-2588]
base-files	Mise à jour pour la version 13.4
bash	Reconstruction avec la glibc mise à jour
bglibs	Reconstruction avec la glibc mise à jour
bird2	Utilisation de Restart=on-abnormal à la place de on-abort ; RAdv : correction des indicateurs pour les préfixes obsolètes ; BMP : correction de plantage lors de l'exportation d'une route avec des attributs non bgp ; correction de la vérification d'ASPA pour AS_SET
brltty	Correction de récupération de numéro de VT à partir de la session choisie
busybox	Reconstruction avec la glibc mise à jour
capstone	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2025-67873] ; correction d'un problème de dépassement et soupassement de tampon [CVE-2025-68114]
catatonit	Reconstruction avec la glibc mise à jour
cdebootstrap	Reconstruction avec la glibc mise à jour
chkrootkit	Reconstruction avec la glibc mise à jour
chrony	Ouverture en écriture de refclock pour conserver la compatibilité avec les noyaux récents
civetweb	Correction d'un problème de déni de service [CVE-2025-9648] ; correction d'un problème de dépassement de tampon [CVE-2025-55763]
ckb-next	Correction de l'installation et d'initialisation du script d'initialisation ; vérification assurée du chiffrement des mises à jour de microprogrammes
clatd	Correction de l'installation de l'unité systemd ; correction du chemin d'installation du répartiteur de NetworkManager ; exemple de configuration fourni ; retrait assuré de l'ancien script du répartiteur lors de la mise à niveau
condor	Reconstruction avec la glibc mise à jour
dar	Reconstruction avec la glibc et openssl mis à jour
debian-installer	Passage de l'ABI du noyau Linux à la version 6.12.73+deb13 ; reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-ports-archive-keyring	Ajout de la clé de signature automatique de l'archive des portages de Debian (2027) ; déplacement de la clé de signature de 2025 dans le trousseau des clés retirées
debsig-verify	Reconstruction avec dpkg mis à jour
debvm	Utilisation de la console seulement en mode non graphique ; utilisation d'un nom de variable correct ; autologin : identifiants préférés à l'unité de monkey patching ; customize-resolved.sh : installation explicite de systemd-resolved
deets	Reconstruction avec dpkg mis à jour
direwolf	Correction d'un dépassement de tampon de pile [CVE-2025-34457]
distribution-gpg-keys	Mise à jour des clés incluses
distrobuilder	Reconstruction avec incus mis à jour
docker.io	Reconstruction avec la glibc mise à jour
dovecot	Correction d'un possible plantage dans ldap userdb ; correction d'un plantage dans le greffon de corbeille ; correction d'une erreur de segmentation quand les ACL de groupes sont présents mais que l'utilisateur n'a pas de groupe
dpkg	dpkg-query : correction d'une erreur de segmentation avec un argument -S vide ; Dpkg::OpenPGP : pas de vérification sans trousseau de clés ; Dpkg::Shlibs::Objdump::Object : ajout de la prise en charge des symboles Version References ; Dpkg::OpenPGP::Backend::GnuPG : ajout de l'importation de Dpkg::Gettext absente ; correction d'un problème de déni de service [CVE-2026-2219]
e2fsprogs	Reconstruction avec la glibc mise à jour
ejabberd	Retrait d'un ancien fichier de profil d'apparmor
ejabberd-contrib	Reconstruction avec ejabberd mis à jour
erlang	Correction de problèmes d'utilisation excessive de ressources [CVE-2025-48038 CVE-2025-48039 CVE-2025-48040 CVE-2025-48041] ; correction d'un problème de redirection de trafic [CVE-2016-1000107]
ffmpegfs	Correction de la liste de fichiers incomplète dans le répertoire de sortie
flatpak	Nouvelle version amont stable
fluidsynth	Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-56225]
fonttools	Correction d'un problème d'écriture de fichiers arbitraires [CVE-2025-66034]
glibc	Mise à jour depuis la branche stable amont ; correction d'un problème de corruption de tas [CVE-2026-0861] ; correction d'un problème de fuite du contenu de la pile [CVE-2026-0915] ; correction de problème d'utilisation de mémoire non initialisée [CVE-2025-15281] ; passage à l'euro du symbole monétaire pour les paramètres linguistiques régionaux bg_BG ; correction d'un problème de déréférencement de pointeur NULL dans la recherche de symbole quand le hachage de la version du symbole est zéro ; correction de diverses fonctions optimisées
gnome-shell	Annulation de la modification rétroportée par inadvertance qui peut empêcher l'apparition de l'interface utilisateur de Shell sur certains systèmes
gnu-efi	Correction de la construction des binaires d'UEFI pour armhf
gnuais	Correction de l'affichage de carte dans gnuaisgui
gnupg2	Reconstruction avec la glibc mise à jour
gpsd	Correction d'un problème d'écriture hors limites [CVE-2025-67268] ; correction d'un problème de déni de service [CVE-2025-67269]
grub-efi-amd64-signed	Correction de l'identification de la racine du système de fichiers ZFS
grub-efi-arm64-signed	Correction de l'identification de la racine du système de fichiers ZFS
grub-efi-ia32-signed	Correction de l'identification de la racine du système de fichiers ZFS
grub2	Correction de l'identification de la racine du système de fichiers ZFS
ifupdown	Correction de la gestion de la DAD IPv6 dans ifup ; correction de l'ordre des invocations dhclient pour IPv6 ; restauration de la détection correcte du chemin de l'exécutable dans les scripts ifup
integrit	Reconstruction avec la glibc mise à jour
jaraco.context	Traversée de répertoires évitée [CVE-2026-23949]
libcap2	Reconstruction avec la glibc mise à jour
libguestfs	Ajout de la dépendance à isc-dhcp-client
libpng1.6	Correction de problèmes de dépassement de tampon de tas [CVE-2026-22801 CVE-2026-22695]
libsndfile	Correction d'un problème de fuite de mémoire [CVE-2025-56226]
linux-base	Utilisation de noms de répertoires de scripts hook compatibles pour les paquets d'en-têtes
lxc	Correction de corruption de données pendant des entrées/sorties lourdes sur PTS ; mise à jour du profil apparmor lxc-default-with-nesting ; reconstruction avec la glibc mise à jour
mariadb	Nouvelle version amont stable ; correction d'un problème d'exécution de code arbitraire [CVE-2025-13699] ; correction d'un problème de déni de service [CVE-CVE-2026-21968] ; utilisation de tmpfiles.d pour générer le répertoire d'exécution ; correction des mises à jour à partir de la version 10.4 quand le chiffrement est activé ; correction de la prise en charge de innodb_linux_aio
mpg123	Pas de modification des données ID3v2 brutes lors de l'analyse
node-proxy-agents	Traversée de répertoires évitée [CVE-2026-27699]
open-iscsi	Correction de la découverte des nœuds static
openssh	Correction de suivi fautif des sorties de processus MaxStartups dans certaines conditions ; correction de potentiels problèmes d'exécution de code [CVE-2025-61984 CVE-2025-61985]
openssl	Nouvelle version amont stable
passt	Passage de la version de l'ABI d'AppArmor à 4.0 pour activer la création de l'espace de noms utilisateur
pcsx2	Correction d'un problème d'exécution de code [CVE-2025-49589]
pdudaemon	Ajout de la dépendance manquante à setuputils
phpunit	Correction d'un problème de désérialisation non sécurisée [CVE-2026-24765]
plastimatch	Nouvel empaquetage pour exclure les fichiers au code source non libre
policyd-rate-limit	Correction du fonctionnement avec Python >= 3.12
postgresql-17	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2026-2006]
python-cryptography	Correction de validation manquante dans la création de clé publique EC [CVE-2026-26007]
python-filelock	Correction d'une vulnérabilité dans la gestion d'attaque par lien symbolique TOCTOU dans la création de fichier de verrou [CVE-2025-68146]
python-multipart	Correction d'un problème d'écriture de fichiers arbitraires [CVE-2026-24486]
python-os-ken	Champs OXM vides acceptés
python-pyspnego	Correction des avis d’obsolescence
qemu	Nouvelle version amont stable ; correction de problèmes de déni de service [CVE-2025-14876 CVE-2026-0665]
qtbase-opensource-src	corrections de concurrence de données ; X11 : configuration de la résolution logique de rempli à 96 DPI, corrigeant un calcul incorrect
reprepro	Correction des données de suivi incorrectes lors de la copie de paquets
requests	Correction d'un problème de fuite d'identifiant [CVE-2024-47081]
riseup-vpn	Prise en charge de fournisseurs supplémentaires de polkit
runit-services	Slim : démarrage en arrière-plan avec -n ; dbus-dep.fixer : test correct des définitions des service existantes, démarrage uniquement des services dbus, même avec l'outrepassement de sysv
rust-ntp-proto	Correction d'un problème de charge excessive [CVE-2026-26076]
rust-ntpd	Reconstruction avec rust-ntp-proto 1.4.0-4+deb13u1 pour corriger le CVE-2026-26076
rust-tealdeer	Mise à jour de l'URL de l'archive
samba	Nouvelle version amont stable
sash	Reconstruction avec la glibc mise à jour
scilab	Correction d'un échec de construction
snapd	Reconstruction avec la glibc mise à jour
sqlite3	Dépassement d'entier évité dans l'extension FTSS [CVE-2025-7709] ; ajout d'une dépendance de construction manquante à pkgconf
starlette	Correction d'un problème de déni de service [CVE-2025-62727]
sudo	Activation de la technologie CET d'Intel sur amd64 ; correction d'une régression avec les noms de fichier sudoers.d contenant des deux-points
suricata	Correction d'un problème de déni de services [CVE-2026-22258 CVE-2026-22259 CVE-2026-22261] ; correction d'un problème de dépassement de pile [CVE-2026-22262] ; correction d'un problème de dépassement de tas [CVE-2026-22264]
tayga	Correction du mappage EAM pour les adresses d'hôtes
tini	Reconstruction avec la glibc mise à jour
torsocks	Utilisation d'une variable d'environnement correcte ; déclenchement explicite du déclencheur de ldconfig
tripwire	Reconstruction avec la glibc mise à jour
tsocks	Reconstruction avec la glibc mise à jour
tzdata	Nouvelle version amont ; la Moldavie utilise les changements d'heure de l'UE depuis 2022
uglifyjs	Correction d'un échec de test
units	Mise à jour des URL vers packetizer.com
user-mode-linux	Reconstruction avec linux mis à jour
wget2	Correction d'un problème d'écrasement de fichier avec metalink [CVE-2025-69194] ; correction de dépassement de tampon distant [CVE-2025-69195]
wireless-regdb	Nouvelle version amont stable ; mise à jour des informations réglementaires de plusieurs pays
wireshark	Nouvelle version amont stable ; correction d'un problème d'épuisement de mémoire du dissecteur HID USB [CVE-2026-3201] ; correction d'un plantage du dissecteur de profile RF4CE [CVE-2026-3203]
xen	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2025-58150] ; correction d'un problème d'isolement incomplet de vCPU [CVE-2026-23553]
zabbix	Nouvelle version amont stable ; correction de problèmes de fuite de données [CVE-2025-27231 CVE-2025-27233 CVE-2025-27236 CVE-2025-27238 CVE-2025-49641] ; correction d'un problème de déni de service [CVE-2025-49643]
zookeeper	Correction d'un échec de construction en sautant des tests peu fiables
zsh	Reconstruction avec la glibc mise à jour

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-6054	firefox-esr
DSA-6078	firefox-esr
DSA-6093	gimp
DSA-6094	libsodium
DSA-6095	foomuuri
DSA-6096	vlc
DSA-6097	chromium
DSA-6098	net-snmp
DSA-6099	python-parsl
DSA-6100	chromium
DSA-6101	firefox-esr
DSA-6102	python-urllib3
DSA-6103	thunderbird
DSA-6104	python-keystonemiddleware
DSA-6105	modsecurity-crs
DSA-6106	inetutils
DSA-6107	bind9
DSA-6108	chromium
DSA-6109	incus
DSA-6111	imagemagick
DSA-6112	openjdk-21
DSA-6113	openssl
DSA-6114	pyasn1
DSA-6115	gimp
DSA-6116	chromium
DSA-6117	python-django
DSA-6118	thunderbird
DSA-6119	jtreg8
DSA-6119	openjdk-25
DSA-6120	tomcat10
DSA-6121	tomcat11
DSA-6122	chromium
DSA-6123	xrdp
DSA-6124	wireshark
DSA-6125	usbmuxd
DSA-6126	linux-signed-amd64
DSA-6126	linux-signed-arm64
DSA-6126	linux
DSA-6128	shaarli
DSA-6129	munge
DSA-6130	haproxy
DSA-6131	nginx
DSA-6133	postgresql-17
DSA-6134	pdns-recursor
DSA-6135	chromium
DSA-6137	roundcube
DSA-6138	libpng1.6
DSA-6139	gimp
DSA-6140	gnutls28
DSA-6141	linux-signed-amd64
DSA-6141	linux-signed-arm64
DSA-6141	linux
DSA-6142	gegl
DSA-6143	libvpx
DSA-6144	inetutils
DSA-6145	nova
DSA-6146	chromium
DSA-6147	pillow
DSA-6148	firefox-esr
DSA-6149	nss
DSA-6150	python-django
DSA-6151	chromium
DSA-6152	thunderbird
DSA-6153	lxd
DSA-6155	spip
DSA-6156	gimp
DSA-6157	chromium

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/trixie/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.