Publication de la mise à jour de Debian 11.7
29 avril 2023
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa
distribution stable Debian 11 (nom de code Bullseye
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
akregator | Correction de vérifications de sécurité, y compris la correction de suppression de flux et de dossiers |
apache2 | Pas d'activation automatique d'apache2-doc.conf ; correction de régressions dans http2 et mod_rewrite introduites dans 2.4.56 |
at-spi2-core | Réglage du délai d'arrêt à 5 secondes, afin de ne pas bloquer inutilement l'arrêt du système |
avahi | Correction d'un problème de déni de service local [CVE-2021-3468] |
base-files | Mise à jour pour la version 11.7 |
c-ares | Dépassement de pile et déni de service évités [CVE-2022-4904] |
clamav | Nouvelle version amont stable ; correction d'un problème potentiel d'exécution de code à distance dans l'analyseur de fichiers HFS+ [CVE-2023-20032], d'une possible fuite d'informations dans l'analyseur de fichiers DMG [CVE-2023-20052] |
command-not-found | Ajout du nouveau composant non-free-firmware, corrigeant les mises à niveau vers Bookworm |
containerd | Correction d'un problème de déni de service [CVE-2023-25153] ; correction d'une possible élévation de privilèges au moyen d'un réglage incorrect de groupes supplémentaires [CVE-2023-25173] |
crun | Correction d'un problème d'élévation de capacités due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27650] |
cwltool | Ajout d'une dépendance manquante à python3-distutils |
debian-archive-keyring | Ajout des clés de Bookworm ; déplacement des clés de Stretch dans le trousseau de clés retirées |
debian-installer | Passage de l'ABI du noyau Linux à la version 5.10.0-22 ; reconstruction avec proposed-updates |
debian-installer-netboot-images | Reconstruction avec proposed-updates |
debian-ports-archive-keyring | Extension d'un an du délai d'expiration de la clé de signature 2023 ; ajout de la clé de signature 2024 ; déplacement de la clé de signature 2022 dans le trousseau de clés retirées |
dpdk | Nouvelle version amont stable |
duktape | Correction d'un problème de plantage [CVE-2021-46322] |
e2tools | Correction d'un échec de construction en ajoutant une dépendance de construction à e2fsprogs |
erlang | Correction d'un problème de contournement d'authentification du client [CVE-2022-37026] ; utilisation de l'optimisation -O1 pour armel parce que -O2 produit une erreur de segmentation d'erl sur certaines plateformes, par exemple Marvell |
exiv2 | Corrections de sécurité [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623] |
flask-security | Correction d'une vulnérabilité de redirection ouverte [CVE-2021-23385] |
flatpak | Nouvelle version amont stable ; protection des caractères spéciaux lors de l'affichage des permissions et des métadonnées [CVE-2023-28101] ; pas de copier-coller au moyen de l'ioctl TIOCLINUX permis lors de l'exécution dans une console virtuelle Linux [CVE-2023-28100] |
galera-3 | Nouvelle version amont stable |
ghostscript | Correction du chemin du fichier d'assistance PostScript dans ps2epsi |
glibc | Correction d'une fuite de mémoire dans les fonctions de la famille de printf avec des chaînes longues multi-octets ; correction d'un plantage dans cette famille de fonctions dû à des allocations dépendant de la taille et de la précision ; correction d'erreur de segmentation dans printf gérant des milliers de séparateurs ; correction de dépassement dans l'implémentation de AVX2 de wcsnlen avec des pages croisées |
golang-github-containers-common | Correction de l'analyse de DBUS_SESSION_BUS_ADDRESS |
golang-github-containers-psgo | Pas d'entrée dans l'espace de noms utilisateur du processus [CVE-2022-1227] |
golang-github-containers-storage | Fonctions précédemment internes rendues publiquement accessibles, ce qui est nécessaire pour permettre la correction du CVE-2022-1227 dans d'autres paquets |
golang-github-prometheus-exporter-toolkit | Correction des tests pour éviter une situation de compétition ; correction d'un problème d'empoisonnement du cache d'authentification [CVE-2022-46146] |
grep | Correction d'une correspondance incorrecte quand le dernier d'une série de motifs inclut une référence arrière |
gtk+3.0 | Correction de l'association Wayland + EGL sur les plateformes uniquement GLES |
guix | Correction d'un échec de construction dû à l'utilisation de clés expirées dans la suite de tests |
intel-microcode | Nouvelle version amont de correction de bogues |
isc-dhcp | Correction de la gestion de la durée de vie des adresses IPv6 |
jersey1 | Correction d'un échec de construction avec libjettison-java 1.5.3 |
joblib | Correction d'un problème d'exécution de code arbitraire [CVE-2022-21797] |
lemonldap-ng | Correction d'un problème de contournement de validation d'URL ; correction d'un problème d'authentification à deux facteurs lors de l'utilisation du gestionnaire AuthBasic [CVE-2023-28862] |
libapache2-mod-auth-openidc | Correction d'un problème de redirection ouverte [CVE-2022-23527] |
libapreq2 | Correction d'un problème de dépassement de tampon [CVE-2022-22728] |
libdatetime-timezone-perl | Mise à jour des données incluses |
libexplain | Amélioration de la compatibilité avec les dernières versions du noyau - Linux 5.11 n'a plus l'en-tête if_frad.h, termiox supprimé depuis le noyau 5.12 |
libgit2 | Activation de la vérification de clé SSH par défaut [CVE-2023-22742] |
libpod | Correction d'un problème d'élévation de privilèges [CVE-2022-1227] ; correction d'un problème d'élévation de capacité due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27649] ; correction de l'analyse de DBUS_SESSION_BUS_ADDRESS |
libreoffice | Changement de la monnaie par défaut de la Croatie pour l'Euro ; -Djava.class.path= vide évitée [CVE-2022-38745] |
libvirt | Correction de problèmes liés au redémarrage de conteneurs ; correction d'échecs de tests combinés avec les nouvelles versions de Xen |
libxpm | Correction de problèmes de boucle infinie [CVE-2022-44617 CVE-2022-46285] ; correction d'un problème de double libération de mémoire dans le code de gestion d'erreur ; correction de les commandes de compression dépendent de PATH[CVE-2022-4883] |
libzen | Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-36646] |
linux | Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 |
linux-signed-amd64 | Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 |
linux-signed-arm64 | Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 |
linux-signed-i386 | Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86 |
lxc | Correction de la présomption d'existence d'un fichier [CVE-2022-47952] |
macromoleculebuilder | Correction d'un échec de construction en ajoutant une dépendance de construction à docbook-xsl |
mariadb-10.5 | Nouvelle version amont stable ; suppression de la modification amont de l'API libmariadb |
mono | Retrait du fichier de bureau |
ncurses | Mise en garde contre la corruption de données de terminfo [CVE-2022-29458] ; correction du plantage de tic sur les clauses tc/use très longues |
needrestart | Correction des avertissements lors de l'utilisation de l'option -b |
node-cookiejar | Mise en garde contre les cookies de taille malveillante [CVE-2022-25901] |
node-webpack | Accès à des objets interdomaines évité [CVE-2023-28154] |
nvidia-graphics-drivers | Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
nvidia-graphics-drivers-tesla-450 | Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
nvidia-graphics-drivers-tesla-470 | Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
nvidia-modprobe | Nouvelle version amont |
openvswitch | Correction de la mise à jour d'openvswitch-switch laisse les interfaces arrêtées |
passenger | Correction de la compatibilité avec les versions plus récentes de NodeJS |
phyx | Retrait d'une dépendance de construction à libatlas-cpp non nécessaire |
postfix | Nouvelle version amont stable |
postgis | Correction du mauvais ordre des axes de projections polaires stéréographiques |
postgresql-13 | Nouvelle version amont stable ; correction d'un problème de divulgation de la mémoire du client [CVE-2022-41862] |
python-acme | Correction de la version des CSR créées, pour éviter des problèmes avec les implémentations de l'API ACME respectant strictement les RFC |
ruby-aws-sdk-core | Correction de la création du fichier de version |
ruby-cfpropertylist | Correction de certaines fonctionnalités en abandonnant la compatibilité avec Ruby 1.8 |
shim | Nouvelle version amont ; nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 |
shim-helpers-amd64-signed | Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 |
shim-helpers-arm64-signed | Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 |
shim-helpers-i386-signed | Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 |
shim-signed | Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4 |
snakeyaml | Correction de problèmes de déni de service [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751] ; ajout de documentation concernant la prise en charge et les problèmes de sécurité |
spyder | Correction de la duplication de code lors de l'enregistrement |
symfony | Retrait des en-têtes privés avant le stockage de réponses avec HttpCache [CVE-2022-24894] ; suppression des jetons CSRF du stockage en cas de connexion réussie [CVE-2022-24895] |
systemd | Correction d'une fuite d'informations [CVE-2022-4415], d'un problème de déni de service [CVE-2022-3821] ; ata_id : correction de l'obtention du code de réponse à partir des SCSI Sense Data; logind : correction de l'obtention de la propriété OnExternalPower au moyen de D-Bus ; correction d'un plantage dans systemd-machined |
tomcat9 | Ajout de la prise en charge d'OpenJDK 17 à la détection de JDK |
traceroute | Interprétation des adresses v4mapped-IPv6 comme des adresses IPv4 |
tzdata | Mise à jour des données incluses |
unbound | Correction d'une Non-Responsive Delegation Attack[CVE-2022-3204] ; correction d'un problème de noms de domaine fantômes[CVE-2022-30698 CVE-2022-30699] |
usb.ids | Mise à jour des données incluses |
vagrant | Ajout de la prise en charge de VirtualBox 7.0 |
voms-api-java | Correction d'échecs de construction en désactivant certains tests non fonctionnels |
w3m | Correction d'un problème d'écriture hors limites [CVE-2022-38223] |
x4d-icons | Correction d'un échec de construction avec les nouvelles versions d'imagemagick |
xapian-core | Corruption de la base de données évitée lors d'une saturation du disque |
zfs-linux | Ajout de plusieurs améliorations de stabilité |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
bind-dyndb-ldap | Cassé avec les nouvelles versions de bind9 ; pas de prise en charge possible dans stable |
matrix-mirage | Dépend de python-matrix-nio qui doit être retiré |
pantalaimon | Dépend de python-matrix-nio qui doit être retiré |
python-matrix-nio | Problèmes de sécurité ; ne fonctionne pas avec les serveurs Matrix actuels |
weechat-matrix | Dépend de python-matrix-nio qui doit être retiré |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.