Publication de la mise à jour de Debian 11.7

29 avril 2023

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 11 (nom de code Bullseye). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
akregator Correction de vérifications de sécurité, y compris la correction de suppression de flux et de dossiers
apache2 Pas d'activation automatique d'apache2-doc.conf ; correction de régressions dans http2 et mod_rewrite introduites dans 2.4.56
at-spi2-core Réglage du délai d'arrêt à 5 secondes, afin de ne pas bloquer inutilement l'arrêt du système
avahi Correction d'un problème de déni de service local [CVE-2021-3468]
base-files Mise à jour pour la version 11.7
c-ares Dépassement de pile et déni de service évités [CVE-2022-4904]
clamav Nouvelle version amont stable ; correction d'un problème potentiel d'exécution de code à distance dans l'analyseur de fichiers HFS+ [CVE-2023-20032], d'une possible fuite d'informations dans l'analyseur de fichiers DMG [CVE-2023-20052]
command-not-found Ajout du nouveau composant non-free-firmware, corrigeant les mises à niveau vers Bookworm
containerd Correction d'un problème de déni de service [CVE-2023-25153] ; correction d'une possible élévation de privilèges au moyen d'un réglage incorrect de groupes supplémentaires [CVE-2023-25173]
crun Correction d'un problème d'élévation de capacités due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27650]
cwltool Ajout d'une dépendance manquante à python3-distutils
debian-archive-keyring Ajout des clés de Bookworm ; déplacement des clés de Stretch dans le trousseau de clés retirées
debian-installer Passage de l'ABI du noyau Linux à la version 5.10.0-22 ; reconstruction avec proposed-updates
debian-installer-netboot-images Reconstruction avec proposed-updates
debian-ports-archive-keyring Extension d'un an du délai d'expiration de la clé de signature 2023 ; ajout de la clé de signature 2024 ; déplacement de la clé de signature 2022 dans le trousseau de clés retirées
dpdk Nouvelle version amont stable
duktape Correction d'un problème de plantage [CVE-2021-46322]
e2tools Correction d'un échec de construction en ajoutant une dépendance de construction à e2fsprogs
erlang Correction d'un problème de contournement d'authentification du client [CVE-2022-37026] ; utilisation de l'optimisation -O1 pour armel parce que -O2 produit une erreur de segmentation d'erl sur certaines plateformes, par exemple Marvell
exiv2 Corrections de sécurité [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623]
flask-security Correction d'une vulnérabilité de redirection ouverte [CVE-2021-23385]
flatpak Nouvelle version amont stable ; protection des caractères spéciaux lors de l'affichage des permissions et des métadonnées [CVE-2023-28101] ; pas de copier-coller au moyen de l'ioctl TIOCLINUX permis lors de l'exécution dans une console virtuelle Linux [CVE-2023-28100]
galera-3 Nouvelle version amont stable
ghostscript Correction du chemin du fichier d'assistance PostScript dans ps2epsi
glibc Correction d'une fuite de mémoire dans les fonctions de la famille de printf avec des chaînes longues multi-octets ; correction d'un plantage dans cette famille de fonctions dû à des allocations dépendant de la taille et de la précision ; correction d'erreur de segmentation dans printf gérant des milliers de séparateurs ; correction de dépassement dans l'implémentation de AVX2 de wcsnlen avec des pages croisées
golang-github-containers-common Correction de l'analyse de DBUS_SESSION_BUS_ADDRESS
golang-github-containers-psgo Pas d'entrée dans l'espace de noms utilisateur du processus [CVE-2022-1227]
golang-github-containers-storage Fonctions précédemment internes rendues publiquement accessibles, ce qui est nécessaire pour permettre la correction du CVE-2022-1227 dans d'autres paquets
golang-github-prometheus-exporter-toolkit Correction des tests pour éviter une situation de compétition ; correction d'un problème d'empoisonnement du cache d'authentification [CVE-2022-46146]
grep Correction d'une correspondance incorrecte quand le dernier d'une série de motifs inclut une référence arrière
gtk+3.0 Correction de l'association Wayland + EGL sur les plateformes uniquement GLES
guix Correction d'un échec de construction dû à l'utilisation de clés expirées dans la suite de tests
intel-microcode Nouvelle version amont de correction de bogues
isc-dhcp Correction de la gestion de la durée de vie des adresses IPv6
jersey1 Correction d'un échec de construction avec libjettison-java 1.5.3
joblib Correction d'un problème d'exécution de code arbitraire [CVE-2022-21797]
lemonldap-ng Correction d'un problème de contournement de validation d'URL ; correction d'un problème d'authentification à deux facteurs lors de l'utilisation du gestionnaire AuthBasic [CVE-2023-28862]
libapache2-mod-auth-openidc Correction d'un problème de redirection ouverte [CVE-2022-23527]
libapreq2 Correction d'un problème de dépassement de tampon [CVE-2022-22728]
libdatetime-timezone-perl Mise à jour des données incluses
libexplain Amélioration de la compatibilité avec les dernières versions du noyau - Linux 5.11 n'a plus l'en-tête if_frad.h, termiox supprimé depuis le noyau 5.12
libgit2 Activation de la vérification de clé SSH par défaut [CVE-2023-22742]
libpod Correction d'un problème d'élévation de privilèges [CVE-2022-1227] ; correction d'un problème d'élévation de capacité due au démarrage incorrect de conteneurs avec des permissions par défaut non vides [CVE-2022-27649] ; correction de l'analyse de DBUS_SESSION_BUS_ADDRESS
libreoffice Changement de la monnaie par défaut de la Croatie pour l'Euro ; -Djava.class.path= vide évitée [CVE-2022-38745]
libvirt Correction de problèmes liés au redémarrage de conteneurs ; correction d'échecs de tests combinés avec les nouvelles versions de Xen
libxpm Correction de problèmes de boucle infinie [CVE-2022-44617 CVE-2022-46285] ; correction d'un problème de double libération de mémoire dans le code de gestion d'erreur ; correction de les commandes de compression dépendent de PATH [CVE-2022-4883]
libzen Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-36646]
linux Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 22 ; [rt] mise à jour vers la version 5.10.176-rt86
lxc Correction de la présomption d'existence d'un fichier [CVE-2022-47952]
macromoleculebuilder Correction d'un échec de construction en ajoutant une dépendance de construction à docbook-xsl
mariadb-10.5 Nouvelle version amont stable ; suppression de la modification amont de l'API libmariadb
mono Retrait du fichier de bureau
ncurses Mise en garde contre la corruption de données de terminfo [CVE-2022-29458] ; correction du plantage de tic sur les clauses tc/use très longues
needrestart Correction des avertissements lors de l'utilisation de l'option -b
node-cookiejar Mise en garde contre les cookies de taille malveillante [CVE-2022-25901]
node-webpack Accès à des objets interdomaines évité [CVE-2023-28154]
nvidia-graphics-drivers Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-450 Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-470 Nouvelle version amont ; corrections de sécurité [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-modprobe Nouvelle version amont
openvswitch Correction de la mise à jour d'openvswitch-switch laisse les interfaces arrêtées
passenger Correction de la compatibilité avec les versions plus récentes de NodeJS
phyx Retrait d'une dépendance de construction à libatlas-cpp non nécessaire
postfix Nouvelle version amont stable
postgis Correction du mauvais ordre des axes de projections polaires stéréographiques
postgresql-13 Nouvelle version amont stable ; correction d'un problème de divulgation de la mémoire du client [CVE-2022-41862]
python-acme Correction de la version des CSR créées, pour éviter des problèmes avec les implémentations de l'API ACME respectant strictement les RFC
ruby-aws-sdk-core Correction de la création du fichier de version
ruby-cfpropertylist Correction de certaines fonctionnalités en abandonnant la compatibilité avec Ruby 1.8
shim Nouvelle version amont ; nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-amd64-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-arm64-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-helpers-i386-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
shim-signed Nouvelle version amont stable ; activation de la prise en charge de NX au moment de la construction ; blocage des binaires de grub de Debian avec sbat < 4
snakeyaml Correction de problèmes de déni de service [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751] ; ajout de documentation concernant la prise en charge et les problèmes de sécurité
spyder Correction de la duplication de code lors de l'enregistrement
symfony Retrait des en-têtes privés avant le stockage de réponses avec HttpCache [CVE-2022-24894] ; suppression des jetons CSRF du stockage en cas de connexion réussie [CVE-2022-24895]
systemd Correction d'une fuite d'informations [CVE-2022-4415], d'un problème de déni de service [CVE-2022-3821] ; ata_id : correction de l'obtention du code de réponse à partir des SCSI Sense Data ; logind : correction de l'obtention de la propriété OnExternalPower au moyen de D-Bus ; correction d'un plantage dans systemd-machined
tomcat9 Ajout de la prise en charge d'OpenJDK 17 à la détection de JDK
traceroute Interprétation des adresses v4mapped-IPv6 comme des adresses IPv4
tzdata Mise à jour des données incluses
unbound Correction d'une Non-Responsive Delegation Attack [CVE-2022-3204] ; correction d'un problème de noms de domaine fantômes [CVE-2022-30698 CVE-2022-30699]
usb.ids Mise à jour des données incluses
vagrant Ajout de la prise en charge de VirtualBox 7.0
voms-api-java Correction d'échecs de construction en désactivant certains tests non fonctionnels
w3m Correction d'un problème d'écriture hors limites [CVE-2022-38223]
x4d-icons Correction d'un échec de construction avec les nouvelles versions d'imagemagick
xapian-core Corruption de la base de données évitée lors d'une saturation du disque
zfs-linux Ajout de plusieurs améliorations de stabilité

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-5170 nodejs
DSA-5237 firefox-esr
DSA-5238 thunderbird
DSA-5259 firefox-esr
DSA-5262 thunderbird
DSA-5282 firefox-esr
DSA-5284 thunderbird
DSA-5300 pngcheck
DSA-5301 firefox-esr
DSA-5302 chromium
DSA-5303 thunderbird
DSA-5304 xorg-server
DSA-5305 libksba
DSA-5306 gerbv
DSA-5307 libcommons-net-java
DSA-5308 webkit2gtk
DSA-5309 wpewebkit
DSA-5310 ruby-image-processing
DSA-5311 trafficserver
DSA-5312 libjettison-java
DSA-5313 hsqldb
DSA-5314 emacs
DSA-5315 libxstream-java
DSA-5316 netty
DSA-5317 chromium
DSA-5318 lava
DSA-5319 openvswitch
DSA-5320 tor
DSA-5321 sudo
DSA-5322 firefox-esr
DSA-5323 libitext5-java
DSA-5324 linux-signed-amd64
DSA-5324 linux-signed-arm64
DSA-5324 linux-signed-i386
DSA-5324 linux
DSA-5325 spip
DSA-5326 nodejs
DSA-5327 swift
DSA-5328 chromium
DSA-5329 bind9
DSA-5330 curl
DSA-5331 openjdk-11
DSA-5332 git
DSA-5333 tiff
DSA-5334 varnish
DSA-5335 openjdk-17
DSA-5336 glance
DSA-5337 nova
DSA-5338 cinder
DSA-5339 libhtml-stripscripts-perl
DSA-5340 webkit2gtk
DSA-5341 wpewebkit
DSA-5342 xorg-server
DSA-5343 openssl
DSA-5344 heimdal
DSA-5345 chromium
DSA-5346 libde265
DSA-5347 imagemagick
DSA-5348 haproxy
DSA-5349 gnutls28
DSA-5350 firefox-esr
DSA-5351 webkit2gtk
DSA-5352 wpewebkit
DSA-5353 nss
DSA-5355 thunderbird
DSA-5356 sox
DSA-5357 git
DSA-5358 asterisk
DSA-5359 chromium
DSA-5361 tiff
DSA-5362 frr
DSA-5363 php7.4
DSA-5364 apr-util
DSA-5365 curl
DSA-5366 multipath-tools
DSA-5367 spip
DSA-5368 libreswan
DSA-5369 syslog-ng
DSA-5370 apr
DSA-5371 chromium
DSA-5372 rails
DSA-5373 node-sqlite3
DSA-5374 firefox-esr
DSA-5375 thunderbird
DSA-5376 apache2
DSA-5377 chromium
DSA-5378 xen
DSA-5379 dino-im
DSA-5380 xorg-server
DSA-5381 tomcat9
DSA-5382 cairosvg
DSA-5383 ghostscript
DSA-5384 openimageio
DSA-5385 firefox-esr
DSA-5386 chromium
DSA-5387 openvswitch
DSA-5388 haproxy
DSA-5389 rails
DSA-5390 chromium
DSA-5391 libxml2
DSA-5392 thunderbird
DSA-5393 chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
bind-dyndb-ldap Cassé avec les nouvelles versions de bind9 ; pas de prise en charge possible dans stable
matrix-mirage Dépend de python-matrix-nio qui doit être retiré
pantalaimon Dépend de python-matrix-nio qui doit être retiré
python-matrix-nio Problèmes de sécurité ; ne fonctionne pas avec les serveurs Matrix actuels
weechat-matrix Dépend de python-matrix-nio qui doit être retiré

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Adresse de l'actuelle distribution stable :

https://deb.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

https://deb.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.