------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 11.3
press@debian.org 26 mars 2022
https://www.debian.org/News/2022/20220326 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 11 (nom de code « Bullseye »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 11 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bullseye. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
apache-log4j1.2 Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302
CVE-2022-23305 CVE-2022-23307] résolus en
supprimant la prise en charge des modules JMSSink,
JDBCAppender, JMSAppender et Apache Chainsaw
apache-log4j2 Correction d'un problème d'exécution de code à
distance [CVE-2021-44832]
apache2 Nouvelle version amont ; correction d'un plantage
dû à une lecture aléatoire de mémoire
[CVE-2022-22719] ; correction d'un problème de
dissimulation de requête HTTP [CVE-2022-22720] ;
corrections de problèmes de lecture hors limites
[CVE-2022-22721 CVE-2022-23943]
atftp Correction d'un problème de fuite d'informations
[CVE-2021-46671]
base-files Mise à jour pour cette version 11.3
bible-kjv Correction d'une erreur due à un décalage d'entier
dans la recherche
chrony Lecture permise du fichier de configuration de
chronyd que génère timemaster(8)
cinnamon Correction d'un plantage lors de l'ajout d'un
compte en ligne avec connexion
clamav Nouvelle version amont stable ; correction d'un
problème de déni de service [CVE-2022-20698]
cups-filters Apparmor : lecture permise à partir du fichier de
configuration de cups-browsed dans Debian Edu
dask.distributed Correction de l'écoute non souhaitée de « workers »
sur les interfaces publiques [CVE-2021-42343] ;
correction de la compatibilité avec Python 3.9
debian-installer Reconstruction avec proposed-updates ; mise à jour
de l'ABI du noyau vers la version 5.10.0-13
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-ports-archive-keyring
Ajout de la « clé de signature automatique de
l'archive des portages de Debian (2023) » ;
migration de la clé de 2021 dans le trousseau
retiré
django-allauth Correction de la prise en charge d'OpenID
djbdns Limite des données de axfrdns, dnscache et tinydns
réhaussée
dpdk Nouvelle version amont stable
e2guardian Correction d'un problème de certificat SSL manquant
[CVE-2021-44273]
epiphany-browser Contournement d'un bogue dans la GLib, corrigeant
un plantage du processus de l'interface utilisateur
espeak-ng Suppression du délai infondé de 50 ms durant le
traitement des événements
espeakup debian/espeakup.service : protection d'espeakup
contre les surcharges du système
fcitx5-chinese-addons
fcitx5-table : ajout de dépendances manquantes à
fcitx5-module-pinyinhelper et
fcitx5-module-punctuation
flac Correction d'un problème de lecture hors limites
[CVE-2021-0561]
freerdp2 Désactivation de la journalisation supplémentaire
de débogage
galera-3 Nouvelle version amont
galera-4 Nouvelle version amont
gbonds Utilisation de l'API Treasury pour les données de
remboursement
glewlwyd Correction d'une possible élévation de privilèges
glibc Correction d'une conversion incorrecte à partir
d'ISO-2022-JP-3 avec iconv [CVE-2021-43396] ;
correction de problèmes de dépassement de tampon
[CVE-2022-23218 CVE-2022-23219] ; correction d'un
problème d'utilisation de mémoire après libération
[CVE-2021-33574] ; arrêt du remplacement des
versions plus anciennes de /etc/nsswitch.conf ;
simplification de la vérification des versions du
noyau prises en charge dans la mesure où les
noyaux 2.x ne sont plus pris en charge ; prise en
charge de l'installation des noyaux avec un numéro
supérieur à 255
glx-alternatives Après la configuration initiale des détournements,
installation d'une alternative minimale aux
fichiers détournés afin que des bibliothèques ne
soient pas manquantes jusqu'à ce que
glx-alternative-mesa traite ses déclenchements
gnupg2 scd : Correction du pilote CCID pour SCM
SPR332/SPR532 ; interaction réseau évitée dans
generator qui peut mener à des blocages
gnuplot Correction d'une division par zéro [CVE-2021-44917]
golang-1.15 Correction d'IsOnCurve pour les valeurs big.Int qui
n'ont pas de coordonnées valables
[CVE-2022-23806] ; math/big : grosse consommation
de mémoire évitée dans Rat.SetString
[CVE-2022-23772] ; cmd/go : pas de matérialisation
des branches en versions [CVE-2022-23773] ;
correction d'épuisement de pile lors de la
compilation d'expressions profondément imbriquées
[CVE-2022-24921]
golang-github-containers-common
Mise à jour de la prise en charge de seccomp pour
activer l'utilisation des dernières versions du
noyau
golang-github-opencontainers-specs
Mise à jour de la prise en charge de seccomp pour
activer l'utilisation des dernières versions du
noyau
gtk+3.0 Correction de résultat de recherche manquants lors
de l'utilisation de NFS ; verrouillage de la
gestion du presse-papier de Wayland évité dans
certains cas particuliers ; amélioration de
l'impression sur les imprimantes découvertes par
mDNS
heartbeat Correction de la création de /run/heartbeat sur les
systèmes utilisant systemd
htmldoc Correction d'un problème de lecture hors limites
[CVE-2022-0534]
installation-guide Mise à jour de la documentation et des traductions
intel-microcode Mise en jour du microprogramme inclus ; atténuation
de certains problèmes de sécurité [CVE-2020-8694
CVE-2020-8695 CVE-2021-0127 CVE-2021-0145
CVE-2021-0146 CVE-2021-33120]
ldap2zone Utilisation de « mktemp » à la place de
« tempfile » obsolète, évitant des avertissements
lemonldap-ng Correction du processus d'authentification dans les
greffons de test de mot de passe [CVE-2021-40874]
libarchive Correction de l'extraction de liens directs en
liens symboliques ; correction de la gestion des
ACL des liens symboliques [CVE-2021-23177] ; liens
symboliques non suivis lors de la configuration des
attributs de fichier [CVE-2021-31566]
libdatetime-timezone-perl
Mise à jour des données incluses
libgdal-grass Reconstruction avec grass 7.8.5-1+deb11u1
libpod Mise à jour de la prise en charge de seccomp pour
activer l'utilisation des dernières versions du
noyau
libxml2 Correction d'un problème d'utilisation de mémoire
après libération [CVE-2022-23308]
linux Nouvelle version amont stable ; [rt] mise à jour
vers la version 5.10.106-rt64; passage de l'ABI à
la version 13
linux-signed-amd64 Nouvelle version amont stable ; [rt] mise à jour
vers la version 5.10.106-rt64; passage de l'ABI à
la version 13
linux-signed-arm64 Nouvelle version amont stable ; [rt] mise à jour
vers la version 5.10.106-rt64; passage de l'ABI à
la version 13
linux-signed-i386 Nouvelle version amont stable ; [rt] mise à jour
vers la version 5.10.106-rt64; passage de l'ABI à
la version 13
mariadb-10.5 Nouvelle version amont stable ; corrections de
sécurité [CVE-2021-35604 CVE-2021-46659
CVE-2021-46661 CVE-2021-46662 CVE-2021-46663
CVE-2021-46664 CVE-2021-46665 CVE-2021-46667
CVE-2021-46668 CVE-2022-24048 CVE-2022-24050
CVE-2022-24051 CVE-2022-24052]
mpich Ajout du champ Break dans les versions plus
anciennes de libmpich1.0-dev, résolvant certains
problèmes de mise à niveau
mujs Correction d'un problème de dépassement de tampon
[CVE-2021-45005]
mutter Rétroportage de divers correctifs de la branche
stable amont
node-cached-path-relative
Correction d'un problème de pollution de prototype
[CVE-2021-23518]
node-fetch Pas de transmission d'en-têtes sécurisés aux
domaines tiers [CVE-2022-0235]
node-follow-redirects
Pas d'envoi d'en-tête Cookie entre domaines
[CVE-2022-0155] ; pas d'envoi d'en-têtes
confidentiels entre schémas [CVE-2022-0536]
node-markdown-it Correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2022-21670]
node-nth-check Correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2021-3803]
node-prismjs Balise protégée dans les sorties de la ligne de
commande [CVE-2022-23647] ; mise à jour des
fichiers minimisés pour assurer que le problème de
déni de service basé sur les expressions
rationnelles est résolu [CVE-2021-3801]
node-trim-newlines Correction d'un problème de déni de service basé
sur les expressions rationnelles [CVE-2021-33623]
nvidia-cuda-toolkit cuda-gdb : désactivation de la prise en charge non
fonctionnelle de Python provoquant des erreurs de
segmentation ; utilisation d'un instantané
(« snapshot ») d'openjdk-8-jre (8u312-b07-1)
nvidia-graphics-drivers-tesla-450
Nouvelle version amont ; corrections de problèmes
de déni de service [CVE-2022- 21813
CVE-2022-21814] ; nvidia-kernel-support :
fourniture de /etc/modprobe.d/nvidia-options.conf
comme modèle
nvidia-modprobe Nouvelle version amont
openboard Correction de l'icône de l'application
openssl Nouvelle version amont ; correction de
l’authentification de pointeur d'armv8
openvswitch Correction d'un problème d'utilisation de mémoire
après libération [CVE-2021-36980] ; correction de
l'installation de libofproto
ostree Correction de compatibilité avec eCryptFS ;
récursion infinie évitée lors de la récupération de
certaines erreurs ; commits marqués comme partiels
avant téléchargement ; correction d'un échec
d'assertion lors de l'utilisation d'un rétroportage
ou d'une construction locale de GLib >= 2.71 ;
correction de la possibilité de récupérer du
contenu d'OSTree à partir de chemins contenant des
caractères inconnus dans les URI (tels qu'une barre
oblique inverse) ou non ASCII
pdb2pqr Correction de la compatibilité de propka avec
Python 3.8 ou supérieur
php-crypt-gpg Passage d'option supplémentaire à GPG empêché
[CVE-2022-24953]
php-laravel-framework
Correction d'un problème de script intersite
[CVE-2021-43808], et de l'absence de blocage de
téléchargement de contenu exécutable
[CVE-2021-43617]
phpliteadmin Correction d'un problème de script intersite
[CVE-2021-46709]
prips Correction d'une encapsulation infinie si une plage
atteint 255.255.255.255 ; correction de sortie de
CIDR avec des adresses dont le premier bit diffère
pypy3 Correction d'échecs de construction en supprimant
un #endif superflu de import.h
python-django Correction d'un problème de déni de service
[CVE-2021-45115], d'un problème de divulgations
d'informations [CVE-2021-45116], d'un problème de
traversée de répertoires [CVE-2021-45452] ;
correction d'une trace d'appel autour de la gestion
de RequestSite/get_current_site() due à une
importation circulaire
python-pip Situation de compétition évitée lors de
l'utilisation de dépendances importées par zip
rust-cbindgen Nouvelle version amont stable pour prendre en
charge la construction des dernières versions de
firefox-esr et de thunderbird
s390-dasd Plus de transmission de l'option obsolète -f à
dasdfmt
schleuder Migration de valeurs booléennes en entiers, si
l'adaptateur de connexion ActiveRecord de SQLite3
est utilisé, rétablissant la fonctionnalité
sphinx-bootstrap-theme
Correction de la fonction de recherche
spip Correction de plusieurs problèmes de script
intersite
symfony Correction d'un problème d'injection de CVE
[CVE-2021-41270]
systemd Correction d'une récursion non contrôlée dans
systemd-tmpfiles [CVE-2021-3997] ; passage de
systemd-timesyncd de « Depends » à « Recommends »,
supprimant un cycle de dépendances ; correction
d'un échec de montage avec l'option bind d'un
répertoire dans un conteneur avec machinectl ;
correction d'une régression dans udev provoquant de
longs délais lors du traitement de partitions
portant la même étiquette ; correction d'une
régression lors de l'utilisation de
systemd-networkd dans un conteneur LXD non
privilégié
sysvinit Correction de l'analyse de « shutdown +0 » ;
clarification du fait que lorsqu'il est appelé avec
« heure » shutdown ne quittera pas
tasksel Installation de CUPS pour toutes les tâches
*-desktop dans la mesure où task-print-service
n'existe plus
usb.ids Mise à jour des données incluses
weechat Correction d'un problème de déni de service
[CVE-2021-40516]
wolfssl Correction de plusieurs problèmes liés à la gestion
d'OCSP [CVE-2021-3336 CVE-2021-37155
CVE-2021-38597] et à la prise en charge de TLS1.3
[CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel
Correction d'un plantage de SIGILL avec les
processeurs non SSE2
xterm Correction d'un problème de dépassement de tampon
[CVE-2022-24130]
zziplib Correction d'un problème de déni de service
[CVE-2020-18442]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5012 openjdk-17
DSA-5021 mediawiki
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5025 tang
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5031 wpewebkit
DSA-5033 fort-validator
DSA-5035 apache2
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5041 cfrpki
DSA-5042 epiphany-browser
DSA-5043 lxml
DSA-5046 chromium
DSA-5047 prosody
DSA-5048 libreswan
DSA-5049 flatpak-builder
DSA-5049 flatpak
DSA-5050 linux-signed-amd64
DSA-5050 linux-signed-arm64
DSA-5050 linux-signed-i386
DSA-5050 linux
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5054 chromium
DSA-5055 util-linux
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5058 openjdk-17
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5061 wpewebkit
DSA-5062 nss
DSA-5063 uriparser
DSA-5064 python-nbxmpp
DSA-5065 ipython
DSA-5067 ruby2.7
DSA-5068 chromium
DSA-5070 cryptsetup
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5077 librecad
DSA-5078 zsh
DSA-5079 chromium
DSA-5080 snapd
DSA-5081 redis
DSA-5082 php7.4
DSA-5083 webkit2gtk
DSA-5084 wpewebkit
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5089 chromium
DSA-5091 containerd
DSA-5092 linux-signed-amd64
DSA-5092 linux-signed-arm64
DSA-5092 linux-signed-i386
DSA-5092 linux
DSA-5093 spip
DSA-5095 linux-signed-amd64
DSA-5095 linux-signed-arm64
DSA-5095 linux-signed-i386
DSA-5095 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5102 haproxy
DSA-5103 openssl
DSA-5104 chromium
DSA-5105 bind9
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
angular-maven-plugin Plus nécessaire
minify-maven-plugin Plus nécessaire
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bullseye/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à
<