------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 11.7
press@debian.org 29 avril 2023
https://www.debian.org/News/2023/20230429 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 11 (nom de code « Bullseye »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 11 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Bullseye. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
akregator Correction de vérifications de sécurité, y compris
la correction de suppression de flux et de dossiers
apache2 Pas d'activation automatique d'apache2-doc.conf ;
correction de régressions dans http2 et mod_rewrite
introduites dans 2.4.56
at-spi2-core Réglage du délai d'arrêt à 5 secondes, afin de ne
pas bloquer inutilement l'arrêt du système
avahi Correction d'un problème de déni de service local
[CVE-2021-3468]
base-files Mise à jour pour la version 11.7
c-ares Dépassement de pile et déni de service évités
[CVE-2022-4904]
clamav Nouvelle version amont stable ; correction d'un
problème potentiel d'exécution de code à distance
dans l'analyseur de fichiers HFS+ [CVE-2023-20032],
d'une possible fuite d'informations dans
l'analyseur de fichiers DMG [CVE-2023-20052]
command-not-found Ajout du nouveau composant non-free-firmware,
corrigeant les mises à niveau vers Bookworm
containerd Correction d'un problème de déni de service
[CVE-2023-25153] ; correction d'une possible
élévation de privilèges au moyen d'un réglage
incorrect de groupes supplémentaires
[CVE-2023-25173]
crun Correction d'un problème d'élévation de capacités
due au démarrage incorrect de conteneurs avec des
permissions par défaut non vides [CVE-2022-27650]
cwltool Ajout d'une dépendance manquante à
python3-distutils
debian-archive-keyring
Ajout des clés de Bookworm ; déplacement des clés
de Stretch dans le trousseau de clés retirées
debian-installer Passage de l'ABI du noyau Linux à la version
5.10.0-22 ; reconstruction avec proposed-updates
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-ports-archive-keyring
Extension d'un an du délai d'expiration de la clé
de signature 2023 ; ajout de la clé de signature
2024 ; déplacement de la clé de signature 2022 dans
le trousseau de clés retirées
dpdk Nouvelle version amont stable
duktape Correction d'un problème de plantage
[CVE-2021-46322]
e2tools Correction d'un échec de construction en ajoutant
une dépendance de construction à e2fsprogs
erlang Correction d'un problème de contournement
d'authentification du client [CVE-2022-37026] ;
utilisation de l'optimisation -O1 pour armel parce
que -O2 produit une erreur de segmentation d'erl
sur certaines plateformes, par exemple Marvell
exiv2 Corrections de sécurité [CVE-2021-29458
CVE-2021-29463 CVE-2021-29464 CVE-2021-29470
CVE-2021-29473 CVE-2021-29623 CVE-2021-32815
CVE-2021-34334 CVE-2021-34335 CVE-2021-3482
CVE-2021-37615 CVE-2021-37616 CVE-2021-37618
CVE-2021-37619 CVE-2021-37620 CVE-2021-37621
CVE-2021-37622 CVE-2021-37623]
flask-security Correction d'une vulnérabilité de redirection
ouverte [CVE-2021-23385]
flatpak Nouvelle version amont stable ; protection des
caractères spéciaux lors de l'affichage des
permissions et des métadonnées [CVE-2023-28101] ;
pas de copier-coller au moyen de l'ioctl TIOCLINUX
permis lors de l'exécution dans une console
virtuelle Linux [CVE-2023-28100]
galera-3 Nouvelle version amont stable
ghostscript Correction du chemin du fichier d'assistance
PostScript dans ps2epsi
glibc Correction d'une fuite de mémoire dans les
fonctions de la famille de printf avec des chaînes
longues multi-octets ; correction d'un plantage
dans cette famille de fonctions dû à des
allocations dépendant de la taille et de la
précision ; correction d'erreur de segmentation
dans printf gérant des milliers de séparateurs ;
correction de dépassement dans l'implémentation de
AVX2 de wcsnlen avec des pages croisées
golang-github-containers-common
Correction de l'analyse de DBUS_SESSION_BUS_ADDRESS
golang-github-containers-psgo
Pas d'entrée dans l'espace de noms utilisateur du
processus [CVE-2022-1227]
golang-github-containers-storage
Fonctions précédemment internes rendues
publiquement accessibles, ce qui est nécessaire
pour permettre la correction du CVE-2022-1227 dans
d'autres paquets
golang-github-prometheus-exporter-toolkit
Correction des tests pour éviter une situation de
compétition ; correction d'un problème
d'empoisonnement du cache d'authentification
[CVE-2022-46146]
grep Correction d'une correspondance incorrecte quand le
dernier d'une série de motifs inclut une référence
arrière
gtk+3.0 Correction de l'association Wayland + EGL sur les
plateformes uniquement GLES
guix Correction d'un échec de construction dû à
l'utilisation de clés expirées dans la suite de
tests
intel-microcode Nouvelle version amont de correction de bogues
isc-dhcp Correction de la gestion de la durée de vie des
adresses IPv6
jersey1 Correction d'un échec de construction avec
libjettison-java 1.5.3
joblib Correction d'un problème d'exécution de code
arbitraire [CVE-2022-21797]
lemonldap-ng Correction d'un problème de contournement de
validation d'URL ; correction d'un problème
d'authentification à deux facteurs lors de
l'utilisation du gestionnaire AuthBasic
[CVE-2023-28862]
libapache2-mod-auth-openidc
Correction d'un problème de redirection ouverte
[CVE-2022-23527]
libapreq2 Correction d'un problème de dépassement de tampon
[CVE-2022-22728]
libdatetime-timezone-perl
Mise à jour des données incluses
libexplain Amélioration de la compatibilité avec les dernières
versions du noyau - Linux 5.11 n'a plus l'en-tête
if_frad.h, termiox supprimé depuis le noyau 5.12
libgit2 Activation de la vérification de clé SSH par défaut
[CVE-2023-22742]
libpod Correction d'un problème d'élévation de privilèges
[CVE-2022-1227] ; correction d'un problème
d'élévation de capacité due au démarrage incorrect
de conteneurs avec des permissions par défaut non
vides [CVE-2022-27649] ; correction de l'analyse de
DBUS_SESSION_BUS_ADDRESS
libreoffice Changement de la monnaie par défaut de la Croatie
pour l'Euro ; -Djava.class.path= vide évitée
[CVE-2022-38745]
libvirt Correction de problèmes liés au redémarrage de
conteneurs ; correction d'échecs de tests combinés
avec les nouvelles versions de Xen
libxpm Correction de problèmes de boucle infinie
[CVE-2022-44617 CVE-2022-46285] ; correction d'un
problème de double libération de mémoire dans le
code de gestion d'erreur ; correction de « les
commandes de compression dépendent de PATH »
[CVE-2022-4883]
libzen Correction d'un problème de déréférencement de
pointeur NULL [CVE-2020-36646]
linux Nouvelle version amont stable ; passage de l'ABI à
la version 22 ; [rt] mise à jour vers la version
5.10.176-rt86
linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à
la version 22 ; [rt] mise à jour vers la version
5.10.176-rt86
linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à
la version 22 ; [rt] mise à jour vers la version
5.10.176-rt86
linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à
la version 22 ; [rt] mise à jour vers la version
5.10.176-rt86
lxc Correction de la présomption d'existence d'un
fichier [CVE-2022-47952]
macromoleculebuilder
Correction d'un échec de construction en ajoutant
une dépendance de construction à docbook-xsl
mariadb-10.5 Nouvelle version amont stable ; suppression de la
modification amont de l'API libmariadb
mono Retrait du fichier de bureau
ncurses Mise en garde contre la corruption de données de
terminfo [CVE-2022-29458] ; correction du plantage
de tic sur les clauses tc/use très longues
needrestart Correction des avertissements lors de l'utilisation
de l'option « -b »
node-cookiejar Mise en garde contre les cookies de taille
malveillante [CVE-2022-25901]
node-webpack Accès à des objets interdomaines évité
[CVE-2023-28154]
nvidia-graphics-drivers
Nouvelle version amont ; corrections de sécurité
[CVE-2023-0180 CVE-2023-0184 CVE-2023-0185
CVE-2023-0187 CVE-2023-0188 CVE-2023-0189
CVE-2023-0190 CVE-2023-0191 CVE-2023-0194
CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-450
Nouvelle version amont ; corrections de sécurité
[CVE-2023-0180 CVE-2023-0184 CVE-2023-0185
CVE-2023-0187 CVE-2023-0188 CVE-2023-0189
CVE-2023-0190 CVE-2023-0191 CVE-2023-0194
CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-470
Nouvelle version amont ; corrections de sécurité
[CVE-2023-0180 CVE-2023-0184 CVE-2023-0185
CVE-2023-0187 CVE-2023-0188 CVE-2023-0189
CVE-2023-0190 CVE-2023-0191 CVE-2023-0194
CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-modprobe Nouvelle version amont
openvswitch Correction de « la mise à jour d'openvswitch-switch
laisse les interfaces arrêtées »
passenger Correction de la compatibilité avec les versions
plus récentes de NodeJS
phyx Retrait d'une dépendance de construction à
libatlas-cpp non nécessaire
postfix Nouvelle version amont stable
postgis Correction du mauvais ordre des axes de projections
polaires stéréographiques
postgresql-13 Nouvelle version amont stable ; correction d'un
problème de divulgation de la mémoire du client
[CVE-2022-41862]
python-acme Correction de la version des CSR créées, pour
éviter des problèmes avec les implémentations de
l'API ACME respectant strictement les RFC
ruby-aws-sdk-core Correction de la création du fichier de version
ruby-cfpropertylist Correction de certaines fonctionnalités en
abandonnant la compatibilité avec Ruby 1.8
shim Nouvelle version amont ; nouvelle version amont
stable ; activation de la prise en charge de NX au
moment de la construction ; blocage des binaires de
grub de Debian avec sbat < 4
shim-helpers-amd64-signed
Nouvelle version amont stable ; activation de la
prise en charge de NX au moment de la
construction ; blocage des binaires de grub de
Debian avec sbat < 4
shim-helpers-arm64-signed
Nouvelle version amont stable ; activation de la
prise en charge de NX au moment de la
construction ; blocage des binaires de grub de
Debian avec sbat < 4
shim-helpers-i386-signed
Nouvelle version amont stable ; activation de la
prise en charge de NX au moment de la
construction ; blocage des binaires de grub de
Debian avec sbat < 4
shim-signed Nouvelle version amont stable ; activation de la
prise en charge de NX au moment de la
construction ; blocage des binaires de grub de
Debian avec sbat < 4
snakeyaml Correction de problèmes de déni de service
[CVE-2022-25857 CVE-2022-38749 CVE-2022-38750
CVE-2022-38751] ; ajout de documentation concernant
la prise en charge et les problèmes de sécurité
spyder Correction de la duplication de code lors de
l'enregistrement
symfony Retrait des en-têtes privés avant le stockage de
réponses avec HttpCache [CVE-2022-24894] ;
suppression des jetons CSRF du stockage en cas de
connexion réussie [CVE-2022-24895]
systemd Correction d'une fuite d'informations
[CVE-2022-4415], d'un problème de déni de service
[CVE-2022-3821] ; ata_id : correction de
l'obtention du code de réponse à partir des « SCSI
Sense Data » ; logind : correction de l'obtention
de la propriété OnExternalPower au moyen de D-Bus ;
correction d'un plantage dans systemd-machined
tomcat9 Ajout de la prise en charge d'OpenJDK 17 à la
détection de JDK
traceroute Interprétation des adresses v4mapped-IPv6 comme des
adresses IPv4
tzdata Mise à jour des données incluses
unbound Correction d'une « Non-Responsive Delegation
Attack » [CVE-2022-3204] ; correction d'un problème
de « noms de domaine fantômes » [CVE-2022-30698
CVE-2022-30699]
usb.ids Mise à jour des données incluses
vagrant Ajout de la prise en charge de VirtualBox 7.0
voms-api-java Correction d'échecs de construction en désactivant
certains tests non fonctionnels
w3m Correction d'un problème d'écriture hors limites
[CVE-2022-38223]
x4d-icons Correction d'un échec de construction avec les
nouvelles versions d'imagemagick
xapian-core Corruption de la base de données évitée lors d'une
saturation du disque
zfs-linux Ajout de plusieurs améliorations de stabilité
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-5170 nodejs
DSA-5237 firefox-esr
DSA-5238 thunderbird
DSA-5259 firefox-esr
DSA-5262 thunderbird
DSA-5282 firefox-esr
DSA-5284 thunderbird
DSA-5300 pngcheck
DSA-5301 firefox-esr
DSA-5302 chromium
DSA-5303 thunderbird
DSA-5304 xorg-server
DSA-5305 libksba
DSA-5306 gerbv
DSA-5307 libcommons-net-java
DSA-5308 webkit2gtk
DSA-5309 wpewebkit
DSA-5310 ruby-image-processing
DSA-5311 trafficserver
DSA-5312 libjettison-java
DSA-5313 hsqldb
DSA-5314 emacs
DSA-5315 libxstream-java
DSA-5316 netty
DSA-5317 chromium
DSA-5318 lava
DSA-5319 openvswitch
DSA-5320 tor
DSA-5321 sudo
DSA-5322 firefox-esr
DSA-5323 libitext5-java
DSA-5324 linux-signed-amd64
DSA-5324 linux-signed-arm64
DSA-5324 linux-signed-i386
DSA-5324 linux
DSA-5325 spip
DSA-5326 nodejs
DSA-5327 swift
DSA-5328 chromium
DSA-5329 bind9
DSA-5330 curl
DSA-5331 openjdk-11
DSA-5332 git
DSA-5333 tiff
DSA-5334 varnish
DSA-5335 openjdk-17
DSA-5336 glance
DSA-5337 nova
DSA-5338 cinder
DSA-5339 libhtml-stripscripts-perl
DSA-5340 webkit2gtk
DSA-5341 wpewebkit
DSA-5342 xorg-server
DSA-5343 openssl
DSA-5344 heimdal
DSA-5345 chromium
DSA-5346 libde265
DSA-5347 imagemagick
DSA-5348 haproxy
DSA-5349 gnutls28
DSA-5350 firefox-esr
DSA-5351 webkit2gtk
DSA-5352 wpewebkit
DSA-5353 nss
DSA-5355 thunderbird
DSA-5356 sox
DSA-5357 git
DSA-5358 asterisk
DSA-5359 chromium
DSA-5361 tiff
DSA-5362 frr
DSA-5363 php7.4
DSA-5364 apr-util
DSA-5365 curl
DSA-5366 multipath-tools
DSA-5367 spip
DSA-5368 libreswan
DSA-5369 syslog-ng
DSA-5370 apr
DSA-5371 chromium
DSA-5372 rails
DSA-5373 node-sqlite3
DSA-5374 firefox-esr
DSA-5375 thunderbird
DSA-5376 apache2
DSA-5377 chromium
DSA-5378 xen
DSA-5379 dino-im
DSA-5380 xorg-server
DSA-5381 tomcat9
DSA-5382 cairosvg
DSA-5383 ghostscript
DSA-5384 openimageio
DSA-5385 firefox-esr
DSA-5386 chromium
DSA-5387 openvswitch
DSA-5388 haproxy
DSA-5389 rails
DSA-5390 chromium
DSA-5391 libxml2
DSA-5392 thunderbird
DSA-5393 chromium
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
bind-dyndb-ldap Cassé avec les nouvelles versions de bind9 ; pas
de prise en charge possible dans stable
matrix-mirage Dépend de python-matrix-nio qui doit être retiré
pantalaimon Dépend de python-matrix-nio qui doit être retiré
python-matrix-nio Problèmes de sécurité ; ne fonctionne pas avec les
serveurs Matrix actuels
weechat-matrix Dépend de python-matrix-nio qui doit être retiré
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/bullseye/ChangeLog
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <press@debian