------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 11.3 pr...@debian.org 26 mars 2022 https://www.debian.org/News/2022/20220326 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 11 (nom de code « Bullseye »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison apache-log4j1.2 Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] résolus en supprimant la prise en charge des modules JMSSink, JDBCAppender, JMSAppender et Apache Chainsaw apache-log4j2 Correction d'un problème d'exécution de code à distance [CVE-2021-44832] apache2 Nouvelle version amont ; correction d'un plantage dû à une lecture aléatoire de mémoire [CVE-2022-22719] ; correction d'un problème de dissimulation de requête HTTP [CVE-2022-22720] ; corrections de problèmes de lecture hors limites [CVE-2022-22721 CVE-2022-23943] atftp Correction d'un problème de fuite d'informations [CVE-2021-46671] base-files Mise à jour pour cette version 11.3 bible-kjv Correction d'une erreur due à un décalage d'entier dans la recherche chrony Lecture permise du fichier de configuration de chronyd que génère timemaster(8) cinnamon Correction d'un plantage lors de l'ajout d'un compte en ligne avec connexion clamav Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2022-20698] cups-filters Apparmor : lecture permise à partir du fichier de configuration de cups-browsed dans Debian Edu dask.distributed Correction de l'écoute non souhaitée de « workers » sur les interfaces publiques [CVE-2021-42343] ; correction de la compatibilité avec Python 3.9 debian-installer Reconstruction avec proposed-updates ; mise à jour de l'ABI du noyau vers la version 5.10.0-13 debian-installer-netboot-images Reconstruction avec proposed-updates debian-ports-archive-keyring Ajout de la « clé de signature automatique de l'archive des portages de Debian (2023) » ; migration de la clé de 2021 dans le trousseau retiré django-allauth Correction de la prise en charge d'OpenID djbdns Limite des données de axfrdns, dnscache et tinydns réhaussée dpdk Nouvelle version amont stable e2guardian Correction d'un problème de certificat SSL manquant [CVE-2021-44273] epiphany-browser Contournement d'un bogue dans la GLib, corrigeant un plantage du processus de l'interface utilisateur espeak-ng Suppression du délai infondé de 50 ms durant le traitement des événements espeakup debian/espeakup.service : protection d'espeakup contre les surcharges du système fcitx5-chinese-addons fcitx5-table : ajout de dépendances manquantes à fcitx5-module-pinyinhelper et fcitx5-module-punctuation flac Correction d'un problème de lecture hors limites [CVE-2021-0561] freerdp2 Désactivation de la journalisation supplémentaire de débogage galera-3 Nouvelle version amont galera-4 Nouvelle version amont gbonds Utilisation de l'API Treasury pour les données de remboursement glewlwyd Correction d'une possible élévation de privilèges glibc Correction d'une conversion incorrecte à partir d'ISO-2022-JP-3 avec iconv [CVE-2021-43396] ; correction de problèmes de dépassement de tampon [CVE-2022-23218 CVE-2022-23219] ; correction d'un problème d'utilisation de mémoire après libération [CVE-2021-33574] ; arrêt du remplacement des versions plus anciennes de /etc/nsswitch.conf ; simplification de la vérification des versions du noyau prises en charge dans la mesure où les noyaux 2.x ne sont plus pris en charge ; prise en charge de l'installation des noyaux avec un numéro supérieur à 255 glx-alternatives Après la configuration initiale des détournements, installation d'une alternative minimale aux fichiers détournés afin que des bibliothèques ne soient pas manquantes jusqu'à ce que glx-alternative-mesa traite ses déclenchements gnupg2 scd : Correction du pilote CCID pour SCM SPR332/SPR532 ; interaction réseau évitée dans generator qui peut mener à des blocages gnuplot Correction d'une division par zéro [CVE-2021-44917] golang-1.15 Correction d'IsOnCurve pour les valeurs big.Int qui n'ont pas de coordonnées valables [CVE-2022-23806] ; math/big : grosse consommation de mémoire évitée dans Rat.SetString [CVE-2022-23772] ; cmd/go : pas de matérialisation des branches en versions [CVE-2022-23773] ; correction d'épuisement de pile lors de la compilation d'expressions profondément imbriquées [CVE-2022-24921] golang-github-containers-common Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau golang-github-opencontainers-specs Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau gtk+3.0 Correction de résultat de recherche manquants lors de l'utilisation de NFS ; verrouillage de la gestion du presse-papier de Wayland évité dans certains cas particuliers ; amélioration de l'impression sur les imprimantes découvertes par mDNS heartbeat Correction de la création de /run/heartbeat sur les systèmes utilisant systemd htmldoc Correction d'un problème de lecture hors limites [CVE-2022-0534] installation-guide Mise à jour de la documentation et des traductions intel-microcode Mise en jour du microprogramme inclus ; atténuation de certains problèmes de sécurité [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] ldap2zone Utilisation de « mktemp » à la place de « tempfile » obsolète, évitant des avertissements lemonldap-ng Correction du processus d'authentification dans les greffons de test de mot de passe [CVE-2021-40874] libarchive Correction de l'extraction de liens directs en liens symboliques ; correction de la gestion des ACL des liens symboliques [CVE-2021-23177] ; liens symboliques non suivis lors de la configuration des attributs de fichier [CVE-2021-31566] libdatetime-timezone-perl Mise à jour des données incluses libgdal-grass Reconstruction avec grass 7.8.5-1+deb11u1 libpod Mise à jour de la prise en charge de seccomp pour activer l'utilisation des dernières versions du noyau libxml2 Correction d'un problème d'utilisation de mémoire après libération [CVE-2022-23308] linux Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64; passage de l'ABI à la version 13 linux-signed-amd64 Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64; passage de l'ABI à la version 13 linux-signed-arm64 Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64; passage de l'ABI à la version 13 linux-signed-i386 Nouvelle version amont stable ; [rt] mise à jour vers la version 5.10.106-rt64; passage de l'ABI à la version 13 mariadb-10.5 Nouvelle version amont stable ; corrections de sécurité [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] mpich Ajout du champ Break dans les versions plus anciennes de libmpich1.0-dev, résolvant certains problèmes de mise à niveau mujs Correction d'un problème de dépassement de tampon [CVE-2021-45005] mutter Rétroportage de divers correctifs de la branche stable amont node-cached-path-relative Correction d'un problème de pollution de prototype [CVE-2021-23518] node-fetch Pas de transmission d'en-têtes sécurisés aux domaines tiers [CVE-2022-0235] node-follow-redirects Pas d'envoi d'en-tête Cookie entre domaines [CVE-2022-0155] ; pas d'envoi d'en-têtes confidentiels entre schémas [CVE-2022-0536] node-markdown-it Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2022-21670] node-nth-check Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-3803] node-prismjs Balise protégée dans les sorties de la ligne de commande [CVE-2022-23647] ; mise à jour des fichiers minimisés pour assurer que le problème de déni de service basé sur les expressions rationnelles est résolu [CVE-2021-3801] node-trim-newlines Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2021-33623] nvidia-cuda-toolkit cuda-gdb : désactivation de la prise en charge non fonctionnelle de Python provoquant des erreurs de segmentation ; utilisation d'un instantané (« snapshot ») d'openjdk-8-jre (8u312-b07-1) nvidia-graphics-drivers-tesla-450 Nouvelle version amont ; corrections de problèmes de déni de service [CVE-2022- 21813 CVE-2022-21814] ; nvidia-kernel-support : fourniture de /etc/modprobe.d/nvidia-options.conf comme modèle nvidia-modprobe Nouvelle version amont openboard Correction de l'icône de l'application openssl Nouvelle version amont ; correction de l’authentification de pointeur d'armv8 openvswitch Correction d'un problème d'utilisation de mémoire après libération [CVE-2021-36980] ; correction de l'installation de libofproto ostree Correction de compatibilité avec eCryptFS ; récursion infinie évitée lors de la récupération de certaines erreurs ; commits marqués comme partiels avant téléchargement ; correction d'un échec d'assertion lors de l'utilisation d'un rétroportage ou d'une construction locale de GLib >= 2.71 ; correction de la possibilité de récupérer du contenu d'OSTree à partir de chemins contenant des caractères inconnus dans les URI (tels qu'une barre oblique inverse) ou non ASCII pdb2pqr Correction de la compatibilité de propka avec Python 3.8 ou supérieur php-crypt-gpg Passage d'option supplémentaire à GPG empêché [CVE-2022-24953] php-laravel-framework Correction d'un problème de script intersite [CVE-2021-43808], et de l'absence de blocage de téléchargement de contenu exécutable [CVE-2021-43617] phpliteadmin Correction d'un problème de script intersite [CVE-2021-46709] prips Correction d'une encapsulation infinie si une plage atteint 255.255.255.255 ; correction de sortie de CIDR avec des adresses dont le premier bit diffère pypy3 Correction d'échecs de construction en supprimant un #endif superflu de import.h python-django Correction d'un problème de déni de service [CVE-2021-45115], d'un problème de divulgations d'informations [CVE-2021-45116], d'un problème de traversée de répertoires [CVE-2021-45452] ; correction d'une trace d'appel autour de la gestion de RequestSite/get_current_site() due à une importation circulaire python-pip Situation de compétition évitée lors de l'utilisation de dépendances importées par zip rust-cbindgen Nouvelle version amont stable pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird s390-dasd Plus de transmission de l'option obsolète -f à dasdfmt schleuder Migration de valeurs booléennes en entiers, si l'adaptateur de connexion ActiveRecord de SQLite3 est utilisé, rétablissant la fonctionnalité sphinx-bootstrap-theme Correction de la fonction de recherche spip Correction de plusieurs problèmes de script intersite symfony Correction d'un problème d'injection de CVE [CVE-2021-41270] systemd Correction d'une récursion non contrôlée dans systemd-tmpfiles [CVE-2021-3997] ; passage de systemd-timesyncd de « Depends » à « Recommends », supprimant un cycle de dépendances ; correction d'un échec de montage avec l'option bind d'un répertoire dans un conteneur avec machinectl ; correction d'une régression dans udev provoquant de longs délais lors du traitement de partitions portant la même étiquette ; correction d'une régression lors de l'utilisation de systemd-networkd dans un conteneur LXD non privilégié sysvinit Correction de l'analyse de « shutdown +0 » ; clarification du fait que lorsqu'il est appelé avec « heure » shutdown ne quittera pas tasksel Installation de CUPS pour toutes les tâches *-desktop dans la mesure où task-print-service n'existe plus usb.ids Mise à jour des données incluses weechat Correction d'un problème de déni de service [CVE-2021-40516] wolfssl Correction de plusieurs problèmes liés à la gestion d'OCSP [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] et à la prise en charge de TLS1.3 [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640] xserver-xorg-video-intel Correction d'un plantage de SIGILL avec les processeurs non SSE2 xterm Correction d'un problème de dépassement de tampon [CVE-2022-24130] zziplib Correction d'un problème de déni de service [CVE-2020-18442] Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-5000 openjdk-11 DSA-5001 redis DSA-5012 openjdk-17 DSA-5021 mediawiki DSA-5023 modsecurity-apache DSA-5024 apache-log4j2 DSA-5025 tang DSA-5027 xorg-server DSA-5028 spip DSA-5029 sogo DSA-5030 webkit2gtk DSA-5031 wpewebkit DSA-5033 fort-validator DSA-5035 apache2 DSA-5037 roundcube DSA-5038 ghostscript DSA-5039 wordpress DSA-5040 lighttpd DSA-5041 cfrpki DSA-5042 epiphany-browser DSA-5043 lxml DSA-5046 chromium DSA-5047 prosody DSA-5048 libreswan DSA-5049 flatpak-builder DSA-5049 flatpak DSA-5050 linux-signed-amd64 DSA-5050 linux-signed-arm64 DSA-5050 linux-signed-i386 DSA-5050 linux DSA-5051 aide DSA-5052 usbview DSA-5053 pillow DSA-5054 chromium DSA-5055 util-linux DSA-5056 strongswan DSA-5057 openjdk-11 DSA-5058 openjdk-17 DSA-5059 policykit-1 DSA-5060 webkit2gtk DSA-5061 wpewebkit DSA-5062 nss DSA-5063 uriparser DSA-5064 python-nbxmpp DSA-5065 ipython DSA-5067 ruby2.7 DSA-5068 chromium DSA-5070 cryptsetup DSA-5071 samba DSA-5072 debian-edu-config DSA-5073 expat DSA-5075 minetest DSA-5076 h2database DSA-5077 librecad DSA-5078 zsh DSA-5079 chromium DSA-5080 snapd DSA-5081 redis DSA-5082 php7.4 DSA-5083 webkit2gtk DSA-5084 wpewebkit DSA-5085 expat DSA-5087 cyrus-sasl2 DSA-5088 varnish DSA-5089 chromium DSA-5091 containerd DSA-5092 linux-signed-amd64 DSA-5092 linux-signed-arm64 DSA-5092 linux-signed-i386 DSA-5092 linux DSA-5093 spip DSA-5095 linux-signed-amd64 DSA-5095 linux-signed-arm64 DSA-5095 linux-signed-i386 DSA-5095 linux DSA-5098 tryton-server DSA-5099 tryton-proteus DSA-5100 nbd DSA-5101 libphp-adodb DSA-5102 haproxy DSA-5103 openssl DSA-5104 chromium DSA-5105 bind9 Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison angular-maven-plugin Plus nécessaire minify-maven-plugin Plus nécessaire Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : https://deb.debian.org/debian/dists/bullseye/ChangeLog Adresse de l'actuelle distribution stable : https://deb.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : https://deb.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://www.debian.org/security/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.