------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 11.4 pr...@debian.org 9 juillet 2022 https://www.debian.org/News/2022/20220709 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 11 (nom de code « Bullseye »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 11 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bullseye. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison apache2 Nouvelle version amont stable ; correction d'un problème de dissimulation de requête HTTP [CVE-2022-26377], problèmes de lecture hors limites [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], problèmes de déni de service [CVE-2022-29404 CVE-2022-30522], possible problème de lecture hors limites [CVE-2022-30556], possible problème de contournement d'authentification basée sur l'IP [CVE-2022-31813] base-files Mise à jour de /etc/debian_version pour cette version 11.4 bash Correction d'une lecture hors limite d’un octet, provoquant la corruption de caractères multi-octets dans les substitutions de commande clamav Nouvelle version amont stable ; correction de sécurité [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] cyrus-imapd Présence d'un champ <q>uniqueid</q> dans toutes les boîtes aux lettres, corrigeant les mises à niveau vers la version 3.6 dbus-broker Correction d'un problème de dépassement de tampon [CVE-2022-31212] debian-edu-config Acceptation d'un courriel du réseau local envoyé à root@<mynetwork-names> ; création des principaux d'hôte et de service de Kerberos s'ils n'existent pas encore ; assurance que libsss-sudo est installé sur les stations de travail itinérantes ; correction du nommage et de la visibilité des files d'impression ; prise en charge de krb5i sur les stations de travail sans disque ; squid : recherches DNSv4 préférées aux recherches DNSv6 debian-installer Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd) debian-installer-netboot-images Reconstruction avec proposed-updates ; passage de l'ABI du noyau Linux à la version 16 ; rétablissement de certaines cibles réseau armel (openrd) distro-info-data Ajout d'Ubuntu 22.10, Kinetic Kudu docker.io Ordonnancement de docker.service après containerd.service pour corriger l'arrêt de conteneurs ; passage explicite du chemin du socket containerd à dockerd pour assurer qu'il ne démarre pas containerd tout seul dpkg dpkg-deb : correction de conditions de fin de fichier inattendues lors de l'extraction de .deb ; libdpkg : pas de restriction des champs virtuels source:* pour les paquets installés ; Dpkg::Source::Package::V2 : correction systématique des permissions des archives amont (régression venue de DSA-5147-1] freetype Correction d'un problème de dépassement de tampon [CVE-2022-27404] ; correction de plantages [CVE-2022-27405 CVE-2022-27406] fribidi Correction de problèmes de dépassement de tampon [CVE-2022-25308 CVE-2022-25309] ; correction de plantage [CVE-2022-25310] ganeti Nouvelle version amont ; correction de plusieurs problèmes de mise à niveau ; correction de migration en direct avec QEMU 4 et <q>security_model</q> de <q>user</q> ou de <q>pool</q> geeqie Correction du Ctrl clic dans une sélection de bloc gnutls28 Correction d'un mauvais calcul de SHA384 de SSSE3 ; correction d'un problème de déréférencement de pointeur NULL [CVE-2021-4209] golang-github-russellhaering-goxmldsig Correction d'un déréférencement de pointeur NULL provoqué par des signatures XML contrefaites [CVE-2020-7711] grunt Correction d'un problème de traversée de répertoires [CVE-2022-0436] hdmi2usb-mode-switch udev : ajout d'un suffixe aux nœuds de périphériques /dev/video pour les désambiguïser ; modification des règles udev à la priorité 70 pour qu'elles surviennent après 60-persistent-v4l.rules hexchat Ajout d'une dépendance manquante à python3-cffi-backend htmldoc Correction de boucle infinie [CVE-2022-24191], de problèmes de dépassement d'entier [CVE-2022-27114] et d'un problème de dépassement de tampon de tas [CVE-2022-28085] knot-resolver Correction d'un possible échec d'assertion dans des cas extrêmes de NSEC3 [CVE-2021-40083] libapache2-mod-auth-openidc Nouvelle version amont stable ; correction d'un problème de redirection ouverte [CVE-2021-39191] ; correction de plantage lors d'un rafraîchissement ou d'un redémarrage libintl-perl Installation réelle de gettext_xs.pm libsdl2 Lecture hors limites évitée lors du chargement d'un fichier BMP mal formé [CVE-2021-33657] et durant la conversion de YUV à RGB libtgowt Nouvelle version amont stable pour prendre en charge la nouvelle version de telegram-desktop linux Nouvelle version amont stable ; passage de l'ABI à la version 16 linux-signed-amd64 Nouvelle version amont stable ; passage de l'ABI à la version 16 linux-signed-arm64 Nouvelle version amont stable ; passage de l'ABI à la version 16 linux-signed-i386 Nouvelle version amont stable ; passage de l'ABI à la version 16 logrotate Verrouillage ignoré si le fichier d'état est lisible par tous [CVE-2022-1348] ; analyse de configuration plus stricte afin d'éviter l'analyse de fichiers extérieurs tels que les vidages d'image mémoire lxc Mise à jour du serveur de clés GPG par défaut corrigeant la création de conteneurs utilisant le modèle <q>download</q> minidlna Validation des requêtes HTTP pour protéger contre les attaques de « DNS rebinding » [CVE-2022-26505] mutt Correction d'un problème de dépassement de tampon d'uudecode [CVE-2022-1328] nano Correction de plusieurs bogues, y compris des corrections de plantages needrestart Détection des groupes de contrôle de sessions de services et d'utilisateur prenant en compte cgroup v2 network-manager Nouvelle version amont stable nginx Correction de plantage quand libnginx-mod-http-lua est chargé et que init_worker_by_lua* est utilisé ; palliatif d'une attaque de confusion de contenu du protocole de la couche application dans le module Mail [CVE-2021-3618] node-ejs Correction d'un problème d'injection de modèle côté serveur [CVE-2022-29078] node-eventsource Retrait d'en-têtes sensibles lors d'une redirection vers une origine différente [CVE-2022-1650] node-got Redirection interdite vers un socket Unix [CVE-2022-33987] node-mermaid Correction de problèmes de scripts intersites [CVE-2021-23648 CVE-2021-43861] node-minimist Correction d'un problème de pollution de prototype [CVE-2021-44906] node-moment Correction d'un problème de traversée de répertoires [CVE-2022-24785] node-node-forge Correction de problèmes de vérification de signature [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] node-raw-body Correction d'un problème potentiel de déni de service dans node-express, en utilisant node-iconv-lite plutôt que node-iconv node-sqlite3 Correction d'un problème de déni de service [CVE-2022-21227] node-url-parse Correction de problèmes de contournement d'authentification [CVE-2022-0686 CVE-2022-0691] nvidia-cuda-toolkit Utilisation des archives OpenJDK8 pour amd64 et ppc64el ; vérification de l'opérabilité du binaire de Java ; nsight-compute : déplacement du dossier « sections » vers un emplacement multi-architecture ; correction de l’ordre des versions de nvidia-openjdk-8-jre nvidia-graphics-drivers Nouvelle version amont ; passage à l'arbre 470 amont ; correction de problèmes de déni de service [CVE-2022-21813 CVE-2022-21814] ; correction d'un problème d'écriture hors limites [CVE-2022-28181], de problèmes de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] nvidia-graphics-drivers-legacy-390xx Nouvelle version amont ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185] nvidia-graphics-drivers-tesla-418 Nouvelle version amont stable nvidia-graphics-drivers-tesla-450 Nouvelle version amont stable ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185], d'un problème de déni de service [CVE-2022-28192] nvidia-graphics-drivers-tesla-460 Nouvelle version amont stable nvidia-graphics-drivers-tesla-470 Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont ; correction d'un problème d'écriture hors limites [CVE-2022-28181], d'un problème de lecture hors limites [CVE-2022-28183], de problèmes de déni de service [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] nvidia-persistenced Nouvelle version amont ; passage à l'arbre 470 amont nvidia-settings Nouvelle version amont ; passage à l'arbre 470 amont nvidia-settings-tesla-470 Nouveau paquet, passage de la prise en charge de Tesla vers l'arbre 470 amont nvidia-xconfig Nouvelle version amont openssh seccomp : ajout de l'appel système pselect6_time64 sur les architectures 32 bits orca Correction de l'utilisation avec webkitgtk 2.36 php-guzzlehttp-psr7 Correction d'une analyse d'en-tête incorrecte [CVE-2022-24775] phpmyadmin Correction de certaines requêtes SQL générant une erreur du serveur postfix Nouvelle version amont stable ; pas d'écrasement du transport par défaut défini par l'utilisateur dans postinst ; if-up.d : pas d'émission d'erreur si postfix ne peut pas encore envoyer de message procmail Correction d'un déréférencement de pointeur NULL python-scrapy Pas d'envoi de données d'authentification avec chaque requête [CVE-2021-41125] ; pas d'exposition de cookies inter-domaines lors des redirections [CVE-2022-0577] ruby-net-ssh Correction de l'authentification avec les systèmes utilisant OpenSSH 8.8 runc Respect de defaultErrnoRet de seccomp ; pas de définition de capacités héritables [CVE-2022-29162] samba Correction d'échec de démarrage de winbind quand <q>allow trusted domains = no</q> est utilisé ; correction de l'authentification de Kerberos du MIT ; correction d'un problème de protection de partage au moyen d'une situation de compétition dans mkdir [CVE-2021-43566] ; correction d'un possible problème sérieux de corruption de données dû à l'empoisonnement de cache d'un client Windows ; correction de l'installation sur des systèmes non systemd tcpdump Mise à jour du profil d'AppArmor pour permettre l'accès aux fichiers *.cap et gestion de suffixes numériques dans les noms de fichiers ajoutés par -W telegram-desktop Nouvelle version amont stable, rétablissant la fonctionnalité tigervnc Correction du démarrage du bureau de GNOME lors de l'utilisation de tigervncserver@.service ; correction de l'affichage des couleurs lorsque vncviewer et le serveur X11 utilisent des boutismes différents twisted Correction d'un problème de divulgation d'informations avec des redirections inter-domaines [CVE-2022-21712], d'un problème de déni de service lors des négociations de connexion SSH [CVE-2022-21716], de problèmes de dissimulation de requête HTTP [CVE-2022-24801] tzdata Mise à jour des données du fuseau horaire de la Palestine ; mise à jour de la liste des secondes intercalaires ublock-origin Nouvelle version amont stable unrar-nonfree Correction d'un problème de traversée de répertoires [CVE-2022-30333] usb.ids Nouvelle version amont ; mise à jour des données incluses wireless-regdb Nouvelle version amont ; suppression du détournement ajouté par l'installateur assurant que les fichiers venant du paquet sont utilisés Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-4999 asterisk DSA-5026 firefox-esr DSA-5034 thunderbird DSA-5044 firefox-esr DSA-5045 thunderbird DSA-5069 firefox-esr DSA-5074 thunderbird DSA-5086 thunderbird DSA-5090 firefox-esr DSA-5094 thunderbird DSA-5097 firefox-esr DSA-5106 thunderbird DSA-5107 php-twig DSA-5108 tiff DSA-5110 chromium DSA-5111 zlib DSA-5112 chromium DSA-5113 firefox-esr DSA-5114 chromium DSA-5115 webkit2gtk DSA-5116 wpewebkit DSA-5117 xen DSA-5118 thunderbird DSA-5119 subversion DSA-5120 chromium DSA-5121 chromium DSA-5122 gzip DSA-5123 xz-utils DSA-5124 ffmpeg DSA-5125 chromium DSA-5127 linux-signed-amd64 DSA-5127 linux-signed-arm64 DSA-5127 linux-signed-i386 DSA-5127 linux DSA-5128 openjdk-17 DSA-5129 firefox-esr DSA-5130 dpdk DSA-5131 openjdk-11 DSA-5132 ecdsautils DSA-5133 qemu DSA-5134 chromium DSA-5136 postgresql-13 DSA-5137 needrestart DSA-5138 waitress DSA-5139 openssl DSA-5140 openldap DSA-5141 thunderbird DSA-5142 libxml2 DSA-5143 firefox-esr DSA-5145 lrzip DSA-5147 dpkg DSA-5148 chromium DSA-5149 cups DSA-5150 rsyslog DSA-5151 smarty3 DSA-5152 spip DSA-5153 trafficserver DSA-5154 webkit2gtk DSA-5155 wpewebkit DSA-5156 firefox-esr DSA-5157 cifs-utils DSA-5158 thunderbird DSA-5159 python-bottle DSA-5160 ntfs-3g DSA-5161 linux-signed-amd64 DSA-5161 linux-signed-arm64 DSA-5161 linux-signed-i386 DSA-5161 linux DSA-5162 containerd DSA-5163 chromium DSA-5164 exo DSA-5165 vlc DSA-5166 slurm-wlm DSA-5167 firejail DSA-5168 chromium DSA-5169 openssl DSA-5171 squid DSA-5172 firefox-esr DSA-5174 gnupg2 Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison elog non maintenu ; problèmes de sécurité python-hbmqtt non maintenu et cassé Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : https://deb.debian.org/debian/dists/bullseye/ChangeLog Adresse de l'actuelle distribution stable : https://deb.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : https://deb.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://www.debian.org/security/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.