Publication de la mise à jour de Debian 13.6
8 juillet 2026
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 13 (nom de code Trixie
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 13 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Trixie. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Mises à jour signalées
fwupd
et l'expiration du certificat CA de Secure Boot
fwupd
a été mis à jour vers la version amont 2.0.20 qui a la
capacité de mettre à jour le certificat de l'autorité de certification (CA)
de Secure Boot, la clé d'échange de clés (Key Exchange Key — KEK) et les
bases de données de révocation (DBX).
L'autorité de certification de UEFI Secure Boot de 2013 installée par
défaut sur la plupart des PC et utilisée pour signer les chargeurs
d'amorçage a désormais expiré. Les futures mises à jour de shim-signed
pourraient donc empêcher le démarrage des systèmes quand Secure Boot est
activé.
Il est vivement recommandé aux utilisateurs d'appliquer les mises à
jour de CA
, KEK
et DBX
fournies par le fabricant de
leur système, conformément aux directives suivantes :
Retour à une version antérieure de geoip-database
Pour des raisons de licence, geoip-database
a été rétabli à une
version datant d'environ décembre 2019. Par conséquent les applications qui
utilisent cette base de données pourraient utiliser des informations
d'allocation obsolètes.
Les versions plus récentes de geoip-database
(GeoLite) ne sont
pas compatibles avec les principes du logiciel libre selon Debian et ne
peuvent pas être distribuées.
Il est vivement recommandé aux utilisateurs de ces données d'obtenir
une licence GeoLite directement et de cesser de dépendre du paquet
geoip-database
.
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| apache2 | Corrections de problèmes d'utilisation de mémoire après libération [CVE-2026-29167 CVE-2026-48913] ; correction d'un problème de script intersite [CVE-2026-29170] ; correction de problèmes de dépassement de tampon [CVE-2026-34355 CVE-2026-34356 CVE-2026-42536] ; correction de problèmes de déni de service [CVE-2026-42535 CVE-2026-44186 CVE-2026-49975] ; correction de problèmes de lecture hors limites [CVE-2026-43951 CVE-2026-44185] ; correction d'un problème de lecture de fichier [CVE-2026-44119] ; correction d'un problème de soupassement de tampon en écriture [CVE-2026-44631] |
| archlinux-keyring | Mise à jour des clés |
| awstats | Gel sur les statistiques sur les mots clés évité |
| base-files | Mise à jour pour la version 13.6 |
| beets | Correction d'une problème vulnérabilité de script intersite [CVE-2026-42052] |
| calibre | Correction de l'extraction non sûre des e-books et de la gestion des chemins de ressources [CVE-2026-30853 CVE-2026-33206] ; lecture de fichiers locaux par la visionneuse d'e-books et contrefaçon de requêtes côté serveur et exfiltration empêchées [CVE-2026-33205] ; évaluation de règles du catalogue non sûre évitée ; gestion correcte des requêtes XPath et SQL ; correction de la normalisation de chemin de background-image endpoint; amélioration des diagnostics d'exceptions |
| cdebootstrap | Reconstruction avec xz-utils mis à jour |
| chrony | Sortie avec succès des scripts de hook if-up/downassurée |
| ckermit | Blocage par défaut du contrôle à distance du système kermit local [CVE-2025-68920] ; désactivation d'une vérification inutile de la version d'OpenSSL |
| composer | Correction de la prise en charge du nouveau format de jeton de GitHub [CVE-2026-45793] |
| courier | Correction des chemins de webadmin vers imapd et imapd-ssl |
| curl | Correction des fuites de redirection des jetons Bearer [CVE-2025-14524 CVE-2026-3783] ; correction de réutilisation de cache d'autorité de certification d'OpenSSL [CVE-2025-14819] ; correction de réutilisation de HTTP Negotiate et de connexion de mandataire [CVE-2026-1965 CVE-2026-3784 CVE-2026-5545] ; réutilisation de connexions STARTTLS en clair empêchée [CVE-2026-4873] ; correction de réutilisation après libération et de partage incorrect de SMB [CVE-2026-3805 CVE-2026-5773] ; effacement d'identifiants d'hôte, de mandataire ou de netrc redirigés [CVE-2026-6253 CVE-2026-6429] ; fuites de cookies obsolètes empêchées [CVE-2026-6276] ; effacement d'état du Digest du mandataire lors du changement de mandataire [CVE-2026-7168] |
| dar | Reconstruction avec curl, libgcrypt20 et openssl mis à jour |
| dcmtk | Corrections de problèmes de déréférencement de pointeur NULL [CVE-2022-4981 CVE-2025-14841] ; correction de problèmes de corruption de mémoire [CVE-2025-2357 CVE-2025-9732 CVE-2025-14607] ; correction d'un problème d'injection de commande [CVE-2026-5663] ; correction de problèmes de dépassement de tampon [CVE-2026-10194 CVE-2026-12805] |
| debian-installer | Passage de l'ABI du noyau Linux à la version 6.12.94+deb13 ; reconstruction pour la version 13.6 |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| debusine | Application des permissions de téléchargement de fichiers ; restriction de la création et de la suppression de relations d’artefacts [CVE-2026-11852] ; durcissement de la protection des commandes du dépôt sbuild ; rejet des chemins non sûrs de somme de contrôle .dsc/.changes [CVE-2026-11853] |
| deepdiff | Correction d'un problème de pollution de classe [CVE-2025-58367] ; correction d'un problème de dépassement de tampon [CVE-2026-33155] |
| dhcpcd | Correction de problèmes de sécurité mémoire [CVE-2025-70102 CVE-2026-56113 CVE-2026-56114] ; correction d'une fuite d'information des annonces du routeur IPv6 [CVE-2026-56116] ; correction de la gestion de temps de vie des sockets de contrôle [CVE-2026-56117] |
| distrobuilder | Reconstruction avec incus mis à jour |
| dolphin | Correction d'un problème de fuite de bac à sable [CVE-2026-41525] |
| errands | Correction de la vérification des certificats TLS pour les serveurs CalDAV [CVE-2025-71063] |
| execnet | Désactivation de tests au moment de la construction non fiables |
| fldigi | Obligation pour LC_NUMERIC=C.UTF-8 d'utiliser le séparateur décimal correct dans les fichiers journaux de API et ADIF |
| freecad | Correction du post-processeur pour FANUC ; correction d'un échec de construction sur arm64 |
| fwupd | Activation des mises à jour de CA, db et KEK pour UEFI pour la transition de certificat Secure Boot 2026 ; correction de l'énumération de PK, KEK et dbx pour UEFI ; correction du déploiement du contrôleur Thunderbolt ; correction de régressions de mise à jour de microprogrammes ; mise à jour de la prise en charge de fwupd et des tests |
| gambas3 | Correction du chargement du composant Qt |
| gdown | Correction d'un problème d'écriture de fichier arbitraire [CVE-2026-40491] |
| geoip | Rétablissement des scripts de génération dont dépend geoip-database |
| geoip-database | Retour à une version compatible avec la DFSG |
| giflib | Corrections de problèmes de corruption de mémoire [CVE-2026-23868 CVE-2026-26740] |
| gimp | Correction de problèmes de soupassement d'entier [CVE-2026-4154 CVE-2026-40915] |
| gnupg2 | Reconstruction avec libgcrypt20 mis à jour |
| gnustep-sqlclient | Retrait de Multi-Arch : same |
| graphite2 | Correction d'un problème d'écriture hors limites [CVE-2026-50593] |
| horizon | Correction de l'échappement de caractères spéciaux dans project |
| ironic | Correction du transfert d'identifiant depuis des modèles de configuration [CVE-2026-42997] ; correction d'injection de commande dans la console IPMI [CVE-2026-42510] ; rendu de module kickstart placé dans un bac à sable [CVE-2026-44916] ; épuisement des thread du conducteur à partir de périphériques de fichier spéciaux évité [CVE-2026-44919] ; restriction des chemins d'image de fichiers non sûrs ; amélioration de la validation et du contrôle de la somme de contrôle de téléchargement d'image ; correction des charges de travail de Redfish de gestion d'alimentation, de démarrage et de microprogramme ; correction de la validation de règles d'inspection et des échecs d'accorche ; états de service et de déploiement bloqués évités |
| isc-kea | Correction d'un problème de déni de service [CVE-2026-3608] |
| isenkram | Gestion de la migration usr-merge dans update-fw-list ; mise à jour des listes de microprogrammes générées |
| keystone | Correction du comportement de user_enabled_invert [CVE-2026-40683] ; création et suppression évitées d'identifiants EC2 non autorisés [CVE-2026-33551] |
| libapache-session-browseable-perl | Amélioration de la source d'entropie [CVE-2026-8503] |
| libass | Corrections de problèmes de lecture et d'écriture hors limites |
| libbytes-random-secure-perl | Correction de l'utilisation incorrecte de semences dans PRNG [CVE-2026-11625] |
| libcaca | Comportement indéfini évité dans le contrôle de dépassement [CVE-2026-42046] |
| libcrypt-pbkdf2-perl | Changement de l'algorithme de hachage par défaut à HMAC-SHA256 et de la valeur d'itération par défaut à 600 000 [CVE-2026-9641] ; génération du salage en utilisant Crypt::URandom [CVE-2026-9638] ; utilisation de comparaisons de temps constant dans validatepour éviter des attaques temporelles [CVE-2017-20240] |
| libcrypt-urandom-perl | Correction d'un problème de dépassement de tampon [CVE-2026-2474] |
| libhtml-parser-perl | Correction d'une utilisation de tas après libération dans _decode_entities [CVE-2026-8829] |
| libnet-cidr-lite-perl | Correction de la validation de l'analyseur de IP/CIDR : rejet des chiffres non ASCII et des sauts de ligne terminaux [CVE-2026-55190] ; rejet des masques CIDR à remplissage de zéros [CVE-2026-45191] |
| libreoffice | Correction d'échec avec élégance dans graphite2 |
| libslirp | Correction d'un problème de divulgation de mémoire [CVE-2026-9539] |
| libtasn1-6 | Correction d'un problème de dépassement de tampon [CVE-2025-13151] |
| libvncserver | Correction d'un dépassement de tampon et d'une écriture hors limites [CVE-2026-44988 CVE-2026-50538] |
| libxml-libxml-perl | Correction d'une lecture hors limites [CVE-2026-8177] |
| libxml2 | Correction des limites de récursion pour les inclusions RelaxNG [CVE-2026-0989] ; récursion des catalogues XML et SGML et épuisement de ressource évités [CVE-2025-8732 CVE-2026-0990 CVE-2026-0992] ; correction d'une fuite de mémoire du shell xmllint [CVE-2026-1757] ; correction des fuites de XMLwriter et des chemins d'erreur de Schematron ; utilisation après libération de la validation de RelaxNG évitée ; mise à jour des tests de régression |
| libxpm | Correction d'un problème de lecture hors limites [CVE-2026-4367] |
| linuxcnc | Nettoyage des noms de module |
| lxml-html-clean | Correction d'un problème de contournement de filtre [CVE-2026-28348] ; correction d'un problème d'injection d'indicateur [CVE-2026-28350] |
| mesa | Correction de la gestion d'allocation pour WebGPU/SPIR-V [CVE-2026-40393] |
| miniupnpd | Correction d'un problème de soupassement d'entier [CVE-2026-5720] |
| modsecurity | Déni de service évité dans la gestion de hexDecode [CVE-2026-30923] ; déni de service évité dans la vérification SSN/CPF/SVNR [CVE-2026-42268] |
| mutt | Correction de problèmes de troncature de tampon [CVE-2026-43859 CVE-2026-43860 CVE-2026-43861] ; correction de la mauvaise gestion du niveau de sécurité de imap_auth_gss [CVE-2026-43862] ; correction d'un problème de déni de service [CVE-2026-43863] ; correction d'un problème de déréférencement de pointeur NULL [CVE-2026-43864] |
| mxml | Correction d'une lecture hors limites [CVE-2026-5037] |
| nbconvert | Correction de problèmes de lecture et d'écriture de fichiers arbitraires [CVE-2026-39377 CVE-2026-39378] |
| neutron | Correction de la politique de marquage |
| nss | Amélioration de la gestion des séquences d'échappement dans pk11uri_ParseAttributes [CVE-2026-12318] |
| ojalgo | Réduction de la fréquence des échecs de tests au moment de la construction |
| opencc | Correction d'un problème de lecture hors limites [CVE-2025-15536] |
| openslide | Correction d'un possible problème d'exécution de code [CVE-2026-48977] |
| php-guzzlehttp-psr7 | Correction de la validation de l'hôte d'autorité [CVE-2026-48998] ; rejet des caractères de contrôle dans les noms d'hôte des URI [CVE-2026-49214] ; durcissement de la gestion des variables globales de ServerRequest ; normalisation des valeurs d'en-tête globales ; encodage des signes pluslittéraux dans les assistants de requête |
| php-league-csv | Correction d'un test au moment de construction avec PHP >=8.4.14 |
| php-twig | Mise à jour de sécurité |
| pillow | Correction complémentaire pour le CVE-2026-42310 |
| poco | Correction d'une erreur de segmentation [CVE-2025-6375] |
| poetry | Correction d'un problème d'écriture de fichier arbitraire [CVE-2026-34591] |
| poppler | Correction d'un problème de création de signature non valable |
| postfix | Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2026-43964] ; exécution du démon poursuivie pendant les mises à niveau |
| protobuf | Correction des limites de récursion de l'analyseur [CVE-2024-7254 CVE-2025-4565 CVE-2026-0994 CVE-2026-6409] |
| psd-tools | Correction d'un problème de déni de service [CVE-2026-27809] |
| pupnp | Correction d'un problème de confusion de port par contrefaçon de requête côté serveur [CVE-2026-41682] |
| pymdown-extensions | Correction d'un problème de déni de service basé sur les expressions rationnelles [CVE-2025-68142] |
| pyopenssl | Correction de la gestion des exceptions et de l'annulation de connexion [CVE-2026-27448] ; correction d'un dépassement de tampon dans la fonction de callbackde cookie de DTLS [CVE-2026-27459] |
| pytest-httpbin | Désactivation d'un test au moment de la construction non fiable |
| python-daphne | Correction d'un problème de déni de service [CVE-2026-44545] ; correction d'un problème d'injection d'en-tête [CVE-2026-44546] |
| python-django | Mise à jour de la suite de tests à la suite de modifications dans python3.13 |
| python-dynaconf | Correction d'un problème d'injection de modèle coté serveur [CVE-2026-33154] |
| python-grpc-tools | Correction de TypeError dans command.build_package_protos |
| python-handy-archives | Correction de la fin du localisateur de répertoire central pour Zip64 |
| python-idna | Correction d'un problème de déni de service [CVE-2026-45409] |
| python-iniparse | Correction d'une situation de compétition dans les tests au moment de la construction |
| python-jwcrypto | Correction d'un problème de déni de service [CVE-2026-39373] |
| python-markdown | Adaptation à des modifications dans le module html.parser de Python |
| python-marshmallow | Correction d'un problème de déni de service [CVE-2025-68480] |
| python-memray | Correction d'un problème de script intersite [CVE-2026-32722] |
| python-virtualenv | Correction de problèmes d'heure de vérification et d'heure d'utilisation [CVE-2026-22702] |
| python-webob | Correction d'un problème de redirection ouverte [CVE-2026-44889] |
| python-xmltodict | Correction d'un problème d'injection de code XML [CVE-2025-9375] |
| python3.13 | Correction d'un plantage dans la fonction callbackde SNI quand l'objet SSL a disparu ; correction de fuite de références dans les objets ssl.SSLContext ; utilisation prématurée du ramasse-miette sur des objets évitée lors du partage de __dict__ ; correction de les octets CR/LF n'ont pas été rejetés par les en-têtes HTTP du tunnel mandataire client ou par l'hôte[CVE-2026-1502] ; correction de problèmes de déni de service [CVE-2026-3276 CVE-2026-9669] ; correction d'un problème d'échappement insuffisant [CVE-2026-6019] ; correction d'un problème de traversée de répertoires [CVE-2026-7774] ; correction d'un problème de contrefaçon de requête côté serveur [CVE-2026-8328] |
| qemu | Nouvelle version amont stable ; correctifs de sécurité [CVE-2024-6519 CVE-2026-2243 CVE-2026-3195 CVE-2026-3196 CVE-2026-3842 CVE-2026-3886 CVE-2026-3890 CVE-2026-41435 CVE-2026-41436 CVE-2026-41437 CVE-2026-41438 CVE-2026-41439 CVE-2026-41440 CVE-2026-5744 CVE-2026-5761 CVE-2026-5763 CVE-2026-6502 CVE-2026-8341 CVE-2026-48002 CVE-2026-48003 CVE-2026-48004 CVE-2026-48914 CVE-2026-48915 CVE-2026-6425 CVE-2026-8343] |
| qtmir | Correction de problèmes de rendu, de mise à l'échelle, de gestion de focus et de plantage de session de Lomiri ; correction du nettoyage des fenêtres périmées et des surfaces inactives ; assurance que les applications Xwayland héritent de DISPLAY ; amélioration de la sélection du fournisseur de rendu pour Asahi Linux |
| rauc | Correction de la signature incorrecte des gros paquets [CVE-2026-34155] |
| resource-agents | Correction d'une erreur de syntaxe |
| rhino | Correction d'un problème de déni de service [CVE-2025-66453] |
| rlottie | Correction d'un problème de lecture hors limites [CVE-2026-10305] ; correction de problèmes de déni de service [CVE-2026-47319 CVE-2026-47320] |
| rsync | Rejet des lignes de réponse du mandataire HTTP excessivement longues [CVE-2026-45232] |
| rtl-433 | Correction d'un problème de dépassement de tampon [CVE-2025-34450] |
| ruby-css-parser | Correction de la validation de certificats HTTPS pour les CSS distants [CVE-2026-44312] |
| rust-time | Correction d'un déni de service [CVE-2026-25727] |
| samba | Nouvelle version amont stable |
| shim | Nouvelle version amont ; construction avec le gcc par défaut ; définition du niveau de révocation de SBAT à 2025021800 |
| shim-helpers-amd64-signed | Mise à jour vers shim 16.1-2~deb13u1 |
| shim-helpers-arm64-signed | Mise à jour vers shim 16.1-2~deb13u1 |
| shim-signed | Compatibilité avec Secure Boot assurée avec le certificat d'autorité UEFI Microsoft 2023 ; vérification de problèmes probables de démarrage avant l'installation ; combinaison et vérification de plusieurs signatures shim ; mise à jour des binaires signés de shim |
| skanpage | Correction d'un problème de fuite de données [CVE-2025-55174] |
| smartdns | Correction d'un problème de dépassement de tampon [CVE-2026-1425] |
| squirrel3 | Correction d'évasion du bac à sable [CVE-2021-41556] |
| sshfs-fuse | Ajout de l'option contain_symlinks pour éviter les attaques par échappement de lien symbolique [CVE-2026-47187] ; rejet d'injection d'option de nom d'hôte au moyen d'une source de montage entre crochets [CVE-2026-48711] |
| starman | Correction d'un problème de dissimulation de requête [CVE-2026-40560] |
| symfony | Mise à jour de sécurité |
| tigervnc | Lecture de l'écran de x0vncserver par les autres utilisateurs empêchée [CVE-2026-34352] |
| user-mode-linux | Reconstruction avec linux mis à jour |
| vitrage | Correction d'une vulnérabilité d'exécution de code à distance [CVE-2026-28370] |
| wireless-regdb | Nouvelle version amont stable ; mise à jour des informations réglementaires de plusieurs pays |
| wireshark | Nouvelle version amont stable ; correction d'un problème de déni de service [CVE-2026-9759] |
| xz-utils | Correction d'un problème de dépassement de tampon [CVE-2026-34743] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
