Publication de la mise à jour de Debian 12.15

11 juillet 2026

Le projet Debian a l'honneur d'annoncer la quinzième et dernière mise à jour de sa distribution oldstable Debian 12 (nom de code Bookworm). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.

Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Mises à jour signalées

fwupd et l'expiration du certificat CA de Secure Boot

fwupd a été mis à jour vers la version amont 2.0.20 qui a la capacité de mettre à jour le certificat de l'autorité de certification (CA) de Secure Boot, la clé d'échange de clés (Key Exchange Key — KEK) et les bases de données de révocation (DBX).

L'autorité de certification de UEFI Secure Boot de 2013, installée par défaut sur la plupart des PC et utilisée pour signer les chargeurs d'amorçage a désormais expiré. Les futures mises à jour de shim-signed pourraient donc empêcher le démarrage des systèmes quand Secure Boot est activé.

Il est vivement recommandé aux utilisateurs d'appliquer les mises à jour de CA, KEK et DBX fournies par le fabricant de leur système, conformément aux directives suivantes :

https://wiki.debian.org/SecureBoot/CAChanges#What_should_I_do.3F

Retour à une version antérieure de geoip-database

Pour des raisons de licence, geoip-database a été rétabli à une version datant d'environ décembre 2019. Par conséquent les applications qui utilisent cette base de données pourraient utiliser des informations d'allocation obsolètes.

Les versions plus récentes de geoip-database (GeoLite) ne sont pas compatibles avec les principes du logiciel libre selon Debian et ne peuvent pas être distribuées.

Il est vivement recommandé aux utilisateurs de ces données d'obtenir une licence GeoLite directement et de cesser de dépendre du paquet geoip-database.

Fin de la prise en charge de Bookworm par Debian

Cette mise à jour marque la fin de la prise en charge de la version 12 par l'équipe de publication, l'équipe de sécurité et l'équipe des rétroportages. La prise en charge continue de certaines architectures sera assurée par l'équipe de suivi à long terme de Debian (LTS) avec le soutien de Freexian. Il est conseillé aux utilisateurs de mettre à niveau leurs systèmes vers Debian 13 Trixie.

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
7zip Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2026-48092 CVE-2026-48095] ; correction d'un problème de divulgation de mémoire [CVE-2026-48101] ; correction de problèmes de lecture hors limites [CVE-2026-48102 CVE-2026-48103 CVE-2026-48111 CVE-2026-48112] ; correction d'un problème de lecture de mémoire non initialisée [CVE-2026-48104]
apache2 Correction d'un déni de service par requête HTTP/2 et de l'épuisement des descripteurs de fichiers [CVE-2026-49975 CVE-2026-48913] ; correction de problèmes de mémoire ou de plantage du mandataire, de DAV, de LDAP, de SSL, de XML et d'en-tête [CVE-2026-29167 CVE-2026-34355 CVE-2026-34356 CVE-2026-42535 CVE-2026-42536 CVE-2026-43951 CVE-2026-44185] ; correction de script intersite du listing de répertoires FTP du mandataire et de boucle du serveur [CVE-2026-29170 CVE-2026-44186] ; accès restreint au fichier d'expression htaccess [CVE-2026-44119] ; correction d'un soupassement dans l'analyse des expressions rationnelles [CVE-2026-44631] ; correction de la gestion de SSI, du cache de fichiers, de la méthode DELETE de WebDAV et des vérifications de santé du mandataire ; mise à jour de la documentation et des tests
appstream Reconstruction avec libxmlb mis à jour
base-files Mise à jour pour la version 12.15
beets Correction d'une vulnérabilité de script intersite [CVE-2026-42052] ; correction d'échecs de test au moment de la construction
calibre Correction de divers problèmes potentiels de sécurité ; lecture de ressources uniquement pour le contenu du livre [CVE-2026-33206] ; fichiers extraits maintenus dans le répertoire du conteneur [CVE-2026-30853] ; lecture empêchée des images de fond en dehors du fichier de configuration [CVE-2026-33205]
cdebootstrap Reconstruction avec xz-utils mis à jour
chrony Sortie avec succès des scripts d'accrohe if-up/down assurée
cloud-init Correction de l'initialisation du bond d'OpenStack
composer Correction de la prise en charge du nouveau format de jeton de GitHub [CVE-2026-45793]
curl Correction d'un problème d'empoisonnement de cache [CVE-2025-10148] ; corrections de problèmes de fuite de données [CVE-2025-14524 CVE-2026-3783] ; correction de problèmes de réutilisation incorrecte de connexions [CVE-2025-14819 CVE-2026-3784 CVE-2026-5773 CVE-2026-7168]
dar Reconstruction avec libgcrypt20 mis à jour
dcmtk Corrections de problèmes de déréférencement de pointeur NULL [CVE-2022-4981 CVE-2025-14841] ; correction de problèmes de corruption de mémoire [CVE-2025-2357 CVE-2025-9732 CVE-2025-14607] ; correction d'un problème d'injection de commande [CVE-2026-5663] ; correction de problèmes de dépassement de tampon [CVE-2026-10194 CVE-2026-12805]
debian-installer Passage de l'ABI du noyau Linux à la version 6.1.0-50 ; reconstruction pour la version 12.15
debian-installer-netboot-images Reconstruction avec proposed-updates
debian-security-support Préparation des limitations de prise en charge avant la transition vers LTS
delve Correction d'un échec de construction sur les processeurs EYPC de quatrième génération
dhcpcd5 Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-70102] ; correction d'un problème d'écriture hors limites [CVE-2026-56114]
firewalld Correction de la vérification de politique de DBUS [CVE-2026-4948]
fwupd Reconstruction avec libjcat et libxmlbmis à jour ; ajout de la prise en charge de la mise à jour des magasins DBX et KEK ; reconstruction dans un environnement propre
geoip-database Retour à une version compatible avec la DFSG
ghdl Reconstruction avec gcc-12 mis à jour
giflib Correction de problèmes de corruption de la mémoire [CVE-2026-23868 CVE-2026-26740]
gnome-firmware Reconstruction avec libxmlb mis à jour ; rétroportage du correctif pour la compatibilité avec libfwupd3
gnome-software Reconstruction avec libxmlb mis à jour ; rétroportage du correctif pour la compatibilité avec libfwupd3
graphite2 Correction d'un problème d'écriture hors limites [CVE-2026-50593]
gss Correction d'échecs de construction provoqués par un ticket Kerberos expiré ; auto-tests évités de krb5context avec une bombe temporelle
horizon Correction de l'échappement de caractères spéciaux dans project
ironic Correction de divulgation de fichiers au moyen de sources d'images [CVE-2025-44021] ; correction d'injection de commande de console [CVE-2026-42510] ; correction de divulgation de jeton Swift [CVE-2026-42997] ; correction d'exécution de modèle non sûre [CVE-2026-44916]
keystone Correction du comportement de user_enabled_invert [CVE-2026-40683] ; création et suppression d'identifiants EC2 non autorisés évitées [CVE-2026-33551]
libapache-session-browseable-perl Amélioration de l'entropie des identifiants de session générés
libbytes-random-secure-perl Correction de l'utilisation incorrecte de semences dans PRNG [CVE-2026-11625]
libcaca Comportement indéfini évité dans le contrôle de dépassement [CVE-2026-42046]
libcrypt-pbkdf2-perl Changement de l'algorithme de hachage par défaut à HMAC-SHA256 et de la valeur d'itération par défaut à 600 000 [CVE-2026-9641] ; génération du salage en utilisant Crypt::URandom [CVE-2026-9638] ; utilisation de comparaisons de temps constant dans validate pour éviter des attaques temporelles [CVE-2017-20240]
libhtml-gumbo-perl Correction d'un accès à la mémoire non initialisée [CVE-2025-15646]
libhtml-parser-perl Correction d'utilisation de tas après libération dans les entités _decode [CVE-2026-8829]
libjcat Ajout de la prise en charge des types ed25519 et des hachages SHA512
libnet-cidr-lite-perl Correction de la validation de l'analyseur de IP/CIDR : rejet des chiffres non ASCII et des sauts de ligne terminaux [CVE-2026-55190] ; rejet des masques CIDR à remplissage de zéros [CVE-2026-45191]
libreoffice Correction d'échec avec élégance dans graphite2
libvncserver Correction d'un dépassement de tampon et d'une écriture hors limites [CVE-2026-44988 CVE-2026-50538]
libxml-libxml-perl Correction d'une lecture hors limites [CVE-2026-8177]
libxml2 Correction de la récursion de catalogue et gestion des catalogues en double [CVE-2025-8732 CVE-2026-0990 CVE-2026-0992] ; limitation de récursion pour les inclusions RelaxNG [CVE-2026-0989] ; correction d'une fuite de mémoire du shell xmllint [CVE-2026-1757] ; correction des tests de régression de Schematron [CVE-2025-49794 CVE-2025-49796] ; correction des fuites de mémoire de XMLwriter et de Schematron ; mitigation de l'utilisation après libération de la validation de RelaxNG ; mise à jour du catalogue et des tests de régression de RelaxNG
libxmlb Ajout de la prise en charge de la décompression avec zstd ; correction de la validation de stockage/troncature de XMLb ; correction de la liaison de requête et de la gestion d'index ; correction de l'exportation XML et de la gestion de text() vide
linuxcnc Nettoyage des noms de module
mariadb Nouvelle version amont stable ; correction de problèmes d'exécution de code [CVE-2025-13699 CVE-2026-44168 CVE-2026-48163 CVE-2026-48165 CVE-2026-49261] ; correction de problèmes de déni de service [CVE-2026-21968 CVE-2026-34303] ; correction d'un problème de contournement de connexion [CVE-2026-3494] ; correction d'un problème de traversée de répertoires [CVE-2026-44171] ; correction d'un problème d'injection de code SQL [CVE-2026-44172] ; correction d'un problème de vérification de privilèges incomplète [CVE-2026-44173] ; correction de l'erreur combinaison interdite de collations ; correction de Mroonga se bloque sur un indicateur d'index non valable ; correction d'un plantage dans information_schema.table_constraints
mesa Correction de la gestion d'allocation pour WebGPU/SPIR-V [CVE-2026-40393]
modsecurity Déni de service évité dans la gestion de hexDecode [CVE-2026-30923] ; déni de service évité dans la vérification SSN/CPF/SVNR [CVE-2026-42268]
mxml Correction d'une lecture hors limites [CVE-2026-5037]
node-flatted Correction d'un problème de pollution de prototype [CVE-2026-33228]
node-jschardet Correction des références de liens de build
node-regexpp Ajout d'un lien manquant vers undici-types
ojalgo Réduction de la fréquence des échecs de tests au moment de la construction
openslide Correction d'un possible problème d'exécution de code [CVE-2026-48977]
p7zip Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2026-48092 CVE-2026-48095] ; correction d'un problème de divulgation de mémoire [CVE-2026-48101] ; correction de problèmes de lecture hors limites [CVE-2026-48102 CVE-2026-48103 CVE-2026-48111 CVE-2026-48112] ; correction d'un problème de lecture de mémoire non initialisée [CVE-2026-48104]
php-guzzlehttp-psr7 Correction de la validation de l'hôte d'autorité [CVE-2026-48998] ; rejet des caractères de contrôle dans les noms d'hôte des URI [CVE-2026-49214] ; durcissement de la gestion des variables globales de ServerRequest ; normalisation des valeurs d'en-tête globales ; encodage des signes plus littéraux dans les assistants de requête
phpunit Correction d'une désérialisation non sûre dans la gestion de la couverture du code de PHPT [CVE-2026-24765]
plasma-discover Rétroportage d'un correctif pour assurer la compatibilité avec libfwupd3
prometheus Correction d'un test au moment de la construction sensible à la date
protobuf Correction des limites de récursion de l'analyseur [CVE-2024-7254 CVE-2025-4565 CVE-2026-0994 CVE-2026-6409]
pydantic Correction d'un déni de service dans la vérification de courriel [CVE-2024-3772]
pymatgen Correction d'un déni de service dans GaussianInput.from_string [CVE-2022-42964]
python-ase Désactivation d'un test au moment de la construction peu fiable
python-django Mise à jour de la suite de tests à la suite de modifications dans python3.13
python-filelock Corrections de vulnérabilités de lien symbolique [CVE-2025-68146 CVE-2026-22701]
python-markdown Correction de l'analyse de balisage HTML médiocre [CVE-2025-69534]
python-pyramid Correction d'un problème de divulgation d'informations [CVE-2023-40587]
python-xmltodict Correction d'un problème d'injection de code XML [CVE-2025-9375]
python3.11 Traitement incorrect d'archives tar empêché [CVE-2025-13462] ; assurance que les importations de bytecode-only utilisent les contrôles de sécurité habituels [CVE-2026-2297] ; rejet de valeur de cookie non sûre [CVE-2026-3644] ; plantages de l'analyseur XML évités [CVE-2026-4224] ; injection de commande du navigateur évitée [CVE-2026-4519] ; corruption de mémoire du décompresseur bz2/lzma évitée [CVE-2026-6100] ; restauration des autopkgtests XML
qemu Reconstruction avec gnutls28 mis à jour
rhino Correction d'un problème de déni de service [CVE-2025-66453]
rlottie Correction d'un problème de lecture hors limites [CVE-2026-10305] ; correction de problèmes de déni de service [CVE-2026-47319 CVE-2026-47320]
rsync Rejet des lignes de réponse du mandataire HTTP excessivement longues [CVE-2026-45232]
ruby-css-parser Correction de la validation de certificats HTTPS pour les CSS distants [CVE-2026-44312]
rust-time Correction d'un déni de service [CVE-2026-25727]
science.js Correction d'une situation de compétition au moment de la construction
sentry-python Correction du nettoyage de l'environnement des sous-processus [CVE-2024-40647]
shim Nouvelle version amont ; construction avec le gcc par défaut ; définition du niveau de révocation de SBAT à 2025021800
shim-helpers-amd64-signed Mise à jour vers shim 16.1-2~deb12u1
shim-helpers-arm64-signed Mise à jour vers shim 16.1-2~deb12u1
shim-helpers-i386-signed Mise à jour vers shim 16.1-2~deb12u1
shim-signed Compatibilité avec Secure Boot assurée avec le certificat d'autorité UEFI Microsoft 2023 ; vérification de problèmes probables de démarrage avant l'installation ; combinaison et vérification de plusieurs signatures shim ; mise à jour des binaires signés de shim
sqlite-utils Ajout de la dépendance à python3-click-default-group
sshfs-fuse Ajout de l'option contain_symlinks pour éviter les attaques par échappement de lien symbolique [CVE-2026-47187] ; rejet d'injection d'option de nom d'hôte au moyen d'une source de montage entre crochets [CVE-2026-48711]
sylpheed Correction de vérification de liens [CVE-2021-37746]
user-mode-linux Reconstruction avec linux mis à jour
vitrage Correction d'une vulnérabilité d'exécution de code à distance [CVE-2026-28370]
wireless-regdb Nouvelle version amont stable ; mise à jour des informations réglementaires de plusieurs pays
xz-utils Correction d'un problème de dépassement de tampon [CVE-2026-34743]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DLA-4627 kernel-wedge
DLA-4628 linux-base
DLA-4632 atril
DLA-4633 libreoffice
DLA-4635 firefox-esr
DLA-4636 thunderbird
DLA-4637 libconfig-inifiles-perl
DLA-4638 libgd-perl
DLA-4639 libhttp-daemon-perl
DLA-4642 u-boot
DLA-4643 imagemagick
DLA-4644 libmatio
DLA-4648 libtext-csv-xs-perl
DLA-4651 python-urllib3
DLA-4654 chromium
DLA-4656 tor
DLA-4657 sogo
DLA-4658 librabbitmq
DLA-4662 jq
DLA-4665 linux-signed-amd64
DLA-4665 linux-signed-arm64
DLA-4665 linux-signed-i386
DLA-4665 linux
DLA-4666 openvpn
DLA-4667 nginx
DLA-4668 sympa
DLA-4669 php8.2
DLA-4672 chromium
DLA-4674 chromium
DSA-6250 chromium
DSA-6266 nghttp2
DSA-6267 thunderbird
DSA-6269 postgresql-15
DSA-6271 gsasl
DSA-6272 nodejs
DSA-6273 chromium
DSA-6275 linux-signed-amd64
DSA-6275 linux-signed-arm64
DSA-6275 linux-signed-i386
DSA-6275 linux
DSA-6276 ffmpeg
DSA-6277 openjpeg2
DSA-6278 nginx
DSA-6279 redis
DSA-6281 gnutls28
DSA-6282 rsync
DSA-6283 firefox-esr
DSA-6285 bind9
DSA-6286 evince
DSA-6287 chromium
DSA-6288 thunderbird
DSA-6289 openvpn
DSA-6292 haveged
DSA-6293 krb5
DSA-6294 libgcrypt20
DSA-6297 samba
DSA-6299 kdenlive
DSA-6300 node-shell-quote
DSA-6301 roundcube
DSA-6302 starlette
DSA-6306 linux-signed-amd64
DSA-6306 linux-signed-arm64
DSA-6306 linux-signed-i386
DSA-6306 linux
DSA-6308 nagios4
DSA-6309 exim4
DSA-6310 imagemagick
DSA-6313 dovecot
DSA-6316 chromium
DSA-6317 php-symfony-contracts
DSA-6317 symfony
DSA-6319 yelp
DSA-6320 php-twig
DSA-6321 ceph
DSA-6322 frr
DSA-6323 apache2
DSA-6324 request-tracker5
DSA-6325 chromium
DSA-6326 nginx
DSA-6327 request-tracker4
DSA-6328 tomcat10
DSA-6330 strongswan
DSA-6331 keystone
DSA-6332 okular
DSA-6333 mistral
DSA-6334 poppler
DSA-6335 openssl
DSA-6336 jackson-core
DSA-6336 jackson-databind
DSA-6336 jackson-dataformat-smile
DSA-6337 chromium
DSA-6338 libdbi-perl
DSA-6339 libinput
DSA-6341 ironic
DSA-6341 python-oslo.messaging
DSA-6344 chromium
DSA-6352 chromium

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
smb4k Poursuite de la prise en charge de sécurité impossible

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.