Publication de la mise à jour de Debian 12.15
11 juillet 2026
Le projet Debian a l'honneur d'annoncer la quinzième et dernière mise à jour
de sa distribution oldstable Debian 12 (nom de code Bookworm
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 12 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Bookworm. Après installation, les paquets peuvent être mis à niveau vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Mises à jour signalées
fwupd
et l'expiration du certificat CA de Secure Boot
fwupd
a été mis à jour vers la version amont 2.0.20 qui a la
capacité de mettre à jour le certificat de l'autorité de certification (CA)
de Secure Boot, la clé d'échange de clés (Key Exchange Key — KEK) et les
bases de données de révocation (DBX).
L'autorité de certification de UEFI Secure Boot de 2013, installée par
défaut sur la plupart des PC et utilisée pour signer les chargeurs
d'amorçage a désormais expiré. Les futures mises à jour de shim-signed
pourraient donc empêcher le démarrage des systèmes quand Secure Boot est
activé.
Il est vivement recommandé aux utilisateurs d'appliquer les mises à
jour de CA
, KEK
et DBX
fournies par le fabricant de
leur système, conformément aux directives suivantes :
Retour à une version antérieure de geoip-database
Pour des raisons de licence, geoip-database
a été rétabli à une
version datant d'environ décembre 2019. Par conséquent les applications qui
utilisent cette base de données pourraient utiliser des informations
d'allocation obsolètes.
Les versions plus récentes de geoip-database
(GeoLite) ne sont
pas compatibles avec les principes du logiciel libre selon Debian et ne
peuvent pas être distribuées.
Il est vivement recommandé aux utilisateurs de ces données d'obtenir
une licence GeoLite directement et de cesser de dépendre du paquet
geoip-database
.
Fin de la prise en charge de Bookworm
par Debian
Cette mise à jour marque la fin de la prise en charge de la version
12 par l'équipe de publication, l'équipe de sécurité et l'équipe des
rétroportages. La prise en charge continue de certaines architectures sera
assurée par l'équipe de suivi à long terme de Debian (LTS) avec le soutien
de Freexian. Il est conseillé aux utilisateurs de mettre à niveau leurs
systèmes vers Debian 13 Trixie
.
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| 7zip | Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2026-48092 CVE-2026-48095] ; correction d'un problème de divulgation de mémoire [CVE-2026-48101] ; correction de problèmes de lecture hors limites [CVE-2026-48102 CVE-2026-48103 CVE-2026-48111 CVE-2026-48112] ; correction d'un problème de lecture de mémoire non initialisée [CVE-2026-48104] |
| apache2 | Correction d'un déni de service par requête HTTP/2 et de l'épuisement des descripteurs de fichiers [CVE-2026-49975 CVE-2026-48913] ; correction de problèmes de mémoire ou de plantage du mandataire, de DAV, de LDAP, de SSL, de XML et d'en-tête [CVE-2026-29167 CVE-2026-34355 CVE-2026-34356 CVE-2026-42535 CVE-2026-42536 CVE-2026-43951 CVE-2026-44185] ; correction de script intersite du listing de répertoires FTP du mandataire et de boucle du serveur [CVE-2026-29170 CVE-2026-44186] ; accès restreint au fichier d'expression htaccess [CVE-2026-44119] ; correction d'un soupassement dans l'analyse des expressions rationnelles [CVE-2026-44631] ; correction de la gestion de SSI, du cache de fichiers, de la méthode DELETE de WebDAV et des vérifications de santé du mandataire ; mise à jour de la documentation et des tests |
| appstream | Reconstruction avec libxmlb mis à jour |
| base-files | Mise à jour pour la version 12.15 |
| beets | Correction d'une vulnérabilité de script intersite [CVE-2026-42052] ; correction d'échecs de test au moment de la construction |
| calibre | Correction de divers problèmes potentiels de sécurité ; lecture de ressources uniquement pour le contenu du livre [CVE-2026-33206] ; fichiers extraits maintenus dans le répertoire du conteneur [CVE-2026-30853] ; lecture empêchée des images de fond en dehors du fichier de configuration [CVE-2026-33205] |
| cdebootstrap | Reconstruction avec xz-utils mis à jour |
| chrony | Sortie avec succès des scripts d'accrohe if-up/downassurée |
| cloud-init | Correction de l'initialisation du bond d'OpenStack |
| composer | Correction de la prise en charge du nouveau format de jeton de GitHub [CVE-2026-45793] |
| curl | Correction d'un problème d'empoisonnement de cache [CVE-2025-10148] ; corrections de problèmes de fuite de données [CVE-2025-14524 CVE-2026-3783] ; correction de problèmes de réutilisation incorrecte de connexions [CVE-2025-14819 CVE-2026-3784 CVE-2026-5773 CVE-2026-7168] |
| dar | Reconstruction avec libgcrypt20 mis à jour |
| dcmtk | Corrections de problèmes de déréférencement de pointeur NULL [CVE-2022-4981 CVE-2025-14841] ; correction de problèmes de corruption de mémoire [CVE-2025-2357 CVE-2025-9732 CVE-2025-14607] ; correction d'un problème d'injection de commande [CVE-2026-5663] ; correction de problèmes de dépassement de tampon [CVE-2026-10194 CVE-2026-12805] |
| debian-installer | Passage de l'ABI du noyau Linux à la version 6.1.0-50 ; reconstruction pour la version 12.15 |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| debian-security-support | Préparation des limitations de prise en charge avant la transition vers LTS |
| delve | Correction d'un échec de construction sur les processeurs EYPC de quatrième génération |
| dhcpcd5 | Correction d'un problème de déréférencement de pointeur NULL [CVE-2025-70102] ; correction d'un problème d'écriture hors limites [CVE-2026-56114] |
| firewalld | Correction de la vérification de politique de DBUS [CVE-2026-4948] |
| fwupd | Reconstruction avec libjcat et libxmlbmis à jour ; ajout de la prise en charge de la mise à jour des magasins DBX et KEK ; reconstruction dans un environnement propre |
| geoip-database | Retour à une version compatible avec la DFSG |
| ghdl | Reconstruction avec gcc-12 mis à jour |
| giflib | Correction de problèmes de corruption de la mémoire [CVE-2026-23868 CVE-2026-26740] |
| gnome-firmware | Reconstruction avec libxmlb mis à jour ; rétroportage du correctif pour la compatibilité avec libfwupd3 |
| gnome-software | Reconstruction avec libxmlb mis à jour ; rétroportage du correctif pour la compatibilité avec libfwupd3 |
| graphite2 | Correction d'un problème d'écriture hors limites [CVE-2026-50593] |
| gss | Correction d'échecs de construction provoqués par un ticket Kerberos expiré ; auto-tests évités de krb5context avec une bombe temporelle |
| horizon | Correction de l'échappement de caractères spéciaux dans project |
| ironic | Correction de divulgation de fichiers au moyen de sources d'images [CVE-2025-44021] ; correction d'injection de commande de console [CVE-2026-42510] ; correction de divulgation de jeton Swift [CVE-2026-42997] ; correction d'exécution de modèle non sûre [CVE-2026-44916] |
| keystone | Correction du comportement de user_enabled_invert [CVE-2026-40683] ; création et suppression d'identifiants EC2 non autorisés évitées [CVE-2026-33551] |
| libapache-session-browseable-perl | Amélioration de l'entropie des identifiants de session générés |
| libbytes-random-secure-perl | Correction de l'utilisation incorrecte de semences dans PRNG [CVE-2026-11625] |
| libcaca | Comportement indéfini évité dans le contrôle de dépassement [CVE-2026-42046] |
| libcrypt-pbkdf2-perl | Changement de l'algorithme de hachage par défaut à HMAC-SHA256 et de la valeur d'itération par défaut à 600 000 [CVE-2026-9641] ; génération du salage en utilisant Crypt::URandom [CVE-2026-9638] ; utilisation de comparaisons de temps constant dans validatepour éviter des attaques temporelles [CVE-2017-20240] |
| libhtml-gumbo-perl | Correction d'un accès à la mémoire non initialisée [CVE-2025-15646] |
| libhtml-parser-perl | Correction d'utilisation de tas après libération dans les entités _decode [CVE-2026-8829] |
| libjcat | Ajout de la prise en charge des types ed25519 et des hachages SHA512 |
| libnet-cidr-lite-perl | Correction de la validation de l'analyseur de IP/CIDR : rejet des chiffres non ASCII et des sauts de ligne terminaux [CVE-2026-55190] ; rejet des masques CIDR à remplissage de zéros [CVE-2026-45191] |
| libreoffice | Correction d'échec avec élégance dans graphite2 |
| libvncserver | Correction d'un dépassement de tampon et d'une écriture hors limites [CVE-2026-44988 CVE-2026-50538] |
| libxml-libxml-perl | Correction d'une lecture hors limites [CVE-2026-8177] |
| libxml2 | Correction de la récursion de catalogue et gestion des catalogues en double [CVE-2025-8732 CVE-2026-0990 CVE-2026-0992] ; limitation de récursion pour les inclusions RelaxNG [CVE-2026-0989] ; correction d'une fuite de mémoire du shell xmllint [CVE-2026-1757] ; correction des tests de régression de Schematron [CVE-2025-49794 CVE-2025-49796] ; correction des fuites de mémoire de XMLwriter et de Schematron ; mitigation de l'utilisation après libération de la validation de RelaxNG ; mise à jour du catalogue et des tests de régression de RelaxNG |
| libxmlb | Ajout de la prise en charge de la décompression avec zstd ; correction de la validation de stockage/troncature de XMLb ; correction de la liaison de requête et de la gestion d'index ; correction de l'exportation XML et de la gestion de text() vide |
| linuxcnc | Nettoyage des noms de module |
| mariadb | Nouvelle version amont stable ; correction de problèmes d'exécution de code [CVE-2025-13699 CVE-2026-44168 CVE-2026-48163 CVE-2026-48165 CVE-2026-49261] ; correction de problèmes de déni de service [CVE-2026-21968 CVE-2026-34303] ; correction d'un problème de contournement de connexion [CVE-2026-3494] ; correction d'un problème de traversée de répertoires [CVE-2026-44171] ; correction d'un problème d'injection de code SQL [CVE-2026-44172] ; correction d'un problème de vérification de privilèges incomplète [CVE-2026-44173] ; correction de l'erreur combinaison interdite de collations; correction de Mroonga se bloque sur un indicateur d'index non valable; correction d'un plantage dans information_schema.table_constraints |
| mesa | Correction de la gestion d'allocation pour WebGPU/SPIR-V [CVE-2026-40393] |
| modsecurity | Déni de service évité dans la gestion de hexDecode [CVE-2026-30923] ; déni de service évité dans la vérification SSN/CPF/SVNR [CVE-2026-42268] |
| mxml | Correction d'une lecture hors limites [CVE-2026-5037] |
| node-flatted | Correction d'un problème de pollution de prototype [CVE-2026-33228] |
| node-jschardet | Correction des références de liens de build |
| node-regexpp | Ajout d'un lien manquant vers undici-types |
| ojalgo | Réduction de la fréquence des échecs de tests au moment de la construction |
| openslide | Correction d'un possible problème d'exécution de code [CVE-2026-48977] |
| p7zip | Nouvelle version amont stable ; correction de problèmes de dépassement de tampon [CVE-2026-48092 CVE-2026-48095] ; correction d'un problème de divulgation de mémoire [CVE-2026-48101] ; correction de problèmes de lecture hors limites [CVE-2026-48102 CVE-2026-48103 CVE-2026-48111 CVE-2026-48112] ; correction d'un problème de lecture de mémoire non initialisée [CVE-2026-48104] |
| php-guzzlehttp-psr7 | Correction de la validation de l'hôte d'autorité [CVE-2026-48998] ; rejet des caractères de contrôle dans les noms d'hôte des URI [CVE-2026-49214] ; durcissement de la gestion des variables globales de ServerRequest ; normalisation des valeurs d'en-tête globales ; encodage des signes pluslittéraux dans les assistants de requête |
| phpunit | Correction d'une désérialisation non sûre dans la gestion de la couverture du code de PHPT [CVE-2026-24765] |
| plasma-discover | Rétroportage d'un correctif pour assurer la compatibilité avec libfwupd3 |
| prometheus | Correction d'un test au moment de la construction sensible à la date |
| protobuf | Correction des limites de récursion de l'analyseur [CVE-2024-7254 CVE-2025-4565 CVE-2026-0994 CVE-2026-6409] |
| pydantic | Correction d'un déni de service dans la vérification de courriel [CVE-2024-3772] |
| pymatgen | Correction d'un déni de service dans GaussianInput.from_string [CVE-2022-42964] |
| python-ase | Désactivation d'un test au moment de la construction peu fiable |
| python-django | Mise à jour de la suite de tests à la suite de modifications dans python3.13 |
| python-filelock | Corrections de vulnérabilités de lien symbolique [CVE-2025-68146 CVE-2026-22701] |
| python-markdown | Correction de l'analyse de balisage HTML médiocre [CVE-2025-69534] |
| python-pyramid | Correction d'un problème de divulgation d'informations [CVE-2023-40587] |
| python-xmltodict | Correction d'un problème d'injection de code XML [CVE-2025-9375] |
| python3.11 | Traitement incorrect d'archives tar empêché [CVE-2025-13462] ; assurance que les importations de bytecode-only utilisent les contrôles de sécurité habituels [CVE-2026-2297] ; rejet de valeur de cookie non sûre [CVE-2026-3644] ; plantages de l'analyseur XML évités [CVE-2026-4224] ; injection de commande du navigateur évitée [CVE-2026-4519] ; corruption de mémoire du décompresseur bz2/lzma évitée [CVE-2026-6100] ; restauration des autopkgtests XML |
| qemu | Reconstruction avec gnutls28 mis à jour |
| rhino | Correction d'un problème de déni de service [CVE-2025-66453] |
| rlottie | Correction d'un problème de lecture hors limites [CVE-2026-10305] ; correction de problèmes de déni de service [CVE-2026-47319 CVE-2026-47320] |
| rsync | Rejet des lignes de réponse du mandataire HTTP excessivement longues [CVE-2026-45232] |
| ruby-css-parser | Correction de la validation de certificats HTTPS pour les CSS distants [CVE-2026-44312] |
| rust-time | Correction d'un déni de service [CVE-2026-25727] |
| science.js | Correction d'une situation de compétition au moment de la construction |
| sentry-python | Correction du nettoyage de l'environnement des sous-processus [CVE-2024-40647] |
| shim | Nouvelle version amont ; construction avec le gcc par défaut ; définition du niveau de révocation de SBAT à 2025021800 |
| shim-helpers-amd64-signed | Mise à jour vers shim 16.1-2~deb12u1 |
| shim-helpers-arm64-signed | Mise à jour vers shim 16.1-2~deb12u1 |
| shim-helpers-i386-signed | Mise à jour vers shim 16.1-2~deb12u1 |
| shim-signed | Compatibilité avec Secure Boot assurée avec le certificat d'autorité UEFI Microsoft 2023 ; vérification de problèmes probables de démarrage avant l'installation ; combinaison et vérification de plusieurs signatures shim ; mise à jour des binaires signés de shim |
| sqlite-utils | Ajout de la dépendance à python3-click-default-group |
| sshfs-fuse | Ajout de l'option contain_symlinks pour éviter les attaques par échappement de lien symbolique [CVE-2026-47187] ; rejet d'injection d'option de nom d'hôte au moyen d'une source de montage entre crochets [CVE-2026-48711] |
| sylpheed | Correction de vérification de liens [CVE-2021-37746] |
| user-mode-linux | Reconstruction avec linux mis à jour |
| vitrage | Correction d'une vulnérabilité d'exécution de code à distance [CVE-2026-28370] |
| wireless-regdb | Nouvelle version amont stable ; mise à jour des informations réglementaires de plusieurs pays |
| xz-utils | Correction d'un problème de dépassement de tampon [CVE-2026-34743] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| smb4k | Poursuite de la prise en charge de sécurité impossible |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
