Aggiornato Debian 12: rilasciato 12.7

31 Agosto 2024

Il progetto Debian è lieto di annunciare il settimo aggiornamento della sua distribuzione stable Debian 12 (nome in codice bookworm). Questa point release aggiunge principalmente correzioni per problemi di sicurezza, insieme ad alcune modifiche per problemi gravi. Gli avvisi di sicurezza sono già stati pubblicati separatamente e si rinvia ad essi, se disponibili.

Si noti che la point release non costituisce una nuova versione di Debian 12, semplicemente aggiorna alcuni dei pacchetti inclusi. Non è necessario buttare i vecchi supporti di bookworm. Dopo l'installazione, i pacchetti possono essere aggiornati alla versione attuale utilizzando un mirror aggiornato di Debian.

Coloro che installano frequentemente gli aggiornamenti da security.debian.org non dovranno aggiornare molti pacchetti e la maggior parte di tali aggiornamenti è inclusa nella point release.

Le nuove immagini d'installazione saranno presto disponibili nelle posizioni abituali.

L'aggiornamento di un'installazione esistente a questa revisione può essere effettuato puntando il sistema di gestione dei pacchetti a uno dei molti mirror HTTP di Debian. Una lista completa dei mirror è disponibile qui:

https://www.debian.org/mirror/list

Secure Boot e altri sistemi operativi

Gli utenti che avviano altri sistemi operativi sullo stesso hardware e che hanno attivato Secure Boot devono tenere conto che shim 15.8 (incluso in Debian 12.7) revoca le firme delle vecchie versioni di shim nel firmware UEFI. Questo potrebbe rendere impossibile avviare altri sistemi operativi che usano versioni di shim precedenti la 15.8.

Gli utenti colpiti possono disabilitare temporaneamente Secure Boot prima di aggiornare gli altri sistemi operativi.

Correzioni di bug varie

Questo aggiornamento stable aggiunge alcune correzioni importanti ai pacchetti seguenti:

Pacchetto	Motivo
amd64-microcode	Nuovo rilascio originale; correzioni di sicurezza [CVE-2023-31315]; correzioni al firmware SEV [CVE-2023-20584 CVE-2023-31356]
ansible	Nuovo rilascio stable originale; correzione di un problema di rivelazione delle chiavi [CVE-2023-4237]
ansible-core	Nuovo rilascio stable originale; correzione di un problema di rivelazione di informazioni [CVE-2024-0690]; correzione di un problema di iniezione dei modelli [CVE-2023-5764]; correzione di un problema di path traversal [CVE-2023-5115]
apache2	Nuovo rilascio stable originale; correzione di un problema di rivelazione dei contenuti [CVE-2024-40725]
base-files	Aggiornamento per la point release
cacti	Correzione di problemi di esecuzione di codice remoto [CVE-2024-25641 CVE-2024-31459], di cross-site scripting [CVE-2024-29894 CVE-2024-31443 CVE-2024-31444], di iniezione SQL [CVE-2024-31445 CVE-2024-31458 CVE-2024-31460], di conversione di tipo [CVE-2024-34340]; correzione del fallimento di autopkgtest
calamares-settings-debian	Correzione di un problema di permessi nel lanciatore di Xfce
calibre	Correzione di problemi di esecuzione di codice remoto [CVE-2024-6782], di cross site scripting [CVE-2024-7008], di iniezione SQL [CVE-2024-7009]
choose-mirror	Aggiornamento della lista dei mirror disponibili
cockpit	Correzione di un problema di diniego del servizio [CVE-2024-6126]
cups	Correzione di problemi di gestione di socket di dominio [CVE-2024-35235]
curl	Correzione di un problema di sovraccarico dell'analizzatore di date ASN.1 [CVE-2024-7264]
cyrus-imapd	Correzione di una regressione introdotta CVE-2024-34055
dcm2niix	Correzione di un potenziale problema di esecuzione di codice [CVE-2024-27629]
debian-installer	Incremento dell'ABI del kernel Linux a 6.1.0-25; ricompilazione da proposed-updates
debian-installer-netboot-images	Ricompilazione da proposed-updates
dmitry	Correzioni di sicurezza [CVE-2024-31837 CVE-2020-14931 CVE-2017-7938]
dropbear	Correzione del comportamento noremotetcp dei pacchetti keepalive in combinazione con la restrizione no-port-forwarding di authorized_keys(5)
gettext.js	Correzione di un problema di falsificazione delle richieste dal lato server [CVE-2024-43370]
glibc	Correzione della liberazione di memoria non inizializzata in libc_freeres_fn(); correzione di vari problemi di prestazioni e possibili crash
glogic	Dipendenza da Gtk 3.0 e PangoCairo 1.0
graphviz	Correzione di una scala errata
gtk+2.0	Non cercare moduli nella directory di lavoro attuale [CVE-2024-6655]
gtk+3.0	Non cercare moduli nella directory di lavoro attuale [CVE-2024-6655]
imagemagick	Correzione di un errore di segmentazione; correzione di una correzione incompleta per CVE-2023-34151
initramfs-tools	hook_functions: correzione di copy_file con un'origine che include un collegamento simbolico a una directory; hook-functions: copy_file: normalizzazione del nome del file di destinazione; installazione del modulo hid-multitouch module per tastiere Surface Pro 4; aggiunta del modulo hyper-keyboard, necessario per inserire la password di LUKS in Hyper-V; auto_add_modules: aggiunta di onboard_usb_hub e onboard_usb_dev
intel-microcode	Nuovo rilascio originale; correzioni di sicurezza [CVE-2023-42667 CVE-2023-49141 CVE-2024-24853 CVE-2024-24980 CVE-2024-25939]
ipmitool	Aggiunta del file mancante enterprise-numbers.txt
libapache2-mod-auth-openidc	Prevenzione del crash quando l'intestazione Forwarded non è presente ma OIDCXForwardedHeaders è configurato per essa
libnvme	Correzione di un buffer overflow durante la scansione di dispositivi che non supportano la lettura sub-4k
libvirt	birsh: reso domif-setlink funzionale più di una volta; qemu: domain: correzione della logica nell'esecuzion del taint del dominio; correzione di problemi di diniego del servizio [CVE-2023-3750 CVE-2024-1441 CVE-2024-2494 CVE-2024-2496]
linux	Nuovo rilascio originale; incremento dell'ABI a 25
linux-signed-amd64	Nuovo rilascio originale; incremento dell'ABI a 25
linux-signed-arm64	Nuovo rilascio originale; incremento dell'ABI a 25
linux-signed-i386	Nuovo rilascio originale; incremento dell'ABI a 25
newlib	Correzione di un buffer overflow [CVE-2021-3420]
numpy	Conflitto con python-numpy
openssl	Nuovo rilascio stable originale; correzione di problemi di diniego del servizio [CVE-2024-2511 CVE-2024-4603]; correzione di un problema use-after-free [CVE-2024-4741]
poe.app	Rese modificabili le celle di commento; correzione del disegno dell'interfaccia quando una NSActionCell nelle preferenze è azionata per modificarne lo stato
putty	Correzione della generazione debole di nonce ECDSA che consentiva il recupero della chiave privata [CVE-2024-31497]
qemu	Nuovo rilascio stable originale; correzione di un problema di diniego del servizio [CVE-2024-4467]
riemann-c-client	Prevenzione di payload malformati nelle operazioni di invio/ricezione in GnuTLS
rustc-web	Nuovo rilascio stable originale, per supportare la compilazione di nuove versioni di chromium firefox-esr
shim	Nuovo rilascio originale
shim-helpers-amd64-signed	Ricompilazione con shim 15.8.1
shim-helpers-arm64-signed	Ricompilazione con shim 15.8.1
shim-helpers-i386-signed	Ricompilazione con shim 15.8.1
shim-signed	Nuovo rilascio stable originale
systemd	Nuovo rilascio stable originale; aggiornamento di hwdb
usb.ids	Aggiornamento dell'elenco dei dati inclusi
xmedcon	Correzione di un buffer overflow [CVE-2024-29421]

Aggiornamenti di sicurezza

Questa revisione aggiunge i seguenti aggiornamenti di sicurezza al rilascio stable. Il Security Team ha già rilasciato un avviso per ciascuno di questi aggiornamenti:

ID avviso	Pacchetto
DSA-5617	chromium
DSA-5629	chromium
DSA-5634	chromium
DSA-5636	chromium
DSA-5639	chromium
DSA-5648	chromium
DSA-5654	chromium
DSA-5656	chromium
DSA-5668	chromium
DSA-5675	chromium
DSA-5676	chromium
DSA-5683	chromium
DSA-5687	chromium
DSA-5689	chromium
DSA-5694	chromium
DSA-5696	chromium
DSA-5697	chromium
DSA-5701	chromium
DSA-5710	chromium
DSA-5716	chromium
DSA-5719	emacs
DSA-5720	chromium
DSA-5722	libvpx
DSA-5723	plasma-workspace
DSA-5724	openssh
DSA-5725	znc
DSA-5726	krb5
DSA-5727	firefox-esr
DSA-5728	exim4
DSA-5729	apache2
DSA-5731	linux-signed-amd64
DSA-5731	linux-signed-arm64
DSA-5731	linux-signed-i386
DSA-5731	linux
DSA-5732	chromium
DSA-5734	bind9
DSA-5735	chromium
DSA-5737	libreoffice
DSA-5738	openjdk-17
DSA-5739	wpa
DSA-5740	firefox-esr
DSA-5741	chromium
DSA-5743	roundcube
DSA-5745	postgresql-15
DSA-5748	ffmpeg
DSA-5749	bubblewrap
DSA-5749	flatpak
DSA-5750	python-asyncssh
DSA-5751	squid
DSA-5752	dovecot
DSA-5753	aom
DSA-5754	cinder
DSA-5755	glance
DSA-5756	nova
DSA-5757	chromium

Pacchetti rimossi

I pacchetti seguenti sono stati rimossi per circostanze al di fuori del nostro controllo:

Pacchetto	Motivo
bcachefs-tools	Difettoso; obsoleto

Installatore di Debian

L'installatore è stato aggiornato per includere le correzioni incorporate in stable dalla point release.

URL

Elenco completo dei pacchetti che sono cambiati con questa revisione:

https://deb.debian.org/debian/dists/bookworm/ChangeLog

La distribuzione stable attuale:

https://deb.debian.org/debian/dists/stable/

Aggiornamenti proposti per la distribuzione stable:

https://deb.debian.org/debian/dists/proposed-updates

Informazioni sulla distribuzione stable (note di rilascio, errata ecc.):

https://www.debian.org/releases/stable/

Annunci di sicurezza e informazioni:

https://www.debian.org/security/

A proposito di Debian

Il Progetto Debian è un'associazione di sviluppatori di software libero che dedicano volontariamente il proprio tempo e il proprio sforzo per produrre il sistema operativo interamente libero Debian.

Informazioni di contatto

Per maggiori informazioni, visitare il sito web di Debian presso https://www.debian.org/, inviare una mail a <[email protected]> o contattare il release team a <[email protected]>.