Debian 12.11 发布:安全修复与系统优化详解
Debian 12.11 更新发布
2025年5月17日,Debian项目很高兴地宣布其稳定发行版Debian 12(代号bookworm)的第11次更新。此点发布主要增加了安全问题的修正,以及对一些严重问题的调整。安全公告已单独发布,并在可用处提供了参考。
请注意,点发布并不构成Debian 12的新版本,而只是更新了部分包含的软件包。无需丢弃旧的bookworm安装介质。安装后,可以使用最新的Debian镜像将软件包升级到当前版本。
经常从security.debian.org安装更新的用户不需要更新很多软件包,大多数此类更新已包含在点发布中。
新的安装映像将很快在常规位置提供。将现有安装升级到此修订版可以通过将软件包管理系统指向Debian的众多HTTP镜像之一来实现。完整的镜像列表可在以下位置查看:
https://www.debian.org/mirror/list
已知问题
Debian 12.11中包含的Linux 6.1.137-1无法在amd64架构上加载watchdog和w83977f_wdt模块。这是一个回归问题。
此问题将在即将到来的更新中修复。依赖看门狗功能的用户应禁用其看门狗,或者在修复可用之前避免升级到此版本的内核。
杂项错误修复
此稳定更新为以下软件包添加了一些重要修正:
| 软件包 | 原因 |
|---|---|
| abseil | 修复堆缓冲区溢出问题[CVE-2025-0838];修复ppc64el上的构建失败 |
| adonthell | 修复与SWIG 4.1的兼容性 |
| base-files | 为点发布更新 |
| bash | 为过时的Built-Using重建(glibc/2.36-9+deb12u5) |
| busybox | 为过时的Built-Using重建(glibc/2.36-9) |
| cdebootstrap | 为过时的Built-Using重建(glibc/2.36-9) |
| chkrootkit | 为过时的Built-Using重建(glibc/2.36-9+deb12u5) |
| crowdsec | 为过时的Built-Using重建(docker.io/20.10.24+dfsg1-1) |
| dar | 为过时的Built-Using重建(glibc/2.36-9+deb12u5) |
| debian-archive-keyring | 为trixie(Debian 13)添加存档签名和SRM密钥;将buster(Debian 10)密钥移至已移除密钥环 |
| debian-installer | 将Linux内核ABI增加到6.1.0-35;针对提议的更新重建 |
| debian-installer-netboot-images | 针对提议的更新重建 |
| debian-security-support | 更新在bookworm中接收有限支持或不支持的软件包列表 |
| distro-info-data | 添加Debian 15和Ubuntu 25.10 |
| docker.io | 为过时的Built-Using重建(containerd/1.6.20~ds1-1, glibc/2.36-9+deb12u8) |
| dpdk | 新的上游稳定发布 |
| fig2dev | 拒绝巨大的模式长度[CVE-2025-31162];拒绝重合点的弧[CVE-2025-31163];允许零半径的弧框[CVE-2025-31164] |
| fossil | 修复与包括CVE-2024-24795修复的Apache HTTP服务器的交互 |
| gcc-12 | 修复AArch64上的-fstack-protector溢出处理[CVE-2023-4039] |
| gcc-mingw-w64 | 为过时的Built-Using重建(gcc-12/12.2.0-13) |
| glib2.0 | 修复g_date_time_new_from_iso8601()中的整数溢出[CVE-2025-3360] |
| golang-github-containerd-stargz-snapshotter | 为过时的Built-Using重建(containerd/1.6.20~ds1-1, runc/1.1.5+ds1-1) |
| golang-github-containers-buildah | 为过时的Built-Using重建(containerd/1.6.20~ds1-1) |
| golang-github-openshift-imagebuilder | 为过时的Built-Using重建(containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1) |
| haproxy | 修复堆缓冲区溢出问题[CVE-2025-32464] |
| igtf-policy-bundle | 回溯当前策略包 |
| imagemagick | 修复SetQuantumFormat后MIFF图像深度处理不当[CVE-2025-43965] |
| initramfs-tools | 恢复copy_file对以斜杠结尾的目标的处理;在copy_file中排除usr-merge符号链接;在MODULES=dep时添加重置驱动程序 |
| krb5 | 修复ndr.c中的内存泄漏[CVE-2024-26462];防止计算ulog缓冲区大小时的缓冲区溢出[CVE-2025-24528] |
| libbson-xs-perl | 修复嵌入式libbson副本中的安全问题:拒绝服务[CVE-2017-14227];缓冲区过度读取[CVE-2018-16790];无限循环[CVE-2023-0437];内存损坏[CVE-2024-6381];缓冲区溢出[CVE-2024-6383 CVE-2025-0755] |
| libcap2 | 修复组名识别不正确[CVE-2025-1390] |
| libdata-entropy-perl | 默认使用urandom种子熵池[CVE-2025-1860] |
| libpod | 为过时的Built-Using重建(containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1, golang-github-containers-buildah/1.28.2+ds1-3) |
| libsub-handlesvia-perl | 修复任意代码执行问题[CVE-2025-30673] |
| linux | 新的上游发布;将ABI提升至35 |
| linux-signed-amd64 | 新的上游发布;将ABI提升至35 |
| linux-signed-arm64 | 新的上游发布;将ABI提升至35 |
| linux-signed-i386 | 新的上游发布;将ABI提升至35 |
| logcheck | 尊重/etc/logcheck/header.txt的移除 |
| mongo-c-driver | 修复无限循环问题[CVE-2023-0437];修复整数溢出问题[CVE-2024-6381];修复缓冲区溢出问题[CVE-2024-6383 CVE-2025-0755] |
| network-manager | 修复在调试日志记录期间解引用NULL指针的崩溃[CVE-2024-6501] |
| nginx | 修复mp4中的缓冲区读取不足和无序块漏洞[CVE-2024-7347] |
| node-fstream-ignore | 通过不并行运行测试来修复构建失败 |
| node-send | 修复跨站脚本问题[CVE-2024-43799] |
| node-serialize-javascript | 修复跨站脚本问题[CVE-2024-11831] |
| nvidia-graphics-drivers | 新的上游稳定发布;移除ppc64el支持(已迁移至src:nvidia-graphics-drivers-tesla-535);修复较新内核版本的构建问题;安全修复[CVE-2024-0131 CVE-2024-0147 CVE-2024-0149 CVE-2024-0150 CVE-2024-53869 CVE-2025-23244] |
| nvidia-graphics-drivers-tesla | 新的上游稳定发布;在ppc64el上过渡到来自src:nvidia-graphics-drivers-tesla-535的软件包;修复较新内核版本的构建问题 |
| nvidia-graphics-drivers-tesla-535 | 为现已EOL的ppc64el支持的新软件包 |
| nvidia-open-gpu-kernel-modules | 新的上游稳定发布;安全修复[CVE-2024-0131 CVE-2024-0147 CVE-2024-0149 CVE-2024-0150 CVE-2024-53869 CVE-2025-23244] |
| nvidia-settings | 新的上游稳定发布;放弃对一些过时软件包的支持;在ppc64el上将nvidia-alternative依赖放宽为建议 |
| openrazer | 修复越界读取问题[CVE-2025-32776] |
| opensnitch | 为过时的Built-Using重建(golang-github-google-nftables/0.1.0-3) |
| openssh | 修复DisableForwarding指令[CVE-2025-32728] |
| openssl | 新的上游稳定发布;修复时序侧信道问题[CVE-2024-13176] |
| openvpn | 避免在使用--tls-crypt-v2的OpenVPN服务器上可能的ASSERT()[CVE-2025-2704];防止恶意对等点DoS或日志洪水[CVE-2024-5594];拒绝来自认证客户端的多个退出通知[CVE-2024-28882];更新构建测试中的过期证书 |
| phpmyadmin | 修复XSS漏洞[CVE-2025-24529 CVE-2025-24530] |
| policyd-rate-limit | 修复使用较新python3-yaml的启动 |
| poppler | 修复对畸形文件的崩溃[CVE-2023-34872];修复越界读取问题[CVE-2024-56378 CVE-2025-32365];修复浮点异常问题[CVE-2025-32364] |
| postgresql-15 | 新的上游稳定发布;修复缓冲区过度读取问题[CVE-2025-4207] |
| prometheus | 为过时的Built-Using重建(docker.io/20.10.24+dfsg1-1) |
| prometheus-postfix-exporter | 为过时的Built-Using重建(docker.io/20.10.24+dfsg1-1) |
| python-h11 | 修复请求走私问题[CVE-2025-43859] |
| python3.11 | 修复解析错误问题[CVE-2025-0938 CVE-2025-1795] |
| qemu | 为过时的Built-Using重建(glibc/2.36-9+deb12u9, gnutls28/3.7.9-2+deb12u3);新的上游错误修复发布 |
| qtbase-opensource-src | 延迟HTTP2通信直到可以响应encrypted()[CVE-2024-39936];修复表中接口方法中空检查的崩溃 |
| redis | 修复拒绝服务问题[CVE-2025-21605] |
| renaissance | 避免启动时的异常 |
| sash | 为过时的Built-Using重建(glibc/2.36-9) |
| shadow | 修复密码泄漏问题[CVE-2023-4641];修复chfn控制字符注入问题[CVE-2023-29383] |
| skeema | 为过时的Built-Using重建(containerd/1.6.20~ds1-1, docker.io/20.10.24+dfsg1-1) |
| skopeo | 为过时的Built-Using重建(docker.io/20.10.24+dfsg1-1) |
| telegram-desktop | 为过时的Built-Using重建(ms-gsl/4.0.0-2) |
| tripwire | 为过时的Built-Using重建(glibc/2.36-9+deb12u5) |
| twitter-bootstrap3 | 修复跨站脚本问题[CVE-2024-6485 CVE-2024-6484] |
| twitter-bootstrap4 | 修复跨站脚本问题[CVE-2024-6531] |
| tzdata | 为智利Aysén地区添加新的America/Coyhaique时区 |
| user-mode-linux | 为过时的Built-Using重建(linux/6.1.82-1) |
| varnish | 防止HTTP/1客户端侧反同步[CVE-2025-30346] |
| wireless-regdb | 新的上游发布 |
| xmedcon | 修复缓冲区溢出[CVE-2025-2581] |
| zsh | 为过时的Built-Using重建(glibc/2.36-9+deb12u5, libcap2/1:2.66-4) |
安全更新
此修订版为稳定发布添加了以下安全更新。安全团队已经为每个这些更新发布了公告:
| 公告ID | 软件包 |
|---|---|
| DSA-5877 | chromium |
| DSA-5878 | php8.2 |
| DSA-5879 | opensaml |
| DSA-5880 | freetype |
| DSA-5881 | rails |
| DSA-5882 | chromium |
| DSA-5883 | mercurial |
| DSA-5884 | libxslt |
| DSA-5885 | webkit2gtk |
| DSA-5886 | ruby-rack |
| DSA-5887 | exim4 |
| DSA-5888 | ghostscript |
| DSA-5889 | firefox-esr |
| DSA-5890 | chromium |
| DSA-5891 | thunderbird |
| DSA-5892 | atop |
| DSA-5893 | tomcat10 |
| DSA-5894 | jetty9 |
| DSA-5895 | xz-utils |
| DSA-5896 | trafficserver |
| DSA-5897 | lemonldap-ng |
| DSA-5898 | chromium |
| DSA-5899 | webkit2gtk |
| DSA-5900 | linux-signed-amd64 |
| DSA-5900 | linux-signed-arm64 |
| DSA-5900 | linux-signed-i386 |
| DSA-5900 | linux |
| DSA-5901 | mediawiki |
| DSA-5902 | perl |
| DSA-5903 | chromium |
| DSA-5904 | libapache2-mod-auth-openidc |
| DSA-5905 | graphicsmagick |
| DSA-5906 | erlang |
| DSA-5907 | linux-signed-amd64 |
| DSA-5907 | linux-signed-arm64 |
| DSA-5907 | linux-signed-i386 |
| DSA-5907 | linux |
| DSA-5908 | libreoffice |
| DSA-5909 | request-tracker5 |
| DSA-5910 | firefox-esr |
| DSA-5911 | request-tracker4 |
| DSA-5912 | thunderbird |
| DSA-5913 | openjdk-17 |
| DSA-5915 | vips |
| DSA-5917 | libapache2-mod-auth-openidc |
移除的软件包
以下软件包因超出我们控制的情况而被移除:
| 软件包 | 原因 |
|---|---|
| pidgin-skype | 因服务停止而无用 |
| viagee | 无法再连接到gmail |
Debian安装程序
安装程序已更新,包含通过点发布纳入稳定的修复。
网址
此修订版中已更改的软件包的完整列表:
https://deb.debian.org/debian/dists/bookworm/ChangeLog
当前稳定发行版:
https://deb.debian.org/debian/dists/stable/
对稳定发行版的提议更新:
https://deb.debian.org/debian/dists/proposed-updates
稳定发行版信息(发布说明、勘误等):
https://www.debian.org/releases/stable/
安全公告和信息:
https://www.debian.org/security/
关于Debian
Debian项目是一个自由软件开发者的协会,他们自愿贡献自己的时间和精力,以生产完全自由的操作系统Debian。
联系信息
如需更多信息,请访问Debian网页https://www.debian.org/,发送邮件至press@debian.org,或联系稳定发布团队debian-release@lists.debian.org。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号