Debian 12.10 更新发布
2025年3月15日,Debian项目正式发布稳定版Debian 12(代号bookworm)的第十次更新12.10。本次点发布主要包含安全问题的修正,以及对部分严重问题的调整。安全公告已单独发布,并在适用处提供参考。
需注意,点发布并非Debian 12的新版本,仅更新了部分软件包。用户无需丢弃旧版bookworm安装介质,安装后可通过更新的Debian镜像将软件包升级至当前版本。
经常从security.debian.org安装更新的用户无需更新大量软件包,因此类更新大多已包含在本点发布中。新版安装镜像将很快在常规位置提供。
现有系统可通过包管理器指向任意Debian HTTP镜像进行升级,完整镜像列表见: https://www.debian.org/mirror/list
杂项错误修复
本次稳定版更新对以下软件包进行了重要修正:
| 软件包 | 修复内容 |
|---|---|
| 389-ds-base | 修复使用异常输入修改userPassword时的崩溃问题 [CVE-2024-2199 CVE-2024-8445];防止使用密码中包含异常哈希值的用户登录时导致拒绝服务 [CVE-2024-5953];防止通过特制LDAP查询导致目录服务器拒绝服务 [CVE-2024-3657] |
| base-files | 点发布更新 |
| bup | 新上游错误修复版本 |
| containerd | 修复在自动构建器网络上导致FTBFS的测试问题 |
| curl | 修复同时使用子域和父域时意外的HTTPS升级或过早回退到HTTP的问题 [CVE-2024-9681];防止构建时测试中在重试前停止stunnel;修复可能的凭据泄漏问题 [CVE-2024-11053 CVE-2025-0167];修复因端口冲突导致的测试失败 |
| dacite | 不缓存get_default_value_for_field的结果 |
| dcmtk | 修复渲染无效单色DICOM图像时的问题 [CVE-2024-47796];确保HighBit < BitsAllocated [CVE-2024-52333];修复分配内存时可能的溢出问题 [CVE-2024-27628];修复两个段错误 [CVE-2024-34508 CVE-2024-34509];修复任意代码执行问题 [CVE-2024-28130];修复缓冲区溢出问题 [CVE-2025-25472 CVE-2025-25474];修复NULL指针解引用问题 [CVE-2025-25475] |
| debian-installer | 将Linux内核ABI增至6.1.0-32;针对提议更新重新构建 |
| debian-ports-archive-keyring | 添加2026年密钥;将2023和2024年密钥移至移除密钥环 |
| dgit | 为源代码上传目标添加缺失参数 |
| djoser | 修复认证绕过问题 [CVE-2024-21543] |
| dns-root-data | 添加KSK-2024的DNSKEY记录 |
| edk2 | 修复PeCoffLoaderRelocateImage()中的溢出条件 [CVE-2024-38796];修复S3 ResumeCount中潜在的UINT32溢出 [CVE-2024-1298] |
| elpa | 修复在2个或更少vCPU的机器上的测试问题 |
| flightgear | 修复Nasal脚本中的沙箱绕过漏洞 [CVE-2025-0781] |
| gensim | 修复在单CPU机器上的构建失败问题 |
| glibc | 修复打印断言失败消息时的缓冲区溢出 [CVE-2025-0395];修复未对齐目标的memset性能;修复dlopen()使用后的TLS性能下降;避免解析具有大缓存大小的CPUID数据时的整数截断;确保传递给rseq系统调用的数据正确初始化 |
| golang-github-containers-buildah | 禁用已知在自动构建器网络上失败的测试,修复构建失败 |
| intel-microcode | 新上游安全版本 [CVE-2023-34440 CVE-2023-43758 CVE-2024-24582 CVE-2024-28047 CVE-2024-28127 CVE-2024-29214 CVE-2024-31068 CVE-2024-31157 CVE-2024-36293 CVE-2024-37020 CVE-2024-39279 CVE-2024-39355] |
| iptables-netflow | 修复在新版bullseye内核上的构建问题 |
| jinja2 | 修复任意代码执行问题 [CVE-2024-56201 CVE-2024-56326] |
| joblib | 修复在单CPU系统上的构建失败问题 |
| lemonldap-ng | 修复2FA注册界面上的CSRF漏洞 [CVE-2024-52948] |
| libapache-mod-jk | 为共享内存设置正确的默认权限 [CVE-2024-46544] |
| libeconf | 修复缓冲区溢出漏洞 [CVE-2023-32181 CVE-2023-22652] |
| librabbitmq | 添加从文件读取用户名/密码的选项 [CVE-2023-35789] |
| libtar | 修复gnu_longlink()中的越界读取 [CVE-2021-33643];修复gnu_longname()中的越界读取 [CVE-2021-33644];修复th_read()中的内存泄漏 [CVE-2021-33645];修复th_read()中的内存泄漏 [CVE-2021-33646] |
| linux | 新上游版本;ABI增至32 |
| linux-signed-amd64 | 新上游版本;ABI增至32 |
| linux-signed-arm64 | 新上游版本;ABI增至32 |
| linux-signed-i386 | 新上游版本;ABI增至32 |
| linuxcnc | 修复单轴G0 MDI调用中的多轴移动问题 |
| ltt-control | 修复关闭时的消费者崩溃问题 |
| lttng-modules | 修复在新版bullseye内核上的构建问题 |
| mariadb | 新上游稳定版本;修复安全问题 [CVE-2024-21096];修复拒绝服务问题 [CVE-2025-21490] |
| monero | 对HTTP服务器连接施加响应限制 [CVE-2025-26819] |
| mozc | 将fcitx图标安装到正确位置 |
| ndcube | 忽略来自astropy的测试警告 |
| nginx | 修复可能绕过客户端证书认证的问题 [CVE-2025-23419] |
| node-axios | 修复CSRF漏洞 [CVE-2023-45857];修复URL中确定来源时的潜在漏洞 [CVE-2024-57965] |
| node-js-sdsl | 修复构建失败问题 |
| node-postcss | 修复处理非整数值导致nanoid拒绝服务的问题 [CVE-2024-55565];修复解析外部不可信CSS的问题 [CVE-2023-44270] |
| node-recast | 修复构建失败问题 |
| node-redis | 修复构建失败问题 |
| node-rollup | 修复因超时API变更导致的构建失败问题 |
| openh264 | 修复Cisco下载URL |
| php-nesbot-carbon | 修复任意文件包含问题 [CVE-2025-22145] |
| postgresql-15 | 新上游稳定版本;强化PQescapeString及相关函数应对无效编码字符串;改进libpq引用函数的行为 [CVE-2025-1094] |
| puma | 修复解析分块传输编码体和零长度Content-Length头时的行为 [CVE-2023-40175];限制块扩展大小 [CVE-2024-21647];防止操纵由中间代理设置的头信息 [CVE-2024-45614] |
| python-django | 修复基于正则表达式的拒绝服务问题 [CVE-2023-36053]、拒绝服务问题 [CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991]、用户枚举问题 [CVE-2024-39329]、目录遍历问题 [CVE-2024-39330]、过度内存消耗问题 [CVE-2024-41989]、SQL注入问题 [CVE-2024-42005] |
| python-pycdlib | 仅当/tmp为tmpfs时运行测试,否则已知会失败 |
| rapiddisk | 支持最高6.10的Linux版本 |
| rsyslog | 避免在启动期间收到SIGTERM时出现段错误 |
| runit-services | 默认不启用dhclient服务 |
| seqan3 | 修复测试的并行运行问题 |
| simgear | 修复Nasal脚本中的沙箱绕过漏洞 [CVE-2025-0781] |
| spamassassin | 新上游稳定版本 |
| sssd | 一致地应用GPO策略 [CVE-2023-3758] |
| subversion | 修复mod_dav_svn服务路径中控制字符的漏洞解析 [CVE-2024-46901] |
| sunpy | 忽略来自astropy的测试警告 |
| systemd | 新上游稳定版本 |
| tzdata | 新上游版本;更新巴拉圭数据;更新闰秒信息 |
| vagrant | 修复公共Vagrant注册表的URL |
| vim | 修复在替换中展开~时的崩溃问题 [CVE-2023-2610];修复vim_regsub_both()中的缓冲区溢出 [CVE-2023-4738];修复ins_compl_get_exp()中的堆释放后使用 [CVE-2023-4752];修复vim_regsub_both中的堆缓冲区溢出 [CVE-2023-4781];修复trunc_string()中的缓冲区溢出 [CVE-2023-5344];修复选项回调函数中的栈缓冲区溢出 [CVE-2024-22667];修复ins_typebuf中的堆缓冲区溢出 [CVE-2024-43802];修复关闭缓冲区时的释放后使用问题 [CVE-2024-47814];修复32位架构上的构建失败问题 |
| wget | 修复URL用户信息中分号处理不当的问题 [CVE-2024-38428] |
| xen | 允许使用>=6.12的内核进行直接内核启动 |
安全更新
本修订版为稳定版添加了以下安全更新,安全团队已为每个更新发布公告:
| 公告ID | 软件包 |
|---|---|
| DSA-5834 | chromium |
| DSA-5836 | xen |
| DSA-5839 | firefox-esr |
| DSA-5840 | chromium |
| DSA-5841 | thunderbird |
| DSA-5842 | openafs |
| DSA-5843 | rsync |
| DSA-5844 | chromium |
| DSA-5845 | tomcat10 |
| DSA-5846 | libreoffice |
| DSA-5847 | snapcast |
| DSA-5848 | chromium |
| DSA-5849 | git-lfs |
| DSA-5850 | git |
| DSA-5851 | openjpeg2 |
| DSA-5852 | pdns-recursor |
| DSA-5853 | pam-u2f |
| DSA-5854 | bind9 |
| DSA-5855 | chromium |
| DSA-5856 | redis |
| DSA-5857 | openjdk-17 |
| DSA-5858 | firefox-esr |
| DSA-5859 | chromium |
| DSA-5860 | linux-signed-amd64 |
| DSA-5860 | linux-signed-arm64 |
| DSA-5860 | linux-signed-i386 |
| DSA-5860 | linux |
| DSA-5861 | thunderbird |
| DSA-5862 | cacti |
| DSA-5863 | libtasn1-6 |
| DSA-5864 | pam-pkcs11 |
| DSA-5865 | webkit2gtk |
| DSA-5866 | chromium |
| DSA-5867 | gnutls28 |
| DSA-5868 | openssh |
| DSA-5869 | chromium |
| DSA-5870 | openh264 |
| DSA-5871 | emacs |
| DSA-5872 | xorg-server |
| DSA-5873 | libreoffice |
| DSA-5874 | firefox-esr |
| DSA-5875 | chromium |
| DSA-5876 | thunderbird |
移除的软件包
以下软件包因不可控因素被移除:
| 软件包 | 原因 |
|---|---|
| kanboard | 无人维护;存在安全问题 |
| libnet-easytcp-perl | 上游无人维护;存在安全问题 |
| looking-glass | 不适合稳定版发布 |
Debian安装程序
安装程序已更新,包含通过点发布纳入稳定版的修复。
相关链接
本次修订的完整软件包变更列表: https://deb.debian.org/debian/dists/bookworm/ChangeLog
当前稳定版发行版: https://deb.debian.org/debian/dists/stable/
对稳定版的提议更新: https://deb.debian.org/debian/dists/proposed-updates
稳定版发行信息(发布说明、勘误等): https://www.debian.org/releases/stable/
安全公告和信息: https://www.debian.org/security/
关于Debian
Debian项目是由自由软件开发者组成的协会,志愿者投入时间和精力开发完全自由的操作系统Debian。
联系信息
更多信息请访问Debian网页 https://www.debian.org/,发送邮件至 press@debian.org,或联系稳定版团队 debian-release@lists.debian.org。