Debian 12.12 更新发布
2025年9月6日
Debian项目很高兴地宣布其旧稳定版发行版Debian 12(代号bookworm)的第十二次更新。此点发布主要增加了对安全问题的修正,以及对一些严重问题的调整。安全公告已单独发布,并在可用处提供参考。
请注意,此点发布并不构成Debian 12的新版本,而仅更新了部分包含的软件包。无需丢弃旧的bookworm介质。安装后,可以使用最新的Debian镜像将软件包升级到当前版本。
经常从security.debian.org安装更新的用户不需要更新许多软件包,大多数此类更新已包含在此点发布中。
新的安装映像将很快在常规位置提供。将现有安装升级到此修订版可以通过将软件包管理系统指向Debian的众多HTTP镜像之一来实现。完整的镜像列表可在以下网址找到:
https://www.debian.org/mirror/list
杂项错误修复
此旧稳定版更新为以下软件包添加了一些重要修正:
| 软件包 | 原因 |
|---|---|
| amd64-microcode | 更新AMD-SEV固件[CVE-2024-56161];更新包含的微码 |
| aom | 修复libaom编码器输出有效性 |
| apache2 | 新的上游稳定版本;修复HTTP响应拆分问题[CVE-2024-42516];修复服务器端请求伪造问题[CVE-2024-43204 CVE-2024-43394];修复日志注入问题[CVE-2024-47252];修复访问控制绕过问题[CVE-2025-23048];修复拒绝服务问题[CVE-2025-49630];修复潜在中间人攻击问题[CVE-2025-49812];修复内存生命周期管理问题[CVE-2025-53020] |
| b43-fwcutter | 更新固件URL |
| balboa | 针对glibc 2.36-9+deb12u12重新构建 |
| base-files | 为点发布更新 |
| bash | 针对glibc 2.36-9+deb12u12重新构建 |
| botan | 修复拒绝服务问题[CVE-2024-34702 CVE-2024-34703];修复名称约束解析不当问题[CVE-2024-39312];修复编译器诱导的秘密相关操作问题[CVE-2024-50383] |
| busybox | 针对glibc 2.36-9+deb12u12重新构建 |
| ca-certificates | 添加Sectigo Public Server Authentication Root E46和Sectigo Public Server Authentication Root R46 |
| catatonit | 针对glibc 2.36-9+deb12u12重新构建 |
| cdebootstrap | 针对glibc 2.36-9+deb12u12重新构建 |
| chkrootkit | 针对glibc 2.36-9+deb12u12重新构建 |
| cjson | 修复拒绝服务问题[CVE-2023-26819];修复缓冲区溢出问题[CVE-2023-53154] |
| clamav | 新的上游稳定版本;修复缓冲区溢出问题[CVE-2025-20128 CVE-2025-20260] |
| cloud-init | 使热插拔套接字仅对root可写[CVE-2024-11584];不尝试识别非x86 OpenStack实例[CVE-2024-6174] |
| commons-beanutils | 修复不当访问控制问题[CVE-2025-48734] |
| commons-vfs | 修复路径遍历问题[CVE-2025-27553] |
| corosync | 修复大UDP数据包上的缓冲区溢出漏洞[CVE-2025-30472] |
| criu | 修复使用较新内核版本的挂载命名空间的恢复功能 |
| curl | 修复处理sftp://host/~ URI的回归问题;修复内存泄漏 |
| dar | 针对glibc 2.36-9+deb12u12重新构建 |
| debian-edu-config | 修复Exim配置中的引用;gosa-sync:修复密码验证;修复gosa.conf中的引用 |
| debian-installer | 将Linux内核ABI增加到6.1.0-39;针对oldstable-proposed-updates重新构建;为arm64和armhf CD映像添加console-setup-pc-ekmap;使用nomodeset而非fb=false禁用帧缓冲 |
| debian-installer-netbook-images | 针对oldstable-proposed-updates重新构建 |
| debian-security-support | 查询source:Package而非Source以获取正确的软件包列表;修复与gobgp相关的拼写错误 |
| distro-info-data | 添加Ubuntu传统支持结束日期;为trixie添加发布和预估EoL |
| djvulibre | 修复拒绝服务问题[CVE-2021-46310 CVE-2021-46312] |
| docker.io | 针对glibc 2.36-9+deb12u12重新构建 |
| dpdk | 新的上游稳定版本 |
| dropbear | 修复多跳处理中的shell注入漏洞[CVE-2025-47203] |
| e2fsprogs | 针对glibc 2.36-9+deb12u12重新构建 |
| erlang | ssh:修复严格的KEX强化[CVE-2025-46712];zip:在提取具有绝对路径名的文件时清理路径名[CVE-2025-4748];修复使用较新xsltproc版本的文档构建失败 |
| expat | 修复拒绝服务问题[CVE-2023-52425 CVE-2024-8176];修复解析器崩溃[CVE-2024-50602] |
| fig2dev | 检测样条控制值中的nan[CVE-2025-46397];允许fig文件第二行中的\0[CVE-2025-46398];ge输出:修正样条计算[CVE-2025-46399];拒绝半径小于3的弧[CVE-2025-46400] |
| firebird3.0 | 修复NULL指针解引用问题[CVE-2025-54989] |
| fort-validator | 修复拒绝服务问题[CVE-2024-45234 CVE-2024-45235 CVE-2024-45236 CVE-2024-45238 CVE-2024-45239 CVE-2024-48943];修复缓冲区溢出问题[CVE-2024-45237] |
| galera-4 | 新的上游稳定版本 |
| glib2.0 | 修复缓冲区下溢问题[CVE-2025-4373 CVE-2025-7039];提高升级安全性 |
| glibc | 修复静态setuid二进制文件中dlopen的不正确LD_LIBRARY_PATH搜索[CVE-2025-4802];改进exp/exp10/expf函数中结构的内存布局;在aarch64上添加memset的SVE实现;改进aarch64上memset的通用实现;修复双重释放问题[CVE-2025-8058] |
| gnupg2 | 针对glibc 2.36-9+deb12u12重新构建;修复架构所有包对架构任意包的推荐以支持binNMU |
| golang-github-gin-contrib-cors | 修复通配符处理不当问题[CVE-2019-25211] |
| gst-plugins-base1.0 | 修复缓冲区超限问题[CVE-2025-47806];修复NULL指针解引用问题[CVE-2025-47807 CVE-2025-47808] |
| gst-plugins-good1.0 | 修复可能的信息泄露问题[CVE-2025-47219] |
| init-system-helpers | 修复处理来自live-build的os-release转移,确保它们不存在于非live系统中 |
| insighttoolkit4 | 修复在单CPU系统上的构建 |
| insighttoolkit5 | 修复在单CPU系统上的构建 |
| integrit | 针对glibc 2.36-9+deb12u12重新构建 |
| iperf3 | 修复缓冲区溢出问题[CVE-2025-54349];修复断言失败[CVE-2025-54350] |
| jinja2 | 修复任意代码执行问题[CVE-2025-27516] |
| jq | 在jv.c中零终止字符串[CVE-2025-48060] |
| kexec-tools | 移除不再需要的依赖项 |
| kmail-account-wizard | 修复中间人攻击问题[CVE-2024-50624] |
| krb5 | 修复消息篡改问题[CVE-2025-3576];默认禁用使用RC4或三重DES会话密钥的票据签发 |
| kubernetes | 清理输出到终端的原始数据[CVE-2021-25743];在打印时隐藏长字符串和多行字符串 |
| libarchive | 修复整数溢出问题[CVE-2025-5914 CVE-2025-5916],缓冲区读取超限问题[CVE-2025-5915],缓冲区溢出问题[CVE-2025-5917] |
| libbpf | 修复与较新systemd版本的操作 |
| libcap2 | 针对glibc 2.36-9+deb12u12重新构建;添加缺失的Built-Using: glibc |
| libcgi-simple-perl | 修复HTTP响应拆分问题[CVE-2025-40927] |
| libfcgi | 修复整数溢出问题[CVE-2025-23016] |
| libfile-tail-perl | 修复未初始化变量问题 |
| libphp-adodb | 修复pg_insert_id()中的SQL注入漏洞[CVE-2025-46337] |
| libraw | 修复越界读取问题[CVE-2025-43961 CVE-2025-43962 CVE-2025-43963];强制执行最小w0和w1值[CVE-2025-43964] |
| libreoffice | 为保加利亚添加欧元支持 |
| libsndfile | 修复整数溢出问题[CVE-2022-33065];修复越界读取问题[CVE-2024-50612] |
| libsoup3 | 新的上游错误修复版本;修复缓冲区超限问题[CVE-2024-52531];修复拒绝服务问题[CVE-2024-52532 CVE-2025-32051];修复堆溢出问题[CVE-2025-32052 CVE-2025-32053];修复整数溢出问题[CVE-2025-32050];修复堆缓冲区溢出问题[CVE-2025-2784];如果HTTP头包含空字节则拒绝[CVE-2024-52530];修复拒绝服务问题[CVE-2025-32909 CVE-2025-32910 CVE-2025-46420 CVE-2025-32912 CVE-2025-32906];修复内存管理问题[CVE-2025-32911 CVE-2025-32913];修复凭据泄露问题[CVE-2025-46421];修复断开连接期间的使用后释放,这可能导致GNOME Calculator在启动时挂起;修复在某些32位系统上的测试失败 |
| libtheora | 修复解码器初始化期间的段错误;避免解码器中可能的位移位 |
| libtpms | 修复越界读取问题[CVE-2025-49133] |
| libxml2 | 修复xmlBuildQName中的整数溢出问题[CVE-2025-6021];修复交互式shell中的潜在缓冲区溢出[CVE-2025-6170];修复xmlSchematronReportOutput中的使用后释放问题[CVE-2025-49794];修复xmlSchematronReportOutput中的类型混淆问题[CVE-2025-49796] |
| libyaml-libyaml-perl | 修复任意文件编辑问题[CVE-2025-40908] |
| lintian | 将bookworm添加到已知Debian发行版名称列表;不为稳定更新发出source-nmu-has-incorrect-version-number |
| linux | 新的上游稳定版本;将ABI增加到39 |
| linux-signed-amd64 | 新的上游稳定版本;将ABI增加到39 |
| linux-signed-arm64 | 新的上游稳定版本;将ABI增加到39 |
| linux-signed-i386 | 新的上游稳定版本;将ABI增加到39 |
| llvm-toolchain-19 | 新的上游稳定版本 |
| luajit | 修复缓冲区溢出问题[CVE-2024-25176];修复拒绝服务问题[CVE-2024-25177];修复越界读取问题[CVE-2024-25178] |
| lxc | 针对glibc 2.36-9+deb12u12重新构建 |
| mailgraph | 更新嵌入式Parse::Syslog副本,支持RFC3339日期 |
| mariadb | 新的上游稳定版本;安全修复[CVE-2023-52969 CVE-2023-52970 CVE-2023-52971 CVE-2025-30693 CVE-2025-30722];修复内存不足后重启;新的上游稳定版本;修复debian-start.sh中的变量名 |
| mkchromecast | 用yt-dlp替换youtube-dl |
| mlt | 修复Python脚本 |
| mono | 移除不需要(且损坏)的mono-source包 |
| mosquitto | 修复内存泄漏问题[CVE-2023-28366];修复越界内存访问问题[CVE-2024-10525];修复双重释放问题[CVE-2024-3935];修复可能的段错误问题[CVE-2024-8376] |
| multipath-tools | 在构建过程中重新启用ANA优先级器 |
| nextcloud-desktop | 修复图形界面中的共享选项 |
| nginx | 修复ngx_mail_smtp_module中的潜在信息泄露[CVE-2025-53859] |
| node-addon-api | 添加对nodejs >= 18.20的支持 |
| node-csstype | 修复构建失败 |
| node-form-data | 修复随机性不足问题[CVE-2025-7783] |
| node-minipass | 修复自动测试和autopkgtest中的tap报告器 |
| node-nodeunit | 修复测试不稳定性 |
| node-tar-fs | 修复路径遍历问题[CVE-2024-12905 CVE-2025-48387] |
| node-tmp | 修复任意文件写入问题[CVE-2025-54798] |
| nvda2speechd | 修复所需的rmp-serde版本 |
| openjpeg2 | 修复NULL指针解引用问题[CVE-2025-50952] |
| openssh | 处理OpenSSL >=3 ABI兼容性,避免在升级到trixie期间新的SSH连接失败 |
| openssl | 新的上游稳定版本;恢复一些上游更改以避免下游软件崩溃 |
| perl | 修复TLS证书验证问题[CVE-2023-31484];修复非线程安全的文件访问[CVE-2025-40909] |
| postgresql-15 | 新的上游稳定版本;在规划器估计函数中加强安全检查[CVE-2025-8713];防止pg_dump脚本被用于攻击运行还原的用户[CVE-2025-8714];在pg_dump输出的注释中将换行符转换为空格[CVE-2025-8715] |
| postgresql-common | PgCommon.pm:在prepare_exec中设置定义的路径。修复与trixie的perl版本的兼容性 |
| prody | 修复构建失败;为一些现在在i386上失败的测试添加容差 |
| python-django | 修复基于正则表达式的拒绝服务问题[CVE-2023-36053],拒绝服务问题[CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991],用户枚举问题[CVE-2024-39329],目录遍历问题[CVE-2024-39330],过度内存消耗问题[CVE-2024-41989],SQL注入问题[CVE-2024-42005] |
| python-flask-cors | 修复日志数据注入问题[CVE-2024-1681];修复不当路径处理问题[CVE-2024-6866 CVE-2024-6839 CVE-2024-6844] |
| python-mitogen | 支持Python >= 3.12的目标 |
| python-zipp | 修复拒绝服务问题[CVE-2024-5569] |
| qemu | 针对glibc 2.36-9+deb12u12重新构建;新的上游错误修复版本 |
| raptor2 | 修复整数下溢问题[CVE-2024-57823];修复堆读取缓冲区溢出问题[CVE-2024-57822] |
| rar | 新的上游版本;修复ANSI转义注入问题[CVE-2024-33899] |
| rubygems | 修复凭据泄露问题[CVE-2025-27221];修复与正则表达式相关的拒绝服务问题[CVE-2023-28755] |
| rust-cbindgen-web | 针对当前rustc-web重新构建 |
| rustc-web | 新的上游稳定版本,以支持构建较新的Chromium版本 |
| samba | 修复Microsoft Active Directory更改后的各种错误 |
| sash | 针对glibc 2.36-9+deb12u12重新构建 |
| setuptools | 修复任意文件写入问题[CVE-2025-47273] |
| shaarli | 修复跨站脚本问题[CVE-2025-55291] |
| simplesamlphp | 修复签名验证问题[CVE-2025-27773] |
| snapd | 针对glibc 2.36-9+deb12u12重新构建 |
| sqlite3 | 修复内存损坏问题[CVE-2025-6965];修复NOT NULL/IS NULL优化中的错误,该错误可能导致无效数据 |
| supermin | 针对glibc 2.36-9+deb12u12重新构建 |
| systemd | 新的上游稳定版本 |
| tini | 针对glibc 2.36-9+deb12u12重新构建 |
| tripwire | 针对glibc 2.36-9+deb12u12重新构建 |
| tsocks | 针对glibc 2.36-9+deb12u12重新构建 |
| tzdata | 确认2025年的闰秒状态 |
| usb.ids | 新的上游更新 |
| waitress | 修复HTTP流水线中的竞争条件[CVE-2024-49768];修复拒绝服务问题[CVE-2024-49769] |
| webpy | 修复SQL注入问题[CVE-2025-3818] |
| wireless-regdb | 新的上游版本,更新包含的监管数据;允许GB在6 GHz频段使用320 MHz带宽 |
| wolfssl | 修复随机性不足问题[CVE-2025-7394] |
| wpa | 修复PKEX元素的不当重用[CVE-2022-37660] |
| xfce4-weather-plugin | 迁移到新API;更新翻译 |
| xrdp | 修复会话限制绕过问题[CVE-2023-40184];修复越界读取问题[CVE-2023-42822];修复登录限制绕过问题[CVE-2024-39917] |
| ydotool | 针对glibc 2.36-9+deb12u12重新构建 |
| zsh | 针对glibc 2.36-9+deb12u12重新构建 |
安全更新
此修订版为旧稳定版发行版添加了以下安全更新。安全团队已为每个更新发布了公告:
| 公告ID | 软件包 |
|---|---|
| DSA-5914 | chromium |
| DSA-5916 | chromium |
| DSA-5918 | varnish |
| DSA-5919 | open-vm-tools |
| DSA-5920 | chromium |
| DSA-5921 | thunderbird |
| DSA-5922 | firefox-esr |
| DSA-5923 | net-tools |
| DSA-5924 | intel-microcode |
| DSA-5925 | linux-signed-amd64 |
| DSA-5925 | linux-signed-arm64 |
| DSA-5925 | linux-signed-i386 |
| DSA-5925 | linux |
| DSA-5926 | firefox-esr |
| DSA-5927 | yelp-xsl |
| DSA-5927 | yelp |
| DSA-5928 | libvpx |
| DSA-5929 | chromium |
| DSA-5930 | libavif |
| DSA-5931 | systemd |
| DSA-5932 | thunderbird |
| DSA-5933 | tcpdf |
| DSA-5934 | roundcube |
| DSA-5935 | chromium |
| DSA-5936 | libfile-find-rule-perl |
| DSA-5937 | webkit2gtk |
| DSA-5938 | python-tornado |
| DSA-5939 | gimp |
| DSA-5940 | modsecurity-apache |
| DSA-5941 | gst-plugins-bad1.0 |
| DSA-5942 | chromium |
| DSA-5943 | libblockdev |
| DSA-5943 | udisks2 |
| DSA-5944 | chromium |
| DSA-5945 | konsole |
| DSA-5946 | gdk-pixbuf |
| DSA-5947 | xorg-server |
| DSA-5948 | trafficserver |
| DSA-5949 | libxml2 |
| DSA-5950 | firefox-esr |
| DSA-5951 | icu |
| DSA-5952 | chromium |
| DSA-5953 | catdoc |
| DSA-5954 | sudo |
| DSA-5955 | chromium |
| DSA-5956 | ring |
| DSA-5957 | mediawiki |
| DSA-5958 | jpeg-xl |
| DSA-5959 | thunderbird |
| DSA-5960 | djvulibre |
| DSA-5961 | slurm-wlm |
| DSA-5962 | gnutls28 |
| DSA-5963 | chromium |
| DSA-5964 | firefox-esr |
| DSA-5965 | chromium |
| DSA-5966 | thunderbird |
| DSA-5967 | php8.2 |
| DSA-5968 | chromium |
| DSA-5969 | redis |
| DSA-5970 | sope |
| DSA-5971 | chromium |
| DSA-5972 | openjdk-17 |
| DSA-5973 | linux-signed-amd64 |
| DSA-5973 | linux-signed-arm64 |
| DSA-5973 | linux-signed-i386 |
| DSA-5973 | linux |
| DSA-5974 | pgpool2 |
| DSA-5976 | chromium |
| DSA-5977 | aide |
| DSA-5978 | webkit2gtk |
| DSA-5979 | libxslt |
| DSA-5980 | firefox-esr |
| DSA-5981 | chromium |
| DSA-5982 | squid |
| DSA-5983 | qemu |
| DSA-5984 | thunderbird |
| DSA-5985 | ffmpeg |
| DSA-5986 | node-cipher-base |
| DSA-5987 | unbound |
| DSA-5988 | chromium |
| DSA-5989 | udisks2 |
| DSA-5990 | libxml2 |
| DSA-5991 | nodejs |
移除的软件包
以下软件包因不可控情况被移除:
| 软件包 | 原因 |
|---|---|
| guix | 无法支持;安全问题 |
Debian安装程序
安装程序已更新,包含通过点发布纳入旧稳定版的修复。
URL
此修订版中更改的软件包的完整列表:
https://deb.debian.org/debian/dists/bookworm/ChangeLog
当前旧稳定版发行版:
https://deb.debian.org/debian/dists/oldstable/
旧稳定版发行版的提议更新:
https://deb.debian.org/debian/dists/oldstable-proposed-updates
旧稳定版发行版信息(发布说明、勘误等):
https://www.debian.org/releases/oldstable/
安全公告和信息:
https://www.debian.org/security/
关于Debian
Debian项目是一个自由软件开发者的协会,他们自愿付出时间和努力来生产完全自由的操作系统Debian。
联系信息
如需更多信息,请访问Debian网页https://www.debian.org/,发送邮件至press@debian.org,或联系稳定版发布团队debian-release@lists.debian.org。