------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 10.5 pr...@debian.org https://www.debian.org/News/2020/20200801 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Cette version intermédiaire corrige aussi l'annonce de sécurité de Debian DSA-4735 grub2 [1] qui traite de plusieurs problèmes de CVE concernant la vulnérabilité « BootHole » de UEFI SecureBoot dans GRUB2 [2]. 1 : https://www.debian.org//security/2020/dsa-4735 2 : https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/ Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison appstream-glib Correction d'échecs de construction en 2020 et après asunder Utilisation de gnudb à la place de freedb par défaut b43-fwcutter Succès assuré des suppressions avec des locales non anglaises ; pas d'échec de retrait si certains fichiers n'existent plus ; correction de dépendances manquantes à pciutils et à ca-certificates balsa Identité du serveur fournie lors de la validation de certificats, permettant une validation réussie lors de l'utilisation du correctif de glib-networking pour le CVE-2020-13645 base-files Mise à jour pour cette version batik Correction d'une falsification de requêtes côté serveur au moyen d'attributs xlink:href [CVE-2019-17566] borgbackup Correction d'un bogue de corruption d'index menant à une perte de données bundler Mise à jour de la version requise de ruby-molinillo c-icap-modules Ajout de la prise en charge pour ClamAV 0.102 cacti Correction d'un problème où les horodatages UNIX après le 13 septembre 2020 étaient rejetés en début ou fin de graphique ; correction d'exécution de code distant [CVE-2020-7237], de script intersite [CVE-2020-7106], d'un problème de CSRF [CVE-2020-13231] ; la désactivation d'un compte utilisateur n'invalide pas immédiatement ses droits [CVE-2020-13230] calamares-settings-debian Activation du module displaymanager, corrigeant des options d'autologin ; utilisation de xdg-user-dir pour spécifier le répertoire Bureau clamav Nouvelle version amont ; corrections de sécurité [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] cloud-init Nouvelle version amont commons-configuration2 Création d'objet évitée lors du chargement de fichiers YAML [CVE-2020-1953] confget Correction de la gestion de valeurs contenant « = » par le module Python dbus Nouvelle version amont stable ; problème de déni de service évité [CVE-2020-12049] ; utilisation de mémoire après libération évitée si deux noms d'utilisateur partagent un UID debian-edu-config Correction de perte d'adresse IPv4 dynamiquement allouée debian-installer Mise à jour pour l'ABI du noyau 4.19.0-10 debian-installer-netboot-images Reconstruction avec proposed-updates debian-ports-archive-keyring Prolongement d'un an de la date d'expiration de la clé de 2020 (84C573CD4E1AFD6C) ; ajout de la clé de signature automatique de l'archive des portages de Debian (2021) ; migration de la clé de 2018 (ID: 06AED62430CB581C) dans le trousseau retiré debian-security-support Mise à jour de l'état de la prise en charge de plusieurs paquets dpdk Nouvelle version amont exiv2 Ajustement d'un correctif excessivement restrictif [CVE-2018-10958 et CVE-2018-10999] ; correction d'un problème de déni de service [CVE-2018-16336] fdroidserver Correction de la validation de l'adresse de Litecoin file-roller Correction de sécurité [CVE-2020-11736] freerdp2 Correction de connexions de smartcard ; corrections de sécurité [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] fwupd Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation fwupd-amd64-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation fwupd-arm64-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation fwupd-armhf-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation fwupd-i386-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation fwupdate Utilisation de clés de signature de Debian renouvelées après rotation fwupdate-amd64-signed Utilisation de clés de signature de Debian renouvelées après rotation fwupdate-arm64-signed Utilisation de clés de signature de Debian renouvelées après rotation fwupdate-armhf-signed Utilisation de clés de signature de Debian renouvelées après rotation fwupdate-i386-signed Utilisation de clés de signature de Debian renouvelées après rotation gist API d'autorisation obsolète évitée glib-networking Renvoi d'une erreur de mauvaise identité si l'identité n'est pas configurée [CVE-2020-13645] ; balsa plus ancien que la version 2.5.6-2+deb10u1 cassé parce que le correctif pour le CVE-2020-13645 casse la vérification de certificat de balsa gnutls28 Correction d'erreurs de reprise de session TL1.2 ; correction de fuite de mémoire ; prise en charge des tickets de session de longueur nulle, correction d'erreurs de connexion de sessions TLS1.2 vers certains gros fournisseurs d'hébergement ; correction d'erreur de vérification avec des chaînes alternatives intel-microcode Retour à des versions publiées précédemment de certains microcodes contournant des arrêts de l'initialisation sur Skylake-U/Y et Skylake Xeon E3 jackson-databind Correction de multiples problèmes de sécurité affectant BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 et CVE-2019-17267] jameica Ajout de mckoisqldb au classpath, permettant l'utilisation du greffon SynTAX jigdo Correction de la prise en charge de HTTPS dans jigdo-lite et jigdo-mirror ksh Correction d'un problème de restriction de variable d'environnement [CVE-2019-14868] lemonldap-ng Correction d'une régression de la configuration de nginx introduite par le correctif pour le CVE-2019-19791 libapache-mod-jk Fichier de configuration d'Apache renommé pour qu'il puisse être automatiquement activé et désactivé libclamunrar Nouvelle version amont stable ; ajout d'un méta-paquet non versionné libembperl-perl Gestion des pages d'erreur d'Apache >=2.4.40 libexif Corrections de sécurité [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114] ; correction de dépassement de tampon [CVE-2020-0182] et de dépassement d'entier [CVE-2020-0198] libinput Quirks : ajout de l'attribut d'intégration du « trackpoint » libntlm Correction de dépassement de tampon [CVE-2019-17455] libpam-radius-auth Correction de dépassement de tampon dans le champ du mot de passe [CVE-2015-9542] libunwind Correction d'erreurs de segmentation sur mips ; activation manuelle de la prise en charge d'exception C++ seulement sur i386 et amd64 libyang Correction de plantage de corruption de cache, CVE-2019-19333, CVE-2019-19334 linux Nouvelle version amont stable linux-latest Mise à jour pour l'ABI du noyau 4.19.0-10 linux-signed-amd64 Nouvelle version amont stable linux-signed-arm64 Nouvelle version amont stable linux-signed-i386 Nouvelle version amont stable lirc Correction de la gestion de conffile mailutils maidag : abandon des privilèges setuid pour toutes les opérations de distribution sauf mda [CVE-2019-18862] mariadb-10.3 Nouvelle version amont stable ; corrections de sécurité [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249] ; correction d'une régression dans la détection de RocksDB ZSTD mod-gnutls Correction d'une possible erreur de segmentation lors de l'échec d'une initialisation de connexion TLS ; correction des échecs de tests multipath-tools kpartx : utilisation du chemin correct vers partx dans la règle d'udev mutt Pas de vérification du chiffrement de IMAP PREAUTH si $tunnel est utilisé mydumper Lien vers libm nfs-utils statd : identité de l'utilisateur prise à partir de /var/lib/nfs/sm [CVE-2019-3689] ; /var/lib/nfs n'est plus rendue propriété de statd nginx Correction d'une vulnérabilité de dissimulation de requête de la page d'erreur [CVE-2019-20372] nmap Mise à jour de la taille de clé par défaut à 2048 bits node-dot-prop Correction d'une régression introduite dans le correctif de CVE-2020-8116 node-handlebars Interdiction d'un appel direct de « helperMissing » et « blockHelperMissing » [CVE-2019-19919] node-minimist Correction de pollution de prototype [CVE-2020-7598] nvidia-graphics-drivers Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967] nvidia-graphics-drivers-legacy-390xx Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967] openstack-debian-images Installation de resolvconf lors de l'installation de cloud-init pagekite Problèmes avec l'expiration des certificats SSL fournis évités en utilisant ceux du paquet ca-certificates pdfchain Correction d'un plantage au démarrage perl Correction de multiples problèmes de sécurité liés aux expressions rationnelles [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] php-horde Correction d'une vulnérabilité de script intersite [CVE-2020-8035] php-horde-gollem Correction d'une vulnérabilité de script intersite dans la sortie de breadcrumb [CVE-2020-8034] pillow Correction de multiples problèmes de lectures hors limites [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] policyd-rate-limit Correction de problèmes de comptage dus à une réutilisation de socket postfix Nouvelle version amont stable ; correction d'une erreur de segmentation dans le rôle du client tlsproxy quand le rôle du serveur a été désactivé ; correction de « la valeur par défaut de maillog_file_rotate_suffix utilisait la minute à la place du mois » ; correction de plusieurs problèmes liés à TLS ; corrections du README.Debian python-markdown2 Correction d'un problème de script intersite [CVE-2020-11888] python3.7 Boucle infinie évitée lors de la lecture de fichiers TAR contrefaits pour l'occasion en utilisant le module tarfile [CVE-2019-20907] ; collisions de hachage résolues pour IPv4Interface et IPv6Interface [CVE-2020-14422] ; correction d'un problème de déni de service dans urllib.request.AbstractBasicAuthHandler [CVE-2020-8492] qdirstat Correction de la sauvegarde des catégories MIME configurées par l'utilisateur raspi3-firmware Correction d'une coquille qui pourrait mener à des systèmes non amorçables resource-agents IPsrcaddr : « proto » rendu optionnel pour corriger une régression lors de son utilisation sans NetworkManager ruby-json Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663] shim Utilisation de clés de signature de Debian renouvelées après rotation shim-helpers-amd64-signed Utilisation de clés de signature de Debian renouvelées après rotation shim-helpers-arm64-signed Utilisation de clés de signature de Debian renouvelées après rotation shim-helpers-i386-signed Utilisation de clés de signature de Debian renouvelées après rotation speedtest-cli En-têtes corrects transmis pour corriger le test de rapidité de téléchargement ascendant ssvnc Correction d'écriture hors limites [CVE-2018-20020], de boucle infinie [CVE-2018-20021], d'initialisation incorrecte [CVE-2018-20022], d'un potentiel déni de service [CVE-2018-20024] storebackup Correction d'une possible vulnérabilité d'élévation de privilèges [CVE-2020-7040] suricata Correction d'abandon de privilèges dans nflog runmode tigervnc Pas d'utilisation de libunwind sur armel, armhf ou arm64 transmission Correction d'un possible problème de déni de service [CVE-2018-10756] wav2cdr Utilisation de types d'entier à taille fixe de C99 pour corriger une assertion au moment de l'exécution sur les architectures 64 bits autres que amd64 et alpha zipios++ Correction de sécurité [CVE-2019-13453] Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-4626 php7.3 DSA-4674 roundcube DSA-4675 graphicsmagick DSA-4676 salt DSA-4677 wordpress DSA-4678 firefox-esr DSA-4679 keystone DSA-4680 tomcat9 DSA-4681 webkit2gtk DSA-4682 squid DSA-4683 thunderbird DSA-4684 libreswan DSA-4685 apt DSA-4686 apache-log4j1.2 DSA-4687 exim4 DSA-4688 dpdk DSA-4689 bind9 DSA-4690 dovecot DSA-4691 pdns-recursor DSA-4692 netqmail DSA-4694 unbound DSA-4695 firefox-esr DSA-4696 nodejs DSA-4697 gnutls28 DSA-4699 linux-signed-amd64 DSA-4699 linux-signed-arm64 DSA-4699 linux-signed-i386 DSA-4699 linux DSA-4700 roundcube DSA-4701 intel-microcode DSA-4702 thunderbird DSA-4704 vlc DSA-4705 python-django DSA-4707 mutt DSA-4708 neomutt DSA-4709 wordpress DSA-4710 trafficserver DSA-4711 coturn DSA-4712 imagemagick DSA-4713 firefox-esr DSA-4714 chromium DSA-4716 docker.io DSA-4718 thunderbird DSA-4719 php7.3 DSA-4720 roundcube DSA-4721 ruby2.5 DSA-4722 ffmpeg DSA-4723 xen DSA-4724 webkit2gtk DSA-4725 evolution-data-server DSA-4726 nss DSA-4728 qemu DSA-4729 libopenmpt DSA-4730 ruby-sanitize DSA-4731 redis DSA-4732 squid DSA-4733 qemu DSA-4735 grub-efi-amd64-signed DSA-4735 grub-efi-arm64-signed DSA-4735 grub-efi-ia32-signed DSA-4735 grub2 Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison golang-github-unknwon-cae Problèmes de sécurité ; non maintenu janus Pas de prise en charge dans stable mathematica-fonts S'appuie sur des emplacements de téléchargement indisponibles matrix-synapse Problèmes de sécurité ; non pris en charge selenium-firefoxdriver Incompatible avec les dernières versions de Firefox ESR Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/buster/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://www.debian.org/security/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.