Publication de la mise à jour de Debian 10.5
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 10.5 press@debian.org
https://www.debian.org/News/2020/20200801
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa
distribution stable Debian 10 (nom de code « Buster »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité
ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Cette version intermédiaire corrige aussi l'annonce de sécurité de
Debian DSA-4735 grub2 [1] qui traite de plusieurs problèmes de CVE
concernant la vulnérabilité « BootHole » de UEFI SecureBoot dans
GRUB2 [2].
1 : https://www.debian.org//security/2020/dsa-4735
2 : https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
appstream-glib Correction d'échecs de construction en 2020 et
après
asunder Utilisation de gnudb à la place de freedb par
défaut
b43-fwcutter Succès assuré des suppressions avec des locales non
anglaises ; pas d'échec de retrait si certains
fichiers n'existent plus ; correction de
dépendances manquantes à pciutils et à
ca-certificates
balsa Identité du serveur fournie lors de la validation
de certificats, permettant une validation réussie
lors de l'utilisation du correctif de
glib-networking pour le CVE-2020-13645
base-files Mise à jour pour cette version
batik Correction d'une falsification de requêtes côté
serveur au moyen d'attributs xlink:href
[CVE-2019-17566]
borgbackup Correction d'un bogue de corruption d'index menant
à une perte de données
bundler Mise à jour de la version requise de ruby-molinillo
c-icap-modules Ajout de la prise en charge pour ClamAV 0.102
cacti Correction d'un problème où les horodatages UNIX
après le 13 septembre 2020 étaient rejetés en début
ou fin de graphique ; correction d'exécution de
code distant [CVE-2020-7237], de script intersite
[CVE-2020-7106], d'un problème de CSRF
[CVE-2020-13231] ; la désactivation d'un compte
utilisateur n'invalide pas immédiatement ses droits
[CVE-2020-13230]
calamares-settings-debian
Activation du module displaymanager, corrigeant des
options d'autologin ; utilisation de xdg-user-dir
pour spécifier le répertoire Bureau
clamav Nouvelle version amont ; corrections de sécurité
[CVE-2020-3327 CVE-2020-3341 CVE-2020-3350
CVE-2020-3327 CVE-2020-3481]
cloud-init Nouvelle version amont
commons-configuration2
Création d'objet évitée lors du chargement de
fichiers YAML [CVE-2020-1953]
confget Correction de la gestion de valeurs contenant « = »
par le module Python
dbus Nouvelle version amont stable ; problème de déni de
service évité [CVE-2020-12049] ; utilisation de
mémoire après libération évitée si deux noms
d'utilisateur partagent un UID
debian-edu-config Correction de perte d'adresse IPv4 dynamiquement
allouée
debian-installer Mise à jour pour l'ABI du noyau 4.19.0-10
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-ports-archive-keyring
Prolongement d'un an de la date d'expiration de la
clé de 2020 (84C573CD4E1AFD6C) ; ajout de la clé de
signature automatique de l'archive des portages de
Debian (2021) ; migration de la clé de 2018
(ID: 06AED62430CB581C) dans le trousseau retiré
debian-security-support
Mise à jour de l'état de la prise en charge de
plusieurs paquets
dpdk Nouvelle version amont
exiv2 Ajustement d'un correctif excessivement restrictif
[CVE-2018-10958 et CVE-2018-10999] ; correction
d'un problème de déni de service [CVE-2018-16336]
fdroidserver Correction de la validation de l'adresse de
Litecoin
file-roller Correction de sécurité [CVE-2020-11736]
freerdp2 Correction de connexions de smartcard ; corrections
de sécurité [CVE-2020-11521 CVE-2020-11522
CVE-2020-11523 CVE-2020-11524 CVE-2020-11525
CVE-2020-11526]
fwupd Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation
fwupd-amd64-signed Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation
fwupd-arm64-signed Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation
fwupd-armhf-signed Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation
fwupd-i386-signed Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation
fwupdate Utilisation de clés de signature de Debian
renouvelées après rotation
fwupdate-amd64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
fwupdate-arm64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
fwupdate-armhf-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
fwupdate-i386-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
gist API d'autorisation obsolète évitée
glib-networking Renvoi d'une erreur de mauvaise identité si
l'identité n'est pas configurée [CVE-2020-13645] ;
balsa plus ancien que la version 2.5.6-2+deb10u1
cassé parce que le correctif pour le
CVE-2020-13645 casse la vérification de certificat
de balsa
gnutls28 Correction d'erreurs de reprise de session TL1.2 ;
correction de fuite de mémoire ; prise en charge
des tickets de session de longueur nulle,
correction d'erreurs de connexion de sessions
TLS1.2 vers certains gros fournisseurs
d'hébergement ; correction d'erreur de vérification
avec des chaînes alternatives
intel-microcode Retour à des versions publiées précédemment de
certains microcodes contournant des arrêts de
l'initialisation sur Skylake-U/Y et Skylake Xeon E3
jackson-databind Correction de multiples problèmes de sécurité
affectant BeanDeserializerFactory [CVE-2020-9548
CVE-2020-9547 CVE-2020-9546 CVE-2020-8840
CVE-2020-14195 CVE-2020-14062 CVE-2020-14061
CVE-2020-14060 CVE-2020-11620 CVE-2020-11619
CVE-2020-11113 CVE-2020-11112 CVE-2020-11111
CVE-2020-10969 CVE-2020-10968 CVE-2020-10673
CVE-2020-10672 CVE-2019-20330 CVE-2019-17531
et CVE-2019-17267]
jameica Ajout de mckoisqldb au classpath, permettant
l'utilisation du greffon SynTAX
jigdo Correction de la prise en charge de HTTPS dans
jigdo-lite et jigdo-mirror
ksh Correction d'un problème de restriction de variable
d'environnement [CVE-2019-14868]
lemonldap-ng Correction d'une régression de la configuration de
nginx introduite par le correctif pour le
CVE-2019-19791
libapache-mod-jk Fichier de configuration d'Apache renommé pour
qu'il puisse être automatiquement activé et
désactivé
libclamunrar Nouvelle version amont stable ; ajout d'un
méta-paquet non versionné
libembperl-perl Gestion des pages d'erreur d'Apache >=2.4.40
libexif Corrections de sécurité [CVE-2020-12767
CVE-2020-0093 CVE-2020-13112 CVE-2020-13113
CVE-2020-13114] ; correction de dépassement de
tampon [CVE-2020-0182] et de dépassement d'entier
[CVE-2020-0198]
libinput Quirks : ajout de l'attribut d'intégration du
« trackpoint »
libntlm Correction de dépassement de tampon
[CVE-2019-17455]
libpam-radius-auth Correction de dépassement de tampon dans le champ
du mot de passe [CVE-2015-9542]
libunwind Correction d'erreurs de segmentation sur mips ;
activation manuelle de la prise en charge
d'exception C++ seulement sur i386 et amd64
libyang Correction de plantage de corruption de cache,
CVE-2019-19333, CVE-2019-19334
linux Nouvelle version amont stable
linux-latest Mise à jour pour l'ABI du noyau 4.19.0-10
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
lirc Correction de la gestion de conffile
mailutils maidag : abandon des privilèges setuid pour toutes
les opérations de distribution sauf mda
[CVE-2019-18862]
mariadb-10.3 Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-2752 CVE-2020-2760
CVE-2020-2812 CVE-2020-2814 CVE-2020-13249] ;
correction d'une régression dans la détection de
RocksDB ZSTD
mod-gnutls Correction d'une possible erreur de segmentation
lors de l'échec d'une initialisation de connexion
TLS ; correction des échecs de tests
multipath-tools kpartx : utilisation du chemin correct vers partx
dans la règle d'udev
mutt Pas de vérification du chiffrement de IMAP PREAUTH
si $tunnel est utilisé
mydumper Lien vers libm
nfs-utils statd : identité de l'utilisateur prise à partir de
/var/lib/nfs/sm [CVE-2019-3689] ; /var/lib/nfs
n'est plus rendue propriété de statd
nginx Correction d'une vulnérabilité de dissimulation de
requête de la page d'erreur [CVE-2019-20372]
nmap Mise à jour de la taille de clé par défaut à
2048 bits
node-dot-prop Correction d'une régression introduite dans le
correctif de CVE-2020-8116
node-handlebars Interdiction d'un appel direct de « helperMissing »
et « blockHelperMissing » [CVE-2019-19919]
node-minimist Correction de pollution de prototype
[CVE-2020-7598]
nvidia-graphics-drivers
Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-5963 CVE-2020-5967]
nvidia-graphics-drivers-legacy-390xx
Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-5963 CVE-2020-5967]
openstack-debian-images
Installation de resolvconf lors de l'installation
de cloud-init
pagekite Problèmes avec l'expiration des certificats SSL
fournis évités en utilisant ceux du paquet
ca-certificates
pdfchain Correction d'un plantage au démarrage
perl Correction de multiples problèmes de sécurité liés
aux expressions rationnelles [CVE-2020-10543
CVE-2020-10878 CVE-2020-12723]
php-horde Correction d'une vulnérabilité de script intersite
[CVE-2020-8035]
php-horde-gollem Correction d'une vulnérabilité de script intersite
dans la sortie de breadcrumb [CVE-2020-8034]
pillow Correction de multiples problèmes de lectures hors
limites [CVE-2020-11538 CVE-2020-10378
CVE-2020-10177]
policyd-rate-limit Correction de problèmes de comptage dus à une
réutilisation de socket
postfix Nouvelle version amont stable ; correction d'une
erreur de segmentation dans le rôle du client
tlsproxy quand le rôle du serveur a été désactivé ;
correction de « la valeur par défaut de
maillog_file_rotate_suffix utilisait la minute à la
place du mois » ; correction de plusieurs problèmes
liés à TLS ; corrections du README.Debian
python-markdown2 Correction d'un problème de script intersite
[CVE-2020-11888]
python3.7 Boucle infinie évitée lors de la lecture de
fichiers TAR contrefaits pour l'occasion en
utilisant le module tarfile [CVE-2019-20907] ;
collisions de hachage résolues pour IPv4Interface
et IPv6Interface [CVE-2020-14422] ; correction d'un
problème de déni de service dans
urllib.request.AbstractBasicAuthHandler
[CVE-2020-8492]
qdirstat Correction de la sauvegarde des catégories MIME
configurées par l'utilisateur
raspi3-firmware Correction d'une coquille qui pourrait mener à des
systèmes non amorçables
resource-agents IPsrcaddr : « proto » rendu optionnel pour corriger
une régression lors de son utilisation sans
NetworkManager
ruby-json Correction d'une vulnérabilité de création d'objet
non sûr [CVE-2020-10663]
shim Utilisation de clés de signature de Debian
renouvelées après rotation
shim-helpers-amd64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
shim-helpers-arm64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
shim-helpers-i386-signed
Utilisation de clés de signature de Debian
renouvelées après rotation
speedtest-cli En-têtes corrects transmis pour corriger le test de
rapidité de téléchargement ascendant
ssvnc Correction d'écriture hors limites
[CVE-2018-20020], de boucle infinie
[CVE-2018-20021], d'initialisation incorrecte
[CVE-2018-20022], d'un potentiel déni de service
[CVE-2018-20024]
storebackup Correction d'une possible vulnérabilité d'élévation
de privilèges [CVE-2020-7040]
suricata Correction d'abandon de privilèges dans nflog
runmode
tigervnc Pas d'utilisation de libunwind sur armel, armhf ou
arm64
transmission Correction d'un possible problème de déni de
service [CVE-2018-10756]
wav2cdr Utilisation de types d'entier à taille fixe de C99
pour corriger une assertion au moment de
l'exécution sur les architectures 64 bits autres
que amd64 et alpha
zipios++ Correction de sécurité [CVE-2019-13453]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4626 php7.3
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4679 keystone
DSA-4680 tomcat9
DSA-4681 webkit2gtk
DSA-4682 squid
DSA-4683 thunderbird
DSA-4684 libreswan
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4690 dovecot
DSA-4691 pdns-recursor
DSA-4692 netqmail
DSA-4694 unbound
DSA-4695 firefox-esr
DSA-4696 nodejs
DSA-4697 gnutls28
DSA-4699 linux-signed-amd64
DSA-4699 linux-signed-arm64
DSA-4699 linux-signed-i386
DSA-4699 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4704 vlc
DSA-4705 python-django
DSA-4707 mutt
DSA-4708 neomutt
DSA-4709 wordpress
DSA-4710 trafficserver
DSA-4711 coturn
DSA-4712 imagemagick
DSA-4713 firefox-esr
DSA-4714 chromium
DSA-4716 docker.io
DSA-4718 thunderbird
DSA-4719 php7.3
DSA-4720 roundcube
DSA-4721 ruby2.5
DSA-4722 ffmpeg
DSA-4723 xen
DSA-4724 webkit2gtk
DSA-4725 evolution-data-server
DSA-4726 nss
DSA-4728 qemu
DSA-4729 libopenmpt
DSA-4730 ruby-sanitize
DSA-4731 redis
DSA-4732 squid
DSA-4733 qemu
DSA-4735 grub-efi-amd64-signed
DSA-4735 grub-efi-arm64-signed
DSA-4735 grub-efi-ia32-signed
DSA-4735 grub2
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
golang-github-unknwon-cae Problèmes de sécurité ; non maintenu
janus Pas de prise en charge dans stable
mathematica-fonts S'appuie sur des emplacements de
téléchargement indisponibles
matrix-synapse Problèmes de sécurité ; non pris en charge
selenium-firefoxdriver Incompatible avec les dernières versions de
Firefox ESR
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: