Publication de la mise à jour de Debian 10.12
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 10.12 press@debian.org
26 mars 2022 https://www.debian.org/News/2022/2022032602
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa
distribution oldstable Debian 10 (nom de code « Buster »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les
annonces de sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Renforcement de la vérification de l'algorithme de signature d'OpenSSL
----------------------------------------------------------------------
La mise à jour d'OpenSSL fournie dans cette version comprend une
modification pour s'assurer que l'algorithme de signature exigé est pris
en charge par le niveau de sécurité actif.
Bien que cela ne devrait pas toucher la plupart des cas d'utilisation,
cela pourrait mener à la génération de messages d'erreur si un
algorithme non pris en charge est exigé – par exemple, l'utilisation de
signatures RSA+SHA1 avec le niveau de sécurité par défaut (niveau 2).
Dans un cas comme celui-là, le niveau de sécurité devra être abaissé
explicitement soit pour des requêtes individuelles, soit plus
globalement. Cela peut nécessiter de modifier la configuration des
applications. Pour OpenSSL lui-même, un abaissement à chaque requête
peut être obtenu avec une option en ligne de commande telle que :
-cipher « ALL:@SECLEVEL=1 »
avec la configuration adéquate au niveau du système qui se trouve
dans /etc/ssl/openssl.cnf
Corrections de bogues divers
----------------------------
Cette mise à jour de la version oldstable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
apache-log4j1.2 Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302
CVE-2022-23305 CVE-2022-23307] résolus en
supprimant la prise en charge des modules JMSSink,
JDBCAppender, JMSAppender et Apache Chainsaw
apache-log4j2 Correction d'un problème d'exécution de code à
distance [CVE-2021-44832]
atftp Correction d'un problème de fuite d'informations
[CVE-2021-46671]
base-files Mise à jour pour cette version 10.12
beads Reconstruction avec cimg mis à jour pour corriger
plusieurs dépassements de tampon de tas
[CVE-2020-25693]
btrbk Correction d'une régression dans la mise à jour
pour le CVE-2021-38173
cargo-mozilla Nouveau paquet, rétroporté à partir de Debian 11,
pour aider la construction avec les nouvelles
versions de Rust
chrony Lecture permise du fichier de configuration de
chronyd que génère timemaster(8)
cimg Correction de problèmes de dépassement de tas
[CVE-2020-25693]
clamav Nouvelle version amont stable ; correction d'un
problème de dépassement de tampon [CVE-2022-20698]
cups Correction d'un « problème de validation d'entrée
qui pourrait permettre à une application
malveillante de lire de la mémoire sensible »
[CVE-2020-10001]
debian-installer Reconstruction avec oldstable-proposed-updates ;
mise à jour de l'ABI du noyau vers la version -20
debian-installer-netboot-images
Reconstruction avec oldstable-proposed-updates
detox Correction du traitement de grands fichiers sur les
architectures ARM
evolution-data-server
Correction de plantage avec une réponse du serveur
mal formée [CVE-2020-16117]
flac Correction d'un problème de lecture hors limites
[CVE-2020-0499]
gerbv Correction d'un problème d'exécution de code
[CVE-2021-40391]
glibc Importation de plusieurs corrections à partir de la
branche stable de l'amont ; simplification de la
vérification des versions du noyau prises en charge
dans la mesure où les noyaux 2.x ne sont plus pris
en charge ; prise en charge de l'installation des
noyaux avec un numéro supérieur à 255
gmp Correction d'un problème de dépassement d'entier et
de tampon [CVE-2021-43618]
graphicsmagick Correction d'un problème de dépassement de tampon
[CVE-2020-12672]
htmldoc Correction d'un problème de lecture hors limites
[CVE-2022-0534] et de problèmes de dépassement de
tampon [CVE-2021-43579 CVE-2021-40985]
http-parser Casse involontaire d'ABI résolue
icu Correction de l'utilitaire « pkgdata »
intel-microcode Mise en jour du microprogramme inclus ; atténuation
de certains problèmes de sécurité [CVE-2020-8694
CVE-2020-8695 CVE-2021-0127 CVE-2021-0145
CVE-2021-0146 CVE-2021-33120]
jbig2dec Correction d'un problème de dépassement de tampon
[CVE-2020-12268]
jtharness Nouvelle version amont pour prendre en charge des
constructions avec les nouvelles versions
d'OpenJDK-11
jtreg Nouvelle version amont pour prendre en charge des
constructions avec les nouvelles versions
d'OpenJDK-11
lemonldap-ng Correction du processus d'authentification dans les
greffons de test de mot de passe [CVE-2021-20874] ;
ajout d'une recommandation à gsfonts corrigeant
captcha
leptonlib Correction d'un problème de déni de service
[CVE-2020-36277], et de problèmes de lecture
excessive de tampon [CVE-2020-36278 CVE-2020-36279
CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl
Mise à jour des données incluses
libencode-perl Correction d'une fuite de mémoire dans Encode.xs
libetpan Correction d'un problème d'injection de Réponse
STARTTLS [CVE-2020-15953]
libextractor Correction d'un problème de lecture non valable
[CVE-2019-15531]
libjackson-json-java
Corrections de problèmes d'exécution de code
[CVE-2017-15095 CVE-2017-7525] et de problèmes
d'entité externe XML [CVE-2019-10172]
libmodbus Correction de problèmes de lecture hors limites
[CVE-2019-14462 CVE-2019-14463]
libpcap Vérification de la longueur de l'entête PHB avant
son utilisation pour allouer de la mémoire
[CVE-2019-15165]
libsdl1.2 Gestion correcte des événements de l'élément actif
de saisie ; correction de problèmes de dépassement
de tampon [CVE-2019-13616 CVE-2019-7637] et de
problèmes de lecture excessive de tampon
[CVE-2019-7572 CVE-2019-7573 CVE-2019-7574
CVE-2019-7575 CVE-2019-7576 CVE-2019-7577
CVE-2019-7578 CVE-2019-7635 CVE-2019-7636
CVE-2019-7638]
libxml2 Correction d'un problème d'utilisation de mémoire
après libération [CVE-2022-23308]
linux Nouvelle version amont stable ; [rt] mise à jour
vers la version 4.19.233-rt105 ; passage de l'ABI
à la version 20
linux-latest Mise à jour vers la version 4.19.0-20 de l'ABI
linux-signed-amd64 Nouvelle version amont stable ; [rt] mise à jour
vers la version 4.19.233-rt105 ; passage de l'ABI
à la version 20
linux-signed-arm64 Nouvelle version amont stable ; [rt] mise à jour
vers la version 4.19.233-rt105 ; passage de l'ABI
à la version 20
linux-signed-i386 Nouvelle version amont stable ; [rt] mise à jour
vers la version 4.19.233-rt105 ; passage de l'ABI
à la version 20
llvm-toolchain-11 Nouveau paquet, rétroporté à partir de Debian 11,
pour aider la construction avec les nouvelles
versions de Rust
lxcfs Correction d'un mauvais rapport d'utilisation de
swap
mailman Correction d'un problème de script intersite
[CVE-2021-43331] ; correction de « la possibilité
pour un modérateur de liste de découvrir le mot
passe, chiffré dans un jeton CSFR, d'un
administrateur de liste » [CVE-2021-43332] ;
correction d'une possible attaque CSRF à l'encontre
d'un administrateur de liste par un membre ou un
modérateur de liste [CVE-2021-44227] ; correction
de régressions dans les correctifs pour
CVE-2021-42097 et CVE-2021-44227
mariadb-10.3 Nouvelle version amont stable ; corrections de
sécurité [CVE-2021-35604 CVE-2021-46659
CVE-2021-46661 CVE-2021-46662 CVE-2021-46663
CVE-2021-46664 CVE-2021-46665 CVE-2021-46667
CVE-2021-46668 CVE-2022-24048 CVE-2022-24050
CVE-2022-24051 CVE-2022-24052]
node-getobject Correction d'un problème de pollution de prototype
[CVE-2020-28282]
opensc Correction de problèmes d'accès hors limites
[CVE-2019-15945 CVE-2019-15946], d'un plantage dû à
la lecture de mémoire inconnue [CVE-2019-19479],
d'un problème de double libération de mémoire
[CVE-2019-20792] et de problèmes de dépassement de
tampon [CVE-2020-26570 CVE-2020-26571
CVE-2020-26572]
openscad Correction de dépassements de tampon dans
l'analyseur STL [CVE-2020-28599 CVE-2020- 28600]
openssl Nouvelle version amont
php-illuminate-database
Correction d'un problème de liaison de requête
[CVE-2021-21263] et d'un problème d'injection SQL
lors d'utilisation avec Microsoft SQL Server
phpliteadmin Correction d'un problème de script intersite
[CVE-2021-46709]
plib Correction d'un problème de débordement d'entier
[CVE-2021-38714]
privoxy Correction d'une fuite de mémoire [CVE-2021-44540]
et d'un problème de script intersite
[CVE-2021-44543]
publicsuffix Mise à jour des données incluses
python-virtualenv Tentative évitée d'installation de pkg_resources à
partir de PyPI
raptor2 Correction d'un problème d'accès à un tableau hors
limites [CVE-2020-25713]
ros-ros-comm Correction d'un problème de déni de service
[CVE-2021-37146]
rsyslog Correction de problèmes de dépassement de tas
[CVE-2019-17041 CVE-2019-17042]
ruby-httpclient Utilisation du magasin de certifications du système
rust-cbindgen Nouveau paquet source pour prendre en charge la
construction des dernières versions de firefox-esr
et de thunderbird
rustc-mozilla Nouveau paquet source pour prendre en charge la
construction des dernières versions de firefox-esr
et de thunderbird
s390-dasd Plus de transmission de l'option obsolète -f à
dasdfmt
spip Correction d'un problème de script intersite
tzdata Mise à jour des données pour les Fidji et la
Palestine
vim Correction de la possibilité d'exécuter du code
dans le mode restreint [CVE-2019-20807], de
problèmes de dépassement de tampon [CVE-2021-3770
CVE-2021-3778 CVE-2021-3875] et d'un problème
d'utilisation de mémoire après libération
[CVE-2021-3796] ; suppression d'un correctif inclus
accidentellement
wavpack Correction d'une utilisation de valeurs non
initialisées [CVE-2019-1010317 CVE-2019-1010319]
weechat Correction de plusieurs problèmes de déni de
service [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760
CVE-2021-40516]
wireshark Correction de plusieurs problèmes de sécurité dans
les dissecteurs [CVE-2021-22207 CVE-2021-22235
CVE-2021-39921 CVE-2021-39922 CVE-2021-39923
CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm Correction d'un problème de dépassement de tampon
[CVE-2022-24130]
zziplib Correction d'un problème de déni de service
[CVE-2020-18442]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version oldstable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4513 samba
DSA-4982 apache2
DSA-4983 neutron
DSA-4985 wordpress
DSA-4986 tomcat9
DSA-4987 squashfs-tools
DSA-4989 strongswan
DSA-4990 ffmpeg
DSA-4991 mailman
DSA-4993 php7.3
DSA-4994 bind9
DSA-4995 webkit2gtk
DSA-4997 tiff
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5004 libxstream-java
DSA-5005 ruby-kaminari
DSA-5006 postgresql-11
DSA-5010 libxml-security-java
DSA-5011 salt
DSA-5013 roundcube
DSA-5014 icu
DSA-5015 samba
DSA-5016 nss
DSA-5018 python-babel
DSA-5019 wireshark
DSA-5020 apache-log4j2
DSA-5021 mediawiki
DSA-5022 apache-log4j2
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5032 djvulibre
DSA-5035 apache2
DSA-5036 sphinxsearch
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5043 lxml
DSA-5047 prosody
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5062 nss
DSA-5063 uriparser
DSA-5065 ipython
DSA-5066 ruby2.5
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5078 zsh
DSA-5081 redis
DSA-5083 webkit2gtk
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5093 spip
DSA-5096 linux-latest
DSA-5096 linux-signed-amd64
DSA-5096 linux-signed-arm64
DSA-5096 linux-signed-i386
DSA-5096 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5103 openssl
DSA-5105 bind9
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
angular-maven-plugin Plus nécessaire
minify-maven-plugin Plus nécessaire
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution oldstable :
https://deb.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
https://deb.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution oldstable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: