------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 10.4
press@debian.org 9 mai 2020
https://www.debian.org/News/2020/20200509 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
apt-cacher-ng Appel sécurisé imposé au serveur pour le
déclenchement de tâches de maintenance
[CVE-2020-5202] ; compression .zst permise pour
les archives ; augmentation de la taille du tampon
de ligne de décompression pour la lecture de
fichier de configuration
backuppc Passage du nom d'utilisateur à start-stop-daemon
lors du rechargement empêchant les échecs de
rechargement
base-files Mise à jour pour cette version
brltty Réduction de la sévérité des messages de connexion
pour éviter de générer trop de messages lors de
l'utilisation des nouvelles versions d'Orca
checkstyle Correction d'un problème d'injection d'entité
externe XML [CVE-2019-9658 CVE-2019-10782]
choose-mirror Mise à jour de la liste de miroirs incluse
clamav Nouvelle version amont [CVE-2020-3123]
corosync totemsrp : Réduction du MTU pour éviter la
création de paquets surdimensionnés
corosync-qdevice Correction de démarrage du service
csync2 Échec de la commande HELLO quand SSL est requis
cups Correction de dépassement de tas [CVE-2020-3898]
et de « la fonction « ippReadIO » peut effectuer
une lecture hors limite d'un champ d'extension »
[CVE-2019-8842]
dav4tbsync Nouvelle version amont restaurant la compatibilité
avec les dernières versions de Thunderbird
debian-edu-config Ajout de fichiers de politique pour Firefox ESR
et Thunderbird pour corriger la configuration de
TLS/SSL
debian-installer Mise à jour pour l'ABI du noyau 4.19.0-9
debian-installer-netboot-images
Reconstruction avec proposed-updates
debian-security-support
Nouvelle version amont stable ; mise à jour de
l'état de plusieurs paquets ; utilisation de
« runuser » à la place de « su »
distro-info-data Ajout d'Ubuntu 20.10 et de la date probable de fin
de prise en charge de Stretch
dojo Correction de mauvaise utilisation d'expressions
rationnelles [CVE-2019-10785]
dpdk Nouvelle version amont stable
dtv-scan-tables Nouvel instantané amont ; ajout de tous les
multiplexes de DVB-T2 allemand et du
satellite Eutelsat-5-West-A
eas4tbsync Nouvelle version amont restaurant la compatibilité
avec les dernières versions de Thunderbird
edk2 Correctifs de sécurité [CVE-2019-14558
CVE-2019-14559 CVE-2019-14563 CVE-2019-14575
CVE-2019-14586 CVE-2019-14587]
el-api Correction des mises à niveau de Stretch à Buster
qui incluent Tomcat 8
fex Correction d'un possible problème de sécurité dans
fexsrv
filezilla Correction d'une vulnérabilité de chemin de
recherche non fiable [CVE-2019-5429]
frr Correction de la capacité « next hop » étendue
fuse Retrait des commandes udevadm obsolètes des
scripts post-installation ; pas de retrait
explicite de fuse.conf lors d'une purge
fuse3 Retrait des commandes udevadm obsolètes des
scripts post-installation ; pas de retrait
explicite de fuse.conf lors d'une purge ;
correction de fuite de mémoire dans
fuse_session_new()
golang-github-prometheus-common
Extension de validité des certificats de test
gosa Remplacement de « (un)serialize » par
json_encode/json_decode pour réduire l'injection
d'objet PHP [CVE-2019-14466]
hbci4java Prise en charge de la directive européenne sur les
services de paiement (PSD2)
hibiscus Prise en charge de la directive européenne sur les
services de paiement (PSD2)
iputils Correction d'un problème dans lequel ping
terminerait incorrectement avec un code d'erreur
quand il y a encore des adresses non essayées
disponibles dans la valeur de retour de l'appel
de la bibliothèque getaddrinfo()
ircd-hybrid Utilisation de dhparam.pem pour éviter un plantage
au démarrage
jekyll Utilisation de ruby-i18n 0.x et 1.x permise
jsp-api Correction des mises à niveau de Stretch à Buster
qui impliquent Tomcat 8
lemonldap-ng Accès non désiré évité aux points de terminaison
d'administration [CVE-2019-19791] ; correction du
greffon GrantSession qui pourrait ne pas interdire
la connexion lors de l'utilisation de
l'authentification à deux facteurs ; correction de
redirections arbitraires avec OIDC si redirect_uri
n'est pas utilisé
libdatetime-timezone-perl
Mise à jour des données incluses
libreoffice Correction de transition de diapositives d'OpenGL
libssh Correction d'un potentiel problème de déni de
service lors de la gestion de clés AES-CTR avec
OpenSSL [CVE-2020-1730]
libvncserver Correction de dépassement de tas [CVE-2019-15690]
linux Nouvelle version amont stable
linux-latest Mise à jour de l'ABI du noyau Linux 4.19.0-9
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
lwip Correction de dépassement de tampon [CVE-2020-8597]
lxc-templates Nouvelle version amont stable ; gestion des langues
encodées uniquement en UTF-8
manila Correction d'absence de droits d'accès
[CVE-2020-9543]
megatools Ajout de la prise en charge du nouveau format de
liens de mega.nz
mew Correction de vérification de validité de
certificat SSL de serveur
mew-beta Correction de vérification de validité de
certificat SSL de serveur
mkvtoolnix Reconstruction pour renforcer la dépendance de
libmatroska6v5
ncbi-blast+ Désactivation de la prise en charge de SSE4.2
node-anymatch Retrait de dépendances non nécessaires
node-dot Exécution de code évitée après pollution de
prototype [CVE-2020-8141]
node-dot-prop Correction de pollution de prototype
[CVE-2020-8116]
node-knockout Correction de protection avec les anciennes
versions d'Internet Explorer [CVE-2019-14862]
node-mongodb Rejet de _bsontypes non valables [CVE-2019-2391
CVE-2020-7610]
node-yargs-parser Correction de pollution de prototype
[CVE-2020-7608]
npm Correction d'accès à un chemin arbitraire
[CVE-2019-16775 CVE-2019-16776 CVE-2019-16777]
nvidia-graphics-drivers
Nouvelle version amont stable
nvidia-graphics-drivers-legacy-390xx
Nouvelle version amont stable
nvidia-settings-legacy-340xx
Nouvelle version amont
oar Retour au comportement de Stretch pour la fonction
Perl Storable::dclone corrigeant des problèmes de
profondeur de récursion
opam Mcss préféré à aspcud
openvswitch Correction d'interruption de vswitchd quand un
port est ajouté et que le contrôleur ne fonctionne
pas
orocos-kdl Correction de conversion de chaîne avec Python 3
owfs Retrait de paquets Python 3 cassés
pango1.0 Correction de plantage dans
pango_fc_font_key_get_variations() quand la clé
est nulle
pgcli Ajout de dépendance manquante à python3-pkg-
resources
php-horde-data Correction d'une vulnérabilité d'exécution
authentifiée de code distant [CVE-2020-8518]
php-horde-form Correction d'une vulnérabilité d'exécution
authentifiée de code distant [CVE-2020-8866]
php-horde-trean Correction d'une vulnérabilité d'exécution
authentifiée de code distant [CVE-2020-8865]
postfix Nouvelle version amont stable ; correction de
panique avec la configuration de Postfix avec
plusieurs « Milter » pendant MAIL FROM ;
correction de modification d'exécution de d/init.d
de sorte qu'il fonctionne à nouveau avec plusieurs
instances
proftpd-dfsg Correction d'un problème d'accès mémoire dans le
code de clavier interactif dans mod_sftp ; gestion
correcte des messages DEBUG, IGNORE, DISCONNECT
et UNIMPLEMENTED dans le mode clavier interractif
puma Correction d'un problème de déni de service
[CVE-2019-16770]
purple-discord Correction de plantages dans ssl_nss_read
python-oslo.utils Correction de fuite d'informations sensibles au
moyen de journaux de mistral [CVE-2019-3866]
rails Correction d'une potentielle vulnérabilité de
script intersite au moyen de l'assistant
d'échappement de Javascript [CVE-2020-5267]
rake Correction d'un vulnérabilité d'injection de
commande [CVE-2020-8130]
raspi3-firmware Correction d'erreur de noms dtb dans
z50-raspi-firmware ; correction de démarrage sur
les Raspberry Pi familles 1 et 0
resource-agents Correction de « ethmonitor ne liste pas les
interfaces sans adresses IP assignées » ; retrait
du correctif de xen-toolstack qui n'est plus
requis ; correction d'une utilisation non standard
dans l'agent ZFS
rootskel Désactivation de la prise en charge de plusieurs
consoles lors de l'utilisation de la
préconfiguration
ruby-i18n Correction de génération de gemspec
rubygems-integration
Avertissements d'obsolescence évités quand les
utilisateurs installent une nouvelle version de
Rubygems au moyen de « gem update --system »
schleuder Amélioration du correctif pour gérer les erreurs
d'encodage introduites dans la version
précédente ; passage de l'encodage par défaut à
UTF-8 ; gestion par x-add-key de courriels des
clés attachées encodées au format « Quoted-
Printable » ; correction de x-attach-listkey
avec des courriels créés par Thunderbird qui
comprennent des en-têtes protégés
scilab Correction du chargement de la bibliothèque avec
OpenJDK 11.0.7
serverspec-runner Prise en charge de Ruby 2.5
softflowd Correction d’agrégation de flux cassée qui
pourrait provoquer un débordement de table de flux
et une utilisation de processeur à 100 %
speech-dispatcher Correction de la latence par défaut de pulseaudio
qui déclenche une sortie « scratchy »
spl-linux Correction de blocage
sssd Correction d'attente active de sssd_be quand la
la connexion de LDAP est intermittente
systemd Nouvelle résolution de callback/userdata à la
place d'une mise en cache lors d'une autorisation
au moyen de PolicyKit [CVE-2020-1712] ;
installation de 60-block.rules dans udev-udeb et
initramfs-tools
taglib Correction de problèmes de corruption avec les
fichiers OGG
tbsync Nouvelle version amont restaurant la compatibilité
avec les dernières versions de Thunderbird
timeshift Correction d'utilisation de répertoire temporaire
prévisible [CVE-2020-10174]
tinyproxy Configuration de PIDDIR seulement si PIDFILE est
une chaîne de longueur différente de zéro
tzdata Nouvelle version amont stable
uim Désinscription des modules qui ne sont pas
installés, correction d'une régression dans
l'envoi précédent
user-mode-linux Correction d'échec de construction avec les noyaux
stables actuels
vite Correction de plantage quand il y a plus de 32
éléments
waagent Nouvelle version amont ; prise en charge de la
co-installation avec cloud-init
websocket-api Correction des mises à niveau de Stretch à Buster
qui incluent Tomcat 8
wpa Pas d'essai de détection d'erreur PSK durant la
recomposition de PTK ; vérification de la prise en
charge de FT lors de la sélection des suites FT ;
correction d'un problème de randomisation de MAC
avec certaines cartes
xdg-utils xdg-open : correction de vérification de pcmanfm
et de gestion de répertoires avec des espaces dans
leur nom ; xdg-screensaver : nettoyage du nom de
fenêtre avant de l'envoyer sur D-Bus ; xdg-mime :
création du répertoire config s'il n'existe pas
encore
xtrlock Correction du blocage de (certains) périphériques
multipoints lors du verrouillage [CVE-2016-10894]
zfs-linux Correction de possibles problèmes de blocage
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4623 postgresql-11
DSA-4624 evince
DSA-4625 thunderbird
DSA-4627 webkit2gtk
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4636 python-bleach
DSA-4637 network-manager-ssh
DSA-4638 chromium
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4641 webkit2gtk
DSA-4642 thunderbird
DSA-4643 python-bleach
DSA-4644 tor
DSA-4645 chromium
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4649 haproxy
DSA-4650 qbittorrent
DSA-4651 mediawiki
DSA-4652 gnutls28
DSA-4653 firefox-esr
DSA-4654 chromium
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4658 webkit2gtk
DSA-4659 git
DSA-4660 awl
DSA-4661 openssl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4665 qemu
DSA-4666 openldap
DSA-4667 linux-signed-amd64
DSA-4667 linux-signed-arm64
DSA-4667 linux-signed-i386
DSA-4667 linux
DSA-4669 nodejs
DSA-4671 vlc
DSA-4672 trafficserver
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
getlive Cassé par des modifications de Hotmail
gplaycli Cassé par des modifications de l'API de Google
kerneloops Service amont plus disponible
lambda-align2 [arm64 armel armhf i386 mips64el ppc64el s390x]
Cassé sur les architectures non amd64
libmicrodns Problèmes de sécurité
libperlspeak-perl Problèmes de sécurité ; non maintenu
quotecolors Incompatible avec les dernières versions de
Thunderbird
torbirdy Incompatible avec les dernières versions de
Thunderbird
ugene Non libre ; échec de construction
yahoo2mbox Cassé depuis plusieurs années
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org>