------------------------------------------------------------------------
Projet Debian
https://www.debian.org/
Publication de la mise à jour de Debian 10.5
press@debian.org
https://www.debian.org/News/2020/20200801
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Cette version intermédiaire corrige aussi l'annonce de sécurité de
Debian DSA-4735 grub2 [1] qui traite de plusieurs problèmes de CVE
concernant la vulnérabilité « BootHole » de UEFI SecureBoot dans
GRUB2 [2].
1 :
https://www.debian.org//security/2020/dsa-4735
2 :
https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison appstream-glib Correction d'échecs de construction en 2020 et après asunder Utilisation de gnudb à la place de freedb par
défaut
b43-fwcutter Succès assuré des suppressions avec des locales non
anglaises ; pas d'échec de retrait si certains
fichiers n'existent plus ; correction de
dépendances manquantes à pciutils et à
ca-certificates balsa Identité du serveur fournie lors de la validation
de certificats, permettant une validation réussie
lors de l'utilisation du correctif de glib-networking pour le CVE-2020-13645 base-files Mise à jour pour cette version batik Correction d'une falsification de requêtes côté
serveur au moyen d'attributs xlink:href
[CVE-2019-17566] borgbackup Correction d'un bogue de corruption d'index menant
à une perte de données bundler Mise à jour de la version requise de ruby-molinillo
c-icap-modules Ajout de la prise en charge pour ClamAV 0.102 cacti Correction d'un problème où les horodatages UNIX
après le 13 septembre 2020 étaient rejetés en début
ou fin de graphique ; correction d'exécution de
code distant [CVE-2020-7237], de script intersite
[CVE-2020-7106], d'un problème de CSRF
[CVE-2020-13231] ; la désactivation d'un compte
utilisateur n'invalide pas immédiatement ses droits
[CVE-2020-13230] calamares-settings-debian
Activation du module displaymanager, corrigeant des
options d'autologin ; utilisation de xdg-user-dir
pour spécifier le répertoire Bureau clamav Nouvelle version amont ; corrections de sécurité
[CVE-2020-3327 CVE-2020-3341 CVE-2020-3350
CVE-2020-3327 CVE-2020-3481] cloud-init Nouvelle version amont
commons-configuration2
Création d'objet évitée lors du chargement de
fichiers YAML [CVE-2020-1953] confget Correction de la gestion de valeurs contenant « = »
par le module Python dbus Nouvelle version amont stable ; problème de déni de
service évité [CVE-2020-12049] ; utilisation de
mémoire après libération évitée si deux noms
d'utilisateur partagent un UID debian-edu-config Correction de perte d'adresse IPv4 dynamiquement allouée
debian-installer Mise à jour pour l'ABI du noyau 4.19.0-10 debian-installer-netboot-images
Reconstruction avec proposed-updates debian-ports-archive-keyring
Prolongement d'un an de la date d'expiration de la
clé de 2020 (84C573CD4E1AFD6C) ; ajout de la clé de
signature automatique de l'archive des portages de
Debian (2021) ; migration de la clé de 2018
(ID: 06AED62430CB581C) dans le trousseau retiré
debian-security-support
Mise à jour de l'état de la prise en charge de
plusieurs paquets dpdk Nouvelle version amont exiv2 Ajustement d'un correctif excessivement restrictif
[CVE-2018-10958 et CVE-2018-10999] ; correction
d'un problème de déni de service [CVE-2018-16336]
fdroidserver Correction de la validation de l'adresse de Litecoin
file-roller Correction de sécurité [CVE-2020-11736] freerdp2 Correction de connexions de smartcard ; corrections
de sécurité [CVE-2020-11521 CVE-2020-11522
CVE-2020-11523 CVE-2020-11524 CVE-2020-11525
CVE-2020-11526] fwupd Nouvelle version amont ; correction d'un possible
problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation fwupd-amd64-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation fwupd-arm64-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation fwupd-armhf-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation fwupd-i386-signed Nouvelle version amont ; correction d'un possible problème de vérification de signature
[CVE-2020-10759] ; utilisation de clés de signature
de Debian renouvelées après rotation fwupdate Utilisation de clés de signature de Debian renouvelées après rotation fwupdate-amd64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation fwupdate-arm64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation fwupdate-armhf-signed
Utilisation de clés de signature de Debian
renouvelées après rotation fwupdate-i386-signed
Utilisation de clés de signature de Debian
renouvelées après rotation gist API d'autorisation obsolète évitée glib-networking Renvoi d'une erreur de mauvaise identité si l'identité n'est pas configurée [CVE-2020-13645] ;
balsa plus ancien que la version 2.5.6-2+deb10u1
cassé parce que le correctif pour le
CVE-2020-13645 casse la vérification de certificat
de balsa gnutls28 Correction d'erreurs de reprise de session TL1.2 ;
correction de fuite de mémoire ; prise en charge
des tickets de session de longueur nulle,
correction d'erreurs de connexion de sessions
TLS1.2 vers certains gros fournisseurs d'hébergement ; correction d'erreur de vérification
avec des chaînes alternatives intel-microcode Retour à des versions publiées précédemment de certains microcodes contournant des arrêts de
l'initialisation sur Skylake-U/Y et Skylake Xeon E3
jackson-databind Correction de multiples problèmes de sécurité affectant BeanDeserializerFactory [CVE-2020-9548
CVE-2020-9547 CVE-2020-9546 CVE-2020-8840
CVE-2020-14195 CVE-2020-14062 CVE-2020-14061
CVE-2020-14060 CVE-2020-11620 CVE-2020-11619
CVE-2020-11113 CVE-2020-11112 CVE-2020-11111
CVE-2020-10969 CVE-2020-10968 CVE-2020-10673
CVE-2020-10672 CVE-2019-20330 CVE-2019-17531
et CVE-2019-17267] jameica Ajout de mckoisqldb au classpath, permettant l'utilisation du greffon SynTAX jigdo Correction de la prise en charge de HTTPS dans
jigdo-lite et jigdo-mirror ksh Correction d'un problème de restriction de variable
d'environnement [CVE-2019-14868] lemonldap-ng Correction d'une régression de la configuration de
nginx introduite par le correctif pour le
CVE-2019-19791 libapache-mod-jk Fichier de configuration d'Apache renommé pour qu'il puisse être automatiquement activé et
désactivé libclamunrar Nouvelle version amont stable ; ajout d'un méta-paquet non versionné libembperl-perl Gestion des pages d'erreur d'Apache >=2.4.40 libexif Corrections de sécurité [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113
CVE-2020-13114] ; correction de dépassement de
tampon [CVE-2020-0182] et de dépassement d'entier
[CVE-2020-0198] libinput Quirks : ajout de l'attribut d'intégration du
« trackpoint » libntlm Correction de dépassement de tampon [CVE-2019-17455] libpam-radius-auth Correction de dépassement de tampon dans le champ du mot de passe [CVE-2015-9542] libunwind Correction d'erreurs de segmentation sur mips ;
activation manuelle de la prise en charge
d'exception C++ seulement sur i386 et amd64
libyang Correction de plantage de corruption de cache,
CVE-2019-19333, CVE-2019-19334 linux Nouvelle version amont stable linux-latest Mise à jour pour l'ABI du noyau 4.19.0-10 linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable lirc Correction de la gestion de conffile mailutils maidag : abandon des privilèges setuid pour toutes
les opérations de distribution sauf mda
[CVE-2019-18862] mariadb-10.3 Nouvelle version amont stable ; corrections de sécurité [CVE-2020-2752 CVE-2020-2760
CVE-2020-2812 CVE-2020-2814 CVE-2020-13249] ;
correction d'une régression dans la détection de
RocksDB ZSTD mod-gnutls Correction d'une possible erreur de segmentation lors de l'échec d'une initialisation de connexion
TLS ; correction des échecs de tests multipath-tools kpartx : utilisation du chemin correct vers partx dans la règle d'udev mutt Pas de vérification du chiffrement de IMAP PREAUTH
si $tunnel est utilisé mydumper Lien vers libm
nfs-utils statd : identité de l'utilisateur prise à partir de
/var/lib/nfs/sm [CVE-2019-3689] ; /var/lib/nfs
n'est plus rendue propriété de statd nginx Correction d'une vulnérabilité de dissimulation de
requête de la page d'erreur [CVE-2019-20372]
nmap Mise à jour de la taille de clé par défaut à
2048 bits
node-dot-prop Correction d'une régression introduite dans le correctif de CVE-2020-8116 node-handlebars Interdiction d'un appel direct de « helperMissing »
et « blockHelperMissing » [CVE-2019-19919]
node-minimist Correction de pollution de prototype [CVE-2020-7598] nvidia-graphics-drivers
Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-5963 CVE-2020-5967]
nvidia-graphics-drivers-legacy-390xx
Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-5963 CVE-2020-5967]
openstack-debian-images
Installation de resolvconf lors de l'installation
de cloud-init pagekite Problèmes avec l'expiration des certificats SSL
fournis évités en utilisant ceux du paquet
ca-certificates pdfchain Correction d'un plantage au démarrage perl Correction de multiples problèmes de sécurité liés
aux expressions rationnelles [CVE-2020-10543
CVE-2020-10878 CVE-2020-12723] php-horde Correction d'une vulnérabilité de script intersite
[CVE-2020-8035] php-horde-gollem Correction d'une vulnérabilité de script intersite dans la sortie de breadcrumb [CVE-2020-8034]
pillow Correction de multiples problèmes de lectures hors
limites [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177]
policyd-rate-limit Correction de problèmes de comptage dus à une réutilisation de socket postfix Nouvelle version amont stable ; correction d'une
erreur de segmentation dans le rôle du client
tlsproxy quand le rôle du serveur a été désactivé ;
correction de « la valeur par défaut de
maillog_file_rotate_suffix utilisait la minute à la
place du mois » ; correction de plusieurs problèmes
liés à TLS ; corrections du README.Debian
python-markdown2 Correction d'un problème de script intersite [CVE-2020-11888] python3.7 Boucle infinie évitée lors de la lecture de fichiers TAR contrefaits pour l'occasion en
utilisant le module tarfile [CVE-2019-20907] ;
collisions de hachage résolues pour IPv4Interface
et IPv6Interface [CVE-2020-14422] ; correction d'un
problème de déni de service dans urllib.request.AbstractBasicAuthHandler
[CVE-2020-8492] qdirstat Correction de la sauvegarde des catégories MIME
configurées par l'utilisateur raspi3-firmware Correction d'une coquille qui pourrait mener à des systèmes non amorçables resource-agents IPsrcaddr : « proto » rendu optionnel pour corriger
une régression lors de son utilisation sans
NetworkManager ruby-json Correction d'une vulnérabilité de création d'objet
non sûr [CVE-2020-10663] shim Utilisation de clés de signature de Debian
renouvelées après rotation shim-helpers-amd64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation shim-helpers-arm64-signed
Utilisation de clés de signature de Debian
renouvelées après rotation shim-helpers-i386-signed
Utilisation de clés de signature de Debian
renouvelées après rotation speedtest-cli En-têtes corrects transmis pour corriger le test de
rapidité de téléchargement ascendant
ssvnc Correction d'écriture hors limites [CVE-2018-20020], de boucle infinie [CVE-2018-20021], d'initialisation incorrecte
[CVE-2018-20022], d'un potentiel déni de service
[CVE-2018-20024] storebackup Correction d'une possible vulnérabilité d'élévation
de privilèges [CVE-2020-7040] suricata Correction d'abandon de privilèges dans nflog runmode tigervnc Pas d'utilisation de libunwind sur armel, armhf ou
arm64
transmission Correction d'un possible problème de déni de service [CVE-2018-10756]
wav2cdr Utilisation de types d'entier à taille fixe de C99
pour corriger une assertion au moment de
l'exécution sur les architectures 64 bits autres
que amd64 et alpha zipios++ Correction de sécurité [CVE-2019-13453]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4626 php7.3
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4679 keystone
DSA-4680 tomcat9
DSA-4681 webkit2gtk
DSA-4682 squid
DSA-4683 thunderbird
DSA-4684 libreswan
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4690 dovecot
DSA-4691 pdns-recursor
DSA-4692 netqmail
DSA-4694 unbound
DSA-4695 firefox-esr
DSA-4696 nodejs
DSA-4697 gnutls28
DSA-4699 linux-signed-amd64
DSA-4699 linux-signed-arm64
DSA-4699 linux-signed-i386
DSA-4699 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4704 vlc
DSA-4705 python-django
DSA-4707 mutt
DSA-4708 neomutt
DSA-4709 wordpress
DSA-4710 trafficserver
DSA-4711 coturn
DSA-4712 imagemagick
DSA-4713 firefox-esr
DSA-4714 chromium
DSA-4716 docker.io
DSA-4718 thunderbird
DSA-4719 php7.3
DSA-4720 roundcube
DSA-4721 ruby2.5
DSA-4722 ffmpeg
DSA-4723 xen
DSA-4724 webkit2gtk
DSA-4725 evolution-data-server
DSA-4726 nss
DSA-4728 qemu
DSA-4729 libopenmpt
DSA-4730 ruby-sanitize
DSA-4731 redis
DSA-4732 squid
DSA-4733 qemu
DSA-4735 grub-efi-amd64-signed
DSA-4735 grub-efi-arm64-signed
DSA-4735 grub-efi-ia32-signed
DSA-4735 grub2
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison golang-github-unknwon-cae Problèmes de sécurité ; non maintenu janus Pas de prise en charge dans stable
mathematica-fonts S'appuie sur des emplacements de téléchargement indisponibles
matrix-synapse Problèmes de sécurité ; non pris en charge
selenium-firefoxdriver Incompatible avec les dernières versions de Firefox ESR
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org> ou con