------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 10.6
press@debian.org 26 septembre 2020
https://www.debian.org/News/2020/20200926 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Veuillez noter que, du fait de problèmes de construction, les mises à
jour des paquets cargo, rustc et rustc-bindgen ne sont actuellement pas disponibles pour l'architecture « armel ». Elles seront ajoutées ultérieurement si les problèmes sont résolus.
Paquet Raison
arch-test Correction de la détection de s390x qui échoue
parfois
asterisk Correction de plantage lors d'une négociation pour
T.38 avec un flux refusé [CVE-2019-15297], de « une
requête SIP peut modifier l'adresse d'un pair SIP »
[CVE-2019-18790], de « l'utilisateur AMI pourrait
exécuter des commandes système » [CVE-2019-18610],
d'une erreur de segmentation dans la commande
« pjsip show history » avec les pairs IPv6
bacula Correction de « des chaînes d’empreinte
surdimensionnées permettent à un client malveillant
de provoquer un dépassement de tas dans la mémoire
du directeur » [CVE-2020-11061]
base-files Mise à jour de /etc/debian_version pour cette
version
calamares-settings-debian
Désactivation du module displaymanager
cargo Nouvelle version amont pour prendre en charge les
versions à venir de Firefox ESR
chocolate-doom Correction d'absence de validation [CVE-2020-14983]
chrony Compétition de lien symbolique évitée lors de
l'écriture dans le fichier PID [CVE-2020-14367] ;
correction de la lecture de température
debian-installer Mise à jour de l'ABI Linux vers la
version 4.19.0-11
debian-installer-netboot-images
Reconstruction avec proposed-updates
diaspora-installer Utilisation de l'option --frozen pour grouper
l'installation afin d'utiliser le Gemfile.lock de
l'amont ; plus d'exclusion de Gemfile.lock lors des
mises à niveau ; plus d'écrasement de
config/oidc_key.pem lors des mises à niveau ;
config/schedule.yml accessible en écriture
dojo Correction d'une pollution de prototype dans la
méthode deepCopy [CVE-2020-5258] et la méthode
jqMix [CVE-2020-5259]
dovecot Correction de la régression de la synchronisation
du filtre Sieve de dsync ; correction de la gestion
du résultat de getpwent dans userdb-passwd
facter Changement du point de terminaison de métadonnées
de Google GCE de « v1beta1 » à « v1 »
gnome-maps Correction d'un problème de décalage dans le rendu
des calques de forme
gnome-shell LoginDialog : remise à zéro de l'affichage du mot
de passe au moment de du changement de terminal
virtuel et sa disparition [CVE-2020-17489]
gnome-weather Plantage évité quand la configuration des
localisations n'est pas valable
grunt Utilisation de safeLoad lors du chargement de
fichiers YAML [CVE-2020-7729]
gssdp Nouvelle version amont stable
gupnp Nouvelle version amont stable ; attaque
« CallStranger » évitée [CVE-2020-12695] ;
GSSDP 1.0.5 requis
haproxy logrotate.conf : utilisation de l'assistant rsyslog
à la place d'un script de démarrage SysV ; rejet
des messages où « chunked » est absent dans
Transfer-Encoding [CVE-2019-18277]
icinga2 Correction d'attaque par lien symbolique
[CVE-2020-14004]
incron Correction de nettoyage de processus zombies
inetutils Correction d'un problème d'exécution de code à
distance [CVE-2020-10188]
libcommons-compress-java
Correction d'un problème de déni de service
[CVE-2019-12402]
libdbi-perl Correction de corruption de mémoire dans les
fonctions XS quand la pile de Perl est réallouée
[CVE-2020-14392] ; correction d'un dépassement de
tampon sur un nom de classe DBD trop long
[CVE-2020-14393] ; correction d'un déréférencement
de profil NULL dans dbi_profile() [CVE-2019-20919]
libvncserver libvncclient : abandon si le nom du socket UNIX
peut déborder [CVE-2019-20839] ; correction d'un
problème de chevauchement ou d'alignement de
pointeur [CVE-2020-14399] ; taille maximale de
textchat limitée [CVE-2020-14405] ; libvncserver :
ajout de vérifications manquantes de pointeur NULL
[CVE-2020-14397] ; correction d'un problème de
chevauchement ou d'alignement de pointeur
[CVE-2020-14400] ; scale : forçage en 64 bits avant
le déplacement [CVE-2020-14401] ; accès à hors
limites évités [CVE-2020-14402 CVE-2020-14403
CVE-2020-14404]
libx11 Correction de dépassements d'entier
[CVE-2020-14344 CVE-2020-14363]
lighttpd Rétroportage de plusieurs corrections
d'accessibilité et de sécurité
linux Nouvelle version amont stable ; passage de l'ABI à
la version 11
linux-latest Mise à jour de l'ABI du noyau linux à la
version -11
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
llvm-toolchain-7 Nouvelle version amont pour prendre en charge les
versions à venir de Firefox ESR ; correction de
bogues affectant la construction de rustc
lucene-solr Correction d'un problème de sécurité dans la
gestion de la configuration de DataImportHandler
[CVE-2019-0193]
milkytracker Correction d'un dépassement de tas
[CVE-2019-14464], d'un dépassement de pile
[CVE-2019-14496], d'un dépassement de tas
[CVE-2019-14497], d'une utilisation de mémoire
après libération [CVE-2020-15569]
node-bl Correction d'une vulnérabilité de lecture excessive
[CVE-2020-8244]
node-elliptic Malléabilité et dépassements évités
[CVE-2020-13822]
node-mysql Ajout de l'option localInfile pour contrôler LOAD
DATA LOCAL INFILE [CVE-2019-14939]
node-url-parse Correction de validation et de nettoyage
insuffisants des entrées de l'utilisateur
[CVE-2020-8124]
npm Pas d'affichage de mot de passe dans les journaux
[CVE-2020-15095]
orocos-kdl Retrait de l'inclusion explicite du chemin inclus
par défaut, corrigeant des problèmes avec cmake
< 3.16
postgresql-11 Nouvelle version amont stable ; définition d'un
chemin de recherche sûr dans les processus
walsender de réplication logique et les « workers »
d'application [CVE-2020-14349] ; scripts
d'installation des modules contrib plus sûrs
[CVE-2020-14350]
postgresql-common Pas de retrait de plpgsql avant de tester les
extensions
pyzmq Asyncio : attente de POLLOUT sur l'expéditeur
dans can_connect
qt4-x11 Correction de dépassement de tampon dans
l'analyseur XBM [CVE-2020-17507]
qtbase-opensource-src
Correction de dépassement de tampon dans
l'analyseur XBM [CVE-2020-17507] ; correction de la
fin du presse-papier quand le temporisateur se
réinitialise après 50 jours
ros-actionlib Chargement sûr de YAML [CVE-2020-10289]
rustc Nouvelle version amont pour prendre en charge les
versions à venir de Firefox ESR
rust-cbindgen Nouvelle version amont pour prendre en charge les
versions à venir de Firefox ESR
ruby-ronn Correction de la gestion du contenu en UTF-8 dans
les pages de manuel
s390-tools Dépendance de Perl codée en dur à la place de
l'utilisation de ${perl:Depends}, corrigeant
l'installation avec debootstrap
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4662 openjdk-11
DSA-4734 openjdk-11
DSA-4736 firefox-esr
DSA-4737 xrdp
DSA-4738 ark
DSA-4739 webkit2gtk
DSA-4740 thunderbird
DSA-4741 json-c
DSA-4742 firejail
DSA-4743 ruby-kramdown
DSA-4744 roundcube
DSA-4745 dovecot
DSA-4746 net-snmp
DSA-4747 icingaweb2
DSA-4748 ghostscript
DSA-4749 firefox-esr
DSA-4750 nginx
DSA-4751 squid
DSA-4752 bind9
DSA-4753 mupdf
DSA-4754 thunderbird
DSA-4755 openexr
DSA-4756 lilypond
DSA-4757 apache2
DSA-4758 xorg-server
DSA-4759 ark
DSA-4760 qemu
DSA-4761 zeromq3
DSA-4762 lemonldap-ng
DSA-4763 teeworlds
DSA-4764 inspircd
DSA-4765 modsecurity
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org>