• =?UTF-8?Q?Publication_de_la_mise_=c3=a0_jour_de_Debian_10=2e6?=

    From Jean-Pierre Giraud@21:1/5 to All on Sun Sep 27 00:00:01 2020
    ------------------------------------------------------------------------
    Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 10.6 press@debian.org 26 septembre 2020 https://www.debian.org/News/2020/20200926 ------------------------------------------------------------------------


    Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
    des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
    document.

    Veuillez noter que cette mise à jour ne constitue pas une nouvelle
    version de Debian 10 mais seulement une mise à jour de certains des
    paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
    médias de la version Buster. Après installation, les paquets peuvent
    être mis à niveau vers les versions courantes en utilisant un miroir
    Debian à jour.

    Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
    la plupart des mises à jour de security.debian.org sont comprises dans
    cette mise à jour.

    De nouvelles images d'installation seront prochainement disponibles à
    leurs emplacements habituels.

    Mettre à jour une installation vers cette révision peut se faire en
    faisant pointer le système de gestion de paquets sur l'un des nombreux
    miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

    https://www.debian.org/mirror/list



    Corrections de bogues divers
    ----------------------------

    Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

    Veuillez noter que, du fait de problèmes de construction, les mises à
    jour des paquets cargo, rustc et rustc-bindgen ne sont actuellement pas disponibles pour l'architecture « armel ». Elles seront ajoutées ultérieurement si les problèmes sont résolus.

    Paquet Raison
    arch-test Correction de la détection de s390x qui échoue
    parfois
    asterisk Correction de plantage lors d'une négociation pour
    T.38 avec un flux refusé [CVE-2019-15297], de « une
    requête SIP peut modifier l'adresse d'un pair SIP »
    [CVE-2019-18790], de « l'utilisateur AMI pourrait
    exécuter des commandes système » [CVE-2019-18610],
    d'une erreur de segmentation dans la commande
    « pjsip show history » avec les pairs IPv6
    bacula Correction de « des chaînes d’empreinte
    surdimensionnées permettent à un client malveillant
    de provoquer un dépassement de tas dans la mémoire
    du directeur » [CVE-2020-11061]
    base-files Mise à jour de /etc/debian_version pour cette
    version
    calamares-settings-debian
    Désactivation du module displaymanager
    cargo Nouvelle version amont pour prendre en charge les
    versions à venir de Firefox ESR
    chocolate-doom Correction d'absence de validation [CVE-2020-14983]
    chrony Compétition de lien symbolique évitée lors de
    l'écriture dans le fichier PID [CVE-2020-14367] ;
    correction de la lecture de température
    debian-installer Mise à jour de l'ABI Linux vers la
    version 4.19.0-11
    debian-installer-netboot-images
    Reconstruction avec proposed-updates
    diaspora-installer Utilisation de l'option --frozen pour grouper
    l'installation afin d'utiliser le Gemfile.lock de
    l'amont ; plus d'exclusion de Gemfile.lock lors des
    mises à niveau ; plus d'écrasement de
    config/oidc_key.pem lors des mises à niveau ;
    config/schedule.yml accessible en écriture
    dojo Correction d'une pollution de prototype dans la
    méthode deepCopy [CVE-2020-5258] et la méthode
    jqMix [CVE-2020-5259]
    dovecot Correction de la régression de la synchronisation
    du filtre Sieve de dsync ; correction de la gestion
    du résultat de getpwent dans userdb-passwd
    facter Changement du point de terminaison de métadonnées
    de Google GCE de « v1beta1 » à « v1 »
    gnome-maps Correction d'un problème de décalage dans le rendu
    des calques de forme
    gnome-shell LoginDialog : remise à zéro de l'affichage du mot
    de passe au moment de du changement de terminal
    virtuel et sa disparition [CVE-2020-17489]
    gnome-weather Plantage évité quand la configuration des
    localisations n'est pas valable
    grunt Utilisation de safeLoad lors du chargement de
    fichiers YAML [CVE-2020-7729]
    gssdp Nouvelle version amont stable
    gupnp Nouvelle version amont stable ; attaque
    « CallStranger » évitée [CVE-2020-12695] ;
    GSSDP 1.0.5 requis
    haproxy logrotate.conf : utilisation de l'assistant rsyslog
    à la place d'un script de démarrage SysV ; rejet
    des messages où « chunked » est absent dans
    Transfer-Encoding [CVE-2019-18277]
    icinga2 Correction d'attaque par lien symbolique
    [CVE-2020-14004]
    incron Correction de nettoyage de processus zombies
    inetutils Correction d'un problème d'exécution de code à
    distance [CVE-2020-10188]
    libcommons-compress-java
    Correction d'un problème de déni de service
    [CVE-2019-12402]
    libdbi-perl Correction de corruption de mémoire dans les
    fonctions XS quand la pile de Perl est réallouée
    [CVE-2020-14392] ; correction d'un dépassement de
    tampon sur un nom de classe DBD trop long
    [CVE-2020-14393] ; correction d'un déréférencement
    de profil NULL dans dbi_profile() [CVE-2019-20919]
    libvncserver libvncclient : abandon si le nom du socket UNIX
    peut déborder [CVE-2019-20839] ; correction d'un
    problème de chevauchement ou d'alignement de
    pointeur [CVE-2020-14399] ; taille maximale de
    textchat limitée [CVE-2020-14405] ; libvncserver :
    ajout de vérifications manquantes de pointeur NULL
    [CVE-2020-14397] ; correction d'un problème de
    chevauchement ou d'alignement de pointeur
    [CVE-2020-14400] ; scale : forçage en 64 bits avant
    le déplacement [CVE-2020-14401] ; accès à hors
    limites évités [CVE-2020-14402 CVE-2020-14403
    CVE-2020-14404]
    libx11 Correction de dépassements d'entier
    [CVE-2020-14344 CVE-2020-14363]
    lighttpd Rétroportage de plusieurs corrections
    d'accessibilité et de sécurité
    linux Nouvelle version amont stable ; passage de l'ABI à
    la version 11
    linux-latest Mise à jour de l'ABI du noyau linux à la
    version -11
    linux-signed-amd64 Nouvelle version amont stable
    linux-signed-arm64 Nouvelle version amont stable
    linux-signed-i386 Nouvelle version amont stable
    llvm-toolchain-7 Nouvelle version amont pour prendre en charge les
    versions à venir de Firefox ESR ; correction de
    bogues affectant la construction de rustc
    lucene-solr Correction d'un problème de sécurité dans la
    gestion de la configuration de DataImportHandler
    [CVE-2019-0193]
    milkytracker Correction d'un dépassement de tas
    [CVE-2019-14464], d'un dépassement de pile
    [CVE-2019-14496], d'un dépassement de tas
    [CVE-2019-14497], d'une utilisation de mémoire
    après libération [CVE-2020-15569]
    node-bl Correction d'une vulnérabilité de lecture excessive
    [CVE-2020-8244]
    node-elliptic Malléabilité et dépassements évités
    [CVE-2020-13822]
    node-mysql Ajout de l'option localInfile pour contrôler LOAD
    DATA LOCAL INFILE [CVE-2019-14939]
    node-url-parse Correction de validation et de nettoyage
    insuffisants des entrées de l'utilisateur
    [CVE-2020-8124]
    npm Pas d'affichage de mot de passe dans les journaux
    [CVE-2020-15095]
    orocos-kdl Retrait de l'inclusion explicite du chemin inclus
    par défaut, corrigeant des problèmes avec cmake
    < 3.16
    postgresql-11 Nouvelle version amont stable ; définition d'un
    chemin de recherche sûr dans les processus
    walsender de réplication logique et les « workers »
    d'application [CVE-2020-14349] ; scripts
    d'installation des modules contrib plus sûrs
    [CVE-2020-14350]
    postgresql-common Pas de retrait de plpgsql avant de tester les
    extensions
    pyzmq Asyncio : attente de POLLOUT sur l'expéditeur
    dans can_connect
    qt4-x11 Correction de dépassement de tampon dans
    l'analyseur XBM [CVE-2020-17507]
    qtbase-opensource-src
    Correction de dépassement de tampon dans
    l'analyseur XBM [CVE-2020-17507] ; correction de la
    fin du presse-papier quand le temporisateur se
    réinitialise après 50 jours
    ros-actionlib Chargement sûr de YAML [CVE-2020-10289]
    rustc Nouvelle version amont pour prendre en charge les
    versions à venir de Firefox ESR
    rust-cbindgen Nouvelle version amont pour prendre en charge les
    versions à venir de Firefox ESR
    ruby-ronn Correction de la gestion du contenu en UTF-8 dans
    les pages de manuel
    s390-tools Dépendance de Perl codée en dur à la place de
    l'utilisation de ${perl:Depends}, corrigeant
    l'installation avec debootstrap



    Mises à jour de sécurité
    ------------------------

    Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

    Identifiant Paquet
    DSA-4662 openjdk-11
    DSA-4734 openjdk-11
    DSA-4736 firefox-esr
    DSA-4737 xrdp
    DSA-4738 ark
    DSA-4739 webkit2gtk
    DSA-4740 thunderbird
    DSA-4741 json-c
    DSA-4742 firejail
    DSA-4743 ruby-kramdown
    DSA-4744 roundcube
    DSA-4745 dovecot
    DSA-4746 net-snmp
    DSA-4747 icingaweb2
    DSA-4748 ghostscript
    DSA-4749 firefox-esr
    DSA-4750 nginx
    DSA-4751 squid
    DSA-4752 bind9
    DSA-4753 mupdf
    DSA-4754 thunderbird
    DSA-4755 openexr
    DSA-4756 lilypond
    DSA-4757 apache2
    DSA-4758 xorg-server
    DSA-4759 ark
    DSA-4760 qemu
    DSA-4761 zeromq3
    DSA-4762 lemonldap-ng
    DSA-4763 teeworlds
    DSA-4764 inspircd
    DSA-4765 modsecurity



    Installateur Debian
    -------------------

    L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.


    URL
    ---

    Liste complète des paquets qui ont été modifiés dans cette version :

    http://ftp.debian.org/debian/dists/buster/ChangeLog


    Adresse de l'actuelle distribution stable :

    http://ftp.debian.org/debian/dists/stable/


    Mises à jour proposées à la distribution stable :

    http://ftp.debian.org/debian/dists/proposed-updates


    Informations sur la distribution stable (notes de publication, errata, etc.) :

    https://www.debian.org/releases/stable/


    Annonces et informations de sécurité :

    https://www.debian.org/security/



    À propos de Debian
    ------------------

    Le projet Debian est une association de développeurs de logiciels
    libres qui offrent volontairement leur temps et leurs efforts pour
    produire le système d'exploitation complètement libre Debian.


    Contacts
    --------

    Pour de plus amples informations, veuillez consulter le site Internet
    de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org>