------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 10.13
press@debian.org 10 septembre 2022
https://www.debian.org/News/2022/20220910 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la treizième (et dernière)
mise à jour de sa distribution oldstable Debian 10 (nom de code « Buster »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et
sont simplement référencées dans ce document.
Après cette version intermédiaire, les équipes de sécurité et de publication de Debian ne produiront plus de mises à jour pour Debian 10.
Les utilisateurs qui souhaitent continuer à bénéficier du suivi de sécurité devraient mettre à niveau vers Debian 11, ou consulter
https://wiki.debian.org/LTS pour avoir des détails sur le sous-ensemble d'architectures et de paquets couverts par le projet « Long Term
Support ».
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 10 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Buster. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
adminer Correction d'un problème de redirection ouverte, de
problèmes de script intersite [CVE-2020-35572
CVE-2021-29625] ; elasticsearch : pas d'affichage
de réponse si le code HTTP n'est pas 200
[CVE-2021-21311] ; version compilée et fichiers de
configuration fournis
apache2 Correction de problèmes de déni de service
[CVE-2022-22719], de dissimulation de requête HTTP
[CVE-2022-22720], de dépassement d'entier
[CVE-2022-22721], d'écriture hors limites
[CVE-2022-23943], de dissimulation de requête HTTP
[CVE-2022-26377], de lecture hors limites
[CVE-2022-28614 CVE-2022-28615], de déni de service
[CVE-2022-29404], de lecture hors limites
[CVE-2022-30556] et d'un possible problème de
contournement d'authentification basée sur l'IP
[CVE-2022-31813]
base-files Mise à jour pour la version 10.13
clamav Nouvelle version amont stable ; corrections de
sécurité [CVE-2022-20770 CVE-2022-20771
CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
commons-daemon Correction de détection de JVM
composer Correction d'une vulnérabilité d'injection de code
[CVE-2022-24828] ; mise à jour du modèle de jeton
de GitHub ; utilisation de l'en-tête Authorization
à la place du paramètre de requête obsolète
access_token
debian-installer Reconstruction avec buster-proposed-updates ;
passage de l'ABI de Linux à la version 4.19.0-21
debian-installer-netboot-images
Reconstruction avec buster-proposed-updates ;
passage de l'ABI de Linux à la version 4.19.0-21
debian-security-support
Mise à jour de l'état de sécurité de divers paquets
debootstrap Assurance que les chroots non merged-usr peuvent
continuer à être créés pour les chroots de versions
plus anciennes et de buildd
distro-info-data Ajout d'Ubuntu 22.04 LTS, Jammy Jellyfish et
Ubuntu 22.10, Kinetic Kudu
dropbear Correction d'un problème potentiel d'énumération de
noms d'utilisateur [CVE-2019-12953]
eboard Correction d'une erreur de segmentation lors de la
sélection du moteur
esorex Correction d'échecs de suite de tests sur armhf et
ppc64el provoqués par une utilisation incorrecte de
libffi
evemu Correction d'échec de construction avec les
versions récentes du noyau
feature-check Correction de certaines comparaisons de version
flac Correction d'un problème d'écriture hors limites
[CVE-2021-0561]
foxtrotgps Correction d'échec de construction avec les
versions récentes d'imagemagick
freeradius Correction d'une fuite par canal auxiliaire quand
une négociation de connexion sur 2048 échoue
[CVE-2019-13456], d'un problème de déni de service
dû à un accès multithreadé à BN_CTX
[CVE-2019-17185], d'un plantage dû à une allocation
de mémoire non sécurisée vis-à-vis des fils
d'exécution
freetype Correction d'un problème de dépassement de tampon
[CVE-2022-27404] ; correction de plantages
[CVE-2022-27405 CVE-2022-27406]
fribidi Correction de problèmes de dépassement de tampon
[CVE-2022-25308 CVE-2022-25309] ; correction de
plantage [CVE-2022-25310]
ftgl Plus d'essai de conversion de PNG vers EPS pour
latex, parce la version Debian d'imagemagick a
désactivé EPS pour des raisons de sécurité
gif2apng Correction de dépassements de tampon de tas
[CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
gnucash Correction d'échec de construction avecla version
récente de tzdata
gnutls28 Correction de la suite de tests en combinaison avec
OpenSSL 1.1.1e ou plus récent
golang-github-docker-go-connections
Tests qui utilisent des certificats expirés évités
golang-github-pkg-term
Correction de construction avec les nouveaux
noyaux 4.19
golang-github-russellhaering-goxmldsig
Correction d'un problème de déréférencement de
pointeur NULL [CVE-2020-7711]
grub-efi-amd64-signed
Nouvelle version amont
grub-efi-arm64-signed
Nouvelle version amont
grub-efi-ia32-signed
Nouvelle version amont
grub2 Nouvelle version amont
htmldoc Correction d'une boucle infinie [CVE-2022-24191],
de problèmes de dépassement d'entier
[CVE-2022-27114] et d'un problème de dépassement de
tampon de tas [CVE-2022-28085]
iptables-netflow Correction d'une régression due à un échec de
construction DKMS provoquée par des modifications
amont de Linux dans le noyau 4.19.191
isync Correction de problèmes de dépassement de tampon
[CVE-2021-3657]
kannel Correction d'échec de construction en désactivant
la génération de la documentation Postscript
krb5 Utilisation de SHA256 comme empreinte CMS de Pkinit
libapache2-mod-auth-openidc
Amélioration de la validation du paramètre d'URL
post-déconnexion à la déconnexion [CVE-2019-14857]
libdatetime-timezone-perl
Mise à jour des données incluses
libhttp-cookiejar-perl
Correction d'échec de construction en prolongeant
la date d'expiration d'un cookie de test
libnet-freedb-perl Changement de l'hôte par défaut de
freedb.freedb.org abandonné pour gnudb.gnudb.org
libnet-ssleay-perl Correction d'échec de tests avec OpenSSL 1.1.1n
librose-db-object-perl
Correction d'échec de test après le 6 juin 2020
libvirt-php Correction d'erreur de segmentation dans
libvirt_node_get_cpu_stats
llvm-toolchain-13 Nouveau paquet source pour prendre en charge la
construction des nouvelles versions de firefox-esr
et de thunderbird
minidlna Validation des requêtes HTTP pour protéger contre
les attaques par rattachement DNS [CVE-2022-26505]
mokutil Nouvelle version amont pour permettre la gestion de
SBAT
mutt Correction d'un dépassement de tampon uudecode
[CVE-2022-1328]
node-ejs Nettoyage des options et des nouveaux objets
[CVE-2022-29078]
node-end-of-stream Contournement d'un bogue de test
node-minimist Correction d'un problème de pollution de prototype
[CVE-2021-44906]
node-node-forge Correction de problèmes de vérification de
signature [CVE-2022-24771 CVE-2022-24772
CVE-2022-24773]
node-require-from-string
Correction d'un test survenant avec nodejs >= 10.16
nvidia-graphics-drivers
Nouvelle version amont
nvidia-graphics-drivers-legacy-390xx
Nouvelle version amont ; correction de problèmes
d'écriture hors limites [CVE-2022-28181
CVE-2022-28185] ; corrections de sécurité
[CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
octavia Correction de vérifications de certificat de client
[CVE-2019-17134] ; détection correcte de
l'exécution de l'agent sur Debian ; correction du
modèle qui génère le script de vérification du
protocole vrrp ; ajout de dépendances d'exécution
supplémentaires ; fourniture d'une configuration
supplémentaire directement dans le paquet agent
orca Correction de l'utilisation avec WebKitGTK 2.36
pacemaker Mise à jour des versions de relation pour corriger
les mises à niveau à partir de Stretch LTS
pglogical Correction d'échec de construction
php-guzzlehttp-psr7 Correction d'une analyse incorrecte d'en- tête
[CVE-2022-24775]
postfix Nouvelle version amont stable ; pas d'écrasement du
default_transport défini par l'utilisateur ;
if-up.d : pas d'émission d'erreur si postfix ne
peut pas encore envoyer de message ; correction
d'entrées dupliquées de bounce_notice_recipient
dans la sortie de postconf
postgresql-common pg_virtualenv : écriture du fichier de mot passe
temporaire avant de changer le propriétaire du
fichier
postsrsd Correction d'un problème de possible déni de
service quand Postfix envoie certains champs de
données longs tels que plusieurs adresses de
courriel concaténées [CVE-2021-35525]
procmail Correction d'un déréférencement de pointeur NULL
publicsuffix Mise à jour des données incluses
python-keystoneauth1
Mise à jour des tests pour corriger un échec de
construction
python-scrapy Plus d'envoi de données d'authentification avec
toutes les requêtes [CVE-2021-41125] ; pas
d'exposition de cookies inter-domaines lors des
redirections [CVE-2022-0577]
python-udatetime Liaison correcte avec la bibliothèque libm
qtbase-opensource-src
Correction de setTabOrder pour les « widgets »
composés ; ajout d'une limite d'expansion pour
les entités XML [CVE-2015-9541]
ruby-activeldap Ajout de dépendance manquante à ruby-builder
ruby-hiredis Certains tests non fiables évités afin de corriger
un échec de construction
ruby-http-parser.rb Correction d'échec de construction lors de
l'utilisation de http-parser contenant la
correction pour le CVE-2019-15605
ruby-riddle Utilisation de « LOAD DATA LOCAL INFILE » permise
sctk Utilisation de « pdftoppm » à la place de
« convert » pour convertir de PDF à JPEG parce que
ce dernier échoue avec le changement de politique
de sécurité d'ImageMagick
twisted Correction d'un problème de validation incorrecte
des méthodes URI et HTTP [CVE-2019-12387], de
validation incorrecte de certificats dansla prise
en charge de XMPP [CVE-2019-12855], de problèmes de
déni de service de HTTP/2, de problèmes de
dissimulation de requête HTTP [CVE-2020-10108
CVE-2020-10109 CVE-2022-24801], d'un problème de
divulgation d'informations quand des redirections
inter-domaines sont suivies [CVE-2022-21712], d'un
problème de déni de service durant une négociation
de connexion SSH [CVE-2022-21716]
tzdata Mise à jour des données de fuseau horaire pour
l'Iran, le Chili et la Palestine ; mise à jour de
la liste de secondes intercalaires
ublock-origin Nouvelle version amont stable
unrar-nonfree Correction d'un problème de traversée de
répertoires [CVE-2022-30333]
wireshark Correction d'un problème d'exécution de code à
distance [CVE-2021-22191] et de problèmes de déni
de service [CVE-2021-4181 CVE-2021-4184
CVE-2021-4185 CVE-2022-0581 CVE-2022-0582
CVE-2022-0583 CVE-2022-0585 CVE-2022-0586]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4836 openvswitch
DSA-4852 openvswitch
DSA-4906 chromium
DSA-4911 chromium
DSA-4917 chromium
DSA-4981 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5077 librecad
DSA-5080 snapd
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5108 tiff
DSA-5109 faad2
DSA-5111 zlib
DSA-5113 firefox-esr
DSA-5115 webkit2gtk
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5126 ffmpeg
DSA-5129 firefox-esr
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5135 postgresql-11
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5144 condor
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5164 exo
DSA-5165 vlc
DSA-5167 firejail
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5173 linux-latest
DSA-5173 linux-signed-amd64
DSA-5173 linux-signed-arm64
DSA-5173 linux-signed-i386
DSA-5173 linux
DSA-5174 gnupg2
DSA-5175 thunderbird
DSA-5176 blender
DSA-5178 intel-microcode
DSA-5181 request-tracker4
DSA-5182 webkit2gtk
DSA-5185 mat2
DSA-5186 djangorestframework
DSA-5188 openjdk-11
DSA-5189 gsasl
DSA-5190 spip
DSA-5193 firefox-esr
DSA-5194 booth
DSA-5195 thunderbird
DSA-5196 libpgjava
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
elog non maintenu ; problèmes de sécurité
libnet-amazon-perl dépend d'une API supprimée
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/buster/ChangeLog
Adresse de l'actuelle distribution oldstable :
https://deb.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
https://deb.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courr