Publication de la mise à jour de Debian 10.4

9 mai 2020

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
apt-cacher-ng	Appel sécurisé imposé au serveur pour le déclenchement de tâches de maintenance [CVE-2020-5202] ; compression .zst permise pour les archives ; augmentation de la taille du tampon de ligne de décompression pour la lecture de fichier de configuration
backuppc	Passage du nom d'utilisateur à start-stop-daemon lors du rechargement empêchant les échecs de rechargement
base-files	Mise à jour pour cette version
brltty	Réduction de la sévérité des messages de connexion pour éviter de générer trop de messages lors de l'utilisation des nouvelles versions d'Orca
checkstyle	Correction d'un problème d'injection d'entité externe XML [CVE-2019-9658 CVE-2019-10782]
choose-mirror	Mise à jour de la liste de miroirs incluse
clamav	Nouvelle version amont [CVE-2020-3123]
corosync	totemsrp : réduction du MTU pour éviter la création de paquets surdimensionnés
corosync-qdevice	Correction de démarrage du service
csync2	Échec de la commande HELLO quand SSL est requis
cups	Correction de dépassement de tas [CVE-2020-3898] et de la fonction « ippReadIO » peut effectuer une lecture hors limite d'un champ d'extension [CVE-2019-8842]
dav4tbsync	Nouvelle version amont restaurant la compatibilité avec les dernières versions de Thunderbird
debian-edu-config	Ajout de fichiers de politique pour Firefox ESR et Thunderbird pour corriger la configuration de TLS/SSL
debian-installer	Mise à jour pour l'ABI du noyau 4.19.0-9
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-security-support	Nouvelle version amont stable ; mise à jour de l'état de plusieurs paquets ; utilisation de runuser à la place de su
distro-info-data	Ajout d'Ubuntu 20.10 et de la date probable de fin de prise en charge de Stretch
dojo	Correction de mauvaise utilisation d'expressions rationnelles [CVE-2019-10785]
dpdk	Nouvelle version amont stable
dtv-scan-tables	Nouvel instantané amont ; ajout de tous les multiplexes de DVB-T2 allemand et du satellite Eutelsat-5-West-A
eas4tbsync	Nouvelle version amont restaurant la compatibilité avec les dernières versions de Thunderbird
edk2	Correctifs de sécurité [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587]
el-api	Correction des mises à niveau de Stretch à Buster qui incluent Tomcat 8
fex	Correction d'un possible problème de sécurité dans fexsrv
filezilla	Correction d'une vulnérabilité de chemin de recherche non fiable [CVE-2019-5429]
frr	Correction de la capacité next hop étendue
fuse	Retrait des commandes udevadm obsolètes des scripts post-installation ; pas de retrait explicite de fuse.conf lors d'une purge
fuse3	Retrait des commandes udevadm obsolètes des scripts post-installation ; pas de retrait explicite de fuse.conf lors d'une purge ; correction de fuite de mémoire dans fuse_session_new()
golang-github-prometheus-common	Extension de validité des certificats de test
gosa	Remplacement de (un)serialize par json_encode/json_decode pour réduire l'injection d'objet PHP [CVE-2019-14466]
hbci4java	Prise en charge de la directive européenne sur les services de paiement (PSD2)
hibiscus	Prise en charge de la directive européenne sur les services de paiement (PSD2)
iputils	Correction d'un problème dans lequel ping terminerait incorrectement avec un code d'erreur quand il y a encore des adresses non essayées disponibles dans la valeur de retour de l'appel de la bibliothèque getaddrinfo()
ircd-hybrid	Utilisation de dhparam.pem pour éviter un plantage au démarrage
jekyll	Utilisation de ruby-i18n 0.x et 1.x permise
jsp-api	Correction des mises à niveau de Stretch à Buster qui impliquent Tomcat 8
lemonldap-ng	Accès non désiré évité aux points de terminaison d'administration [CVE-2019-19791] ; correction du greffon GrantSession qui pourrait ne pas interdire la connexion lors de l'utilisation de l'authentification à deux facteurs ; correction de redirections arbitraires avec OIDC si redirect_uri n'est pas utilisé
libdatetime-timezone-perl	Mise à jour des données incluses
libreoffice	Correction de transition de diapositives d'OpenGL
libssh	Correction d'un potentiel problème de déni de service lors de la gestion de clés AES-CTR avec OpenSSL [CVE-2020-1730]
libvncserver	Correction de dépassement de tas [CVE-2019-15690]
linux	Nouvelle version amont stable
linux-latest	Mise à jour de l'ABI du noyau Linux 4.19.0-9
linux-signed-amd64	Nouvelle version amont stable
linux-signed-arm64	Nouvelle version amont stable
linux-signed-i386	Nouvelle version amont stable
lwip	Correction de dépassement de tampon [CVE-2020-8597]
lxc-templates	Nouvelle version amont stable ; gestion des langues encodées uniquement en UTF-8
manila	Correction d'absence de droits d'accès [CVE-2020-9543]
megatools	Ajout de la prise en charge du nouveau format de liens de mega.nz
mew	Correction de vérification de validité de certificat SSL de serveur
mew-beta	Correction de vérification de validité de certificat SSL de serveur
mkvtoolnix	Reconstruction pour renforcer la dépendance de libmatroska6v5
ncbi-blast+	Désactivation de la prise en charge de SSE4.2
node-anymatch	Retrait de dépendances non nécessaires
node-dot	Exécution de code évitée après pollution de prototype [CVE-2020-8141]
node-dot-prop	Correction de pollution de prototype [CVE-2020-8116]
node-knockout	Correction de protection avec les anciennes versions d'Internet Explorer [CVE-2019-14862]
node-mongodb	Rejet de _bsontypes non valables [CVE-2019-2391 CVE-2020-7610]
node-yargs-parser	Correction de pollution de prototype [CVE-2020-7608]
npm	Correction d'accès à un chemin arbitraire [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777]
nvidia-graphics-drivers	Nouvelle version amont stable
nvidia-graphics-drivers-legacy-390xx	Nouvelle version amont stable
nvidia-settings-legacy-340xx	Nouvelle version amont
oar	Retour au comportement de Stretch pour la fonction Perl Storable::dclone corrigeant des problèmes de profondeur de récursion
opam	Mcss préféré à aspcud
openvswitch	Correction d'interruption de vswitchd quand un port est ajouté et que le contrôleur ne fonctionne pas
orocos-kdl	Correction de conversion de chaîne avec Python 3
owfs	Retrait de paquets Python 3 cassés
pango1.0	Correction de plantage dans pango_fc_font_key_get_variations() quand la clé est nulle
pgcli	Ajout de dépendance manquante à python3-pkg-resources
php-horde-data	Correction d'une vulnérabilité d'exécution authentifiée de code distant [CVE-2020-8518]
php-horde-form	Correction d'une vulnérabilité d'exécution authentifiée de code distant [CVE-2020-8866]
php-horde-trean	Correction d'une vulnérabilité d'exécution authentifiée de code distant [CVE-2020-8865]
postfix	Nouvelle version amont stable ; correction de panique avec la configuration de Postfix avec plusieurs Milter pendant MAIL FROM ; correction de modification d'exécution de d/init.d de sorte qu'il fonctionne à nouveau avec plusieurs instances
proftpd-dfsg	Correction d'un problème d'accès mémoire dans le code de clavier interactif dans mod_sftp ; gestion correcte des messages DEBUG, IGNORE, DISCONNECT et UNIMPLEMENTED dans le mode clavier interractif
puma	Correction d'un problème de déni de service [CVE-2019-16770]
purple-discord	Correction de plantages dans ssl_nss_read
python-oslo.utils	Correction de fuite d'informations sensibles au moyen de journaux de mistral [CVE-2019-3866]
rails	Correction d'une potentielle vulnérabilité de script intersite au moyen de l'assistant d'échappement de Javascript [CVE-2020-5267]
rake	Correction d'un vulnérabilité d'injection de commande [CVE-2020-8130]
raspi3-firmware	Correction d'erreur de noms dtb dans z50-raspi-firmware ; correction de démarrage sur les Raspberry Pi familles 1 et 0
resource-agents	Correction de ethmonitor ne liste pas les interfaces sans adresses IP assignées ; retrait du correctif de xen-toolstack qui n'est plus requis ; correction d'une utilisation non standard dans l'agent ZFS
rootskel	Désactivation de la prise en charge de plusieurs consoles lors de l'utilisation de la préconfiguration
ruby-i18n	Correction de génération de gemspec
rubygems-integration	Avertissements d'obsolescence évités quand les utilisateurs installent une nouvelle version de Rubygems au moyen de gem update --system
schleuder	Amélioration du correctif pour gérer les erreurs d'encodage introduites dans la version précédente ; passage de l'encodage par défaut à UTF-8 ; gestion par x-add-key de courriels des clés attachées encodées au format Quoted-Printable ; correction de x-attach-listkey avec des courriels créés par Thunderbird qui comprennent des en-têtes protégés
scilab	Correction du chargement de la bibliothèque avec OpenJDK 11.0.7
serverspec-runner	Prise en charge de Ruby 2.5
softflowd	Correction d’agrégation de flux cassée qui pourrait provoquer un débordement de table de flux et une utilisation de processeur à 100 %
speech-dispatcher	Correction de la latence par défaut de pulseaudio qui déclenche une sortie scratchy
spl-linux	Correction de blocage
sssd	Correction d'attente active de sssd_be quand la connexion de LDAP est intermittente
systemd	Nouvelle résolution de callback/userdata à la place d'une mise en cache lors d'une autorisation au moyen de PolicyKit [CVE-2020-1712] ; installation de 60-block.rules dans udev-udeb et initramfs-tools
taglib	Correction de problèmes de corruption avec les fichiers OGG
tbsync	Nouvelle version amont restaurant la compatibilité avec les dernières versions de Thunderbird
timeshift	Correction d'utilisation de répertoire temporaire prévisible [CVE-2020-10174]
tinyproxy	Configuration de PIDDIR seulement si PIDFILE est une chaîne de longueur différente de zéro
tzdata	Nouvelle version amont stable
uim	Désinscription des modules qui ne sont pas installés, correction d'une régression dans l'envoi précédent
user-mode-linux	Correction d'échec de construction avec les noyaux stables actuels
vite	Correction de plantage quand il y a plus de 32 éléments
waagent	Nouvelle version amont ; prise en charge de la co-installation avec cloud-init
websocket-api	Correction des mises à niveau de Stretch à Buster qui incluent Tomcat 8
wpa	Pas d'essai de détection d'erreur PSK durant la recomposition de PTK ; vérification de la prise en charge de FT lors de la sélection des suites FT ; correction d'un problème de randomisation de MAC avec certaines cartes
xdg-utils	xdg-open : correction de vérification de pcmanfm et de gestion de répertoires avec des espaces dans leur nom ; xdg-screensaver : nettoyage du nom de fenêtre avant de l'envoyer sur D-Bus ; xdg-mime : création du répertoire config s'il n'existe pas encore
xtrlock	Correction du blocage de (certains) périphériques multipoints lors du verrouillage [CVE-2016-10894]
zfs-linux	Correction de possibles problèmes de blocage

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4616	qemu
DSA-4617	qtbase-opensource-src
DSA-4618	libexif
DSA-4619	libxmlrpc3-java
DSA-4620	firefox-esr
DSA-4623	postgresql-11
DSA-4624	evince
DSA-4625	thunderbird
DSA-4627	webkit2gtk
DSA-4629	python-django
DSA-4630	python-pysaml2
DSA-4631	pillow
DSA-4632	ppp
DSA-4633	curl
DSA-4634	opensmtpd
DSA-4635	proftpd-dfsg
DSA-4636	python-bleach
DSA-4637	network-manager-ssh
DSA-4638	chromium
DSA-4639	firefox-esr
DSA-4640	graphicsmagick
DSA-4641	webkit2gtk
DSA-4642	thunderbird
DSA-4643	python-bleach
DSA-4644	tor
DSA-4645	chromium
DSA-4646	icu
DSA-4647	bluez
DSA-4648	libpam-krb5
DSA-4649	haproxy
DSA-4650	qbittorrent
DSA-4651	mediawiki
DSA-4652	gnutls28
DSA-4653	firefox-esr
DSA-4654	chromium
DSA-4655	firefox-esr
DSA-4656	thunderbird
DSA-4657	git
DSA-4658	webkit2gtk
DSA-4659	git
DSA-4660	awl
DSA-4661	openssl
DSA-4663	python-reportlab
DSA-4664	mailman
DSA-4665	qemu
DSA-4666	openldap
DSA-4667	linux-signed-amd64
DSA-4667	linux-signed-arm64
DSA-4667	linux-signed-i386
DSA-4667	linux
DSA-4669	nodejs
DSA-4671	vlc
DSA-4672	trafficserver

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
getlive	Cassé par des modifications de Hotmail
gplaycli	Cassé par des modifications de l'API de Google
kerneloops	Service amont plus disponible
lambda-align2	[arm64 armel armhf i386 mips64el ppc64el s390x] Cassé sur les architectures non amd64
libmicrodns	Problèmes de sécurité
libperlspeak-perl	Problèmes de sécurité ; non maintenu
quotecolors	Incompatible avec les dernières versions de Thunderbird
torbirdy	Incompatible avec les dernières versions de Thunderbird
ugene	Non libre ; échec de construction
yahoo2mbox	Cassé depuis plusieurs années

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.