Publication de la mise à jour de Debian 10.5
1er août 2020
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa
distribution stable Debian 10 (nom de code Buster
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Cette version intermédiaire corrige aussi l'annonce de sécurité de Debian
DSA-4735 grub2 qui traite de plusieurs problèmes de CVE concernant la vulnérabilité
BootHole
de UEFI SecureBoot dans GRUB2.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| appstream-glib | Correction d'échecs de construction en 2020 et après |
| asunder | Utilisation de gnudb à la place de freedb par défaut |
| b43-fwcutter | Succès assuré des suppressions avec des locales non anglaises ; pas d'échec de retrait si certains fichiers n'existent plus ; correction de dépendances manquantes à pciutils et à ca-certificates |
| balsa | Identité du serveur fournie lors de la validation de certificats, permettant une validation réussie lors de l'utilisation du correctif de glib-networking pour le CVE-2020-13645 |
| base-files | Mise à jour pour cette version |
| batik | Correction d'une falsification de requêtes côté serveur au moyen d'attributs xlink:href [CVE-2019-17566] |
| borgbackup | Correction d'un bogue de corruption d'index menant à une perte de données |
| bundler | Mise à jour de la version requise de ruby-molinillo |
| c-icap-modules | Ajout de la prise en charge pour ClamAV 0.102 |
| cacti | Correction d'un problème où les horodatages UNIX après le 13 septembre 2020 étaient rejetés en début ou fin de graphique ; correction d'exécution de code distant [CVE-2020-7237], de script intersite [CVE-2020-7106], d'un problème de CSRF [CVE-2020-13231] ; la désactivation d'un compte utilisateur n'invalide pas immédiatement ses droits [CVE-2020-13230] |
| calamares-settings-debian | Activation du module displaymanager, corrigeant des options d'autologin ; utilisation de xdg-user-dir pour spécifier le répertoire Bureau |
| clamav | Nouvelle version amont ; corrections de sécurité [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] |
| cloud-init | Nouvelle version amont |
| commons-configuration2 | Création d'objet évitée lors du chargement de fichiers YAML [CVE-2020-1953] |
| confget | Correction de la gestion de valeurs contenant =par le module Python |
| dbus | Nouvelle version amont stable ; problème de déni de service évité [CVE-2020-12049] ; utilisation de mémoire après libération évitée si deux noms d'utilisateur partagent un UID |
| debian-edu-config | Correction de perte d'adresse IPv4 dynamiquement allouée |
| debian-installer | Mise à jour pour l'ABI du noyau 4.19.0-10 |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| debian-ports-archive-keyring | Prolongement d'un an de la date d'expiration de la clé de 2020 (84C573CD4E1AFD6C) ; ajout de la clé de signature automatique de l'archive des portages de Debian (2021) ; migration de la clé de 2018 (ID: 06AED62430CB581C) dans le trousseau retiré |
| debian-security-support | Mise à jour de l'état de la prise en charge de plusieurs paquets |
| dpdk | Nouvelle version amont |
| exiv2 | Ajustement d'un correctif excessivement restrictif [CVE-2018-10958 et CVE-2018-10999] ; correction d'un problème de déni de service [CVE-2018-16336] |
| fdroidserver | Correction de la validation de l'adresse de Litecoin |
| file-roller | Correction de sécurité [CVE-2020-11736] |
| freerdp2 | Correction de connexions de smartcard ; corrections de sécurité [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] |
| fwupd | Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation |
| fwupd-amd64-signed | Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation |
| fwupd-arm64-signed | Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation |
| fwupd-armhf-signed | Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation |
| fwupd-i386-signed | Nouvelle version amont ; correction d'un possible problème de vérification de signature [CVE-2020-10759] ; utilisation de clés de signature de Debian renouvelées après rotation |
| fwupdate | Utilisation de clés de signature de Debian renouvelées après rotation |
| fwupdate-amd64-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| fwupdate-arm64-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| fwupdate-armhf-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| fwupdate-i386-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| gist | API d'autorisation obsolète évitée |
| glib-networking | Renvoi d'une erreur de mauvaise identité si l'identité n'est pas configurée [CVE-2020-13645] ; balsa plus ancien que la version 2.5.6-2+deb10u1 cassé parce que le correctif pour le CVE-2020-13645 casse la vérification de certificat de balsa |
| gnutls28 | Correction d'erreurs de reprise de session TL1.2 ; correction de fuite de mémoire ; prise en charge des tickets de session de longueur nulle, correction d'erreurs de connexion de sessions TLS1.2 vers certains gros fournisseurs d'hébergement ; correction d'erreur de vérification avec des chaînes alternatives |
| intel-microcode | Retour à des versions publiées précédemment de certains microcodes contournant des arrêts de l'initialisation sur Skylake-U/Y et Skylake Xeon E3 |
| jackson-databind | Correction de multiples problèmes de sécurité affectant BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 et CVE-2019-17267] |
| jameica | Ajout de mckoisqldb au classpath, permettant l'utilisation du greffon SynTAX |
| jigdo | Correction de la prise en charge de HTTPS dans jigdo-lite et jigdo-mirror |
| ksh | Correction d'un problème de restriction de variable d'environnement [CVE-2019-14868] |
| lemonldap-ng | Correction d'une régression de la configuration de nginx introduite par le correctif pour le CVE-2019-19791 |
| libapache-mod-jk | Fichier de configuration d'Apache renommé pour qu'il puisse être automatiquement activé et désactivé |
| libclamunrar | Nouvelle version amont stable ; ajout d'un méta-paquet non versionné |
| libembperl-perl | Gestion des pages d'erreur d'Apache >= 2.4.40 |
| libexif | Corrections de sécurité [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114] ; correction de dépassement de tampon [CVE-2020-0182] et de dépassement d'entier [CVE-2020-0198] |
| libinput | Quirks : ajout de l'attribut d'intégration du trackpoint |
| libntlm | Correction de dépassement de tampon [CVE-2019-17455] |
| libpam-radius-auth | Correction de dépassement de tampon dans le champ du mot de passe [CVE-2015-9542] |
| libunwind | Correction d'erreurs de segmentation sur mips ; activation manuelle de la prise en charge d'exception C++ seulement sur i386 et amd64 |
| libyang | Correction de plantage de corruption de cache, CVE-2019-19333, CVE-2019-19334 |
| linux | Nouvelle version amont stable |
| linux-latest | Mise à jour pour l'ABI du noyau 4.19.0-10 |
| linux-signed-amd64 | Nouvelle version amont stable |
| linux-signed-arm64 | Nouvelle version amont stable |
| linux-signed-i386 | Nouvelle version amont stable |
| lirc | Correction de la gestion de conffile |
| mailutils | maidag : abandon des privilèges setuid pour toutes les opérations de distribution sauf mda [CVE-2019-18862] |
| mariadb-10.3 | Nouvelle version amont stable ; corrections de sécurité [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249] ; correction d'une régression dans la détection de RocksDB ZSTD |
| mod-gnutls | Correction d'une possible erreur de segmentation lors de l'échec d'une initialisation de connexion TLS ; correction des échecs de tests |
| multipath-tools | kpartx : utilisation du chemin correct vers partx dans la règle d'udev |
| mutt | Pas de vérification du chiffrement de IMAP PREAUTH si $tunnel est utilisé |
| mydumper | Lien vers libm |
| nfs-utils | statd : identité de l'utilisateur prise à partir de /var/lib/nfs/sm [CVE-2019-3689] ; /var/lib/nfs n'est plus rendue propriété de statd |
| nginx | Correction d'une vulnérabilité de dissimulation de requête de la page d'erreur [CVE-2019-20372] |
| nmap | Mise à jour de la taille de clé par défaut à 2048 bits |
| node-dot-prop | Correction d'une régression introduite dans le CVE-2020-8116 fix |
| node-handlebars | Interdiction d'un appel direct de helperMissinget blockHelperMissing[CVE-2019-19919] |
| node-minimist | Correction de pollution de prototype [CVE-2020-7598] |
| nvidia-graphics-drivers | Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967] |
| nvidia-graphics-drivers-legacy-390xx | Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967] |
| openstack-debian-images | Installation de resolvconf lors de l'installation de cloud-init |
| pagekite | Problèmes avec l'expiration des certificats SSL fournis évités en utilisant ceux du paquet ca-certificates |
| pdfchain | Correction d'un plantage au démarrage |
| perl | Correction de multiples problèmes de sécurité liés aux expressions rationnelles [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Correction d'une vulnérabilité de script intersite [CVE-2020-8035] |
| php-horde-gollem | Correction d'une vulnérabilité de script intersite dans la sortie de breadcrumb [CVE-2020-8034] |
| pillow | Correction de multiples problèmes de lectures hors limites [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] |
| policyd-rate-limit | Correction de problèmes de comptage dus à une réutilisation de socket |
| postfix | Nouvelle version amont stable ; correction d'une erreur de segmentation dans le rôle du client tlsproxy quand le rôle du serveur a été désactivé ; correction de la valeur par défaut de maillog_file_rotate_suffix utilisait la minute à la place du mois; correction de plusieurs problèmes liés à TLS ; corrections du README.Debian |
| python-markdown2 | Correction d'un problème de script inter-site [CVE-2020-11888] |
| python3.7 | Boucle infinie évitée lors de la lecture de fichiers TAR contrefaits pour l'occasion en utilisant le module tarfile [CVE-2019-20907] ; collisions de hachage résolues pour IPv4Interface et IPv6Interface [CVE-2020-14422] ; correction d'un problème de déni de service dans urllib.request.AbstractBasicAuthHandler [CVE-2020-8492] |
| qdirstat | Correction de la sauvegarde des catégories MIME configurées par l'utilisateur |
| raspi3-firmware | Correction d'une coquille qui pourrait mener à des systèmes non amorçables |
| resource-agents | IPsrcaddr : protorendu optionnel pour corriger une régression lors de son utilisation sans NetworkManager |
| ruby-json | Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663] |
| shim | Utilisation de clés de signature de Debian renouvelées après rotation |
| shim-helpers-amd64-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| shim-helpers-arm64-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| shim-helpers-i386-signed | Utilisation de clés de signature de Debian renouvelées après rotation |
| speedtest-cli | En-têtes corrects transmis pour corriger le test de rapidité de téléchargement ascendant |
| ssvnc | Correction d'écriture hors limites [CVE-2018-20020], de boucle infinie [CVE-2018-20021], d'initialisation incorrecte [CVE-2018-20022], d'un potentiel déni de service [CVE-2018-20024] |
| storebackup | Correction d'une possible vulnérabilité d'élévation de privilèges [CVE-2020-7040] |
| suricata | Correction d'abandon de privilèges dans nflog runmode |
| tigervnc | Pas d'utilisation de libunwind sur armel, armhf ou arm64 |
| transmission | Correction d'un possible problème de déni de service [CVE-2018-10756] |
| wav2cdr | Utilisation de types d'entier à taille fixe de C99 pour corriger une assertion au moment de l'exécution sur les architectures 64 bits autres que amd64 et alpha |
| zipios++ | Correction de sécurité [CVE-2019-13453] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| golang-github-unknwon-cae | Problèmes de sécurité ; non maintenu |
| janus | Pas de prise en charge dans stable |
| mathematica-fonts | S'appuie sur des emplacements de téléchargement indisponibles |
| matrix-synapse | Problèmes de sécurité ; non pris en charge |
| selenium-firefoxdriver | Incompatible avec les dernières versions de Firefox ESR |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.