Publication de la mise à jour de Debian 10.6
26 septembre 2020
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 10 (nom de code Buster
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Veuillez noter que, du fait de problèmes de construction, les mises
à jour des paquets cargo, rustc et rustc-bindgen ne sont actuellement pas
disponibles pour l'architecture armel
. Elles seront ajoutées
ultérieurement si les problèmes sont résolus.
Paquet | Raison |
---|---|
arch-test | Correction de la détection de s390x qui échoue parfois |
asterisk | Correction de plantage lors d'une négociation pour T.38 avec un flux refusé [CVE-2019-15297], de une requête SIP peut modifier l'adresse d'un pair SIP[CVE-2019-18790], de l'utilisateur AMI pourrait exécuter des commandes système[CVE-2019-18610], d'une erreur de segmentation dans la commande pjsip show historyavec les pairs IPv6 |
bacula | Correction de des chaînes d’empreinte surdimensionnées permettent à un client malveillant de provoquer un dépassement de tas dans la mémoire du directeur[CVE-2020-11061] |
base-files | Mise à jour de /etc/debian_version pour cette version |
calamares-settings-debian | Désactivation du module displaymanager |
cargo | Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR |
chocolate-doom | Correction d'absence de validation [CVE-2020-14983] |
chrony | Compétition de lien symbolique évitée lors de l'écriture dans le fichier PID [CVE-2020-14367] ; correction de la lecture de température |
debian-installer | Mise à jour de l'ABI Linux vers la version 4.19.0-11 |
debian-installer-netboot-images | Reconstruction avec proposed-updates |
diaspora-installer | Utilisation de l'option --frozen pour grouper l'installation afin d'utiliser le Gemfile.lock de l'amont ; plus d'exclusion de Gemfile.lock lors des mises à niveau ; plus d'écrasement de config/oidc_key.pem lors des mises à niveau ; config/schedule.yml accessible en écriture |
dojo | Correction d'une pollution de prototype dans la méthode deepCopy [CVE-2020-5258] et la méthode jqMix [CVE-2020-5259] |
dovecot | Correction de la régression de la synchronisation du filtre Sieve de dsync ; correction de la gestion du résultat de getpwent dans userdb-passwd |
facter | Changement du point de terminaison de métadonnées de Google GCE de v1beta1à v1 |
gnome-maps | Correction d'un problème de décalage dans le rendu des calques de forme |
gnome-shell | LoginDialog : remise à zéro de l'affichage du mot de passe au moment de du changement de terminal virtuel et sa disparition [CVE-2020-17489] |
gnome-weather | Plantage évité quand la configuration des localisations n'est pas valable |
grunt | Utilisation de safeLoad lors du chargement de fichiers YAML [CVE-2020-7729] |
gssdp | Nouvelle version amont stable |
gupnp | Nouvelle version amont stable ; attaque CallStrangerévitée [CVE-2020-12695] ; GSSDP 1.0.5 requis |
haproxy | logrotate.conf : utilisation de l'assistant rsyslog à la place d'un script de démarrage SysV ; rejet des messages où chunkedest absent dans Transfer-Encoding [CVE-2019-18277] |
icinga2 | Correction d'attaque par lien symbolique [CVE-2020-14004] |
incron | Correction de nettoyage de processus zombies |
inetutils | Correction d'un problème d'exécution de code à distance [CVE-2020-10188] |
libcommons-compress-java | Correction d'un problème de déni de service [CVE-2019-12402] |
libdbi-perl | Correction de corruption de mémoire dans les fonctions XS quand la pile de Perl est réallouée [CVE-2020-14392] ; correction d'un dépassement de tampon sur un nom de classe DBD trop long [CVE-2020-14393] ; correction d'un déréférencement de profil NULL dans dbi_profile() [CVE-2019-20919] |
libvncserver | libvncclient : abandon si le nom du socket UNIX peut déborder [CVE-2019-20839] ; correction d'un problème de chevauchement ou d'alignement de pointeur [CVE-2020-14399] ; taille maximale de textchat limitée [CVE-2020-14405] ; libvncserver : ajout de vérifications manquantes de pointeur NULL [CVE-2020-14397] ; correction d'un problème de chevauchement ou d'alignement de pointeur [CVE-2020-14400] ; scale : forçage en 64 bits avant le déplacement [CVE-2020-14401] ; accès à hors limites évités [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
libx11 | Correction de dépassements d'entier [CVE-2020-14344 CVE-2020-14363] |
lighttpd | Rétroportage de plusieurs corrections d'accessibilité et de sécurité |
linux | Nouvelle version amont stable ; passage de l'ABI à la version 11 |
linux-latest | Mise à jour de l'ABI du noyau linux à la version -11 |
linux-signed-amd64 | Nouvelle version amont stable |
linux-signed-arm64 | Nouvelle version amont stable |
linux-signed-i386 | Nouvelle version amont stable |
llvm-toolchain-7 | Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR ; correction de bogues affectant la construction de rustc |
lucene-solr | Correction d'un problème de sécurité dans la gestion de la configuration de DataImportHandler [CVE-2019-0193] |
milkytracker | Correction d'un dépassement de tas [CVE-2019-14464], d'un dépassement de pile [CVE-2019-14496], d'un dépassement de tas [CVE-2019-14497], d'une utilisation de mémoire après libération [CVE-2020-15569] |
node-bl | Correction d'une vulnérabilité de lecture excessive [CVE-2020-8244] |
node-elliptic | Malléabilité et dépassements évités [CVE-2020-13822] |
node-mysql | Ajout de l'option localInfile pour contrôler LOAD DATA LOCAL INFILE [CVE-2019-14939] |
node-url-parse | Correction de validation et de nettoyage insuffisants des entrées de l'utilisateur [CVE-2020-8124] |
npm | Pas d'affichage de mot de passe dans les journaux [CVE-2020-15095] |
orocos-kdl | Retrait de l'inclusion explicite du chemin inclus par défaut, corrigeant des problèmes avec cmake < 3.16 |
postgresql-11 | Nouvelle version amont stable ; définition d'un chemin de recherche sûr dans les processus walsender de réplication logique et les workersd'application [CVE-2020-14349] ; scripts d'installation des modules contrib plus sûrs [CVE-2020-14350] |
postgresql-common | Pas de retrait de plpgsql avant de tester les extensions |
pyzmq | Asyncio : attente de POLLOUT sur l'expéditeur dans can_connect |
qt4-x11 | Correction de dépassement de tampon dans l'analyseur XBM [CVE-2020-17507] |
qtbase-opensource-src | Correction de dépassement de tampon dans l'analyseur XBM [CVE-2020-17507] ; correction de la fin du presse-papier quand le temporisateur se réinitialise après 50 jours |
ros-actionlib | Chargement sûr de YAML [CVE-2020-10289] |
rustc | Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR |
rust-cbindgen | Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR |
ruby-ronn | Correction de la gestion du contenu en UTF-8 dans les pages de manuel |
s390-tools | Dépendance de Perl codée en dur à la place de l'utilisation de ${perl:Depends}, corrigeant l'installation avec debootstrap |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.