Publication de la mise à jour de Debian 10.6

26 septembre 2020

Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Veuillez noter que, du fait de problèmes de construction, les mises à jour des paquets cargo, rustc et rustc-bindgen ne sont actuellement pas disponibles pour l'architecture armel. Elles seront ajoutées ultérieurement si les problèmes sont résolus.

Paquet Raison
arch-test Correction de la détection de s390x qui échoue parfois
asterisk Correction de plantage lors d'une négociation pour T.38 avec un flux refusé [CVE-2019-15297], de une requête SIP peut modifier l'adresse d'un pair SIP [CVE-2019-18790], de l'utilisateur AMI pourrait exécuter des commandes système [CVE-2019-18610], d'une erreur de segmentation dans la commande pjsip show history avec les pairs IPv6
bacula Correction de des chaînes d’empreinte surdimensionnées permettent à un client malveillant de provoquer un dépassement de tas dans la mémoire du directeur [CVE-2020-11061]
base-files Mise à jour de /etc/debian_version pour cette version
calamares-settings-debian Désactivation du module displaymanager
cargo Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR
chocolate-doom Correction d'absence de validation [CVE-2020-14983]
chrony Compétition de lien symbolique évitée lors de l'écriture dans le fichier PID [CVE-2020-14367] ; correction de la lecture de température
debian-installer Mise à jour de l'ABI Linux vers la version 4.19.0-11
debian-installer-netboot-images Reconstruction avec proposed-updates
diaspora-installer Utilisation de l'option --frozen pour grouper l'installation afin d'utiliser le Gemfile.lock de l'amont ; plus d'exclusion de Gemfile.lock lors des mises à niveau ; plus d'écrasement de config/oidc_key.pem lors des mises à niveau ; config/schedule.yml accessible en écriture
dojo Correction d'une pollution de prototype dans la méthode deepCopy [CVE-2020-5258] et la méthode jqMix [CVE-2020-5259]
dovecot Correction de la régression de la synchronisation du filtre Sieve de dsync ; correction de la gestion du résultat de getpwent dans userdb-passwd
facter Changement du point de terminaison de métadonnées de Google GCE de v1beta1 à v1
gnome-maps Correction d'un problème de décalage dans le rendu des calques de forme
gnome-shell LoginDialog : remise à zéro de l'affichage du mot de passe au moment de du changement de terminal virtuel et sa disparition [CVE-2020-17489]
gnome-weather Plantage évité quand la configuration des localisations n'est pas valable
grunt Utilisation de safeLoad lors du chargement de fichiers YAML [CVE-2020-7729]
gssdp Nouvelle version amont stable
gupnp Nouvelle version amont stable ; attaque CallStranger évitée [CVE-2020-12695] ; GSSDP 1.0.5 requis
haproxy logrotate.conf : utilisation de l'assistant rsyslog à la place d'un script de démarrage SysV ; rejet des messages où chunked est absent dans Transfer-Encoding [CVE-2019-18277]
icinga2 Correction d'attaque par lien symbolique [CVE-2020-14004]
incron Correction de nettoyage de processus zombies
inetutils Correction d'un problème d'exécution de code à distance [CVE-2020-10188]
libcommons-compress-java Correction d'un problème de déni de service [CVE-2019-12402]
libdbi-perl Correction de corruption de mémoire dans les fonctions XS quand la pile de Perl est réallouée [CVE-2020-14392] ; correction d'un dépassement de tampon sur un nom de classe DBD trop long [CVE-2020-14393] ; correction d'un déréférencement de profil NULL dans dbi_profile() [CVE-2019-20919]
libvncserver libvncclient : abandon si le nom du socket UNIX peut déborder [CVE-2019-20839] ; correction d'un problème de chevauchement ou d'alignement de pointeur [CVE-2020-14399] ; taille maximale de textchat limitée [CVE-2020-14405] ; libvncserver : ajout de vérifications manquantes de pointeur NULL [CVE-2020-14397] ; correction d'un problème de chevauchement ou d'alignement de pointeur [CVE-2020-14400] ; scale : forçage en 64 bits avant le déplacement [CVE-2020-14401] ; accès à hors limites évités [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404]
libx11 Correction de dépassements d'entier [CVE-2020-14344 CVE-2020-14363]
lighttpd Rétroportage de plusieurs corrections d'accessibilité et de sécurité
linux Nouvelle version amont stable ; passage de l'ABI à la version 11
linux-latest Mise à jour de l'ABI du noyau linux à la version -11
linux-signed-amd64 Nouvelle version amont stable
linux-signed-arm64 Nouvelle version amont stable
linux-signed-i386 Nouvelle version amont stable
llvm-toolchain-7 Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR ; correction de bogues affectant la construction de rustc
lucene-solr Correction d'un problème de sécurité dans la gestion de la configuration de DataImportHandler [CVE-2019-0193]
milkytracker Correction d'un dépassement de tas [CVE-2019-14464], d'un dépassement de pile [CVE-2019-14496], d'un dépassement de tas [CVE-2019-14497], d'une utilisation de mémoire après libération [CVE-2020-15569]
node-bl Correction d'une vulnérabilité de lecture excessive [CVE-2020-8244]
node-elliptic Malléabilité et dépassements évités [CVE-2020-13822]
node-mysql Ajout de l'option localInfile pour contrôler LOAD DATA LOCAL INFILE [CVE-2019-14939]
node-url-parse Correction de validation et de nettoyage insuffisants des entrées de l'utilisateur [CVE-2020-8124]
npm Pas d'affichage de mot de passe dans les journaux [CVE-2020-15095]
orocos-kdl Retrait de l'inclusion explicite du chemin inclus par défaut, corrigeant des problèmes avec cmake < 3.16
postgresql-11 Nouvelle version amont stable ; définition d'un chemin de recherche sûr dans les processus walsender de réplication logique et les workers d'application [CVE-2020-14349] ; scripts d'installation des modules contrib plus sûrs [CVE-2020-14350]
postgresql-common Pas de retrait de plpgsql avant de tester les extensions
pyzmq Asyncio : attente de POLLOUT sur l'expéditeur dans can_connect
qt4-x11 Correction de dépassement de tampon dans l'analyseur XBM [CVE-2020-17507]
qtbase-opensource-src Correction de dépassement de tampon dans l'analyseur XBM [CVE-2020-17507] ; correction de la fin du presse-papier quand le temporisateur se réinitialise après 50 jours
ros-actionlib Chargement sûr de YAML [CVE-2020-10289]
rustc Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR
rust-cbindgen Nouvelle version amont pour prendre en charge les versions à venir de Firefox ESR
ruby-ronn Correction de la gestion du contenu en UTF-8 dans les pages de manuel
s390-tools Dépendance de Perl codée en dur à la place de l'utilisation de ${perl:Depends}, corrigeant l'installation avec debootstrap

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4662 openjdk-11
DSA-4734 openjdk-11
DSA-4736 firefox-esr
DSA-4737 xrdp
DSA-4738 ark
DSA-4739 webkit2gtk
DSA-4740 thunderbird
DSA-4741 json-c
DSA-4742 firejail
DSA-4743 ruby-kramdown
DSA-4744 roundcube
DSA-4745 dovecot
DSA-4746 net-snmp
DSA-4747 icingaweb2
DSA-4748 ghostscript
DSA-4749 firefox-esr
DSA-4750 nginx
DSA-4751 squid
DSA-4752 bind9
DSA-4753 mupdf
DSA-4754 thunderbird
DSA-4755 openexr
DSA-4756 lilypond
DSA-4757 apache2
DSA-4758 xorg-server
DSA-4759 ark
DSA-4760 qemu
DSA-4761 zeromq3
DSA-4762 lemonldap-ng
DSA-4763 teeworlds
DSA-4764 inspircd
DSA-4765 modsecurity

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.