Publication de la mise à jour de Debian 10.12

26 mars 2022

Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa distribution oldstable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Renforcement de la vérification de l'algorithme de signature d'OpenSSL

La mise à jour d'OpenSSL fournie dans cette version comprend une modification pour s'assurer que l'algorithme de signature exigé est pris en charge par le niveau de sécurité actif.

Bien que cela ne devrait pas affecter la plupart des cas d'utilisation, cela pourrait mener à la génération de messages d'erreur si un algorithme non pris en charge est exigé. Par exemple, l'utilisation de signatures RSA+SHA1 avec le niveau de sécurité par défaut (niveau 2).

Dans un cas comme celui-là, le niveau de sécurité devra être abaissé explicitement soit pour des requêtes individuelles, soit plus globalement. Cela peut nécessiter de modifier la configuration des applications. Pour OpenSSL lui-même, un abaissement à chaque requête peut être obtenu avec une option en ligne de commande telle que :

-cipher ALL:@SECLEVEL=1

avec la configuration adéquate au niveau du système qui se trouve dans /etc/ssl/openssl.cnf

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apache-log4j1.2 Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] résolus en supprimant la prise en charge des modules JMSSink, JDBCAppender, JMSAppender et Apache Chainsaw
apache-log4j2 Correction d'un problème d'exécution de code à distance [CVE-2021-44832]
atftp Correction d'un problème de fuite d'informations [CVE-2021-46671]
base-files Mise à jour pour cette version 10.12
beads Reconstruction avec cimg mis à jour pour corriger plusieurs dépassements de tampon de tas [CVE-2020-25693]
btrbk Correction d'une régression dans la mise à jour pour le CVE-2021-38173
cargo-mozilla Nouveau paquet, rétroporté à partir de Debian 11, pour aider la construction avec les nouvelles versions de Rust
chrony Lecture permise du fichier de configuration de chronyd que génère timemaster(8)
cimg Correction de problèmes de dépassement de tas [CVE-2020-25693]
clamav Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2022-20698]
cups Correction d'un problème de validation d'entrée qui pourrait permettre à une application malveillante de lire de la mémoire sensible [CVE-2020-10001]
debian-installer Reconstruction avec oldstable-proposed-updates ; mise à jour de l'ABI du noyau vers la version -20
debian-installer-netboot-images Reconstruction avec oldstable-proposed-updates
detox Correction du traitement de grands fichiers sur les architectures ARM
evolution-data-server Correction de plantage avec une réponse du serveur mal formée [CVE-2020-16117]
flac Correction d'un problème de lecture hors limites [CVE-2020-0499]
gerbv Correction d'un problème d'exécution de code [CVE-2021-40391]
glibc Importation de plusieurs corrections à partir de la branche stable de l'amont ; simplification de la vérification des versions du noyau prises en charge dans la mesure où les noyaux 2.x ne sont plus pris en charge ; prise en charge de l'installation des noyaux avec un numéro supérieur à 255
gmp Correction d'un problème de dépassement d'entier et de tampon [CVE-2021-43618]
graphicsmagick Correction d'un problème de dépassement de tampon [CVE-2020-12672]
htmldoc Correction d'un problème de lecture hors limites [CVE-2022-0534] et de problèmes de dépassement de tampon [CVE-2021-43579 CVE-2021-40985]
http-parser Casse involontaire d'ABI résolue
icu Correction de l'utilitaire pkgdata
intel-microcode Mise en jour du microprogramme inclus ; atténuation de certains problèmes de sécurité [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec Correction d'un problème de dépassement de tampon [CVE-2020-12268]
jtharness Nouvelle version amont pour prendre en charge des constructions avec les nouvelles versions d'OpenJDK-11
jtreg Nouvelle version amont pour prendre en charge des constructions avec les nouvelles versions d'OpenJDK-11
lemonldap-ng Correction du processus d'authentification dans les greffons de test de mot de passe [CVE-2021-20874] ; ajout d'une recommandation à gsfonts corrigeant captcha
leptonlib Correction d'un problème de déni de service [CVE-2020-36277] et de problèmes de lecture excessive de tampon [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl Mise à jour des données incluses
libencode-perl Correction d'une fuite de mémoire dans Encode.xs
libetpan Correction d'un problème d'injection de réponse STARTTLS [CVE-2020-15953]
libextractor Correction d'un problème de lecture non valable [CVE-2019-15531]
libjackson-json-java Corrections de problèmes d'exécution de code [CVE-2017-15095 CVE-2017-7525] et de problèmes d'entité externe XML [CVE-2019-10172]
libmodbus Correction de problèmes de lecture hors limites [CVE-2019-14462 CVE-2019-14463]
libpcap Vérification de la longueur de l'entête PHB avant son utilisation pour allouer de la mémoire [CVE-2019-15165]
libsdl1.2 Gestion correcte des événements de l'élément actif de saisie ; correction de problèmes de dépassement de tampon [CVE-2019-13616 CVE-2019-7637] et de problèmes de lecture excessive de tampon [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638]
libxml2 Correction d'un problème d'utilisation de mémoire après libération [CVE-2022-23308]
linux Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-latest Mise à jour vers la version 4.19.0-20 de l'ABI
linux-signed-amd64 Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-signed-arm64 Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-signed-i386 Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
llvm-toolchain-11 Nouveau paquet, rétroporté à partir de Debian 11, pour aider la construction avec les nouvelles versions de Rust
lxcfs Correction d'un mauvais rapport d'utilisation de swap
mailman Correction d'un problème de script intersite [CVE-2021-43331] ; correction de la possibilité pour un modérateur de liste de découvrir le mot passe, chiffré dans un jeton CSFR, d'un administrateur de liste [CVE-2021-43332] ; correction d'une possible attaque CSRF à l'encontre d'un administrateur de liste par un membre ou un modérateur de liste [CVE-2021-44227] ; correction de régressions dans les correctifs pour CVE-2021-42097 et CVE-2021-44227
mariadb-10.3 Nouvelle version amont stable ; corrections de sécurité [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject Correction d'un problème de pollution de prototype [CVE-2020-28282]
opensc Correction de problèmes d'accès hors limites [CVE-2019-15945 CVE-2019-15946], d'un plantage dû à la lecture de mémoire inconnue [CVE-2019-19479], d'un problème de double libération de mémoire [CVE-2019-20792] et de problèmes de dépassement de tampon [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad Correction de dépassements de tampon dans l'analyseur STL [CVE-2020-28599 CVE-2020-28600]
openssl Nouvelle version amont
php-illuminate-database Correction d'un problème de liaison de requête [CVE-2021-21263] et d'un problème d'injection SQL lors d'utilisation avec Microsoft SQL Server
phpliteadmin Correction d'un problème de script intersite [CVE-2021-46709]
plib Correction d'un problème de débordement d'entier [CVE-2021-38714]
privoxy Correction d'une fuite de mémoire [CVE-2021-44540] et d'un problème de script intersite [CVE-2021-44543]
publicsuffix Mise à jour des données incluses
python-virtualenv Tentative évitée d'installation de pkg_resources à partir de PyPI
raptor2 Correction d'un problème d'accès à un tableau hors limites [CVE-2020-25713]
ros-ros-comm Correction d'un problème de déni de service [CVE-2021-37146]
rsyslog Correction de problèmes de dépassement de tas [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient Utilisation du magasin de certifications du système
rust-cbindgen Nouveau paquet source pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird
rustc-mozilla Nouveau paquet source pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird
s390-dasd Plus de transmission de l'option obsolète -f à dasdfmt
spip Correction d'un problème de script intersite
tzdata Mise à jour des données pour les Fidji et la Palestine
vim Correction de la possibilité d'exécuter du code dans le mode restreint [CVE-2019-20807], de problèmes de dépassement de tampon [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875] et d'un problème d'utilisation de mémoire après libération [CVE-2021-3796] ; suppression d'un correctif inclus accidentellement
wavpack Correction d'une utilisation de valeurs non initialisées [CVE-2019-1010317 CVE-2019-1010319]
weechat Correction de plusieurs problèmes de déni de service [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark Correction de plusieurs problèmes de sécurité dans les dissecteurs [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm Correction d'un problème de dépassement de tampon [CVE-2022-24130]
zziplib Correction d'un problème de déni de service [CVE-2020-18442]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4513 samba
DSA-4982 apache2
DSA-4983 neutron
DSA-4985 wordpress
DSA-4986 tomcat9
DSA-4987 squashfs-tools
DSA-4989 strongswan
DSA-4990 ffmpeg
DSA-4991 mailman
DSA-4993 php7.3
DSA-4994 bind9
DSA-4995 webkit2gtk
DSA-4997 tiff
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5004 libxstream-java
DSA-5005 ruby-kaminari
DSA-5006 postgresql-11
DSA-5010 libxml-security-java
DSA-5011 salt
DSA-5013 roundcube
DSA-5014 icu
DSA-5015 samba
DSA-5016 nss
DSA-5018 python-babel
DSA-5019 wireshark
DSA-5020 apache-log4j2
DSA-5021 mediawiki
DSA-5022 apache-log4j2
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5032 djvulibre
DSA-5035 apache2
DSA-5036 sphinxsearch
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5043 lxml
DSA-5047 prosody
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5062 nss
DSA-5063 uriparser
DSA-5065 ipython
DSA-5066 ruby2.5
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5078 zsh
DSA-5081 redis
DSA-5083 webkit2gtk
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5093 spip
DSA-5096 linux-latest
DSA-5096 linux-signed-amd64
DSA-5096 linux-signed-arm64
DSA-5096 linux-signed-i386
DSA-5096 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5103 openssl
DSA-5105 bind9

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
angular-maven-plugin Plus nécessaire
minify-maven-plugin Plus nécessaire

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.