Publication de la mise à jour de Debian 10.12

26 mars 2022

Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa distribution oldstable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Renforcement de la vérification de l'algorithme de signature d'OpenSSL

La mise à jour d'OpenSSL fournie dans cette version comprend une modification pour s'assurer que l'algorithme de signature exigé est pris en charge par le niveau de sécurité actif.

Bien que cela ne devrait pas affecter la plupart des cas d'utilisation, cela pourrait mener à la génération de messages d'erreur si un algorithme non pris en charge est exigé. Par exemple, l'utilisation de signatures RSA+SHA1 avec le niveau de sécurité par défaut (niveau 2).

Dans un cas comme celui-là, le niveau de sécurité devra être abaissé explicitement soit pour des requêtes individuelles, soit plus globalement. Cela peut nécessiter de modifier la configuration des applications. Pour OpenSSL lui-même, un abaissement à chaque requête peut être obtenu avec une option en ligne de commande telle que :

-cipher ALL:@SECLEVEL=1

avec la configuration adéquate au niveau du système qui se trouve dans /etc/ssl/openssl.cnf

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
apache-log4j1.2	Problèmes de sécurité [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] résolus en supprimant la prise en charge des modules JMSSink, JDBCAppender, JMSAppender et Apache Chainsaw
apache-log4j2	Correction d'un problème d'exécution de code à distance [CVE-2021-44832]
atftp	Correction d'un problème de fuite d'informations [CVE-2021-46671]
base-files	Mise à jour pour cette version 10.12
beads	Reconstruction avec cimg mis à jour pour corriger plusieurs dépassements de tampon de tas [CVE-2020-25693]
btrbk	Correction d'une régression dans la mise à jour pour le CVE-2021-38173
cargo-mozilla	Nouveau paquet, rétroporté à partir de Debian 11, pour aider la construction avec les nouvelles versions de Rust
chrony	Lecture permise du fichier de configuration de chronyd que génère timemaster(8)
cimg	Correction de problèmes de dépassement de tas [CVE-2020-25693]
clamav	Nouvelle version amont stable ; correction d'un problème de dépassement de tampon [CVE-2022-20698]
cups	Correction d'un problème de validation d'entrée qui pourrait permettre à une application malveillante de lire de la mémoire sensible [CVE-2020-10001]
debian-installer	Reconstruction avec oldstable-proposed-updates ; mise à jour de l'ABI du noyau vers la version -20
debian-installer-netboot-images	Reconstruction avec oldstable-proposed-updates
detox	Correction du traitement de grands fichiers sur les architectures ARM
evolution-data-server	Correction de plantage avec une réponse du serveur mal formée [CVE-2020-16117]
flac	Correction d'un problème de lecture hors limites [CVE-2020-0499]
gerbv	Correction d'un problème d'exécution de code [CVE-2021-40391]
glibc	Importation de plusieurs corrections à partir de la branche stable de l'amont ; simplification de la vérification des versions du noyau prises en charge dans la mesure où les noyaux 2.x ne sont plus pris en charge ; prise en charge de l'installation des noyaux avec un numéro supérieur à 255
gmp	Correction d'un problème de dépassement d'entier et de tampon [CVE-2021-43618]
graphicsmagick	Correction d'un problème de dépassement de tampon [CVE-2020-12672]
htmldoc	Correction d'un problème de lecture hors limites [CVE-2022-0534] et de problèmes de dépassement de tampon [CVE-2021-43579 CVE-2021-40985]
http-parser	Casse involontaire d'ABI résolue
icu	Correction de l'utilitaire pkgdata
intel-microcode	Mise en jour du microprogramme inclus ; atténuation de certains problèmes de sécurité [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec	Correction d'un problème de dépassement de tampon [CVE-2020-12268]
jtharness	Nouvelle version amont pour prendre en charge des constructions avec les nouvelles versions d'OpenJDK-11
jtreg	Nouvelle version amont pour prendre en charge des constructions avec les nouvelles versions d'OpenJDK-11
lemonldap-ng	Correction du processus d'authentification dans les greffons de test de mot de passe [CVE-2021-20874] ; ajout d'une recommandation à gsfonts corrigeant captcha
leptonlib	Correction d'un problème de déni de service [CVE-2020-36277] et de problèmes de lecture excessive de tampon [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl	Mise à jour des données incluses
libencode-perl	Correction d'une fuite de mémoire dans Encode.xs
libetpan	Correction d'un problème d'injection de réponse STARTTLS [CVE-2020-15953]
libextractor	Correction d'un problème de lecture non valable [CVE-2019-15531]
libjackson-json-java	Corrections de problèmes d'exécution de code [CVE-2017-15095 CVE-2017-7525] et de problèmes d'entité externe XML [CVE-2019-10172]
libmodbus	Correction de problèmes de lecture hors limites [CVE-2019-14462 CVE-2019-14463]
libpcap	Vérification de la longueur de l'entête PHB avant son utilisation pour allouer de la mémoire [CVE-2019-15165]
libsdl1.2	Gestion correcte des événements de l'élément actif de saisie ; correction de problèmes de dépassement de tampon [CVE-2019-13616 CVE-2019-7637] et de problèmes de lecture excessive de tampon [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638]
libxml2	Correction d'un problème d'utilisation de mémoire après libération [CVE-2022-23308]
linux	Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-latest	Mise à jour vers la version 4.19.0-20 de l'ABI
linux-signed-amd64	Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-signed-arm64	Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
linux-signed-i386	Nouvelle version amont stable ; [rt] mise à jour vers la version 4.19.233-rt105 ; passage de l'ABI à la version 20
llvm-toolchain-11	Nouveau paquet, rétroporté à partir de Debian 11, pour aider la construction avec les nouvelles versions de Rust
lxcfs	Correction d'un mauvais rapport d'utilisation de swap
mailman	Correction d'un problème de script intersite [CVE-2021-43331] ; correction de la possibilité pour un modérateur de liste de découvrir le mot passe, chiffré dans un jeton CSFR, d'un administrateur de liste [CVE-2021-43332] ; correction d'une possible attaque CSRF à l'encontre d'un administrateur de liste par un membre ou un modérateur de liste [CVE-2021-44227] ; correction de régressions dans les correctifs pour CVE-2021-42097 et CVE-2021-44227
mariadb-10.3	Nouvelle version amont stable ; corrections de sécurité [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject	Correction d'un problème de pollution de prototype [CVE-2020-28282]
opensc	Correction de problèmes d'accès hors limites [CVE-2019-15945 CVE-2019-15946], d'un plantage dû à la lecture de mémoire inconnue [CVE-2019-19479], d'un problème de double libération de mémoire [CVE-2019-20792] et de problèmes de dépassement de tampon [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad	Correction de dépassements de tampon dans l'analyseur STL [CVE-2020-28599 CVE-2020-28600]
openssl	Nouvelle version amont
php-illuminate-database	Correction d'un problème de liaison de requête [CVE-2021-21263] et d'un problème d'injection SQL lors d'utilisation avec Microsoft SQL Server
phpliteadmin	Correction d'un problème de script intersite [CVE-2021-46709]
plib	Correction d'un problème de débordement d'entier [CVE-2021-38714]
privoxy	Correction d'une fuite de mémoire [CVE-2021-44540] et d'un problème de script intersite [CVE-2021-44543]
publicsuffix	Mise à jour des données incluses
python-virtualenv	Tentative évitée d'installation de pkg_resources à partir de PyPI
raptor2	Correction d'un problème d'accès à un tableau hors limites [CVE-2020-25713]
ros-ros-comm	Correction d'un problème de déni de service [CVE-2021-37146]
rsyslog	Correction de problèmes de dépassement de tas [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient	Utilisation du magasin de certifications du système
rust-cbindgen	Nouveau paquet source pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird
rustc-mozilla	Nouveau paquet source pour prendre en charge la construction des dernières versions de firefox-esr et de thunderbird
s390-dasd	Plus de transmission de l'option obsolète -f à dasdfmt
spip	Correction d'un problème de script intersite
tzdata	Mise à jour des données pour les Fidji et la Palestine
vim	Correction de la possibilité d'exécuter du code dans le mode restreint [CVE-2019-20807], de problèmes de dépassement de tampon [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875] et d'un problème d'utilisation de mémoire après libération [CVE-2021-3796] ; suppression d'un correctif inclus accidentellement
wavpack	Correction d'une utilisation de valeurs non initialisées [CVE-2019-1010317 CVE-2019-1010319]
weechat	Correction de plusieurs problèmes de déni de service [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark	Correction de plusieurs problèmes de sécurité dans les dissecteurs [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm	Correction d'un problème de dépassement de tampon [CVE-2022-24130]
zziplib	Correction d'un problème de déni de service [CVE-2020-18442]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4513	samba
DSA-4982	apache2
DSA-4983	neutron
DSA-4985	wordpress
DSA-4986	tomcat9
DSA-4987	squashfs-tools
DSA-4989	strongswan
DSA-4990	ffmpeg
DSA-4991	mailman
DSA-4993	php7.3
DSA-4994	bind9
DSA-4995	webkit2gtk
DSA-4997	tiff
DSA-5000	openjdk-11
DSA-5001	redis
DSA-5004	libxstream-java
DSA-5005	ruby-kaminari
DSA-5006	postgresql-11
DSA-5010	libxml-security-java
DSA-5011	salt
DSA-5013	roundcube
DSA-5014	icu
DSA-5015	samba
DSA-5016	nss
DSA-5018	python-babel
DSA-5019	wireshark
DSA-5020	apache-log4j2
DSA-5021	mediawiki
DSA-5022	apache-log4j2
DSA-5023	modsecurity-apache
DSA-5024	apache-log4j2
DSA-5027	xorg-server
DSA-5028	spip
DSA-5029	sogo
DSA-5030	webkit2gtk
DSA-5032	djvulibre
DSA-5035	apache2
DSA-5036	sphinxsearch
DSA-5037	roundcube
DSA-5038	ghostscript
DSA-5039	wordpress
DSA-5040	lighttpd
DSA-5043	lxml
DSA-5047	prosody
DSA-5051	aide
DSA-5052	usbview
DSA-5053	pillow
DSA-5056	strongswan
DSA-5057	openjdk-11
DSA-5059	policykit-1
DSA-5060	webkit2gtk
DSA-5062	nss
DSA-5063	uriparser
DSA-5065	ipython
DSA-5066	ruby2.5
DSA-5071	samba
DSA-5072	debian-edu-config
DSA-5073	expat
DSA-5075	minetest
DSA-5076	h2database
DSA-5078	zsh
DSA-5081	redis
DSA-5083	webkit2gtk
DSA-5085	expat
DSA-5087	cyrus-sasl2
DSA-5088	varnish
DSA-5093	spip
DSA-5096	linux-latest
DSA-5096	linux-signed-amd64
DSA-5096	linux-signed-arm64
DSA-5096	linux-signed-i386
DSA-5096	linux
DSA-5098	tryton-server
DSA-5099	tryton-proteus
DSA-5100	nbd
DSA-5101	libphp-adodb
DSA-5103	openssl
DSA-5105	bind9

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
angular-maven-plugin	Plus nécessaire
minify-maven-plugin	Plus nécessaire

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.