Publication de la mise à jour de Debian 10.13

10 septembre 2022

Le projet Debian a l'honneur d'annoncer la treizième (et dernière) mise à jour de sa distribution oldstable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Après cette version intermédiaire, les équipes de sécurité et de publication de Debian ne produiront plus de mises à jour pour Debian 10. Les utilisateurs qui souhaitent continuer à bénéficier du suivi de sécurité devraient mettre à niveau vers Debian 11, ou consulter https://wiki.debian.org/LTS pour avoir des détails sur le sous-ensemble d'architectures et de paquets couverts par le projet « Long Term Support ».

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
adminer Correction d'un problème de redirection ouverte, de problèmes de script intersite [CVE-2020-35572 CVE-2021-29625] ; elasticsearch : pas d'affichage de réponse si le code HTTP n'est pas 200 [CVE-2021-21311] ; version compilée et fichiers de configuration fournis
apache2 Correction de problèmes de déni de service [CVE-2022-22719], de dissimulation de requête HTTP [CVE-2022-22720], de dépassement d'entier [CVE-2022-22721], d'écriture hors limites [CVE-2022-23943], de dissimulation de requête HTTP [CVE-2022-26377], de lecture hors limites [CVE-2022-28614 CVE-2022-28615], de déni de service [CVE-2022-29404], de lecture hors limites [CVE-2022-30556] et d'un possible problème de contournement d'authentification basée sur l'IP [CVE-2022-31813]
base-files Mise à jour pour la version 10.13
clamav Nouvelle version amont stable ; corrections de sécurité [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
commons-daemon Correction de détection de JVM
composer Correction d'une vulnérabilité d'injection de code [CVE-2022-24828] ; mise à jour du modèle de jeton de GitHub ; utilisation de l'en-tête Authorization à la place du paramètre de requête obsolète access_token
debian-installer Reconstruction avec buster-proposed-updates ; passage de l'ABI de Linux à la version 4.19.0-21
debian-installer-netboot-images Reconstruction avec buster-proposed-updates ; passage de l'ABI de Linux à la version 4.19.0-21
debian-security-support Mise à jour de l'état de sécurité de divers paquets
debootstrap Assurance que les chroots non merged-usr peuvent continuer à être créés pour les chroots de versions plus anciennes et de buildd
distro-info-data Ajout d'Ubuntu 22.04 LTS, Jammy Jellyfish et Ubuntu 22.10, Kinetic Kudu
dropbear Correction d'un problème potentiel d'énumération de noms d'utilisateur [CVE-2019-12953]
eboard Correction d'une erreur de segmentation lors de la sélection du moteur
esorex Correction d'échecs de suite de tests sur armhf et ppc64el provoqués par une utilisation incorrecte de libffi
evemu Correction d'échec de construction avec les versions récentes du noyau
feature-check Correction de certaines comparaisons de version
flac Correction d'un problème d'écriture hors limites [CVE-2021-0561]
foxtrotgps Correction d'échec de construction avec les versions récentes d'imagemagick
freeradius Correction d'une fuite par canal auxiliaire quand une négociation de connexion sur 2048 échoue [CVE-2019-13456], d'un problème de déni de service dû à un accès multithreadé à BN_CTX [CVE-2019-17185], d'un plantage dû à une allocation de mémoire non sécurisée vis-à-vis des fils d'exécution
freetype Correction d'un problème de dépassement de tampon [CVE-2022-27404] ; correction de plantages [CVE-2022-27405 CVE-2022-27406]
fribidi Correction de problèmes de dépassement de tampon [CVE-2022-25308 CVE-2022-25309] ; correction de plantage [CVE-2022-25310]
ftgl Plus d'essai de conversion de PNG vers EPS pour latex, parce la version Debian d'imagemagick a désactivé EPS pour des raisons de sécurité
gif2apng Correction de dépassements de tampon de tas [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
gnucash Correction d'échec de construction avec la version récente de tzdata
gnutls28 Correction de la suite de tests en combinaison avec OpenSSL 1.1.1e ou plus récent
golang-github-docker-go-connections Tests qui utilisent des certificats expirés évités
golang-github-pkg-term Correction de construction avec les nouveaux noyaux 4.19
golang-github-russellhaering-goxmldsig Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-7711]
grub-efi-amd64-signed Nouvelle version amont
grub-efi-arm64-signed Nouvelle version amont
grub-efi-ia32-signed Nouvelle version amont
grub2 Nouvelle version amont
htmldoc Correction d'une boucle infinie [CVE-2022-24191], de problèmes de dépassement d'entier [CVE-2022-27114] et d'un problème de dépassement de tampon de tas [CVE-2022-28085]
iptables-netflow Correction d'une régression due à un échec de construction DKMS provoquée par des modifications amont de Linux dans le noyau 4.19.191
isync Correction de problèmes de dépassement de tampon [CVE-2021-3657]
kannel Correction d'échec de construction en désactivant la génération de la documentation Postscript
krb5 Utilisation de SHA256 comme empreinte CMS de Pkinit
libapache2-mod-auth-openidc Amélioration de la validation du paramètre d'URL post-déconnexion à la déconnexion [CVE-2019-14857]
libdatetime-timezone-perl Mise à jour des données incluses
libhttp-cookiejar-perl Correction d'échec de construction en prolongeant la date d'expiration d'un cookie de test
libnet-freedb-perl Changement de l'hôte par défaut de freedb.freedb.org abandonné pour gnudb.gnudb.org
libnet-ssleay-perl Correction d'échec de tests avec OpenSSL 1.1.1n
librose-db-object-perl Correction d'échec de test après le 6 juin 2020
libvirt-php Correction d'erreur de segmentation dans libvirt_node_get_cpu_stats
llvm-toolchain-13 Nouveau paquet source pour prendre en charge la construction des nouvelles versions de firefox-esr et de thunderbird
minidlna Validation des requêtes HTTP pour protéger contre les attaques par rattachement DNS [CVE-2022-26505]
mokutil Nouvelle version amont pour permettre la gestion de SBAT
mutt Correction d'un dépassement de tampon uudecode [CVE-2022-1328]
node-ejs Nettoyage des options et des nouveaux objets [CVE-2022-29078]
node-end-of-stream Contournement d'un bogue de test
node-minimist Correction d'un problème de pollution de prototype [CVE-2021-44906]
node-node-forge Correction de problèmes de vérification de signature [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-require-from-string Correction d'un test survenant avec nodejs >= 10.16
nvidia-graphics-drivers Nouvelle version amont
nvidia-graphics-drivers-legacy-390xx Nouvelle version amont ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185] ; corrections de sécurité [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
octavia Correction de vérifications de certificat de client [CVE-2019-17134] ; détection correcte de l'exécution de l'agent sur Debian ; correction du modèle qui génère le script de vérification du protocole vrrp ; ajout de dépendances d'exécution supplémentaires ; fourniture d'une configuration supplémentaire directement dans le paquet agent
orca Correction de l'utilisation avec WebKitGTK 2.36
pacemaker Mise à jour des versions de relation pour corriger les mises à niveau à partir de Stretch LTS
pglogical Correction d'échec de construction
php-guzzlehttp-psr7 Correction d'une analyse incorrecte d'en-tête [CVE-2022-24775]
postfix Nouvelle version amont stable ; pas d'écrasement du default_transport défini par l'utilisateur ; if-up.d : pas d'émission d'erreur si postfix ne peut pas encore envoyer de message ; correction d'entrées dupliquées de bounce_notice_recipient dans la sortie de postconf
postgresql-common pg_virtualenv : écriture du fichier de mot passe temporaire avant de changer le propriétaire du fichier
postsrsd Correction d'un problème de possible déni de service quand Postfix envoie certains champs de données longs tels que plusieurs adresses de courriel concaténées [CVE-2021-35525]
procmail Correction d'un déréférencement de pointeur NULL
publicsuffix Mise à jour des données incluses
python-keystoneauth1 Mise à jour des tests pour corriger un échec de construction
python-scrapy Plus d'envoi de données d'authentification avec toutes les requêtes [CVE-2021-41125] ; pas d'exposition de cookies inter-domaines lors des redirections [CVE-2022-0577]
python-udatetime Liaison correcte avec la bibliothèque libm
qtbase-opensource-src Correction de setTabOrder pour les widgets composés ; ajout d'une limite d'expansion pour les entités XML [CVE-2015-9541]
ruby-activeldap Ajout d'une dépendance manquante à ruby-builder
ruby-hiredis Certains tests non fiables évités afin de corriger un échec de construction
ruby-http-parser.rb Correction d'échec de construction lors de l'utilisation de http-parser contenant la correction pour le CVE-2019-15605
ruby-riddle Utilisation de LOAD DATA LOCAL INFILE permise
sctk Utilisation de pdftoppm à la place de convert pour convertir de PDF à JPEG parce que ce dernier échoue avec le changement de politique de sécurité d'ImageMagick
twisted Correction d'un problème de validation incorrecte des méthodes URI et HTTP [CVE-2019-12387], de validation incorrecte de certificats dans la prise en charge de XMPP [CVE-2019-12855], de problèmes de déni de service de HTTP/2, de problèmes de dissimulation de requête HTTP [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], d'un problème de divulgation d'informations quand des redirections inter-domaines sont suivies [CVE-2022-21712], d'un problème de déni de service durant une négociation de connexion SSH [CVE-2022-21716]
tzdata Mise à jour des données de fuseau horaire pour l'Iran, le Chili et la Palestine ; mise à jour de la liste de secondes intercalaires
ublock-origin Nouvelle version amont stable
unrar-nonfree Correction d'un problème de traversée de répertoires [CVE-2022-30333]
wireshark Correction d'un problème d'exécution de code à distance [CVE-2021-22191] et de problèmes de déni de service [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4836 openvswitch
DSA-4852 openvswitch
DSA-4906 chromium
DSA-4911 chromium
DSA-4917 chromium
DSA-4981 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5077 librecad
DSA-5080 snapd
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5108 tiff
DSA-5109 faad2
DSA-5111 zlib
DSA-5113 firefox-esr
DSA-5115 webkit2gtk
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5126 ffmpeg
DSA-5129 firefox-esr
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5135 postgresql-11
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5144 condor
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5164 exo
DSA-5165 vlc
DSA-5167 firejail
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5173 linux-latest
DSA-5173 linux-signed-amd64
DSA-5173 linux-signed-arm64
DSA-5173 linux-signed-i386
DSA-5173 linux
DSA-5174 gnupg2
DSA-5175 thunderbird
DSA-5176 blender
DSA-5178 intel-microcode
DSA-5181 request-tracker4
DSA-5182 webkit2gtk
DSA-5185 mat2
DSA-5186 djangorestframework
DSA-5188 openjdk-11
DSA-5189 gsasl
DSA-5190 spip
DSA-5193 firefox-esr
DSA-5194 booth
DSA-5195 thunderbird
DSA-5196 libpgjava

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
elog non maintenu ; problèmes de sécurité
libnet-amazon-perl dépend d'une API supprimée

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.