Publication de la mise à jour de Debian 10.13

10 septembre 2022

Le projet Debian a l'honneur d'annoncer la treizième (et dernière) mise à jour de sa distribution oldstable Debian 10 (nom de code Buster). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Après cette version intermédiaire, les équipes de sécurité et de publication de Debian ne produiront plus de mises à jour pour Debian 10. Les utilisateurs qui souhaitent continuer à bénéficier du suivi de sécurité devraient mettre à niveau vers Debian 11, ou consulter https://wiki.debian.org/LTS pour avoir des détails sur le sous-ensemble d'architectures et de paquets couverts par le projet « Long Term Support ».

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 10 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Buster. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
adminer	Correction d'un problème de redirection ouverte, de problèmes de script intersite [CVE-2020-35572 CVE-2021-29625] ; elasticsearch : pas d'affichage de réponse si le code HTTP n'est pas 200 [CVE-2021-21311] ; version compilée et fichiers de configuration fournis
apache2	Correction de problèmes de déni de service [CVE-2022-22719], de dissimulation de requête HTTP [CVE-2022-22720], de dépassement d'entier [CVE-2022-22721], d'écriture hors limites [CVE-2022-23943], de dissimulation de requête HTTP [CVE-2022-26377], de lecture hors limites [CVE-2022-28614 CVE-2022-28615], de déni de service [CVE-2022-29404], de lecture hors limites [CVE-2022-30556] et d'un possible problème de contournement d'authentification basée sur l'IP [CVE-2022-31813]
base-files	Mise à jour pour la version 10.13
clamav	Nouvelle version amont stable ; corrections de sécurité [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
commons-daemon	Correction de détection de JVM
composer	Correction d'une vulnérabilité d'injection de code [CVE-2022-24828] ; mise à jour du modèle de jeton de GitHub ; utilisation de l'en-tête Authorization à la place du paramètre de requête obsolète access_token
debian-installer	Reconstruction avec buster-proposed-updates ; passage de l'ABI de Linux à la version 4.19.0-21
debian-installer-netboot-images	Reconstruction avec buster-proposed-updates ; passage de l'ABI de Linux à la version 4.19.0-21
debian-security-support	Mise à jour de l'état de sécurité de divers paquets
debootstrap	Assurance que les chroots non merged-usr peuvent continuer à être créés pour les chroots de versions plus anciennes et de buildd
distro-info-data	Ajout d'Ubuntu 22.04 LTS, Jammy Jellyfish et Ubuntu 22.10, Kinetic Kudu
dropbear	Correction d'un problème potentiel d'énumération de noms d'utilisateur [CVE-2019-12953]
eboard	Correction d'une erreur de segmentation lors de la sélection du moteur
esorex	Correction d'échecs de suite de tests sur armhf et ppc64el provoqués par une utilisation incorrecte de libffi
evemu	Correction d'échec de construction avec les versions récentes du noyau
feature-check	Correction de certaines comparaisons de version
flac	Correction d'un problème d'écriture hors limites [CVE-2021-0561]
foxtrotgps	Correction d'échec de construction avec les versions récentes d'imagemagick
freeradius	Correction d'une fuite par canal auxiliaire quand une négociation de connexion sur 2048 échoue [CVE-2019-13456], d'un problème de déni de service dû à un accès multithreadé à BN_CTX [CVE-2019-17185], d'un plantage dû à une allocation de mémoire non sécurisée vis-à-vis des fils d'exécution
freetype	Correction d'un problème de dépassement de tampon [CVE-2022-27404] ; correction de plantages [CVE-2022-27405 CVE-2022-27406]
fribidi	Correction de problèmes de dépassement de tampon [CVE-2022-25308 CVE-2022-25309] ; correction de plantage [CVE-2022-25310]
ftgl	Plus d'essai de conversion de PNG vers EPS pour latex, parce la version Debian d'imagemagick a désactivé EPS pour des raisons de sécurité
gif2apng	Correction de dépassements de tampon de tas [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
gnucash	Correction d'échec de construction avec la version récente de tzdata
gnutls28	Correction de la suite de tests en combinaison avec OpenSSL 1.1.1e ou plus récent
golang-github-docker-go-connections	Tests qui utilisent des certificats expirés évités
golang-github-pkg-term	Correction de construction avec les nouveaux noyaux 4.19
golang-github-russellhaering-goxmldsig	Correction d'un problème de déréférencement de pointeur NULL [CVE-2020-7711]
grub-efi-amd64-signed	Nouvelle version amont
grub-efi-arm64-signed	Nouvelle version amont
grub-efi-ia32-signed	Nouvelle version amont
grub2	Nouvelle version amont
htmldoc	Correction d'une boucle infinie [CVE-2022-24191], de problèmes de dépassement d'entier [CVE-2022-27114] et d'un problème de dépassement de tampon de tas [CVE-2022-28085]
iptables-netflow	Correction d'une régression due à un échec de construction DKMS provoquée par des modifications amont de Linux dans le noyau 4.19.191
isync	Correction de problèmes de dépassement de tampon [CVE-2021-3657]
kannel	Correction d'échec de construction en désactivant la génération de la documentation Postscript
krb5	Utilisation de SHA256 comme empreinte CMS de Pkinit
libapache2-mod-auth-openidc	Amélioration de la validation du paramètre d'URL post-déconnexion à la déconnexion [CVE-2019-14857]
libdatetime-timezone-perl	Mise à jour des données incluses
libhttp-cookiejar-perl	Correction d'échec de construction en prolongeant la date d'expiration d'un cookie de test
libnet-freedb-perl	Changement de l'hôte par défaut de freedb.freedb.org abandonné pour gnudb.gnudb.org
libnet-ssleay-perl	Correction d'échec de tests avec OpenSSL 1.1.1n
librose-db-object-perl	Correction d'échec de test après le 6 juin 2020
libvirt-php	Correction d'erreur de segmentation dans libvirt_node_get_cpu_stats
llvm-toolchain-13	Nouveau paquet source pour prendre en charge la construction des nouvelles versions de firefox-esr et de thunderbird
minidlna	Validation des requêtes HTTP pour protéger contre les attaques par rattachement DNS [CVE-2022-26505]
mokutil	Nouvelle version amont pour permettre la gestion de SBAT
mutt	Correction d'un dépassement de tampon uudecode [CVE-2022-1328]
node-ejs	Nettoyage des options et des nouveaux objets [CVE-2022-29078]
node-end-of-stream	Contournement d'un bogue de test
node-minimist	Correction d'un problème de pollution de prototype [CVE-2021-44906]
node-node-forge	Correction de problèmes de vérification de signature [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-require-from-string	Correction d'un test survenant avec nodejs >= 10.16
nvidia-graphics-drivers	Nouvelle version amont
nvidia-graphics-drivers-legacy-390xx	Nouvelle version amont ; correction de problèmes d'écriture hors limites [CVE-2022-28181 CVE-2022-28185] ; corrections de sécurité [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
octavia	Correction de vérifications de certificat de client [CVE-2019-17134] ; détection correcte de l'exécution de l'agent sur Debian ; correction du modèle qui génère le script de vérification du protocole vrrp ; ajout de dépendances d'exécution supplémentaires ; fourniture d'une configuration supplémentaire directement dans le paquet agent
orca	Correction de l'utilisation avec WebKitGTK 2.36
pacemaker	Mise à jour des versions de relation pour corriger les mises à niveau à partir de Stretch LTS
pglogical	Correction d'échec de construction
php-guzzlehttp-psr7	Correction d'une analyse incorrecte d'en-tête [CVE-2022-24775]
postfix	Nouvelle version amont stable ; pas d'écrasement du default_transport défini par l'utilisateur ; if-up.d : pas d'émission d'erreur si postfix ne peut pas encore envoyer de message ; correction d'entrées dupliquées de bounce_notice_recipient dans la sortie de postconf
postgresql-common	pg_virtualenv : écriture du fichier de mot passe temporaire avant de changer le propriétaire du fichier
postsrsd	Correction d'un problème de possible déni de service quand Postfix envoie certains champs de données longs tels que plusieurs adresses de courriel concaténées [CVE-2021-35525]
procmail	Correction d'un déréférencement de pointeur NULL
publicsuffix	Mise à jour des données incluses
python-keystoneauth1	Mise à jour des tests pour corriger un échec de construction
python-scrapy	Plus d'envoi de données d'authentification avec toutes les requêtes [CVE-2021-41125] ; pas d'exposition de cookies inter-domaines lors des redirections [CVE-2022-0577]
python-udatetime	Liaison correcte avec la bibliothèque libm
qtbase-opensource-src	Correction de setTabOrder pour les widgets composés ; ajout d'une limite d'expansion pour les entités XML [CVE-2015-9541]
ruby-activeldap	Ajout d'une dépendance manquante à ruby-builder
ruby-hiredis	Certains tests non fiables évités afin de corriger un échec de construction
ruby-http-parser.rb	Correction d'échec de construction lors de l'utilisation de http-parser contenant la correction pour le CVE-2019-15605
ruby-riddle	Utilisation de LOAD DATA LOCAL INFILE permise
sctk	Utilisation de pdftoppm à la place de convert pour convertir de PDF à JPEG parce que ce dernier échoue avec le changement de politique de sécurité d'ImageMagick
twisted	Correction d'un problème de validation incorrecte des méthodes URI et HTTP [CVE-2019-12387], de validation incorrecte de certificats dans la prise en charge de XMPP [CVE-2019-12855], de problèmes de déni de service de HTTP/2, de problèmes de dissimulation de requête HTTP [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], d'un problème de divulgation d'informations quand des redirections inter-domaines sont suivies [CVE-2022-21712], d'un problème de déni de service durant une négociation de connexion SSH [CVE-2022-21716]
tzdata	Mise à jour des données de fuseau horaire pour l'Iran, le Chili et la Palestine ; mise à jour de la liste de secondes intercalaires
ublock-origin	Nouvelle version amont stable
unrar-nonfree	Correction d'un problème de traversée de répertoires [CVE-2022-30333]
wireshark	Correction d'un problème d'exécution de code à distance [CVE-2021-22191] et de problèmes de déni de service [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4836	openvswitch
DSA-4852	openvswitch
DSA-4906	chromium
DSA-4911	chromium
DSA-4917	chromium
DSA-4981	firefox-esr
DSA-5034	thunderbird
DSA-5044	firefox-esr
DSA-5045	thunderbird
DSA-5069	firefox-esr
DSA-5074	thunderbird
DSA-5077	librecad
DSA-5080	snapd
DSA-5086	thunderbird
DSA-5090	firefox-esr
DSA-5094	thunderbird
DSA-5097	firefox-esr
DSA-5106	thunderbird
DSA-5108	tiff
DSA-5109	faad2
DSA-5111	zlib
DSA-5113	firefox-esr
DSA-5115	webkit2gtk
DSA-5118	thunderbird
DSA-5119	subversion
DSA-5122	gzip
DSA-5123	xz-utils
DSA-5126	ffmpeg
DSA-5129	firefox-esr
DSA-5131	openjdk-11
DSA-5132	ecdsautils
DSA-5135	postgresql-11
DSA-5137	needrestart
DSA-5138	waitress
DSA-5139	openssl
DSA-5140	openldap
DSA-5141	thunderbird
DSA-5142	libxml2
DSA-5143	firefox-esr
DSA-5144	condor
DSA-5145	lrzip
DSA-5147	dpkg
DSA-5149	cups
DSA-5150	rsyslog
DSA-5151	smarty3
DSA-5152	spip
DSA-5153	trafficserver
DSA-5154	webkit2gtk
DSA-5156	firefox-esr
DSA-5157	cifs-utils
DSA-5158	thunderbird
DSA-5159	python-bottle
DSA-5160	ntfs-3g
DSA-5164	exo
DSA-5165	vlc
DSA-5167	firejail
DSA-5169	openssl
DSA-5171	squid
DSA-5172	firefox-esr
DSA-5173	linux-latest
DSA-5173	linux-signed-amd64
DSA-5173	linux-signed-arm64
DSA-5173	linux-signed-i386
DSA-5173	linux
DSA-5174	gnupg2
DSA-5175	thunderbird
DSA-5176	blender
DSA-5178	intel-microcode
DSA-5181	request-tracker4
DSA-5182	webkit2gtk
DSA-5185	mat2
DSA-5186	djangorestframework
DSA-5188	openjdk-11
DSA-5189	gsasl
DSA-5190	spip
DSA-5193	firefox-esr
DSA-5194	booth
DSA-5195	thunderbird
DSA-5196	libpgjava

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
elog	non maintenu ; problèmes de sécurité
libnet-amazon-perl	dépend d'une API supprimée

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

https://deb.debian.org/debian/dists/buster/ChangeLog

Adresse de l'actuelle distribution oldstable :

https://deb.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.