Publication de la mise à jour de Debian 9.8
16 février 2019

Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa distribution stable Debian 9 (nommée Stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet  Raison
arc Correction de bogues de traversée de répertoires [CVE-2015-9275], du plantage d'arcdie quand il est appelé avec plus d'un argument de variable, et de la lecture de l'en-tête d'arc version 1
astroml-addons  Correction des dépendances à Python 3
base-files  Mise à jour pour cette version
c3p0  Correction d'une vulnérabilité d'injection d'entités externes XML [CVE-2018-20433]
ca-certificates-java  Correction de la création temporaire de jvm-*.cfg sur armhf
chkrootkit  Correction de l'expression rationnelle pour le filtrage de dhcpd et dhclient comme faux positifs à partir de tests du renifleur de paquets
compactheader Mise à jour pour fonctionner avec les dernières versions de Thunderbird
courier Correction des substitutions @piddir@
cups  Corrections de sécurité [CVE-2017-18248 CVE-2018-4700]
debian-edu-config Correction de configuration des pages web personnelles ; réactivation de l'installation hors ligne d'un serveur combiné incluant la prise en charge de stations de travail sans disque ; activation de la configuration de la page d'accueil de Chromium au moment de l'installation et avec LDAP
debian-installer  Reconstruction pour cette version
debian-installer-netboot-images Reconstruction avec les propositions de mises à jour
debian-security-support Mise à jour de l'état de prise en charge de divers paquets
dnspython Correction d'erreur lors de l'analyse de tableaux de bits nsec3 à partir de textes
egg emacsen-install ignoré pour xemacs21 qui n'est pas pris en charge
erlang  Pas d'installation du mode Erlang pour XEmacs
espeakup  debian/espeakup.service : correction de la compatibilité avec les versions antérieures de systemd
freerdp Correction de problèmes de sécurité [CVE-2018-8786 CVE-2018-8787 CVE-2018-8788] ; ajout de la prise en charge de CredSSP v3 et de RDP proto v6
ganeti-os-noop  Correction de la détection de taille pour les périphériques qui ne sont pas des périphériques en mode bloc
glibc Correction de plusieurs problèmes de sécurité [CVE-2017-15670 CVE-2017-15671 CVE-2017-15804 CVE-2017-1000408 CVE-2017-1000409 CVE-2017-16997 CVE-2017-18269 CVE-2018-11236 CVE-2018-11237] ; erreurs de segmentation évitées sur les processeurs avec AVX512-F ; correction d'une utilisation de mémoire après libération dans pthread_create() ; recherche de PostgreSQL dans la vérification de NSS ; correction de pthread_cond_wait() dans le cas de pshared sur les machine non x86.
gnulib  vasnprintf : correction d'un bogue de dépassement de mémoire de tas [CVE-2018-17942]
gnupg2  Plantage évité lors de l'importation sans un TTY
graphite-api  Correction de l'orthographe de RequiresMountsFor dans le service systemd
grokmirror  Ajout de la dépendance manquante à python-pkg-resources
gvrng Correction d'un problème de droits qui empêchait le démarrage de gvrng ; création de dépendances correctes à Python
ibus  Correction de l'installation multi-architecture en retirant la dépendance à Python du paquet gir
icinga2 Correction des estampilles temporelles stockées comme heure locale dans PostgreSQL
intel-microcode Ajout de corrections accumulées pour Westmere EP (signature 0x206c2) [Intel SA-00161 CVE-2018-3615 CVE-2018-3620 CVE-2018-3646 Intel SA-00115 CVE-2018-3639 CVE-2018-3640 Intel SA-0088 CVE-2017-5753 CVE-2017-5754]
isort Correction des dépendances à Python
jdupes  Correction d'un plantage potentiel sur ARM
kmodpy  Retrait de l'étiquette « Multi-Arch : same » incorrecte de python-kmodpy
libapache2-mod-perl2  Sections <Perl> plus autorisées dans la configuration contrôlée par l'utilisateur [CVE-2011-2767]
libb2 Détection de la capacité du système d'utiliser AVX avant son utilisation
libdatetime-timezone-perl Mise à jour des données incluses
libemail-address-list-perl  Correction d'une vulnérabilité de déni de service [CVE-2018-18898]
libemail-address-perl Correction de vulnérabilités de déni de service [CVE-2015-7686 CVE-2018-12558]
libgpod python-gpod : ajout de la dépendance manquante à python-gobject-2
libssh  Correction de l'authentification côté serveur interactive cassée
linux Nouvelle publication amont ; nouvelle version amont ; correction d'échecs de construction sur arm64 et mips* ; libceph : correction de la vérification de CEPH_FEATURE_CEPHX_V2 dans calc_signature()
linux-igd $network requis par le script d'init
lttng-modules Correction de construction avec les noyaux linux-rt 4.9 et les noyaux >= 4.9.0-3
mistral Correction de std.ssh action may disclose presence of arbitrary files [CVE-2018-16849]
monkeysign  Corrections d'un problème de sécurité [CVE-2018-12020] ; envoi de plusieurs courriers électroniques au lieu d'un seul
mpqc  Installation de sc-libtool également
nvidia-graphics-drivers Nouvelle version amont
nvidia-modprobe Nouvelle version amont
nvidia-persistenced Nouvelle version amont
nvidia-settings Nouvelle version amont
nvidia-xconfig  Nouvelle version amont
openni2 Correction de violation de la base commune d'armhf et d'échec de construction depuis le source (« FTBFS ») d'armel provoqué par l'utilisation de NEON
openvpn Correction du comportement de NCP à la reconnexion de TLS, provoquant des erreurs AEAD Decrypt error: cipher final failed
parsedatetime Ajout de la prise en charge de Python 3
pdns  Correction de problèmes de sécurité [CVE-2018-1046 CVE-2018-10851] ; correction de requêtes MySQL avec des procédures stockées ; correction des dorsaux LDAP, Lua et OpenDBX ne trouvant pas de domaine
pdns-recursor Correction de problèmes de sécurité [CVE-2018-10851 CVE-2018-14626 CVE-2018-14644]
photocollage  Ajout de la dépendance manquante à gir1.2-gtk-3.0
postfix Nouvelle version amont stable ; échecs de postconf quand postfix-instance-generator est exécuté pendant le démarrage
postgresql-9.6  Nouvelle version amont
postgrey  Reconstruction sans changement
pylint-django Correction des dépendances à Python 3
python-acme Rétroportage de la version la plus récente à cause de la dépréciation de tls-sni-01
python-arpy Correction des dépendances à Python 3
python-certbot  Rétroportage de la version la plus récente à cause de la dépréciation de tls-sni-01
python-certbot-apache Mise à jour à cause de la dépréciation de tls-sni-01
python-certbot-nginx  Mise à jour à cause de la dépréciation de tls-sni-01
python-hypothesis Correction des dépendances (inverses) à python3-hypothesis et python-hypothesis-doc
python-josepy Nouveau paquet, requis par Certbot
pyzo  Ajout de la dépendance manquante à python3-pkg-resources
r-cran-readxl Correction de bogues de plantage [CVE-2018-20450 CVE-2018-20452]
rtkit Passage de dbus et polkit de Recommends à Depends
ruby-rack Correction d'une possible vulnérabilité de script intersite [CVE-2018-16471]
samba Nouvelle version amont ; s3:ntlm_auth : correction de fuite de mémoire dans manage_gensec_request() ; erreurs de démarrage de nmbd ignorées quand il n'y a pas d'interface non loopback ou pas d'interface locale IPv4 non loopback ; correction de la régression CVE-2018-14629 sur un enregistrement non CNAME
sl-modem  Prise en charge des version de Linux > 3
sogo-connector  Mise à jour pour fonctionner avec les dernières versions de Thunderbird
sox Application effective des corrections pour CVE-2014-8145
ssh-agent-filter  Correction d'écriture de deux octets hors limite de pile
supercollider Désactivation de la prise en charge de XEmacs et Emacs <=23
sympa Retrait de /etc/sympa/sympa.conf-smime.in des fichiers de configuration ; utilisation du chemin complet pour la commande head dans le fichier de configuration de Sympa
twitter-bootstrap3  Correction de plusieurs vulnérabilités de sécurité [CVE-2018-14040 CVE-2018-14041 CVE-2018-14042]
tzdata  Nouvelle version amont
uglifyjs  Correction du contenu de la page de manuel
uriparser Correction de plusieurs vulnérabilités de sécurité [CVE-2018-19198 CVE-2018-19199 CVE-2018-19200]
vm  Suppression de la prise en charge de xemacs21
vulture Ajout de la dépendance manquante à python3-pkg-resources
wayland Correction d'un possible dépassement d'entier [CVE-2017-16612]
wicd  Dépendance systématique à net-tools plutôt qu'aux alternatives
wvstreams Contournement de corruption de pile
xapian-core Correction de fuites de blocs de la liste de blocs dans des cas particuliers, qui sont ensuite signalées comme DatabaseCorruptError par Database::check()
xkeycaps  Erreur de segmentation évitée dans commands.c quand plus de 8 symboles par touche sont présents
yosys Correction de ModuleNotFoundError : No module named 'smtio'
z3  Retrait de l'étiquette « Multi-Arch : same » incorrecte de python-z3
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4330  chromium-browser
DSA-4333  icecast2
DSA-4334  mupdf
DSA-4335  nginx
DSA-4336  ghostscript
DSA-4337  thunderbird
DSA-4338  qemu
DSA-4339  ceph
DSA-4340  chromium-browser
DSA-4342  chromium-browser
DSA-4343  liblivemedia
DSA-4344  roundcube
DSA-4345  samba
DSA-4346  ghostscript
DSA-4347  perl
DSA-4348  openssl
DSA-4349  tiff
DSA-4350  policykit-1
DSA-4351  libphp-phpmailer
DSA-4353  php7.0
DSA-4354  firefox-esr
DSA-4355  openssl1.0
DSA-4356  netatalk
DSA-4357  libapache-mod-jk
DSA-4358  ruby-sanitize
DSA-4359  wireshark
DSA-4360  libarchive
DSA-4361  libextractor
DSA-4362  thunderbird
DSA-4363  python-django
DSA-4364  ruby-loofah
DSA-4365  tmpreaper
DSA-4366  vlc
DSA-4367  systemd
DSA-4368  zeromq3
DSA-4369  xen
DSA-4370  drupal7
DSA-4372  ghostscript
DSA-4375  spice
DSA-4376  firefox-esr
DSA-4377  rssh
DSA-4378  php-pear
DSA-4381  libreoffice
DSA-4382  rssh
DSA-4383  libvncserver
DSA-4384  libgd2
DSA-4386  curl
DSA-4387  openssh
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet  Raison
adblock-plus  Incompatible avec les dernières versions de firefox-esr
calendar-exchange-provider  Incompatible avec les dernières versions de Thunderbird
cookie-monster  Incompatible avec les dernières versions de firefox-esr
corebird  Cassé par les modifications de l'API de Twitter API
debian-buttons  Incompatible avec les dernières versions de firefox-esr
debian-parl Dépend de greffons de Firefox cassés ou supprimés
firefox-branding-iceweasel  Incompatible avec les dernières versions de firefox-esr
firefox-kwallet5  Incompatible avec les dernières versions de firefox-esr
flashblock  Incompatible avec les dernières versions de firefox-esr
flickrbackup  Incompatible avec l'API courante de Flickr
imap-acl-extension  Incompatible avec les dernières versions de firefox-esr
libwww-topica-perl  Inutile du fait de la fermeture du site Topica
mozilla-dom-inspector Incompatible avec les dernières versions de firefox-esr
mozilla-noscript  Incompatible avec les dernières versions de firefox-esr
mozilla-password-editor Incompatible avec les dernières versions de firefox-esr
mozvoikko Incompatible avec les dernières versions de firefox-esr
personaplus Incompatible avec les dernières versions de firefox-esr
python-formalchemy  Inutilisable, échec de l'importation dans Python
refcontrol  Incompatible avec les dernières versions de firefox-esr
requestpolicy Incompatible avec les dernières versions de firefox-esr
spice-xpi Incompatible avec les dernières versions de firefox-esr
toggle-proxy  Incompatible avec les dernières versions de firefox-esr
y-u-no-validate Incompatible avec les dernières versions de firefox-esr
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL
Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/
Annonces et informations de sécurité :

https://security.debian.org/