Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa
distribution stable Debian 9 (nommée « Stretch »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité
ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version stretch mais simplement de faire une mise à jour à
l’aide d’un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/listCorrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
2ping Ajout de dépendance manquante à python-pkg-resources
abiword Résolution du conflit de fichiers binaires entre
abiword-dbgsym et abiword-plugin-grammar-dbgsym
adminer Interdiction des connexions à des ports privilégiés
[CVE-2018-7667]
animals Correction de droits de fichier erronés qui rendent le
jeu inutilisable
apache2 Mise à niveau de mod_http et mod_proxy_http2 vers les
versions à partir de 2.4.33, correction d'erreurs de
segmentation, d'utilisation élevée de la mémoire et
d'un plantage potentiel [CVE-2018-1302] ; le script
d'initialisation apache-htcacheclean utilise réellement
/etc/default/apache-htcacheclean pour sa configuration
auto-complete-el
Ajout du correctif amont pour emacs25 ; ajustement des
dépendances d'emacs aux versions d'emacs dans Stretch ;
réglage d'auto-complete-el.emacsen-compat pour des
avertissements d'installation silencieux
awffull Plus d'utilisation des options supprimées dans
/etc/cron.daily/awffull
ax25-tools Erreur de segmentation évitée au moment de l'exécution
base-files Mise à jour pour cette version
blktrace Correction de dépassement de tampon dans btt
[CVE-2018-10689]
ca-certificates Mise à jour du paquet de CA de Mozilla vers la
version 2.22 ; corrections de bogues
camo Ajout de dépendance manquante à openssl
cffi Ajout de fichiers manquants pour cffi-libffi et
cffi-toolchain ; ajout de plusieurs dépendances
manquantes
check-postgres Mise à jour de la suite de tests pour gérer maintenant
pg_get_indexdef() en incluant toujours le nom de schéma
clamav Nouvelle version amont ; plus d'échec sur les options
de configuration récemment supprimées
clustershell Ajout de dépendance manquante à python-pkg-resources
debian-installer
Mise à jour vers l'ABI du noyau -7
debian-installer-netboot-images
Reconstruction pour cette version
debian-security-support
Mise à jour des données incluses
dehydrated Correction d'un échec de création de fullchain.pem
devscripts uscan : correction de l'expression rationnelle d'une
nouvelle version de paquet pour filenamemangle ;
debsign : correction de la complétion de commande pour
bash ; bts : prise en charge de la nouvelle étiquette
« ftbfs » ; uscan : prise en charge d'HTTPS dans le
redirecteur sf.net ; debcheckout : prise en charge de
salsa.debian.org ; debdiff : tri des fichiers shlibs
avant de les comparer, réduisant le « bruit » dans les
diff ; uscan : prise en charge effective de --copy
disc-cover Correction d'une erreur de Perl lors de l'exécution de
disc-cover
discover Utilisation du type correct pour le paramètre de
longueur de l'appel getline()
django-xmlrpc Correction de dépendances à python3
dosbox Correction de plantages avec core=dynamic
dpdk Nouvelle mise à jour amont stable
dpkg Correction d'un dépassement d'entier dans l'analyseur
de version de format deb(5) ; correction d'une
traversée de répertoire avec dpkg-deb --raw-extract ;
ajout de la prise en charge du processeur riscv64 ; pas
de normalisation des arguments après le passage d'un
mot « stop » dans Dpkg::Getopt ; analyse correcte des
noms et des groupes d'utilisateurs start-stop-daemon
commençant par des chiffres ; utilisation toujours de
la version binaire pour le nom de fichier .buildinfo
dput-ng Ajout des cibles jessie-backports-sloppy et
stretch-backports ; inclusion de « testing » dans les
suites gérées par rm et de « oldstable » dans les
« protected distributions » ; ajout du profil
ports-master ; FTP : analyse et utilisation de la
partie optionnelle [:port] pour le nom de domaine
complètement qualifié
elastix Reconstruction avec ITK qui a été construit avec gcc 6
email2trac Correction de la détection de Trac 1.2
faad2 Correction de plusieurs dénis de service au moyen de
fichiers MP4 contrefaits [CVE-2017-9218 CVE-2017-9219
CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223
CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256
CVE-2017-9257]
faker Ajout de dépendance manquante à python-ipaddress
fastkml Ajout de dépendance manquante à pkg-resources
file Lecture au-delà de la fin d'un tampon évitée
[CVE-2018-10360]
freedink-dfarc Correction d'une traversée de répertoire dans
l'extracteur D-Mod [CVE-2018-0496]
ganeti Vérification correcte des certificats SSL lors de
l'export de VM
ghostscript Correction d'erreur de segmentation avec un fichier à
données aléatoires dans gxht_thresh_image_init ;
correction de dépassement de tampon dans
fill_threshold_buffer [CVE-2016-10317] ; pdfwrite –
protection contre les tentatives de sortie d'un nombre
infini [CVE-2018-10194]
git-annex Corrections de sécurité [CVE-2018-10857 CVE-2018-10859]
glx-alternatives
Nouvelle version amont
gridengine Utilisation des chemins corrects vers les pixmaps de
qmon ; correction d'un échec de construction à partir
des sources sur armhf
intel-microcode Mise à jour du microcode inclus, y compris les
correctifs pour Spectre v2 [CVE-2017-5715]
jdresolve Correction d'une incompatibilité avec libnet-dns-perl
dans Debian 8 et ultérieure
libb64 Reconstruction avec PIE
libdate-holidays-de-perl
Inscription de la fête de la Réforme comme jour férié
dans les régions de Brême et de Basse-Saxe
libdatetime-timezone-perl
Mise à jour des données incluses
libextractor Diverses corrections de sécurité [CVE-2017-15266
CVE-2017-15267 CVE-2017-15600 CVE-2017-15601
CVE-2017-15602 CVE-2017-15922 CVE-2017-17440]
libipc-run-perl Correction de fuite de mémoire
liblouis Correction d'un dépassement de tampon
[CVE-2018-11410] ; correction de plusieurs dépassements
de tampon [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683
CVE-2018-11684 CVE-2018-11685 2018-12085]
libosmium Sortie correcte de coordonnées avec une valeur de
-2^31 ; correction des tampons plus grands que 2^32
octets
linux Nouvelle version amont stable 4.9.110
linux-latest Mise à jour vers l'ABI du noyau -7
llvm-toolchain-4.0
Nouveau paquet pour les rétroportages de rust ;
correction de la construction sur s390x
local-apt-repository
Plus de casse d'apt quand le paquet est retiré mais pas
purgé
loook Correction de la gestion des fichiers protégés par mot
de passe
miniupnpd Correction d'un déni de service [CVE-2017-1000494]
nss-pam-ldapd Augmentation de la taille du tampon de nom d'hôte
nvidia-graphics-drivers
Nouvelle version amont
obfsproxy Pas d'installation du profil cassé d'AppArmor
openldap Correction d'un problème de désynchronisation avec la
réplication de delta-syncrepl dans des environnements
multi-maîtres ; correction réelle de mises à niveau
lorsque la configuration contient des caractères
spéciaux protégés par une barre oblique inverse (« \ »)
openstack-debian-images
Configuration de CloudStack après OpenStack dans
datasource_list pour éviter une attente de 120 s dans
cloud-init lors de l'amorçage d'une machine dans un
nuage OpenStack
patch Correction d'exécution de commande arbitraire dans les
rustines de type ed [CVE-2018-1000156]
piglit Correction d'une dépendance manquante à python-mako
postgresql-9.6 Nouvelle version amont
postgresql-common
Mise à jour ou retrait des paquets du serveur
n'arrêtant plus les autres grappes d'une version
majeure lors de l'exécution de systemd
psad Ajout de dépendances manquantes à net-tools et iproute2
pysurfer Ajout de dépendance manquante à python-matplotlib
python-cluster Ajout de dépendance manquante à pkg-resources
python-pyorick Correction d'un échec d'importation en ajoutant une
dépendance manquante à python3-numpy
python-scruffy Ajout de dépendances manquantes à pkg-resources
r-cran-mi Ajout de dépendance manquante à r-cran-arm
redis Correction de l'erreur RunTimeDirectory ->
RuntimeDirectory dans les fichiers .service de systemd
reportbug Notification à l'équipe de sécurité ou à l'équipe LTS
d'une possible régression lors du rapport d'un bogue
sur un paquet renfermant un correctif de sécurité
rustc Nouvelle version amont pour la prise en charge de
Firefox ESR
salt Correction de « salt-ssh minion copied over
configuration from the Salt Master without adjusting
permissions » [CVE-2017-8109]
shared-mime-info
Passage de « dpkg trigger » à « noawait », corrigeant
des problèmes de mise à niveau depuis Jessie
showq Correction d'un préfixe, ainsi l'application fonctionne
réellement
source-highlight
Correction d'une dépendance à libboost-regex-dev
starplot Correction d'un plantage au démarrage
subversion Rejet des correctifs qui introduiraient des collisions
de hachage avec des données existantes, traitant donc
le problème « SHA1/SHAttered »
sus Mise à jour vers la nouvelle version, techniquement
identique à SUSv4 + TC1 + TC2
systemd networkd-ndisc : gestion élégante d'absence de MTU ;
configuration de RemoveIPC= autorisée dans le fichier
unit pas seulement au moyen de D-Bus ; nspawn : ajout
de -E manquant à getopt_long' ; login : respect de
--no-wall lors de l'annulation d'une requête d'arrêt
tclreadline Correction d'une bibliothèque partagée construite sur
ppc64el
thefuck Ajout de dépendance manquante à pkg-resources
tinyproxy Pas d'arrêt d'écoute après SIGHUP ; correction d'un
chemin de fichier de configuration ; ajout de
dépendance manquante à adduser
tlslite-ng Vérification de MAC même si le remplissage a une longueur d'un octet
tzdata Nouvelle version amont
unison Reconstruction avec ocaml de Stretch
variety Correction d'une injection de commande lors de la
suppression de fichiers vers la corbeille ; correction
d'une injection de commande dans les filtres et
l'horloge avec des noms de fichiers contrefaits pour
l'occasion ; sécurisation des appels d'ImageMagick
contre une potentielle injection de commande
xapian-core Correction de MSet::snippet() pour protéger HTML dans
tous les cas [CVE-2018-499]
xerces-c Correction d'un déni de service au moyen d'une
référence DTD externe [CVE-2017-12627] ; correction
d'une régression qui forçait gcc à utiliser SSE2,
même sur les plateformes qui ne le gèrent pas
xrdp Correction d'une erreur due à un décalage d'entier qui
pourrait mener à des plantages
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4010 git-annex
DSA-4064 chromium-browser
DSA-4113 libvorbis
DSA-4133 isc-dhcp
DSA-4134 util-linux
DSA-4135 samba
DSA-4136 curl
DSA-4137 libvirt
DSA-4138 mbedtls
DSA-4139 firefox-esr
DSA-4140 libvorbis
DSA-4141 libvorbisidec
DSA-4142 uwsgi
DSA-4143 firefox-esr
DSA-4144 openjdk-8
DSA-4145 gitlab
DSA-4146 plexus-utils
DSA-4148 kamailio
DSA-4150 icu
DSA-4151 librelp
DSA-4152 mupdf
DSA-4153 firefox-esr
DSA-4155 thunderbird
DSA-4156 drupal7
DSA-4157 openssl
DSA-4158 openssl1.0
DSA-4159 remctl
DSA-4160 libevt
DSA-4161 python-django
DSA-4162 irssi
DSA-4163 beep
DSA-4164 apache2
DSA-4165 ldap-account-manager
DSA-4167 sharutils
DSA-4169 pcs
DSA-4170 pjproject
DSA-4171 ruby-loofah
DSA-4172 perl
DSA-4173 r-cran-readxl
DSA-4174 corosync
DSA-4175 freeplane
DSA-4177 libsdl2-image
DSA-4178 libreoffice
DSA-4180 drupal7
DSA-4181 roundcube
DSA-4183 tor
DSA-4184 sdl-image1.2
DSA-4185 openjdk-8
DSA-4188 linux
DSA-4189 quassel
DSA-4190 jackson-databind
DSA-4191 redmine
DSA-4192 libmad
DSA-4193 wordpress
DSA-4194 lucene-solr
DSA-4195 wget
DSA-4196 linux
DSA-4197 wavpack
DSA-4198 prosody
DSA-4199 firefox-esr
DSA-4200 wallet-pam
DSA-4201 xen
DSA-4202 curl
DSA-4203 vlc
DSA-4203 phonon-backend-vlc
DSA-4203 goldencheetah
DSA-4206 gitlab
DSA-4206 ruby-omniauth-auth0
DSA-4207 packagekit
DSA-4208 procps
DSA-4209 thunderbird
DSA-4210 xen
DSA-4211 xdg-utils
DSA-4212 git
DSA-4213 qemu
DSA-4214 zookeeper
DSA-4215 batik
DSA-4216 prosody
DSA-4217 wireshark
DSA-4218 memcached
DSA-4219 jruby
DSA-4220 firefox-esr
DSA-4221 libvncserver
DSA-4222 gnupg2
DSA-4223 gnupg1
DSA-4226 perl
DSA-4227 plexus-archiver
DSA-4228 spip
DSA-4229 strongswan
DSA-4230 redis
DSA-4231 libgcrypt20
DSA-4232 xen
DSA-4233 bouncycastle
DSA-4234 lava-server
DSA-4235 firefox-esr
DSA-4236 xen
DSA-4238 exiv2
DSA-4239 gosa
DSA-4240 php7.0
DSA-4241 libsoup2.4
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
libnet-whois-perl Cassé
mlbviewer Ne fonctionne plus à cause de modifications du
fournisseur de contenus
python-uniconvertor Inutilisable ; réclame une dépendance non
empaquetée
singularity-container Pas de prise en charge de sécurité
undertow Non pris en charge ; plusieurs problèmes de
sécurité ; des alternatives existent
visionegg Inutilisable ; réclame numpy.oldnumeric plus
disponible
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.