Publication de la mise à jour de Debian 9.2
7 octobre 2017
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa
distribution stable Debian 9 (nommée stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Cas particulier pour cette publication, les utilisateurs de l'outil
apt-get
pour réaliser la mise à niveau devront s'assurer d'utiliser la
commande dist-upgrade
, afin de mettre à jour vers les paquets les plus
récents du noyau. Les utilisateurs d'autres outils tels que apt
et
aptitude
devraient utiliser la commande upgrade
.
Corrections de bogues divers
En raison d'une omission durant la préparation de la publication, la
mise à jour habituelle du paquet base-files
pour refléter cette
nouvelle version n'a malheureusement pas été incluse. Une mise à jour du
paquet sera disponible à travers stretch-updates
dans un futur
proche.
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| apt | Correction de problèmes dans apt-daily-upgrade ; correction d'un plantage possible dans la méthode de miroir |
| at-spi2-core | Correction d'un plantage lors du changement de fenêtre |
| bareos | Correction des droits de la configuration de logrotate bareos-dir lors d'une mise à niveau ; correction de corruption de fichier lors de l'utilisation d'une signature SHA1 |
| bind9 | Prise en charge de l'importation de DNSSEC KSK-2017 |
| bridge-utils | Correction d'un problème avec l'absence de création de certaines interfaces de vlan |
| caja | Correction d'une consommation excessive de CPU lors du chargement d'une image de fond |
| chrony | Pas de passage de la commande « burst » à chronyc |
| cross-gcc | Correction de la prise en charge obsolète de gcc 6.3.0-18 |
| cvxopt | Suppression de la couche de compatibilité inutile et non fonctionnelle pour lpx_main() |
| db5.3 | Pas d'accès à DB_CONFIG si db_home n'est pas configuré [CVE-2017-10140] |
| dbus | Nouvelle version amont stable |
| debian-edu-doc | Incorporation de la documentation relative à Stretch et des mises à jour des traductions ; mise à jour du manuel de Debian Edu Stretch à partir du wiki ; remplacement des captures d'écran du menu de démarrage existantes par les plus récentes présentes dans le wiki |
| debian-installer | Mise à jour de l'ABI du noyau Linux vers la version 4 |
| debian-installer-netboot-images | Reconstruction avec proposed-updates |
| desktop-base | Correction d'erreurs de syntaxe XML dans les fichiers de description de fond d'écran de GNOME qui rendent les fonds d'écran Joy indisponibles par défaut ; vérification que postinst n'échoue pas à la mise à jour même quand un paquet de thème incomplet est actif |
| dns-root-data | Mise à jour de root.hints vers la version 2017072601 ; modification de l'état de KSK-2017 à VALID |
| dnsdist | Corrections de sécurité [CVE-2016-7069 CVE-2017-7557] |
| dnsviz | Sélections choisies des corrections liées à des modifications de root.hints et de root.keys |
| dose3 | Correction de la prise en charge de providesgérant les versions – les paquets qui fournissent le même paquet virtuel dans différentes versions ou qui fournissent le même paquet virtuel gérant les versions comme un paquet réel, sont co-installables |
| ecl | Ajout de dépendance manquante de libffi-dev |
| erlang-p1-tls | Correction des courbes ECDH |
| evolution | Correction du blocage lors d'un clic droit dans la fenêtre du compositeur |
| expect | Vérification correcte de la fin de fichier (« EOF ») pour éviter de perdre l'entrée |
| fife | Correction de fuite de mémoire |
| flatpak | Nouvelle version amont stable ; évitement du déploiement de fichiers avec des droits inappropriés ; restauration de la compatibilité avec libostree 2017.7 |
| freerdp | Activation de la prise en charge de TLS >= 1.1 |
| gnome-exe-thumbnailer | Passage à msiinfo de msitools pour la récupération de ProductVersion, remplaçant l'analyse non sûre basée sur VBScript [CVE-2017-11421] ; correction du texte blanc sur blanc illisible sur les étiquettes de version |
| gnupg2 | Correction des problèmes de dirmngr avec des DNS inverses cassés, d'assertion lors de l'utilisation de tofu-default-policy ask, de problèmes multiples avec scdaemon, plus d'avertissement frauduleux lors du partage d'une boîte à clés avec gpg >= 2.1.20 |
| gnutls28 | Correction des erreurs de vérifications d'OCSP, particulièrement avec les signatures ECDSA |
| gosa-plugin-mailaddress | Correction des appels des constructeurs parents, pour la compatibilité avec PHP7 |
| gsoap | Correction d'un dépassement d'entier à l'aide d'un grand document XML [CVE-2017-9765] |
| haveged | Démarrage de haveged.service après l'exécution de systemd-tmpfiles-setup.service |
| ipsec-tools | Correction de sécurité [CVE-2016-10396] |
| irssi | Correction de déréférencement de pointeur NULL [CVE-2017-10965], situation d'utilisation de mémoire après libération pour la liste de pseudonymes [CVE-2017-10966] |
| kanatest | Suppression des attributs DISABLE_DEPRECATED, parce qu'ils provoquent une conversion implicite de pointeur et donc une erreur de segmentation au démarrage |
| kdepim | Correction de send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
| kf5-messagelib | Correction de send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
| krb5 | Correction d'un problème de sécurité où des attaquants distants authentifiés peuvent planter le KDC [CVE-2017-11368] ; correction de démarrage si getaddrinfo() renvoie une adresse multiple v6 et gestion d'adresse multiple v4 spécifiée explicitement ; correction des recherches SRV pour respecter udp_preference_limit |
| lava-tool | Ajout de dépendance manquante à python-simplejson |
| librsb | Correction de bogues sévères conduisant à des résultats numériques erronés |
| libselinux | Reconstruction avec le nouveau sbuild pour corriger la date du changelog |
| libsolv | Correction des dépendances à des modules de Python 3 |
| libwpd | Correction d'un problème de déni de service [CVE-2017-14226] |
| linux | Nouvelle version amont stable |
| linux-latest | Mise à jour vers 4.9.0-4 |
| lzma | Reconstruction avec le nouveau sbuild pour corriger la date du changelog |
| mailman | Correction de dépendances cassées dans contrib/SpamAssassin.py |
| mate-power-manager | Pas d'abandon sur un nom de signal de DBus inconnu |
| mate-themes | Correction de la couleur de police sur la barre d'URL de Google Chrome |
| mate-tweak | Ajout de dépendance manquante à python3-gi |
| ncurses | Correction de divers bogues de plantage dans la bibliothèque et l'exécutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
| nettle | Reconstruction avec le nouveau sbuild pour corriger la date du changelog |
| node-brace-expansion | Correction d'un problème de déni de service d'expression rationnelle |
| node-dateformat | Réglage TZ=UTC pour des tests pour corriger un échec de construction |
| ntp | Construction et installation de /usr/bin/sntp |
| nvidia-graphics-drivers | Nouvelle version amont de la branche à long terme 375.82 – corrections de sécurité [CVE-2017-6257 CVE-2017-6259], ajout de la prise en charge des GPU suivants : GeForce GTX 1080 avec Max-Q Design, GeForce GTX 1070 avec Max-Q Design, GeForce GTX 1060 avec Max-Q Design ; nvidia-kernel-dkms : respect des configurations parallèles de dkms |
| open-vm-tools | Génération aléatoire des noms de répertoire temporaire [CVE-2015-5191] |
| opendkim | Démarrage comme superutilisateur et abandon de droits dans opendkim pour une possession appropriée du fichier de clé |
| openldap | Assouplissement de la dépendance de libldap-2.4-2 à libldap-common pour permettre aussi des versions ultérieures ; correction d'échec de mise à niveau lorsque olcSuffix contient une barre oblique inverse (« \ ») ; plus de lecture de la valeur de l'option LDAP_OPT_X_TLS_REQUIRE_CERT à partir de la mémoire antérieurement libérée ; correction d'une potentielle boucle de réplication infinie dans un scénario de delta-syncrepl à multi-maîtres avec 3 nœuds ou plus ; correction d'une corruption de mémoire provoquée par l'appel de sasl_client_init() de multiples fois et éventuellement simultanément |
| openvpn | Correction de reconnexions cassées dues à un calcul erroné de l'algorithme de « push » |
| osinfo-db | Mise à jour des informations de distribution |
| pcb-rnd | Correction d'exécution de code à cause d'un fichier de conception formé de manière malveillante |
| postfix | Nouvelle version amont stable – envoi de noms de variable à un seul caractère aux filtres de courriels sans {} ; évitement de la dégradation de MIME de l'état de message ou de distribution généré par Postfix ; contournement de la tentative de Berkeley DB de lire la configuration dans le fichier DB_CONFIG |
| python-pampy | Correction de dépendances à des modules de Python 3 |
| request-tracker4 | Correction d'une régression dans une précédente version de sécurité où des mots de passe SHA256 incorrects pourraient déclencher une erreur |
| ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler} : ajout de dépendances manquantes |
| samba | Assurance que la signature SMB est appliquée [CVE-2017-12150] ; conservation du chiffrage requis à travers les redirections DFS de SMB3 [CVE-2017-12151] ; correction de fuite d'information mémoire du serveur sur SMB1 [CVE-2017-12163] ; nouvelle version amont ; correction de libpam-winbind.prerm pour qu'il soit sûr du point de vue multiarchitecture ; ajout de logrotate manquant pour /var/log/samba/log.samba ; correction des serveurs racine du DNS obsolètes ; correction de Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM |
| smplayer | Correction des connexions à YouTube |
| speech-dispatcher | Remise en fonction de spd-conf |
| suricata | Limitation du nombre d'appels récursifs dans le décodeur DER/ASN.1 pour éviter des dépassements de pile |
| swift | Nouvelle version amont stable |
| tbdialout | Inclusion d'un signe plus initial lors de l'utilisation du schéma d'URI tel: |
| tiny-initramfs | Ajout de dépendance manquante à cpio |
| topal | Correction de la mauvaise utilisation de la syntaxe des classes de caractères de sed |
| torsocks | Correction de check_addr() pour qu'il renvoie 0 ou 1 |
| trace-cmd | Correction d'erreur de segmentation lors du traitement de certains fichiers trace |
| unbound | Correction de l'installation de l'ancre de confiance quand deux ancres sont présentes ; dépendance à dns-root-data (>= 2017072601~) pour KSK-2017 |
| unknown-horizons | Correction de fuite de mémoire |
| up-imapproxy | Correction du fichier de service systemd |
| vim | Correction de plusieurs plantages et accès illégaux à la mémoire [CVE-2017-11109] |
| waagent | Nouvelle version amont, avec prise en compte d'Azure Stack |
| webkit2gtk | Version amont de sécurité et de correction de bogues [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
| whois | Correction des références de whois pour .com, .net, .jobs, .bz, .cc et .tv ; ajout de nouveaux serveurs TLD indiens ; mise à jour de la liste des gTLD |
| wrk | Correction d'échecs de construction |
| xfonts-ayu | Correction de la génération de fontes bold et italic |
| xkeyboard-config | Retour des dispositions Indic dans la liste principale de dispositions, permettant à nouveau leur utilisation |
| yadm | Correction d'une situation de compétition qui pourrait permettre l'accès à des clés privées PGP et SSH [CVE-2017-11353] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| clapack | fourche obsolète et non maintenue de lapack |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.