Publication de la mise à jour de Debian 9.9
27 avril 2019
Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa
distribution stable Debian 9 (nommée Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Un cas particulier pour cette publication est que les personnes qui utilisent
l'outil apt-get
pour réaliser leurs mises à niveau devront s'assurer
d'utiliser la commande dist-upgrade
, afin de mettre à jour vers les paquets
les plus récents du noyau. Les utilisateurs d'autres outils tels que apt
et
aptitude
utiliseront la commande upgrade
.
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
audiofile | Correction de problèmes de déni de service [CVE-2018-13440] et de dépassement de tampon [CVE-2018-17095] |
base-files | Mise à jour pour cette version |
bwa | Correction de dépassement de tampon [CVE-2019-10269] |
ca-certificates-java | Correction de bashismes dans postinst et jks-keystore |
cernlib | Application aux modules Fortran de l'option d'optimisation -O à la place de -O2 qui génère du code cassé ; correction d'échec de construction sur arm64 en désactivant PIE pour les exécutables Fortran |
choose-mirror | Mise à jour de la liste de miroirs inclus |
chrony | Correction de la journalisation des mesures et des statistiques, et arrêt de chronyd, sur certaines plateformes lorsque le filtrage seccomp est activé |
ckermit | Suppression de la vérification de version d'OpenSSL |
clamav | Correction d'accès au tas hors limites lors de l'analyse de documents PDF [CVE-2019-1787], de fichiers PE empaquetés avec Aspack [CVE-2019-1789] ou de fichiers OLE2 [CVE-2019-1788] |
dansguardian | Ajout de missingokà la configuration de logrotate |
debian-installer | Reconstruction avec proposed-updates |
debian-installer-netboot-images | Reconstruction avec proposed-updates |
debian-security-support | Mise à jour des états de la prise en charge |
diffoscope | Correction de tests pour qu'ils fonctionnent avec Ghostscript 9.26 |
dns-root-data | Mise à jour des données racine à 2019031302 |
dnsruby | Ajout de nouvelles clés racine (KSK-2017) ; abandon de TimeoutError, utilisation de Timeout::Error dans ruby 2.3.0 |
dpdk | Nouvelle version amont stable |
edk2 | Correction de dépassement de tampon dans le service BlockIo [CVE-2018-12180] ; DNS : vérification de la taille des paquets reçus avant utilisation [CVE-2018-12178] ; correction de dépassement de pile avec des fichiers BMP corrompus [CVE-2018-12181] |
firmware-nonfree | atheros/iwlwifi : mise à jour du microprogramme BlueTooth [CVE-2018-5383] |
flatpak | Rejet de tous les contrôles d'entrées et de sorties que le noyau interpréterait comme TIOCSTI [CVE-2019-10063] |
geant321 | Reconstruction avec cernlib avec des optimisations de Fortran corrigées |
gnome-chemistry-utils | Arrêt de la construction du paquet gcu-plugin obsolète |
gocode | gocode-auto-complete-el : promotion d'auto-complete-el pour Pre-Depends pour assurer des mises à niveau réussies |
gpac | Correction de dépassement de tampons [CVE-2018-7752 CVE-2018-20762], de dépassements de tas [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761], d'écritures hors limites [CVE-2018-20760 CVE-2018-20763] |
icedtea-web | Arrêt de la construction du greffon du navigateur ne fonctionnant plus avec Firefox 60 |
igraph | Correction d'un plantage lors du chargement de fichiers GraphML mal formés [CVE-2018-20349] |
jabref | Correction d'une attaque d’entités externes XML [CVE-2018-1000652] |
java-common | Retrait du paquet default-java-plugin, dans la mesure où le greffon XUL icedtea-web a été retiré |
jquery | Pollution de Object.prototype évitée [CVE-2019-11358] |
kauth | Correction de gestion non sécurisée des arguments dans les assistants [CVE-2019-7443] |
libdate-holidays-de-perl | Ajout du 8 mars (à partir de 2019) et du 8 mai (uniquement en 2020) comme jours fériés (à Berlin seulement) |
libdatetime-timezone-perl | Mise à jour des données incluses |
libreoffice | Introduction de la nouvelle ère japonaise « Reiwa » ; faire que -core entre en conflit avec openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), qui a un ClassPathURLCheck cassé |
linux | Nouvelle version amont stable |
linux-latest | Mise à jour de l'ABI du noyau vers la version -9 |
mariadb-10.1 | Nouvelle version amont stable |
mclibs | Reconstruction avec cernlib avec des optimisations de Fortran corrigées |
ncmpc | Correction d'un déréférencement de pointeur NULL [CVE-2018-9240] |
node-superagent | Correction d'attaques de bombe de décompression [CVE-2017-16129] ; correction d'une erreur de syntaxe |
nvidia-graphics-drivers | Nouvelle version amont stable [CVE-2018-6260] |
nvidia-settings | Nouvelle version amont stable |
obs-build | Pas de permission d'écriture de fichiers dans le système hôte [CVE-2017-14804] |
paw | Reconstruction avec cernlib avec des optimisations de Fortran corrigées |
perlbrew | URL HTTPS vers CPAN autorisées |
postfix | Nouvelle version amont stable |
postgresql-9.6 | Nouvelle version amont stable |
psk31lx | Tri de version correct pour éviter de problèmes potentiels de mise à niveau |
publicsuffix | Mise à jour des données incluses |
pyca | Ajout de missingokà la configuration de logrotate |
python-certbot | Retour à debhelper compat 9 pour s'assurer que les minuteurs de systemd sont correctement démarrés |
python-cryptography | Retrait de BIO_callback_ctrl : le prototype diffère de sa définition par OpenSSL après qu'il a été modifié (corrigé) dans OpenSSL |
python-django-casclient | Application de la correction de l'intergiciel django 1.10 ; python(3)-django-casclient : correction de dépendance manquante à python(3)-django |
python-mode | Retrait de la prise en charge de xemacs21 |
python-pip | Captation correcte des HTTPError des requêtes dans index.py |
python-pykmip | Correction d'un possible problème de déni de service [CVE-2018-1000872] |
r-cran-igraph | Correction de déni de service au moyen d'un objet contrefait [CVE-2018-20349] |
rails | Correction de problèmes de divulgation d'informations [CVE-2018-16476 CVE-2019-5418], d'un problème de déni de service [CVE-2019-5419] |
rsync | Plusieurs corrections de sécurité pour zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843] |
ruby-i18n | Vulnérabilité de déni de service distant évitée [CVE-2014-10077] |
ruby2.3 | Correction d'échec de construction à partir des sources |
runc | Correction d'une vulnérabilité par augmentation de droits administrateur [CVE-2019-5736] |
systemd | journald : correction d'un échec d'assertion dans journal_file_link_data ; tmpfiles : correction de epour prendre en charge des motifs génériques de l’interpréteur de commandes ; mount-util : acceptation de l'échec potentiel de name_to_handle_at() avec EPERM ; automount : acceptation des requêtes de montage automatique même quand il est déjà monté [CVE-2018-1049] ; correction d'une possible augmentation de droits administrateur [CVE-2018-15686] |
twitter-bootstrap3 | Correction d'un problème de script intersite dans tooltips ou popovers [CVE-2019-8331] |
tzdata | Nouvelle version stable |
unzip | Correction de dépassement de tampon dans les archives ZIP protégées par mot de passe [CVE-2018-1000035] |
vcftools | Correction d'une divulgation d'informations [CVE-2018-11099] et d'un déni de service [CVE-2018-11129 CVE-2018-11130] au moyen de fichiers contrefaits |
vips | Correction de déréférencement de pointeur de fonction NULL [CVE-2018-7998] et d'accès mémoire non initialisé [CVE-2019-6976] |
waagent | Nouvelle version stable avec plusieurs corrections d'Azure [CVE-2019-0804] |
yorick-av | Réajustement des horodatages des images ; configuration de la taille du tampon VBV pour les fichiers MPEG1/2 |
zziplib | Correction d'accès non valable en mémoire [CVE-2018-6381], d'erreur de bus [CVE-2018-6540], de lecture hors limites [CVE-2018-7725], de plantage au moyen d'un fichier ZIP contrefait [CVE-2018-7726], de fuite de mémoire [CVE-2018-16548] ; rejet de fichier ZIP si la taille du répertoire central ou si le décalage du début répertoire central pointent au-delà de la fin du fichier ZIP [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
gcontactsync | Incompatible avec les dernières versions de firefox-esr |
google-tasks-sync | Incompatible avec les dernières versions de firefox-esr |
mozilla-gnome-kerying | Incompatible avec les dernières versions de firefox-esr |
tbdialout | Incompatible avec les dernières versions de Thunderbird |
timeline | Incompatible avec les dernières versions de Thunderbird |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.