Publication de la mise à jour de Debian 9.9

27 avril 2019

Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa distribution stable Debian 9 (nommée Stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

https://www.debian.org/mirror/list

Un cas particulier pour cette publication est que les personnes qui utilisent l'outil apt-get pour réaliser leurs mises à niveau devront s'assurer d'utiliser la commande dist-upgrade, afin de mettre à jour vers les paquets les plus récents du noyau. Les utilisateurs d'autres outils tels que apt et aptitude utiliseront la commande upgrade.

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
audiofile	Correction de problèmes de déni de service [CVE-2018-13440] et de dépassement de tampon [CVE-2018-17095]
base-files	Mise à jour pour cette version
bwa	Correction de dépassement de tampon [CVE-2019-10269]
ca-certificates-java	Correction de bashismes dans postinst et jks-keystore
cernlib	Application aux modules Fortran de l'option d'optimisation -O à la place de -O2 qui génère du code cassé ; correction d'échec de construction sur arm64 en désactivant PIE pour les exécutables Fortran
choose-mirror	Mise à jour de la liste de miroirs inclus
chrony	Correction de la journalisation des mesures et des statistiques, et arrêt de chronyd, sur certaines plateformes lorsque le filtrage seccomp est activé
ckermit	Suppression de la vérification de version d'OpenSSL
clamav	Correction d'accès au tas hors limites lors de l'analyse de documents PDF [CVE-2019-1787], de fichiers PE empaquetés avec Aspack [CVE-2019-1789] ou de fichiers OLE2 [CVE-2019-1788]
dansguardian	Ajout de missingok à la configuration de logrotate
debian-installer	Reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction avec proposed-updates
debian-security-support	Mise à jour des états de la prise en charge
diffoscope	Correction de tests pour qu'ils fonctionnent avec Ghostscript 9.26
dns-root-data	Mise à jour des données racine à 2019031302
dnsruby	Ajout de nouvelles clés racine (KSK-2017) ; abandon de TimeoutError, utilisation de Timeout::Error dans ruby 2.3.0
dpdk	Nouvelle version amont stable
edk2	Correction de dépassement de tampon dans le service BlockIo [CVE-2018-12180] ; DNS : vérification de la taille des paquets reçus avant utilisation [CVE-2018-12178] ; correction de dépassement de pile avec des fichiers BMP corrompus [CVE-2018-12181]
firmware-nonfree	atheros/iwlwifi : mise à jour du microprogramme BlueTooth [CVE-2018-5383]
flatpak	Rejet de tous les contrôles d'entrées et de sorties que le noyau interpréterait comme TIOCSTI [CVE-2019-10063]
geant321	Reconstruction avec cernlib avec des optimisations de Fortran corrigées
gnome-chemistry-utils	Arrêt de la construction du paquet gcu-plugin obsolète
gocode	gocode-auto-complete-el : promotion d'auto-complete-el pour Pre-Depends pour assurer des mises à niveau réussies
gpac	Correction de dépassement de tampons [CVE-2018-7752 CVE-2018-20762], de dépassements de tas [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761], d'écritures hors limites [CVE-2018-20760 CVE-2018-20763]
icedtea-web	Arrêt de la construction du greffon du navigateur ne fonctionnant plus avec Firefox 60
igraph	Correction d'un plantage lors du chargement de fichiers GraphML mal formés [CVE-2018-20349]
jabref	Correction d'une attaque d’entités externes XML [CVE-2018-1000652]
java-common	Retrait du paquet default-java-plugin, dans la mesure où le greffon XUL icedtea-web a été retiré
jquery	Pollution de Object.prototype évitée [CVE-2019-11358]
kauth	Correction de gestion non sécurisée des arguments dans les assistants [CVE-2019-7443]
libdate-holidays-de-perl	Ajout du 8 mars (à partir de 2019) et du 8 mai (uniquement en 2020) comme jours fériés (à Berlin seulement)
libdatetime-timezone-perl	Mise à jour des données incluses
libreoffice	Introduction de la nouvelle ère japonaise « Reiwa » ; faire que -core entre en conflit avec openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), qui a un ClassPathURLCheck cassé
linux	Nouvelle version amont stable
linux-latest	Mise à jour de l'ABI du noyau vers la version -9
mariadb-10.1	Nouvelle version amont stable
mclibs	Reconstruction avec cernlib avec des optimisations de Fortran corrigées
ncmpc	Correction d'un déréférencement de pointeur NULL [CVE-2018-9240]
node-superagent	Correction d'attaques de bombe de décompression [CVE-2017-16129] ; correction d'une erreur de syntaxe
nvidia-graphics-drivers	Nouvelle version amont stable [CVE-2018-6260]
nvidia-settings	Nouvelle version amont stable
obs-build	Pas de permission d'écriture de fichiers dans le système hôte [CVE-2017-14804]
paw	Reconstruction avec cernlib avec des optimisations de Fortran corrigées
perlbrew	URL HTTPS vers CPAN autorisées
postfix	Nouvelle version amont stable
postgresql-9.6	Nouvelle version amont stable
psk31lx	Tri de version correct pour éviter de problèmes potentiels de mise à niveau
publicsuffix	Mise à jour des données incluses
pyca	Ajout de missingok à la configuration de logrotate
python-certbot	Retour à debhelper compat 9 pour s'assurer que les minuteurs de systemd sont correctement démarrés
python-cryptography	Retrait de BIO_callback_ctrl : le prototype diffère de sa définition par OpenSSL après qu'il a été modifié (corrigé) dans OpenSSL
python-django-casclient	Application de la correction de l'intergiciel django 1.10 ; python(3)-django-casclient : correction de dépendance manquante à python(3)-django
python-mode	Retrait de la prise en charge de xemacs21
python-pip	Captation correcte des HTTPError des requêtes dans index.py
python-pykmip	Correction d'un possible problème de déni de service [CVE-2018-1000872]
r-cran-igraph	Correction de déni de service au moyen d'un objet contrefait [CVE-2018-20349]
rails	Correction de problèmes de divulgation d'informations [CVE-2018-16476 CVE-2019-5418], d'un problème de déni de service [CVE-2019-5419]
rsync	Plusieurs corrections de sécurité pour zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843]
ruby-i18n	Vulnérabilité de déni de service distant évitée [CVE-2014-10077]
ruby2.3	Correction d'échec de construction à partir des sources
runc	Correction d'une vulnérabilité par augmentation de droits administrateur [CVE-2019-5736]
systemd	journald : correction d'un échec d'assertion dans journal_file_link_data ; tmpfiles : correction de e pour prendre en charge des motifs génériques de l’interpréteur de commandes ; mount-util : acceptation de l'échec potentiel de name_to_handle_at() avec EPERM ; automount : acceptation des requêtes de montage automatique même quand il est déjà monté [CVE-2018-1049] ; correction d'une possible augmentation de droits administrateur [CVE-2018-15686]
twitter-bootstrap3	Correction d'un problème de script intersite dans tooltips ou popovers [CVE-2019-8331]
tzdata	Nouvelle version stable
unzip	Correction de dépassement de tampon dans les archives ZIP protégées par mot de passe [CVE-2018-1000035]
vcftools	Correction d'une divulgation d'informations [CVE-2018-11099] et d'un déni de service [CVE-2018-11129 CVE-2018-11130] au moyen de fichiers contrefaits
vips	Correction de déréférencement de pointeur de fonction NULL [CVE-2018-7998] et d'accès mémoire non initialisé [CVE-2019-6976]
waagent	Nouvelle version stable avec plusieurs corrections d'Azure [CVE-2019-0804]
yorick-av	Réajustement des horodatages des images ; configuration de la taille du tampon VBV pour les fichiers MPEG1/2
zziplib	Correction d'accès non valable en mémoire [CVE-2018-6381], d'erreur de bus [CVE-2018-6540], de lecture hors limites [CVE-2018-7725], de plantage au moyen d'un fichier ZIP contrefait [CVE-2018-7726], de fuite de mémoire [CVE-2018-16548] ; rejet de fichier ZIP si la taille du répertoire central ou si le décalage du début répertoire central pointent au-delà de la fin du fichier ZIP [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4259	ruby2.3
DSA-4332	ruby2.3
DSA-4341	mariadb-10.1
DSA-4373	coturn
DSA-4374	qtbase-opensource-src
DSA-4377	rssh
DSA-4385	dovecot
DSA-4387	openssh
DSA-4388	mosquitto
DSA-4389	libu2f-host
DSA-4390	flatpak
DSA-4391	firefox-esr
DSA-4392	thunderbird
DSA-4393	systemd
DSA-4394	rdesktop
DSA-4396	ansible
DSA-4397	ldb
DSA-4398	php7.0
DSA-4399	ikiwiki
DSA-4400	openssl1.0
DSA-4401	wordpress
DSA-4402	mumble
DSA-4403	php7.0
DSA-4405	openjpeg2
DSA-4406	waagent
DSA-4407	xmltooling
DSA-4408	liblivemedia
DSA-4409	neutron
DSA-4410	openjdk-8
DSA-4411	firefox-esr
DSA-4412	drupal7
DSA-4413	ntfs-3g
DSA-4414	libapache2-mod-auth-mellon
DSA-4415	passenger
DSA-4416	wireshark
DSA-4417	firefox-esr
DSA-4418	dovecot
DSA-4419	twig
DSA-4420	thunderbird
DSA-4422	apache2
DSA-4423	putty
DSA-4424	pdns
DSA-4425	wget
DSA-4426	tryton-server
DSA-4427	samba
DSA-4428	systemd
DSA-4429	spip
DSA-4430	wpa
DSA-4431	libssh2
DSA-4432	ghostscript
DSA-4433	ruby2.3
DSA-4434	drupal7

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
gcontactsync	Incompatible avec les dernières versions de firefox-esr
google-tasks-sync	Incompatible avec les dernières versions de firefox-esr
mozilla-gnome-kerying	Incompatible avec les dernières versions de firefox-esr
tbdialout	Incompatible avec les dernières versions de Thunderbird
timeline	Incompatible avec les dernières versions de Thunderbird

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.