Publication de la mise à jour de Debian 9.12
8 février 2020
Le projet Debian a l'honneur d'annoncer la douzième mise à jour de sa
distribution oldstable Debian 9 (non de code Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version oldstable. Les annonces
de sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
base-files | Mise à jour pour cette version |
cargo | Nouvelle version amont, pour la prise en charge des rétroportages de Firefox ESR ; correction de bootstrap pour armhf |
clamav | Nouvelle version amont ; correction d'un problème de déni de service [CVE-2019-15961] ; retrait de l'option ScanOnAccess, remplacée par clamonacc |
cups | Correction de la validation de la langue par défaut dans ippSetValuetag [CVE-2019-2228] |
debian-installer | Reconstruction avec oldstable-proposed-updates ; réglage gfxpayload=keep aussi dans les sous-menus pour corriger les fontes illisibles dans les affichages hidpi des images netboot amorcées avec EFI ; mise à jour de unstable à Stretch de USE_UDEBS_FROM par défaut pour aider les utilisateurs à réaliser des constructions locales |
debian-installer-netboot-images | Reconstruction avec stretch-proposed-updates |
debian-security-support | Mise à jour de l’état de la prise en charge du suivi de sécurité de divers paquets |
dehydrated | Nouvelle version amont ; utilisation de l'API ACMEv2 par défaut |
dispmua | Nouvelle version amont compatible avec Thunderbird 68 |
dpdk | Nouvelle version amont stable ; correction d'une régression de vhost introduite par la correction pour le CVE-2019-14818 |
fence-agents | Correction d'un retrait incomplet de fence_amt_ws |
fig2dev | Chaînes de texte Fig v2 se terminant par de multiples ^A permises [CVE-2019-19555] |
flightcrew | Corrections de sécurité [CVE-2019-13032 CVE-2019-13241] |
freetype | Gestion correcte des deltas dans les fontes GX de TrueType, corrigeant le rendu des fontes variables lissées dans Chromium et Firefox |
glib2.0 | Assurance que les clients libdbus peuvent s'identifier avec un GDBusServer comme celui dans ibus |
gnustep-base | Correction d'une vulnérabilité d'amplification d'UDP |
italc | Corrections de sécurité [CVE-2018-15126 CVE-2018-15127 CVE-2018-20019 CVE-2018-20020 CVE-2018-20021 CVE-2018-20022 CVE-2018-20023 CVE-2018-20024 CVE-2018-20748 CVE-2018-20749 CVE-2018-20750 CVE-2018-6307 CVE-2018-7225 CVE-2019-15681] |
libdate-holidays-de-perl | Marquage de la journée internationale de l'enfance (20 septembre) comme fériée à partir de 2019 en Thuringe |
libdatetime-timezone-perl | Mise à jour des données incluses |
libidn | Correction d'une vulnérabilité de déni de service dans la gestion de Punycode [CVE-2017-14062] |
libjaxen-java | Correction d'échec de construction en permettant des échecs de test |
libofx | Correction d'un problème de déréférencement de pointeur NULL [CVE-2019-9656] |
libole-storage-lite-perl | Correction de l'interprétation des années à partir de 2020 |
libparse-win32registry-perl | Correction de l'interprétation des années à partir de 2020 |
libperl4-corelibs-perl | Correction de l'interprétation des années à partir de 2020 |
libpst | Correction de la détection de get_current_dir_name et de troncature de retour |
libsixel | Correction de plusieurs problèmes de sécurité [CVE-2018-19756 CVE-2018-19757 CVE-2018-19759 CVE-2018-19761 CVE-2018-19762 CVE-2018-19763 CVE-2019-3573 CVE-2019-3574] |
libsolv | Correction de dépassement de tas [CVE-2019-20387] |
libtest-mocktime-perl | Correction de l'interprétation des années à partir de 2020 |
libtimedate-perl | Correction de l'interprétation des années à partir de 2020 |
libvncserver | RFBserver : pas de fuite de mémoire de pile vers un attaquant distant [CVE-2019-15681] ; gel durant la clôture de connexion et erreur de segmentation résolus dans les serveurs VNC multifils ; correction d'un problème de connexion aux serveurs VMWare ; correction de plantage de x11vnc lors de la connexion de vncviewer |
libxslt | Correction de pointeur bancal dans xsltCopyText [CVE-2019-18197] |
limnoria | Correction de divulgation d'informations et d'exécution potentielle de code à distance dans le greffon Math [CVE-2019-19010] |
linux | Nouvelle version amont stable |
linux-latest | Mise à jour de l'ABI du noyau Linux 4.9.0-12 |
llvm-toolchain-7 | Désactivation de l'éditeur de liens « gold » de s390x ; bootstrap avec -fno-addrsig, la version de binutils de Stretch ne fonctionne pas sur mips64el |
mariadb-10.1 | Nouvelle version amont stable [CVE-2019-2974 CVE-2020-2574] |
monit | Implémentation de valeur de cookie CSRF indépendante de la position |
node-fstream | Lien remplacé s'il est sur le chemin d'un fichier [CVE-2019-13173] |
node-mixin-deep | Correction de pollution de prototype [CVE-2018-3719 CVE-2019-10746] |
nodejs-mozilla | Nouveau paquet pour prendre en charge les rétroportages de Firefox ESR |
nvidia-graphics-drivers-legacy-340xx | Nouvelle version amont stable |
nyancat | Reconstruction dans un environnement propre pour ajouter un fichier unit de systemd pour nyancat-server |
openjpeg2 | Correction de dépassement de tas [CVE-2018-21010], de dépassement d'entier [CVE-2018-20847] et de division par zéro [CVE-2016-9112] |
perl | Correction de l'interprétation des années à partir de 2020 |
php-horde | Correction d'un problème de script intersite stocké dans Cloud Block de Horde [CVE-2019-12095] |
postfix | Nouvelle version stable amont ; contournement des mauvaises performances de la boucle locale TCP |
postgresql-9.6 | Nouvelle version amont |
proftpd-dfsg | Correction de déréférencement de pointeur NULL dans les vérifications de CRL [CVE-2019-19269] |
pykaraoke | Correction du chemin vers les fontes |
python-acme | Passage au protocole POST-as-GET |
python-cryptography | Correction d'échec de la suite de tests lors de la construction avec les nouvelles versions d'OpenSSL |
python-flask-rdf | Correction de dépendances manquantes dans python3-flask-rdf |
python-pgmagick | Gestion de la détection de version des mises à jour de sécurité de graphicsmagick qui s'identifient comme version 1.4 |
python-werkzeug | Assurance que les conteneurs Docker ont des codes PIN de débogage uniques [CVE-2019-14806] |
ros-ros-comm | Correction d'un problème de dépassement de tampon [CVE-2019-13566] ; correction de dépassement d'entier [CVE-2019-13445] |
ruby-encryptor | Échecs des tests ignorés, corrigeant les échecs de construction |
rust-cbindgen | Nouvelle version amont pour prendre en charge les rétroportages de Firefox ESR |
rustc | Nouvelle version amont pour prendre en charge les rétroportages de Firefox ESR |
safe-rm | Installation évitée (et donc interrompue) dans les environnements avec /usr fusionné |
sorl-thumbnail | Contournement d'une exception de pgmagick |
sssd | sysdb : entrées de filtre de recherche nettoyées [CVE-2017-12173] |
tigervnc | Mises à jour de sécurité [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695] |
tightvnc | Corrections de sécurité [CVE-2014-6053 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-8287 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681] |
tmpreaper | Ajout de --protect '/tmp/systemd-private*/*'aux tâches de cron pour éviter de casser les services de systemd configurés avec PrivateTmp=true |
tzdata | Nouvelle version amont |
ublock-origin | Nouvelle version amont, compatible avec Firefox ESR68 |
unhide | Correction d'épuisement de pile |
x2goclient | Retrait de ~/, ~user{,/}, ${HOME}{,/} et $HOME{,/} des chemins de destination en mode SCP ; corrections de régression avec les dernières versions de libssh avec application des correctifs pour le CVE-2019-14889 |
xml-security-c | Correction de la vérification de DSA plante OpenSSL avec des combinaisons non valables de contenus de clé |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
firetray | Incompatible avec les versions actuelles de Thunderbird |
koji | Problèmes de sécurité |
python-lamson | Cassé par des modifications dans python-daemon |
radare2 | Problèmes de sécurité ; l'amont n'offre pas de prise en charge stable |
ruby-simple-form | Inutilisé ; problèmes de sécurité |
trafficserver | Non pris en charge |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.