Publication de la mise à jour de Debian 9.2

7 octobre 2017

Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa distribution stable Debian 9 (nommée stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Cas particulier pour cette publication, les utilisateurs de l'outil apt-get pour réaliser la mise à niveau devront s'assurer d'utiliser la commande dist-upgrade, afin de mettre à jour vers les paquets les plus récents du noyau. Les utilisateurs d'autres outils tels que apt et aptitude devraient utiliser la commande upgrade.

Corrections de bogues divers

En raison d'une omission durant la préparation de la publication, la mise à jour habituelle du paquet base-files pour refléter cette nouvelle version n'a malheureusement pas été incluse. Une mise à jour du paquet sera disponible à travers stretch-updates dans un futur proche.

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apt Correction de problèmes dans apt-daily-upgrade ; correction d'un plantage possible dans la méthode de miroir
at-spi2-core Correction d'un plantage lors du changement de fenêtre
bareos Correction des droits de la configuration de logrotate bareos-dir lors d'une mise à niveau ; correction de corruption de fichier lors de l'utilisation d'une signature SHA1
bind9 Prise en charge de l'importation de DNSSEC KSK-2017
bridge-utils Correction d'un problème avec l'absence de création de certaines interfaces de vlan
caja Correction d'une consommation excessive de CPU lors du chargement d'une image de fond
chrony Pas de passage de la commande « burst » à chronyc
cross-gcc Correction de la prise en charge obsolète de gcc 6.3.0-18
cvxopt Suppression de la couche de compatibilité inutile et non fonctionnelle pour lpx_main()
db5.3 Pas d'accès à DB_CONFIG si db_home n'est pas configuré [CVE-2017-10140]
dbus Nouvelle version amont stable
debian-edu-doc Incorporation de la documentation relative à Stretch et des mises à jour des traductions ; mise à jour du manuel de Debian Edu Stretch à partir du wiki ; remplacement des captures d'écran du menu de démarrage existantes par les plus récentes présentes dans le wiki
debian-installer Mise à jour de l'ABI du noyau Linux vers la version 4
debian-installer-netboot-images Reconstruction avec proposed-updates
desktop-base Correction d'erreurs de syntaxe XML dans les fichiers de description de fond d'écran de GNOME qui rendent les fonds d'écran Joy indisponibles par défaut ; vérification que postinst n'échoue pas à la mise à jour même quand un paquet de thème incomplet est actif
dns-root-data Mise à jour de root.hints vers la version 2017072601 ; modification de l'état de KSK-2017 à VALID
dnsdist Corrections de sécurité [CVE-2016-7069 CVE-2017-7557]
dnsviz Sélections choisies des corrections liées à des modifications de root.hints et de root.keys
dose3 Correction de la prise en charge de provides gérant les versions – les paquets qui fournissent le même paquet virtuel dans différentes versions ou qui fournissent le même paquet virtuel gérant les versions comme un paquet réel, sont co-installables
ecl Ajout de dépendance manquante de libffi-dev
erlang-p1-tls Correction des courbes ECDH
evolution Correction du blocage lors d'un clic droit dans la fenêtre du compositeur
expect Vérification correcte de la fin de fichier (« EOF ») pour éviter de perdre l'entrée
fife Correction de fuite de mémoire
flatpak Nouvelle version amont stable ; évitement du déploiement de fichiers avec des droits inappropriés ; restauration de la compatibilité avec libostree 2017.7
freerdp Activation de la prise en charge de TLS >= 1.1
gnome-exe-thumbnailer Passage à msiinfo de msitools pour la récupération de ProductVersion, remplaçant l'analyse non sûre basée sur VBScript [CVE-2017-11421] ; correction du texte blanc sur blanc illisible sur les étiquettes de version
gnupg2 Correction des problèmes de dirmngr avec des DNS inverses cassés, d'assertion lors de l'utilisation de tofu-default-policy ask, de problèmes multiples avec scdaemon, plus d'avertissement frauduleux lors du partage d'une boîte à clés avec gpg >= 2.1.20
gnutls28 Correction des erreurs de vérifications d'OCSP, particulièrement avec les signatures ECDSA
gosa-plugin-mailaddress Correction des appels des constructeurs parents, pour la compatibilité avec PHP7
gsoap Correction d'un dépassement d'entier à l'aide d'un grand document XML [CVE-2017-9765]
haveged Démarrage de haveged.service après l'exécution de systemd-tmpfiles-setup.service
ipsec-tools Correction de sécurité [CVE-2016-10396]
irssi Correction de déréférencement de pointeur NULL [CVE-2017-10965], situation d'utilisation de mémoire après libération pour la liste de pseudonymes [CVE-2017-10966]
kanatest Suppression des attributs DISABLE_DEPRECATED, parce qu'ils provoquent une conversion implicite de pointeur et donc une erreur de segmentation au démarrage
kdepim Correction de send Later with Delay bypasses OpenPGP [CVE-2017-9604]
kf5-messagelib Correction de send Later with Delay bypasses OpenPGP [CVE-2017-9604]
krb5 Correction d'un problème de sécurité où des attaquants distants authentifiés peuvent planter le KDC [CVE-2017-11368] ; correction de démarrage si getaddrinfo() renvoie une adresse multiple v6 et gestion d'adresse multiple v4 spécifiée explicitement ; correction des recherches SRV pour respecter udp_preference_limit
lava-tool Ajout de dépendance manquante à python-simplejson
librsb Correction de bogues sévères conduisant à des résultats numériques erronés
libselinux Reconstruction avec le nouveau sbuild pour corriger la date du changelog
libsolv Correction des dépendances à des modules de Python 3
libwpd Correction d'un problème de déni de service [CVE-2017-14226]
linux Nouvelle version amont stable
linux-latest Mise à jour vers 4.9.0-4
lzma Reconstruction avec le nouveau sbuild pour corriger la date du changelog
mailman Correction de dépendances cassées dans contrib/SpamAssassin.py
mate-power-manager Pas d'abandon sur un nom de signal de DBus inconnu
mate-themes Correction de la couleur de police sur la barre d'URL de Google Chrome
mate-tweak Ajout de dépendance manquante à python3-gi
ncurses Correction de divers bogues de plantage dans la bibliothèque et l'exécutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle Reconstruction avec le nouveau sbuild pour corriger la date du changelog
node-brace-expansion Correction d'un problème de déni de service d'expression rationnelle
node-dateformat Réglage TZ=UTC pour des tests pour corriger un échec de construction
ntp Construction et installation de /usr/bin/sntp
nvidia-graphics-drivers Nouvelle version amont de la branche à long terme 375.82 – corrections de sécurité [CVE-2017-6257 CVE-2017-6259], ajout de la prise en charge des GPU suivants : GeForce GTX 1080 avec Max-Q Design, GeForce GTX 1070 avec Max-Q Design, GeForce GTX 1060 avec Max-Q Design ; nvidia-kernel-dkms : respect des configurations parallèles de dkms
open-vm-tools Génération aléatoire des noms de répertoire temporaire [CVE-2015-5191]
opendkim Démarrage comme superutilisateur et abandon de droits dans opendkim pour une possession appropriée du fichier de clé
openldap Assouplissement de la dépendance de libldap-2.4-2 à libldap-common pour permettre aussi des versions ultérieures ; correction d'échec de mise à niveau lorsque olcSuffix contient une barre oblique inverse (« \ ») ; plus de lecture de la valeur de l'option LDAP_OPT_X_TLS_REQUIRE_CERT à partir de la mémoire antérieurement libérée ; correction d'une potentielle boucle de réplication infinie dans un scénario de delta-syncrepl à multi-maîtres avec 3 nœuds ou plus ; correction d'une corruption de mémoire provoquée par l'appel de sasl_client_init() de multiples fois et éventuellement simultanément
openvpn Correction de reconnexions cassées dues à un calcul erroné de l'algorithme de « push »
osinfo-db Mise à jour des informations de distribution
pcb-rnd Correction d'exécution de code à cause d'un fichier de conception formé de manière malveillante
postfix Nouvelle version amont stable – envoi de noms de variable à un seul caractère aux filtres de courriels sans {} ; évitement de la dégradation de MIME de l'état de message ou de distribution généré par Postfix ; contournement de la tentative de Berkeley DB de lire la configuration dans le fichier DB_CONFIG
python-pampy Correction de dépendances à des modules de Python 3
request-tracker4 Correction d'une régression dans une précédente version de sécurité où des mots de passe SHA256 incorrects pourraient déclencher une erreur
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler} : ajout de dépendances manquantes
samba Assurance que la signature SMB est appliquée [CVE-2017-12150] ; conservation du chiffrage requis à travers les redirections DFS de SMB3 [CVE-2017-12151] ; correction de fuite d'information mémoire du serveur sur SMB1 [CVE-2017-12163] ; nouvelle version amont ; correction de libpam-winbind.prerm pour qu'il soit sûr du point de vue multiarchitecture ; ajout de logrotate manquant pour /var/log/samba/log.samba ; correction des serveurs racine du DNS obsolètes ; correction de Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM
smplayer Correction des connexions à YouTube
speech-dispatcher Remise en fonction de spd-conf
suricata Limitation du nombre d'appels récursifs dans le décodeur DER/ASN.1 pour éviter des dépassements de pile
swift Nouvelle version amont stable
tbdialout Inclusion d'un signe plus initial lors de l'utilisation du schéma d'URI tel:
tiny-initramfs Ajout de dépendance manquante à cpio
topal Correction de la mauvaise utilisation de la syntaxe des classes de caractères de sed
torsocks Correction de check_addr() pour qu'il renvoie 0 ou 1
trace-cmd Correction d'erreur de segmentation lors du traitement de certains fichiers trace
unbound Correction de l'installation de l'ancre de confiance quand deux ancres sont présentes ; dépendance à dns-root-data (>= 2017072601~) pour KSK-2017
unknown-horizons Correction de fuite de mémoire
up-imapproxy Correction du fichier de service systemd
vim Correction de plusieurs plantages et accès illégaux à la mémoire [CVE-2017-11109]
waagent Nouvelle version amont, avec prise en compte d'Azure Stack
webkit2gtk Version amont de sécurité et de correction de bogues [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois Correction des références de whois pour .com, .net, .jobs, .bz, .cc et .tv ; ajout de nouveaux serveurs TLD indiens ; mise à jour de la liste des gTLD
wrk Correction d'échecs de construction
xfonts-ayu Correction de la génération de fontes bold et italic
xkeyboard-config Retour des dispositions Indic dans la liste principale de dispositions, permettant à nouveau leur utilisation
yadm Correction d'une situation de compétition qui pourrait permettre l'accès à des clés privées PGP et SSH [CVE-2017-11353]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
clapack fourche obsolète et non maintenue de lapack

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.