Publication de la mise à jour de Debian 9.4

10 mars 2018

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 9 (nommée stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
acme-tiny Correction de version obsolète de l'accord du souscripteur
activity-log-manager Ajout de dépendances manquantes à python-zeitgeist
agenda.app Correction de la création de tâches et de rendez-vous
apparmor Déplacement du fichier de fonctions dans /usr/share/apparmor-features ; attachement de l'ensemble de fonctions d'AppArmor au noyau de Stretch
auto-apt-proxy Retrait de la configuration d'apt lors de sa suppression et remise en place à la réinstallation
bareos Correction d'échecs de sauvegarde avec le message No Volume name given
base-files Mise à jour pour cette version
cappuccino Ajout de dépendances manquantes à gir1.2-gtk-3.0
cerealizer Correction de dépendances de Python 3
clamav Nouvelle version amont ; mises à jour de sécurité [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron Transfert correct de tâches système au contexte de system_cronjob_t de SELinux et plus de dépendance aux identifiants particuliers de refpolicy
cups Correction de l'exécution de commandes arbitraires IPP par l'envoi de requêtes POST au démon de CUPS conjointement à une attaque de « DNS rebinding » [CVE-2017-18190]
dbus Nouvelle version amont ; relèvement plus rapide de la limite du nombre de descripteurs de fichier, corrigeant une régression dans la correction d'un déni de service local
debian-edu-config Pré-configuration du navigateur Web Chromium au niveau du système pour qu'il détecte automatiquement la configuration du mandataire http avec WPAD ; possibilité d'association de clients Windows 10 au domaine de Samba de type NT4
debian-installer Passage du noyau Linux de la version 4.9.0-4 à la version 4.9.0-6
debian-installer-netboot-images Mise à jour vers les images 20170615+deb9u3, à partir de stretch-proposed-updates
directfb Correction du filtre basé sur l'architecture pour installer effectivement les pilotes
dpdk Mise à jour vers la nouvelle version stable intermédiaire
espeakup udeb : correction du cas où la carte 0 n'a pas d'identifiant, ou bien où les cartes ont des index non contiguës ; utilisation de l'anglais par défaut ; utilisation de l'identifiant de la carte dans un système installé pour éviter des problèmes avec l'ordre de la détection des cartes
exam Correction de dépendances de Python 3
flatpak Nouvelle version amont ; correction d'un contournement de filtrage D-Bus dans flatpak-dbus-proxy ; ignorer les chaînes d'autorisation non reconnues, plutôt que d'échouer ; interdiction des anciennes écoutes dans le bus de session D-Bus
fuse-zip Correction d'échec de « writeback » avec libzip 1.0
glade Correction de boucle infinie potentielle
glibc Pas de mise à jour de /etc/nsswitch.conf quand son contenu correspond déjà au contenu par défaut ; debian/script.in/nohwcap.sh : vérification systématique que tous les paquets soient optimisés parce que multiarch permet l'installation d'architectures supplémentaires ; accès de lecture de la mémoire après libération évité dans l'appel clntudp [CVE-2017-12133] ; définition du collationnement des caractères chillu du malayalam et correction du collationnement des caractères U+0D36 et U+0D37 du malayalam ; correction d'un forçage non valable dans la fusion de groupes affectant ppc64 et s390x ; correction de la compatibilité avec la convention d'appel __regcall d'Intel C++  ; installation des postinst et postrm de libc-otherbuild dans le paquet de transition libc6-i686 pour s'assurer du retrait correct de /etc/ld.so.nohwcap après une mise à niveau
global Gozilla : protection des URL avant de les passer à BROWSER [CVE-2017-17531]
gnumail Arrêt du lien à OpenSSL
golang-github-go-ldap-ldap Explicitation nécessaire de l'intention de mot de passe vide
gosa-plugin-pwreset Correction d'un appel de constructeur obsolète
grilo-plugins Correction de la source de Radio France
hdf5 Correction de l'invocation de javahelper
inputlirc Inclusion d'input-event-codes.h à la place d'input.h, corrigeant un échec de construction
intercal Nouvelle compilation avec PIE
java-atk-wrapper Correction de l'initialisation de l'itérateur ; correction de référence manquante pour les fils
kildclient Suppression de la prise en charge des navigateurs définis par l'utilisateur [CVE-2017-17511]
libdate-holidays-de-perl Inscription de la fête de la Réforme comme jour férié à Hambourg et au Schleswig-Holstein à partir de 2018
libdatetime-timezone-perl Nouvelle version amont
libhibernate-validator-java Correction d'une possible augmentation de droits en contournant les droits du gestionnaire de sécurité [CVE-2017-7536]
libperlx-assert-perl Ajout de dépendances manquantes à libkeyword-simple-perl et libdevel-declare-perl
libreoffice Exécution permise de WEBSERVICE par FunctionAccess ; utilisation du bon code d'erreur pour les échecs de WEBSERVICE()
libvhdi Ajout de dépendance manquante à Python 3
libvirt QEMU : les disques partagés avec l'option cache=directsync devraient être sûrs pour les migrations ; déni de service de lecture à partir du moniteur de QEMU évité [CVE-2018-5748]
linux Nouvelle version amont
lxc Correction de la création de conteneurs testing et unstable en incluant iproute2 à la place de iproute
mapproxy Correction d'un problème de script intersite (XSS) dans le service demo [CVE-2017-1000426]
mosquitto Correction du caractère lisible par tout le monde du fichier de persistance [CVE-2017-9868]
mpi4py Prise en charge de la version actuelle de libmpi
ncurses Correction de dépassement de tampon dans la fonction _nc_write_entry [CVE-2017-16879]
needrestart Correction du basculement vers le mode liste si debconf est exécuté de façon non-interactive
ntp Augmentation de la taille de la pile à au moins 32 ko
nvidia-graphics-drivers-legacy-304xx Nouvelle version amont
nvidia-graphics-drivers-legacy-340xx Nouvelle version amont
nvidia-modprobe Nouvelle version amont ; exécution de setuid(0) avant la fourche de modprobe pour conserver les droits à travers les invocations de l'interpréteur de commandes et les appels récursifs de modprobe
nvidia-persistenced Nouvelle version amont
nvidia-settings Nouvelle version amont ; correction d'un bogue qui empêchait que les modifications de l'affectation de la vision stéréo soient appliquées à partir du panneau de contrôle de nvidia-settings
nvidia-xconfig Nouvelle version amont ; correction d'une régression qui empêchait que nvidia-xconfig demande certains GPU, par exemple lors de l'exécution de « nvidia-xconfig -a »
ocfs2-tools Migration de l'utilisation de rcS aux « runlevel » standard
opendmarc Mise à jour du fichier du service opendmarc de manière à ce que les modifications dans opendmarc.conf soient utilisées
openssh Correction de in read-only mode, sftp-server was incorrectly permitting creation of zero-length files [CVE-2017-15906]
osinfo-db Mise à jour des données incluses
pdns-recursor Reconstruction avec publicsuffix 20171028.2055-0+deb9u1
postfix Nouvelle version amont de correction de bogues ; pas d'enregistrement des avertissements que certaines restrictions renvoient OK, lorsque la fonctionnalité DISCARD du mappage des accès est effective ; ajout de la prise en charge de dynamicmaps manquants dans la commande sendmail de Postfix ; correction de l'envoi à certains sites avec des enregistrements TLSA 2 X X
postgresql-9.6 Nouvelle version amont
publicsuffix Mise à jour des données incluses
python-evtx Correction de dépendance manquante à Python 3
python-hacking Correction de dépendances de Python 3
python-hkdf Correction de dépendances de Python 3
python-mimeparse Correction de dépendances de Python 3
python-pyperclip Correction de dépendances de Python 3
python-spake2 Correction de dépendances de Python 3
qtpass Correction du générateur intégré de mot de passe non sûr [CVE-2017-18021]
quota Évitement de l'entrée de quotacheck dans une boucle infinie
reportbug Plus d'envoi de courriel à secure-testing-team@lists.alioth.debian.org
rpy Reconstruction avec r-base 3.3
ruby-redis-store Objets non sûrs autorisés à être chargés à partir de redis [CVE-2017-1000248]
salt Correction d'une vulnérabilité de traversée de répertoires dans salt-master avec des identifiants de « minion » contrefaits [CVE-2017-12791], vulnérabilité de traversée de répertoires dans la validation d'identifiants de « minion » dans SaltStack [CVE-2017-14695], déni de service à distance avec une requête d'authentification contrefaite pour l'occasion [CVE-2017-14696] ; vérification que data[return] est de type « dict »
slic3r Correction de la ligne use lib dans tous les binaires installés ; contournement de la macro GL_MULTISAMPLE manquante ; correction de l'importation de STL binaires sur les architectures gros-boutistes
soundtouch Corrections de sécurité  [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd networkd : gestion du champ MTU dans les messages RA IPv6 ; ajout d'un script d'édition de liens pour aider à éviter les collisions de symboles, en particulier avec les modules PAM ; resolved : correction de boucle sur les paquets de type pseudo dns [CVE-2017-15908] ; machinectl : pas de sortie No machines. avec l'option --no-legend
tzdata Nouvelle version amont
ust Correction du chargement de la bibliothèque de l'agent Python
uwsgi Correction d'un dépassement de pile dans la fonction uwsgi_expand_path [CVE-2018-6758]
vagrant Téléchargement de « box » à partir d'app.vagrantcloud.com à la place d'atlas.hashicorp.com obsolète
vdirsyncer Correction de la découverte de contacts de Google
virt-what Réparation de la détection de virt sur arm/aarch64
w3m Correction de dépassement de pile [CVE-2018-6196], déréférencement de pointeur NULL [CVE-2018-6197], situations de compétition de fichiers /tmp [CVE-2018-6198]
waagent Nouvelle version amont
webkit2gtk Nouvelle version amont stable
xchain Correction de dépendance à wish
xrdp Correction d'un problème de sécurité [CVE-2017-16927] ; correction de charge microprocesseur importante lors de ssl_tls_accept

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
dolibarr trop de travail pour le maintenir proprement dans Debian
electrum problèmes de sécurité ; cassé à cause de modifications amont
jirc cassé avec libpoe-filter-xml-perl de Stretch
pgmodeler incompatible avec la version de Postgresql de Stretch
seelablet abandonné par l'amont ; cassé

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.