Publication de la mise à jour de Debian 9.5
14 juillet 2018
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa
distribution stable Debian 9 (nommée Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
2ping | Ajout de dépendance manquante à python-pkg-resources |
abiword | Résolution du conflit de fichiers binaires entre abiword-dbgsym et abiword-plugin-grammar-dbgsym |
adminer | Interdiction des connexions à des ports privilégiés [CVE-2018-7667] |
animals | Correction de droits de fichier erronés qui rendent le jeu inutilisable |
apache2 | Mise à niveau de mod_http et mod_proxy_http2 vers les versions à partir de 2.4.33, correction d'erreurs de segmentation, d'utilisation élevée de la mémoire et d'un plantage potentiel [CVE-2018-1302] ; le script d'initialisation apache-htcacheclean utilise réellement /etc/default/apache-htcacheclean pour sa configuration |
auto-complete-el | Ajout du correctif amont pour emacs25 ; ajustement des dépendances d'emacs aux versions d'emacs dans Stretch ; réglage d'auto-complete-el.emacsen-compat pour des avertissements d'installation silencieux |
awffull | Plus d'utilisation des options supprimées dans /etc/cron.daily/awffull |
ax25-tools | Erreur de segmentation évitée au moment de l'exécution |
base-files | Mise à jour pour cette version |
blktrace | Correction de dépassement de tampon dans btt [CVE-2018-10689] |
ca-certificates | Mise à jour du paquet de CA de Mozilla vers la version 2.22 ; corrections de bogues |
camo | Ajout de dépendance manquante à openssl |
cffi | Ajout de fichiers manquants pour cffi-libffi et cffi-toolchain ; ajout de plusieurs dépendances manquantes |
check-postgres | Mise à jour de la suite de tests pour gérer maintenant pg_get_indexdef() en incluant toujours le nom de schéma |
clamav | Nouvelle version amont ; plus d'échec sur les options de configuration récemment supprimées |
clustershell | Ajout de dépendance manquante à python-pkg-resources |
debian-installer | Mise à jour vers l'ABI du noyau -7 |
debian-installer-netboot-images | Reconstruction pour cette version |
debian-security-support | Mise à jour des données incluses |
dehydrated | Correction d'un échec de création de fullchain.pem |
devscripts | uscan : correction de l'expression rationnelle d'une nouvelle version de paquet pour filenamemangle ; debsign : correction de la complétion de commande pour bash ; bts : prise en charge de la nouvelle étiquette ftbfs; uscan : prise en charge d'HTTPS dans le redirecteur sf.net ; debcheckout : prise en charge de salsa.debian.org ; debdiff : tri des fichiers shlibs avant de les comparer, réduisant le « bruit » dans les diff ; uscan : prise en charge effective de --copy |
disc-cover | Correction d'une erreur de Perl lors de l'exécution de disc-cover |
discover | Utilisation du type correct pour le paramètre de longueur de l'appel getline() |
django-xmlrpc | Correction de dépendances à python3 |
dosbox | Correction de plantages avec core=dynamic |
dpdk | Nouvelle mise à jour amont stable |
dpkg | Correction d'un dépassement d'entier dans l'analyseur de version de format deb(5) ; correction d'une traversée de répertoire avec dpkg-deb --raw-extract ; ajout de la prise en charge du processeur riscv64 ; pas de normalisation des arguments après le passage d'un mot « stop » dans Dpkg::Getopt ; analyse correcte des noms et des groupes d'utilisateurs start-stop-daemon commençant par des chiffres ; utilisation systématique de la version binaire pour le nom de fichier .buildinfo |
dput-ng | Ajout des cibles jessie-backports-sloppy et stretch-backports ; inclusion de « testing » dans les suites gérées par rm et de « oldstable » dans les protected distributions; ajout du profil ports-master ; FTP : analyse et utilisation de la partie optionnelle [:port] pour le nom de domaine complètement qualifié |
elastix | Reconstruction avec ITK qui a été construit avec gcc 6 |
email2trac | Correction de la détection de Trac 1.2 |
faad2 | Correction de plusieurs dénis de service au moyen de fichiers MP4 contrefaits [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257] |
faker | Ajout de dépendance manquante à python-ipaddress |
fastkml | Ajout de dépendance manquante à pkg-resources |
file | Lecture au-delà de la fin d'un tampon évitée [CVE-2018-10360] |
freedink-dfarc | Correction d'une traversée de répertoire dans l'extracteur D-Mod [CVE-2018-0496] |
ganeti | Vérification correcte des certificats SSL lors de l'export de VM |
ghostscript | Correction d'erreur de segmentation avec un fichier à données aléatoires dans gxht_thresh_image_init ; correction de dépassement de tampon dans fill_threshold_buffer [CVE-2016-10317] ; pdfwrite – protection contre les tentatives de sortie d'un nombre infini [CVE-2018-10194] |
git-annex | Corrections de sécurité [CVE-2018-10857 CVE-2018-10859] |
glx-alternatives | Nouvelle version amont |
gridengine | Utilisation des chemins corrects vers les pixmaps de qmon ; correction d'un échec de construction à partir des sources sur armhf |
intel-microcode | Mise à jour du microcode inclus, y compris les correctifs pour Spectre v2 [CVE-2017-5715] |
jdresolve | Correction d'une incompatibilité avec libnet-dns-perl dans Debian 8 et ultérieure |
libb64 | Reconstruction avec PIE |
libdate-holidays-de-perl | Inscription de la fête de la Réforme comme jour férié dans les régions de Brême et de Basse-Saxe |
libdatetime-timezone-perl | Mise à jour des données incluses |
libextractor | Diverses corrections de sécurité [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440] |
libipc-run-perl | Correction de fuite de mémoire |
liblouis | Correction d'un dépassement de tampon [CVE-2018-11410] ; correction de plusieurs dépassements de tampon [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085] |
libosmium | Sortie correcte de coordonnées avec une valeur de -2^31 ; correction des tampons plus grands que 2^32 octets |
linux | Nouvelle version amont stable 4.9.110 |
linux-latest | Mise à jour vers l'ABI version 7 du noyau |
llvm-toolchain-4.0 | Nouveau paquet pour les rétroportages de rust ; correction de la construction sur s390x |
local-apt-repository | Plus de casse d'apt quand le paquet est retiré mais pas purgé |
loook | Correction de la gestion des fichiers protégés par mot de passe |
miniupnpd | Correction d'un déni de service [CVE-2017-1000494] |
nss-pam-ldapd | Augmentation de la taille du tampon de nom d'hôte |
nvidia-graphics-drivers | Nouvelle version amont |
obfsproxy | Pas d'installation du profil cassé d'AppArmor |
openldap | Correction d'un problème de désynchronisation avec la réplication de delta-syncrepl dans des environnements multi-maîtres ; correction réelle de mises à niveau lorsque la configuration contient des caractères spéciaux protégés par une barre oblique inverse (« \ ») |
openstack-debian-images | Configuration de CloudStack après OpenStack dans datasource_list pour éviter une attente de 120 s dans cloud-init lors de l'amorçage d'une machine dans un nuage OpenStack |
patch | Correction d'exécution de commande arbitraire dans les rustines de type ed [CVE-2018-1000156] |
piglit | Correction d'une dépendance manquante à python-mako |
postgresql-9.6 | Nouvelle version amont |
postgresql-common | Mise à jour ou retrait des paquets du serveur n'arrêtant plus les autres grappes d'une version majeure lors de l'exécution de systemd |
psad | Ajout de dépendances manquantes à net-tools et iproute2 |
pysurfer | Ajout de dépendance manquante à python-matplotlib |
python-cluster | Ajout de dépendance manquante à pkg-resources |
python-pyorick | Correction d'un échec d'importation en ajoutant une dépendance manquante à python3-numpy |
python-scruffy | Ajout de dépendances manquantes à pkg-resources |
r-cran-mi | Ajout de dépendance manquante à r-cran-arm |
redis | Correction de l'erreur RunTimeDirectory -> RuntimeDirectory dans les fichiers .service de systemd |
reportbug | Notification à l'équipe de sécurité ou à l'équipe LTS d'une possible régression lors du rapport d'un bogue sur un paquet renfermant un correctif de sécurité |
rustc | Nouvelle version amont pour la prise en charge de Firefox ESR |
salt | Correction de salt-ssh minion copied over configuration from the Salt Master without adjusting permissions[CVE-2017-8109] |
shared-mime-info | Passage de « dpkg trigger » à « noawait », corrigeant des problèmes de mise à niveau depuis Jessie |
showq | Correction d'un préfixe, ainsi l'application fonctionne réellement |
source-highlight | Correction d'une dépendance à libboost-regex-dev |
starplot | Correction d'un plantage au démarrage |
subversion | Rejet des correctifs qui introduiraient des collisions de hachage avec des données existantes, traitant donc le problème « SHA1/SHAttered » |
sus | Mise à jour vers la nouvelle version, techniquement identique à SUSv4 + TC1 + TC2 |
systemd | networkd-ndisc : gestion élégante d'absence de MTU ; configuration de RemoveIPC= autorisée dans le fichier unit pas seulement au moyen de D-Bus ; nspawn : ajout de -E manquant à getopt_long' ; login : respect de --no-wall lors de l'annulation d'une requête d'arrêt |
tclreadline | Correction d'une bibliothèque partagée construite sur ppc64el |
thefuck | Ajout de dépendance manquante à pkg-resources |
tinyproxy | Pas d'arrêt d'écoute après SIGHUP ; correction d'un chemin de fichier de configuration ; ajout de dépendance manquante à adduser |
tlslite-ng | Vérification de MAC même si le remplissage a une longueur d'un octet |
tzdata | Nouvelle version amont |
unison | Reconstruction avec ocaml de Stretch |
variety | Correction d'une injection de commande lors de la suppression de fichiers vers la corbeille ; correction d'une injection de commande dans les filtres et l'horloge avec des noms de fichiers contrefaits pour l'occasion ; sécurisation des appels d'ImageMagick contre une potentielle injection de commande |
xapian-core | Correction de MSet::snippet() pour protéger HTML dans tous les cas [CVE-2018-499] |
xerces-c | Correction d'un déni de service au moyen d'une référence DTD externe [CVE-2017-12627] ; correction d'une régression qui forçait gcc à utiliser SSE2, même sur les plateformes qui ne le gèrent pas |
xrdp | Correction d'une erreur due à un décalage d'entier qui pourrait mener à des plantages |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
libnet-whois-perl | Cassé |
mlbviewer | Ne fonctionne plus à cause de modifications du fournisseur de contenus |
python-uniconvertor | Inutilisable ; réclame une dépendance non empaquetée |
singularity-container | Pas de prise en charge de sécurité |
undertow | Non pris en charge ; plusieurs problèmes de sécurité ; des alternatives existent |
visionegg | Inutilisable ; réclame numpy.oldnumeric plus disponible |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.