Publication de la mise à jour de Debian 9.5

14 juillet 2018

Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian 9 (nommée Stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
2ping	Ajout de dépendance manquante à python-pkg-resources
abiword	Résolution du conflit de fichiers binaires entre abiword-dbgsym et abiword-plugin-grammar-dbgsym
adminer	Interdiction des connexions à des ports privilégiés [CVE-2018-7667]
animals	Correction de droits de fichier erronés qui rendent le jeu inutilisable
apache2	Mise à niveau de mod_http et mod_proxy_http2 vers les versions à partir de 2.4.33, correction d'erreurs de segmentation, d'utilisation élevée de la mémoire et d'un plantage potentiel [CVE-2018-1302] ; le script d'initialisation apache-htcacheclean utilise réellement /etc/default/apache-htcacheclean pour sa configuration
auto-complete-el	Ajout du correctif amont pour emacs25 ; ajustement des dépendances d'emacs aux versions d'emacs dans Stretch ; réglage d'auto-complete-el.emacsen-compat pour des avertissements d'installation silencieux
awffull	Plus d'utilisation des options supprimées dans /etc/cron.daily/awffull
ax25-tools	Erreur de segmentation évitée au moment de l'exécution
base-files	Mise à jour pour cette version
blktrace	Correction de dépassement de tampon dans btt [CVE-2018-10689]
ca-certificates	Mise à jour du paquet de CA de Mozilla vers la version 2.22 ; corrections de bogues
camo	Ajout de dépendance manquante à openssl
cffi	Ajout de fichiers manquants pour cffi-libffi et cffi-toolchain ; ajout de plusieurs dépendances manquantes
check-postgres	Mise à jour de la suite de tests pour gérer maintenant pg_get_indexdef() en incluant toujours le nom de schéma
clamav	Nouvelle version amont ; plus d'échec sur les options de configuration récemment supprimées
clustershell	Ajout de dépendance manquante à python-pkg-resources
debian-installer	Mise à jour vers l'ABI du noyau -7
debian-installer-netboot-images	Reconstruction pour cette version
debian-security-support	Mise à jour des données incluses
dehydrated	Correction d'un échec de création de fullchain.pem
devscripts	uscan : correction de l'expression rationnelle d'une nouvelle version de paquet pour filenamemangle ; debsign : correction de la complétion de commande pour bash ; bts : prise en charge de la nouvelle étiquette ftbfs ; uscan : prise en charge d'HTTPS dans le redirecteur sf.net ; debcheckout : prise en charge de salsa.debian.org ; debdiff : tri des fichiers shlibs avant de les comparer, réduisant le « bruit » dans les diff ; uscan : prise en charge effective de --copy
disc-cover	Correction d'une erreur de Perl lors de l'exécution de disc-cover
discover	Utilisation du type correct pour le paramètre de longueur de l'appel getline()
django-xmlrpc	Correction de dépendances à python3
dosbox	Correction de plantages avec core=dynamic
dpdk	Nouvelle mise à jour amont stable
dpkg	Correction d'un dépassement d'entier dans l'analyseur de version de format deb(5) ; correction d'une traversée de répertoire avec dpkg-deb --raw-extract ; ajout de la prise en charge du processeur riscv64 ; pas de normalisation des arguments après le passage d'un mot « stop » dans Dpkg::Getopt ; analyse correcte des noms et des groupes d'utilisateurs start-stop-daemon commençant par des chiffres ; utilisation systématique de la version binaire pour le nom de fichier .buildinfo
dput-ng	Ajout des cibles jessie-backports-sloppy et stretch-backports ; inclusion de « testing » dans les suites gérées par rm et de « oldstable » dans les protected distributions ; ajout du profil ports-master ; FTP : analyse et utilisation de la partie optionnelle [:port] pour le nom de domaine complètement qualifié
elastix	Reconstruction avec ITK qui a été construit avec gcc 6
email2trac	Correction de la détection de Trac 1.2
faad2	Correction de plusieurs dénis de service au moyen de fichiers MP4 contrefaits [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257]
faker	Ajout de dépendance manquante à python-ipaddress
fastkml	Ajout de dépendance manquante à pkg-resources
file	Lecture au-delà de la fin d'un tampon évitée [CVE-2018-10360]
freedink-dfarc	Correction d'une traversée de répertoire dans l'extracteur D-Mod [CVE-2018-0496]
ganeti	Vérification correcte des certificats SSL lors de l'export de VM
ghostscript	Correction d'erreur de segmentation avec un fichier à données aléatoires dans gxht_thresh_image_init ; correction de dépassement de tampon dans fill_threshold_buffer [CVE-2016-10317] ; pdfwrite – protection contre les tentatives de sortie d'un nombre infini [CVE-2018-10194]
git-annex	Corrections de sécurité [CVE-2018-10857 CVE-2018-10859]
glx-alternatives	Nouvelle version amont
gridengine	Utilisation des chemins corrects vers les pixmaps de qmon ; correction d'un échec de construction à partir des sources sur armhf
intel-microcode	Mise à jour du microcode inclus, y compris les correctifs pour Spectre v2 [CVE-2017-5715]
jdresolve	Correction d'une incompatibilité avec libnet-dns-perl dans Debian 8 et ultérieure
libb64	Reconstruction avec PIE
libdate-holidays-de-perl	Inscription de la fête de la Réforme comme jour férié dans les régions de Brême et de Basse-Saxe
libdatetime-timezone-perl	Mise à jour des données incluses
libextractor	Diverses corrections de sécurité [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440]
libipc-run-perl	Correction de fuite de mémoire
liblouis	Correction d'un dépassement de tampon [CVE-2018-11410] ; correction de plusieurs dépassements de tampon [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085]
libosmium	Sortie correcte de coordonnées avec une valeur de -2^31 ; correction des tampons plus grands que 2^32 octets
linux	Nouvelle version amont stable 4.9.110
linux-latest	Mise à jour vers l'ABI version 7 du noyau
llvm-toolchain-4.0	Nouveau paquet pour les rétroportages de rust ; correction de la construction sur s390x
local-apt-repository	Plus de casse d'apt quand le paquet est retiré mais pas purgé
loook	Correction de la gestion des fichiers protégés par mot de passe
miniupnpd	Correction d'un déni de service [CVE-2017-1000494]
nss-pam-ldapd	Augmentation de la taille du tampon de nom d'hôte
nvidia-graphics-drivers	Nouvelle version amont
obfsproxy	Pas d'installation du profil cassé d'AppArmor
openldap	Correction d'un problème de désynchronisation avec la réplication de delta-syncrepl dans des environnements multi-maîtres ; correction réelle de mises à niveau lorsque la configuration contient des caractères spéciaux protégés par une barre oblique inverse (« \ »)
openstack-debian-images	Configuration de CloudStack après OpenStack dans datasource_list pour éviter une attente de 120 s dans cloud-init lors de l'amorçage d'une machine dans un nuage OpenStack
patch	Correction d'exécution de commande arbitraire dans les rustines de type ed [CVE-2018-1000156]
piglit	Correction d'une dépendance manquante à python-mako
postgresql-9.6	Nouvelle version amont
postgresql-common	Mise à jour ou retrait des paquets du serveur n'arrêtant plus les autres grappes d'une version majeure lors de l'exécution de systemd
psad	Ajout de dépendances manquantes à net-tools et iproute2
pysurfer	Ajout de dépendance manquante à python-matplotlib
python-cluster	Ajout de dépendance manquante à pkg-resources
python-pyorick	Correction d'un échec d'importation en ajoutant une dépendance manquante à python3-numpy
python-scruffy	Ajout de dépendances manquantes à pkg-resources
r-cran-mi	Ajout de dépendance manquante à r-cran-arm
redis	Correction de l'erreur RunTimeDirectory -> RuntimeDirectory dans les fichiers .service de systemd
reportbug	Notification à l'équipe de sécurité ou à l'équipe LTS d'une possible régression lors du rapport d'un bogue sur un paquet renfermant un correctif de sécurité
rustc	Nouvelle version amont pour la prise en charge de Firefox ESR
salt	Correction de salt-ssh minion copied over configuration from the Salt Master without adjusting permissions [CVE-2017-8109]
shared-mime-info	Passage de « dpkg trigger » à « noawait », corrigeant des problèmes de mise à niveau depuis Jessie
showq	Correction d'un préfixe, ainsi l'application fonctionne réellement
source-highlight	Correction d'une dépendance à libboost-regex-dev
starplot	Correction d'un plantage au démarrage
subversion	Rejet des correctifs qui introduiraient des collisions de hachage avec des données existantes, traitant donc le problème « SHA1/SHAttered »
sus	Mise à jour vers la nouvelle version, techniquement identique à SUSv4 + TC1 + TC2
systemd	networkd-ndisc : gestion élégante d'absence de MTU ; configuration de RemoveIPC= autorisée dans le fichier unit pas seulement au moyen de D-Bus ; nspawn : ajout de -E manquant à getopt_long' ; login : respect de --no-wall lors de l'annulation d'une requête d'arrêt
tclreadline	Correction d'une bibliothèque partagée construite sur ppc64el
thefuck	Ajout de dépendance manquante à pkg-resources
tinyproxy	Pas d'arrêt d'écoute après SIGHUP ; correction d'un chemin de fichier de configuration ; ajout de dépendance manquante à adduser
tlslite-ng	Vérification de MAC même si le remplissage a une longueur d'un octet
tzdata	Nouvelle version amont
unison	Reconstruction avec ocaml de Stretch
variety	Correction d'une injection de commande lors de la suppression de fichiers vers la corbeille ; correction d'une injection de commande dans les filtres et l'horloge avec des noms de fichiers contrefaits pour l'occasion ; sécurisation des appels d'ImageMagick contre une potentielle injection de commande
xapian-core	Correction de MSet::snippet() pour protéger HTML dans tous les cas [CVE-2018-499]
xerces-c	Correction d'un déni de service au moyen d'une référence DTD externe [CVE-2017-12627] ; correction d'une régression qui forçait gcc à utiliser SSE2, même sur les plateformes qui ne le gèrent pas
xrdp	Correction d'une erreur due à un décalage d'entier qui pourrait mener à des plantages

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-4010	git-annex
DSA-4064	chromium-browser
DSA-4113	libvorbis
DSA-4133	isc-dhcp
DSA-4134	util-linux
DSA-4135	samba
DSA-4136	curl
DSA-4137	libvirt
DSA-4138	mbedtls
DSA-4139	firefox-esr
DSA-4140	libvorbis
DSA-4141	libvorbisidec
DSA-4142	uwsgi
DSA-4143	firefox-esr
DSA-4144	openjdk-8
DSA-4145	gitlab
DSA-4146	plexus-utils
DSA-4148	kamailio
DSA-4150	icu
DSA-4151	librelp
DSA-4152	mupdf
DSA-4153	firefox-esr
DSA-4155	thunderbird
DSA-4156	drupal7
DSA-4157	openssl
DSA-4158	openssl1.0
DSA-4159	remctl
DSA-4160	libevt
DSA-4161	python-django
DSA-4162	irssi
DSA-4163	beep
DSA-4164	apache2
DSA-4165	ldap-account-manager
DSA-4167	sharutils
DSA-4169	pcs
DSA-4170	pjproject
DSA-4171	ruby-loofah
DSA-4172	perl
DSA-4173	r-cran-readxl
DSA-4174	corosync
DSA-4175	freeplane
DSA-4177	libsdl2-image
DSA-4178	libreoffice
DSA-4180	drupal7
DSA-4181	roundcube
DSA-4183	tor
DSA-4184	sdl-image1.2
DSA-4185	openjdk-8
DSA-4188	linux
DSA-4189	quassel
DSA-4190	jackson-databind
DSA-4191	redmine
DSA-4192	libmad
DSA-4193	wordpress
DSA-4194	lucene-solr
DSA-4195	wget
DSA-4196	linux
DSA-4197	wavpack
DSA-4198	prosody
DSA-4199	firefox-esr
DSA-4200	kwallet-pam
DSA-4201	xen
DSA-4202	curl
DSA-4203	vlc
DSA-4203	phonon-backend-vlc
DSA-4203	goldencheetah
DSA-4206	gitlab
DSA-4206	ruby-omniauth-auth0
DSA-4207	packagekit
DSA-4208	procps
DSA-4209	thunderbird
DSA-4210	xen
DSA-4211	xdg-utils
DSA-4212	git
DSA-4213	qemu
DSA-4214	zookeeper
DSA-4215	batik
DSA-4216	prosody
DSA-4217	wireshark
DSA-4218	memcached
DSA-4219	jruby
DSA-4220	firefox-esr
DSA-4221	libvncserver
DSA-4222	gnupg2
DSA-4223	gnupg1
DSA-4226	perl
DSA-4227	plexus-archiver
DSA-4228	spip
DSA-4229	strongswan
DSA-4230	redis
DSA-4231	libgcrypt20
DSA-4232	xen
DSA-4233	bouncycastle
DSA-4234	lava-server
DSA-4235	firefox-esr
DSA-4236	xen
DSA-4238	exiv2
DSA-4239	gosa
DSA-4240	php7.0
DSA-4241	libsoup2.4

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
libnet-whois-perl	Cassé
mlbviewer	Ne fonctionne plus à cause de modifications du fournisseur de contenus
python-uniconvertor	Inutilisable ; réclame une dépendance non empaquetée
singularity-container	Pas de prise en charge de sécurité
undertow	Non pris en charge ; plusieurs problèmes de sécurité ; des alternatives existent
visionegg	Inutilisable ; réclame numpy.oldnumeric plus disponible

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.