Publication de la mise à jour de Debian 9.6
10 novembre 2018
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 9 (nommée Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
accerciser | Correction d'accès à des éléments sans un compositeur ; correction de la console Python ; ajout de dépendance manquante à python3-xlib |
apache2 | mod_http2 : correction de déni de service par épuisement d'un « worker » [CVE-2018-1333] et par envoi en continu de trames SETTINGS [CVE-2018-11763] ; mod_proxy_fcgi : correction d'erreur de segmentation |
base-files | Mise à jour /etc/debian_version pour cette version |
brltty | Correction d'authentification de polkit |
canna | Correction de conflit de fichiers entre canna-dbgsym et canna-utils-dbgsym |
cargo | Nouveau paquet pour gérer la construction de Firefox ESR 60 |
clamav | Nouvelle version amont ; correction de dépassement d'entier d'HWP, de vulnérabilité de boucle infinie [CVE-2018-0360] ; correction de problème de vérification de longueur d'objet PDF, de durée excessive pour l'analyse de fichier relativement petit [CVE-2018-0361] ; nouvelle version amont ; correction d'un problème de déni de service [CVE-2018-15378] ; correction de boucle infinie dans dpkg-reconfigure |
confuse | Correction d'une lecture hors limites dans trim_whitespace [CVE-2018-14447] |
debian-installer | Mise à jour vers l'ABI du noyau -8 |
debian-installer-netboot-images | Reconstruction pour cette version |
dnsmasq | trust-anchors.conf : inclusion de l'ancre de confiance DNS KSK-2017 la plus récente |
dom4j | Correction d'attaque d'injection XML [CVE-2018-1000632] ; compilation avec source et cible 1.5 pour corriger un problème de compilation avec String.format |
dpdk | Nouvelle version amont stable |
dropbear | Correction de vulnérabilité d'énumération d'utilisateurs [CVE-2018-15599] |
easytag | Correction de corruption d'OGG |
enigmail | Ajout de la compatibilité avec les dernières versions de Thunderbird |
espeakup | espeakup.service : chargement automatique de speakup_soft au démarrage du démon |
fastforward | Correction d'erreurs de segmentation sur les architectures 64 bits |
firetray | Ajout de la compatibilité avec les dernières versions de Thunderbird |
firmware-nonfree | Corrections de problèmes de sécurité dans le microcode Wifi de Broadcom [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081] ; réintroduction de paquets de transition pour firmware-{adi,ralink} |
fofix-dfsg | Correction d'erreur au démarrage |
fuse | Autorisation d'autofs et FAT comme systèmes de fichiers de point de montage valables |
ganeti | Vérification correcte des certificats SSL lors de l'export de VM ; signature des certificats générés avec SHA256 à la place de SHA1 ; complétions de bash rendues automatiquement chargeables |
globus-gsi-credential | Correction de problème avec le mandataire voms et openssl 1.1 |
gnupg2 | Corrections de sécurité ; rétroportage des fonctionnalités requises pour le nouveau enigmail |
gnutls28 | Corrections de problèmes de sécurité [CVE-2018-10844 CVE-2018-10845] |
gphoto2-cffi | Fonctionnement à nouveau de python3-gphoto2cffi |
grub2 | grub-mknetdir : ajout de la prise en charge de ARM64 EFI ; modification de la méthode de calibration TSC par défaut pour pmtimer sur les systèmes EFI |
hdparm | Activation d'APM uniquement sur les disques qui l'annoncent |
https-everywhere | Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60 |
i3-wm | Correction de plantage au redémarrage lors de l'utilisation de marques |
iipimage | Correction de la configuration d'Apache |
jhead | Corrections de problèmes de sécurité [CVE-2018-17088 CVE-2018-16554] |
lastpass-cli | Rétroportage d'épinglages de certificats codés en dur à partir de lastpass-cli 1.3.1 pour refléter les modifications du service hébergé Lastpass.com |
ldap2zone | Correction de boucle infinie lors de la vérification du numéro de série de zone |
libcgroup | Correction des fichiers de journaux accessibles à tous (et modifiables) [CVE-2018-14348] |
libclamunrar | Nouvelle version amont |
libdap | Correction du contenu de libdap-doc |
libdatetime-timezone-perl | Mise à jour des données incluses |
libgd2 | Bmp : vérification des valeurs de retour dans gdImageBmpPtr [CVE-2018-1000222] ; correction d'une potentielle boucle infinie dans gdImageCreateFromGifCtx [CVE-2018-5711] |
libmail-deliverystatus-bounceparser-perl | Retrait d'exemples de pourriels et de virus non distribuables |
libmspack | Correction d'écriture hors limites [CVE-2018-18584] et acceptation de noms de fichiers vides[CVE-2018-18585] |
libopenmpt | Correction de up11 : lecture hors limites lors du chargement de fichiers IT/MO3 avec de nombreuses boucles de motifs[CVE-2018-10017] |
libseccomp | Ajout de la prise en charge des appels système de Linux 4.9 : preadv2, pwritev2, pkey_mprotect, pkey_alloc et pkey_free ; ajout de la prise en charge de statx |
libtirpc | rendezvous_request : vérification de la valeur de retour de makefd_xprt [CVE-2018-14622] |
libx11 | Correction de plusieurs problèmes de sécurité [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600] |
libxcursor | Correction d'un déni de service ou d'une exécution potentielle de code avec un dépassement de tas d'un octet [CVE-2015-9262] |
libxml-stream-perl | Fourniture d'un chemin d'autorité de certification par défaut |
libxml-structured-perl | Ajout de dépendance de construction et d'exécution manquante à libxml-parser-perl |
linux | Xen : correction de régression de démarrage dans les domaines PV ; xen-netfront : correction de régressions ; ext4 : correction de faux négatifs *et* de faux positifs dans ext4_check_descriptors() ; udeb : ajout de virtio_console à virtio-modules ; cdc_ncm : remplissage au-delà de la fin de skb ; suppression de sit: reload iphdr in ipip6_rcv; nouvelle version amont |
lxcfs | Suppression de la virtualisation du temps de fonctionnement « uptime », corrigeant l'heure de démarrage du processus |
magicmaze | Dépendance à fonts-isabella maintenant que ttf-isabella est un paquet virtuel |
mailman | Correction d'une vulnérabilité d'injection de texte arbitraire dans les CGI de Mailman [CVE-2018-13796] |
multipath-tools | Blocage évité dans les déclenchements d'udev |
nagstamon | Correction d'un problème d'authentification basique d'IcingaWeb2 |
network-manager | libnm : correction de l'accès aux propriétés « enabled » et « metered » ; correction d'écriture de tas hors limites dans la gestion de l'option dhcpv6 [CVE-2018-15688] et divers autres problèmes dans le greffon dhcp=internal basé sur sd-network |
network-manager-applet | libnma/pygobject : libnma/NMA doit utiliser libnm/NM à la place des anciennes bibliothèques |
ola | Correction de coquille dans /etc/init.d/rdm_test_server ; correction de nom de fichier pour jquery dans les fichiers HTML statiques du serveur de test rdm |
opensc | Correction de récursion non liée et de plusieurs lectures et écritures hors limites [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] |
pkgsel | Installation de nouvelles dépendances lors de la sélection de safe-upgrade (par défaut) |
publicsuffix | Mise à jour des données incluses |
python-django | Prise en charge par défaut de Spatialite >= 4.2 |
python-imaplib2 | Installation du module correct pour Python 3 ; pas d'utilisation de TIMEOUT_MAX |
rustc | Activation de la construction sur plus d'architectures : arm64, armel, armhf, i386, ppc64el, s390x |
sddm | Respect des groupes extérieurs supplémentaires de PAM ; ajout de la gestion manquante d'utmp/wtmp/btmp |
serf | Correction de déréférence de pointeur NULL |
soundconverter | Correction de la configuration d'Opus vbr |
spamassassin | Nouvelle version amont ; correction de déni de service [CVE-2017-15705], d'exécution distante de code [CVE-2018-11780], d'injection de code [CVE-2018-11781] et d'utilisation non sûre de .dans @INC [CVE-2016-1238] ; correction de la gestion du service spamd lors des mises à niveau du paquet |
spice-gtk | Correction de dépassement de tampon de « flexible array » [CVE-2018-10873] |
sqlcipher | Plantage évité à l'ouverture d'un fichier |
subversion | Correction d'une régression introduite dans les correctifs pour les collisions de SHA1, où les correctifs échouent de façon incorrecte avec une erreur Filesystem is corruptsi la longueur du delta est un multiple de 16 ko |
systemd | networkd : Pas d'échec de manager_connect_bus() si dbus n'est pas encore actif ; dhcp6 : assurance qu'il y a assez de place pour l'en-tête de l'option DHCP6 [CVE-2018-15688] |
systraq | Inversion de la logique afin de sortir avec succès si /e/s/Makefile est manquant |
tomcat-native | Correction d'un problème du répondeur OSCP qui fait qu'il est possible aux utilisateurs de s'authentifier avec des certificats révoqués lors de l'utilisation de l'authentification mutuelle TLS TLS [CVE-2018-8019 CVE-2018-8020] |
tor | Modifications de répertoire de tiers de confiance : retrait du tiers de confiance de pont Bifroest, en faveur de Serge; ajout d'une adresse IPv6 pour le répertoire de tiers de confiance dannenberg |
tzdata | Nouvelle version amont |
ublock-origin | Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60 |
unbound | Correction d'une vulnérabilité dans le traitement des enregistrements NSEC génériques synthétisés [CVE-2017-15105] |
vagrant | Prise en charge de VirtualBox 5.2 |
vmtk | python-vmtk : ajout de dépendance manquante à python-vtk6 |
wesnoth-1.12 | Désactivation du chargement du bytecode Lua à travers load/dofile [CVE-2018-1999023] |
wpa | Données des EAPOL-Key chiffrés non authentifiés ignorées [CVE-2018-14526] |
x11vnc | Correction de deux dépassements de tampon |
xapian-core | Correction d'un bogue du moteur glass avec des curseurs à longue vie sur une table dans une WritableDatabase qui pourrait mener de façon incorrecte à envoyer DatabaseCorruptError alors que la base de données est véritablement OK |
xmotd | Plantage évité avec les attributs de renforcement |
xorg-server | GLX : pas de récupération de la configuration de sRGB pour le mode visuel 32 bits RGBA – correction de plusieurs problèmes de rendu avec kwin et Mesa >= 18.0 (c'est-à-dire Mesa issu de stretch-backports) |
zutils | Correction d'un débordement de tampon dans zcat [CVE-2018-1000637] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
adblock-plus-element-hiding-helper | Incompatible avec les dernières versions de firefox-esr |
all-in-one-sidebar | Incompatible avec les dernières versions de firefox-esr |
autofill-forms | Incompatible avec les dernières versions de firefox-esr |
automatic-save-folder | Incompatible avec les dernières versions de firefox-esr |
classic-theme-restorer | Incompatible avec les dernières versions de firefox-esr |
colorfultabs | Incompatible avec les dernières versions de firefox-esr |
custom-tab-width | Incompatible avec les dernières versions de firefox-esr |
dactyl | Incompatible avec les dernières versions de firefox-esr |
downthemall | Incompatible avec les dernières versions de firefox-esr |
dvips-fontdata-n2bk | Paquet vide |
firebug | Incompatible avec les dernières versions de firefox-esr |
firegestures | Incompatible avec les dernières versions de firefox-esr |
firexpath | Incompatible avec les dernières versions de firefox-esr |
flashgot | Incompatible avec les dernières versions de firefox-esr |
form-history-control | Incompatible avec les dernières versions de firefox-esr |
foxyproxy | Incompatible avec les dernières versions de firefox-esr |
gitlab | Problèmes de sécurité ouverts, correctifs difficiles à rétroporter |
greasemonkey | Incompatible avec les dernières versions de firefox-esr |
intel-processor-trace | [s390x] Utile uniquement sur les architectures Intel |
itsalltext | Incompatible avec les dernières versions de firefox-esr |
knot-resolver | Problèmes de sécurité, correctifs difficiles à rétroporter |
lightbeam | Incompatible avec les dernières versions de firefox-esr |
livehttpheaders | Incompatible avec les dernières versions de firefox-esr |
lyz | Incompatible avec les dernières versions de firefox-esr |
npapi-vlc | Incompatible avec les dernières versions de firefox-esr |
nukeimage | Incompatible avec les dernières versions de firefox-esr |
openinbrowser | Incompatible avec les dernières versions de firefox-esr |
perspectives-extension | Incompatible avec les dernières versions de firefox-esr |
pwdhash | Incompatible avec les dernières versions de firefox-esr |
python-facebook | Cassé en raison de modifications de l'amont |
python-tvrage | Inutile depuis la fermeture de tvrage.com |
reloadevery | Incompatible avec les dernières versions de firefox-esr |
sage-extension | Incompatible avec les dernières versions de firefox-esr |
scrapbook | Incompatible avec les dernières versions de firefox-esr |
self-destructing-cookies | Incompatible avec les dernières versions de firefox-esr |
spdy-indicator | Incompatible avec les dernières versions de firefox-esr |
status-4-evar | Incompatible avec les dernières versions de firefox-esr |
stylish | Incompatible avec les dernières versions de firefox-esr |
tabmixplus | Incompatible avec les dernières versions de firefox-esr |
tree-style-tab | Incompatible avec les dernières versions de firefox-esr |
ubiquity-extension | Incompatible avec les dernières versions de firefox-esr |
uppity | Incompatible avec les dernières versions de firefox-esr |
useragentswitcher | Incompatible avec les dernières versions de firefox-esr |
video-without-flash | Incompatible avec les dernières versions de firefox-esr |
webdeveloper | Incompatible avec les dernières versions de firefox-esr |
xul-ext-monkeysphere | Incompatible avec les dernières versions de firefox-esr |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.