Publication de la mise à jour de Debian 9.6

10 novembre 2018

Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 9 (nommée Stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
accerciser Correction d'accès à des éléments sans un compositeur ; correction de la console Python ; ajout de dépendance manquante à python3-xlib
apache2 mod_http2 : correction de déni de service par épuisement d'un « worker » [CVE-2018-1333] et par envoi en continu de trames SETTINGS [CVE-2018-11763] ; mod_proxy_fcgi : correction d'erreur de segmentation
base-files Mise à jour /etc/debian_version pour cette version
brltty Correction d'authentification de polkit
canna Correction de conflit de fichiers entre canna-dbgsym et canna-utils-dbgsym
cargo Nouveau paquet pour gérer la construction de Firefox ESR 60
clamav Nouvelle version amont ; correction de dépassement d'entier d'HWP, de vulnérabilité de boucle infinie [CVE-2018-0360] ; correction de problème de vérification de longueur d'objet PDF, de durée excessive pour l'analyse de fichier relativement petit [CVE-2018-0361] ; nouvelle version amont ; correction d'un problème de déni de service [CVE-2018-15378] ; correction de boucle infinie dans dpkg-reconfigure
confuse Correction d'une lecture hors limites dans trim_whitespace [CVE-2018-14447]
debian-installer Mise à jour vers l'ABI du noyau -8
debian-installer-netboot-images Reconstruction pour cette version
dnsmasq trust-anchors.conf : inclusion de l'ancre de confiance DNS KSK-2017 la plus récente
dom4j Correction d'attaque d'injection XML [CVE-2018-1000632] ; compilation avec source et cible 1.5 pour corriger un problème de compilation avec String.format
dpdk Nouvelle version amont stable
dropbear Correction de vulnérabilité d'énumération d'utilisateurs [CVE-2018-15599]
easytag Correction de corruption d'OGG
enigmail Ajout de la compatibilité avec les dernières versions de Thunderbird
espeakup espeakup.service : chargement automatique de speakup_soft au démarrage du démon
fastforward Correction d'erreurs de segmentation sur les architectures 64 bits
firetray Ajout de la compatibilité avec les dernières versions de Thunderbird
firmware-nonfree Corrections de problèmes de sécurité dans le microcode Wifi de Broadcom [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081] ; réintroduction de paquets de transition pour firmware-{adi,ralink}
fofix-dfsg Correction d'erreur au démarrage
fuse Autorisation d'autofs et FAT comme systèmes de fichiers de point de montage valables
ganeti Vérification correcte des certificats SSL lors de l'export de VM ; signature des certificats générés avec SHA256 à la place de SHA1 ; complétions de bash rendues automatiquement chargeables
globus-gsi-credential Correction de problème avec le mandataire voms et openssl 1.1
gnupg2 Corrections de sécurité ; rétroportage des fonctionnalités requises pour le nouveau enigmail
gnutls28 Corrections de problèmes de sécurité [CVE-2018-10844 CVE-2018-10845]
gphoto2-cffi Fonctionnement à nouveau de python3-gphoto2cffi
grub2 grub-mknetdir : ajout de la prise en charge de ARM64 EFI ; modification de la méthode de calibration TSC par défaut pour pmtimer sur les systèmes EFI
hdparm Activation d'APM uniquement sur les disques qui l'annoncent
https-everywhere Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60
i3-wm Correction de plantage au redémarrage lors de l'utilisation de marques
iipimage Correction de la configuration d'Apache
jhead Corrections de problèmes de sécurité [CVE-2018-17088 CVE-2018-16554]
lastpass-cli Rétroportage d'épinglages de certificats codés en dur à partir de lastpass-cli 1.3.1 pour refléter les modifications du service hébergé Lastpass.com
ldap2zone Correction de boucle infinie lors de la vérification du numéro de série de zone
libcgroup Correction des fichiers de journaux accessibles à tous (et modifiables) [CVE-2018-14348]
libclamunrar Nouvelle version amont
libdap Correction du contenu de libdap-doc
libdatetime-timezone-perl Mise à jour des données incluses
libgd2 Bmp : vérification des valeurs de retour dans gdImageBmpPtr [CVE-2018-1000222] ; correction d'une potentielle boucle infinie dans gdImageCreateFromGifCtx [CVE-2018-5711]
libmail-deliverystatus-bounceparser-perl Retrait d'exemples de pourriels et de virus non distribuables
libmspack Correction d'écriture hors limites [CVE-2018-18584] et acceptation de noms de fichiers vides [CVE-2018-18585]
libopenmpt Correction de up11 : lecture hors limites lors du chargement de fichiers IT/MO3 avec de nombreuses boucles de motifs [CVE-2018-10017]
libseccomp Ajout de la prise en charge des appels système de Linux 4.9 : preadv2, pwritev2, pkey_mprotect, pkey_alloc et pkey_free ; ajout de la prise en charge de statx
libtirpc rendezvous_request : vérification de la valeur de retour de makefd_xprt [CVE-2018-14622]
libx11 Correction de plusieurs problèmes de sécurité [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Correction d'un déni de service ou d'une exécution potentielle de code avec un dépassement de tas d'un octet [CVE-2015-9262]
libxml-stream-perl Fourniture d'un chemin d'autorité de certification par défaut
libxml-structured-perl Ajout de dépendance de construction et d'exécution manquante à libxml-parser-perl
linux Xen : correction de régression de démarrage dans les domaines PV ; xen-netfront : correction de régressions ; ext4 : correction de faux négatifs *et* de faux positifs dans ext4_check_descriptors() ; udeb : ajout de virtio_console à virtio-modules ; cdc_ncm : remplissage au-delà de la fin de skb ; suppression de sit: reload iphdr in ipip6_rcv ; nouvelle version amont
lxcfs Suppression de la virtualisation du temps de fonctionnement « uptime », corrigeant l'heure de démarrage du processus
magicmaze Dépendance à fonts-isabella maintenant que ttf-isabella est un paquet virtuel
mailman Correction d'une vulnérabilité d'injection de texte arbitraire dans les CGI de Mailman [CVE-2018-13796]
multipath-tools Blocage évité dans les déclenchements d'udev
nagstamon Correction d'un problème d'authentification basique d'IcingaWeb2
network-manager libnm : correction de l'accès aux propriétés « enabled » et « metered » ; correction d'écriture de tas hors limites dans la gestion de l'option dhcpv6 [CVE-2018-15688] et divers autres problèmes dans le greffon dhcp=internal basé sur sd-network
network-manager-applet libnma/pygobject : libnma/NMA doit utiliser libnm/NM à la place des anciennes bibliothèques
ola Correction de coquille dans /etc/init.d/rdm_test_server ; correction de nom de fichier pour jquery dans les fichiers HTML statiques du serveur de test rdm
opensc Correction de récursion non liée et de plusieurs lectures et écritures hors limites [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel Installation de nouvelles dépendances lors de la sélection de safe-upgrade (par défaut)
publicsuffix Mise à jour des données incluses
python-django Prise en charge par défaut de Spatialite >= 4.2
python-imaplib2 Installation du module correct pour Python 3 ; pas d'utilisation de TIMEOUT_MAX
rustc Activation de la construction sur plus d'architectures : arm64, armel, armhf, i386, ppc64el, s390x
sddm Respect des groupes extérieurs supplémentaires de PAM ; ajout de la gestion manquante d'utmp/wtmp/btmp
serf Correction de déréférence de pointeur NULL
soundconverter Correction de la configuration d'Opus vbr
spamassassin Nouvelle version amont ; correction de déni de service [CVE-2017-15705], d'exécution distante de code [CVE-2018-11780], d'injection de code [CVE-2018-11781] et d'utilisation non sûre de . dans @INC [CVE-2016-1238] ; correction de la gestion du service spamd lors des mises à niveau du paquet
spice-gtk Correction de dépassement de tampon de « flexible array » [CVE-2018-10873]
sqlcipher Plantage évité à l'ouverture d'un fichier
subversion Correction d'une régression introduite dans les correctifs pour les collisions de SHA1, où les correctifs échouent de façon incorrecte avec une erreur Filesystem is corrupt si la longueur du delta est un multiple de 16 ko
systemd networkd : Pas d'échec de manager_connect_bus() si dbus n'est pas encore actif ; dhcp6 : assurance qu'il y a assez de place pour l'en-tête de l'option DHCP6 [CVE-2018-15688]
systraq Inversion de la logique afin de sortir avec succès si /e/s/Makefile est manquant
tomcat-native Correction d'un problème du répondeur OSCP qui fait qu'il est possible aux utilisateurs de s'authentifier avec des certificats révoqués lors de l'utilisation de l'authentification mutuelle TLS TLS [CVE-2018-8019 CVE-2018-8020]
tor Modifications de répertoire de tiers de confiance : retrait du tiers de confiance de pont Bifroest, en faveur de Serge ; ajout d'une adresse IPv6 pour le répertoire de tiers de confiance dannenberg
tzdata Nouvelle version amont
ublock-origin Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60
unbound Correction d'une vulnérabilité dans le traitement des enregistrements NSEC génériques synthétisés [CVE-2017-15105]
vagrant Prise en charge de VirtualBox 5.2
vmtk python-vmtk : ajout de dépendance manquante à python-vtk6
wesnoth-1.12 Désactivation du chargement du bytecode Lua à travers load/dofile [CVE-2018-1999023]
wpa Données des EAPOL-Key chiffrés non authentifiés ignorées [CVE-2018-14526]
x11vnc Correction de deux dépassements de tampon
xapian-core Correction d'un bogue du moteur glass avec des curseurs à longue vie sur une table dans une WritableDatabase qui pourrait mener de façon incorrecte à envoyer DatabaseCorruptError alors que la base de données est véritablement OK
xmotd Plantage évité avec les attributs de renforcement
xorg-server GLX : pas de récupération de la configuration de sRGB pour le mode visuel 32 bits RGBA – correction de plusieurs problèmes de rendu avec kwin et Mesa >= 18.0 (c'est-à-dire Mesa issu de stretch-backports)
zutils Correction d'un débordement de tampon dans zcat [CVE-2018-1000637]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
adblock-plus-element-hiding-helper Incompatible avec les dernières versions de firefox-esr
all-in-one-sidebar Incompatible avec les dernières versions de firefox-esr
autofill-forms Incompatible avec les dernières versions de firefox-esr
automatic-save-folder Incompatible avec les dernières versions de firefox-esr
classic-theme-restorer Incompatible avec les dernières versions de firefox-esr
colorfultabs Incompatible avec les dernières versions de firefox-esr
custom-tab-width Incompatible avec les dernières versions de firefox-esr
dactyl Incompatible avec les dernières versions de firefox-esr
downthemall Incompatible avec les dernières versions de firefox-esr
dvips-fontdata-n2bk Paquet vide
firebug Incompatible avec les dernières versions de firefox-esr
firegestures Incompatible avec les dernières versions de firefox-esr
firexpath Incompatible avec les dernières versions de firefox-esr
flashgot Incompatible avec les dernières versions de firefox-esr
form-history-control Incompatible avec les dernières versions de firefox-esr
foxyproxy Incompatible avec les dernières versions de firefox-esr
gitlab Problèmes de sécurité ouverts, correctifs difficiles à rétroporter
greasemonkey Incompatible avec les dernières versions de firefox-esr
intel-processor-trace [s390x] Utile uniquement sur les architectures Intel
itsalltext Incompatible avec les dernières versions de firefox-esr
knot-resolver Problèmes de sécurité, correctifs difficiles à rétroporter
lightbeam Incompatible avec les dernières versions de firefox-esr
livehttpheaders Incompatible avec les dernières versions de firefox-esr
lyz Incompatible avec les dernières versions de firefox-esr
npapi-vlc Incompatible avec les dernières versions de firefox-esr
nukeimage Incompatible avec les dernières versions de firefox-esr
openinbrowser Incompatible avec les dernières versions de firefox-esr
perspectives-extension Incompatible avec les dernières versions de firefox-esr
pwdhash Incompatible avec les dernières versions de firefox-esr
python-facebook Cassé en raison de modifications de l'amont
python-tvrage Inutile depuis la fermeture de tvrage.com
reloadevery Incompatible avec les dernières versions de firefox-esr
sage-extension Incompatible avec les dernières versions de firefox-esr
scrapbook Incompatible avec les dernières versions de firefox-esr
self-destructing-cookies Incompatible avec les dernières versions de firefox-esr
spdy-indicator Incompatible avec les dernières versions de firefox-esr
status-4-evar Incompatible avec les dernières versions de firefox-esr
stylish Incompatible avec les dernières versions de firefox-esr
tabmixplus Incompatible avec les dernières versions de firefox-esr
tree-style-tab Incompatible avec les dernières versions de firefox-esr
ubiquity-extension Incompatible avec les dernières versions de firefox-esr
uppity Incompatible avec les dernières versions de firefox-esr
useragentswitcher Incompatible avec les dernières versions de firefox-esr
video-without-flash Incompatible avec les dernières versions de firefox-esr
webdeveloper Incompatible avec les dernières versions de firefox-esr
xul-ext-monkeysphere Incompatible avec les dernières versions de firefox-esr

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.