Publication de la mise à jour de Debian 9.10

7 septembre 2019

Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa distribution oldstable Debian 9 (codename Stretch). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
base-files Mise à jour pour cette version ; ajout de VERSION_CODENAME à os-release
basez Décodage correct des chaînes encodées avec base64url
biomaj-watcher Correction des mises à niveau de Jessie à Stretch
c-icap-modules Ajout de la prise en charge de clamav 0.101.1
chaosreader Ajout de la dépendance manquante à libnet-dns-perl
clamav Nouvelle version amont stable : ajout de limite de temps de balayage pour réduire le risque de « bombes zip » [CVE-2019-12625] ; correction d'écriture hors limites dans la bibliothèque NSIS bzip2 [CVE-2019-12900]
corekeeper Pas d'utilisation de /var/crash accessible à tous en écriture avec le script de sauvegarde ; gestion des versions antérieures du noyau Linux d'une façon plus sûre ; pas de troncature des noms principaux des exécutables avec des espaces
cups Correction de multiples problèmes de sécurité ou de divulgation – problèmes de dépassements de tampon SNMP [CVE-2019-8696 CVE-2019-8675], de dépassement de tampon IPP, de déni de service et de divulgation de mémoire dans l'ordonnanceur
dansguardian Ajout de la prise en charge de clamav 0.101.1
dar Reconstruction pour mettre à jour les paquets built-using
debian-archive-keyring Ajout des clés de Buster ; retrait des clés de Wheezy
fence-agents Correction d'un problème de déni de service [CVE-2019-10153]
fig2dev Plus d'erreur de segmentation sur les pointes de flèche circulaires ou semi-circulaires avec un grossissement supérieur à 42 [CVE-2019-14275]
fribidi Correction de sortie de droite à gauche dans le mode texte de l'installateur Debian
fusiondirectory Vérifications plus strictes des recherches LDAP ; ajout de la dépendance manquante à php-xml
gettext Plantage de xgettext() empêché lors d'une exécution avec l'option --its=FILE
glib2.0 Création de répertoire et de fichier avec des droits restreints lors de l'utilisation de GKeyfileSettingsBackend [CVE-2019-13012] ; plus de débordement de tampon en lecture lors du formatage des messages d'erreur pour un codage UTF-8 non valable dans GMarkup [CVE-2018-16429] ; plus de déréférencement de pointeur NULL lors de l'analyse de GMarkup non valable avec une balise fermante mal formée pas appairée avec une balise ouvrante [CVE-2018-16429]
gocode gocode-auto-complete-el : pré-dépendance à auto-complete-el versionné pour corriger les mises à niveau de Jessie à Stretch
groonga Réduction du risque d'élévation des privilèges en changeant le propriétaire et le groupe des logs avec l'option su
grub2 Corrections pour la prise en charge de l'UEFI de Xen
gsoap Correction d'un problème de déni de service si une application serveur est construite avec l'option -DWITH_COOKIES [CVE-2019-7659] ; correction d'un problème avec le receveur du protocole DIME et d'en-têtes DIME mal formés
gthumb Correction d'un bogue de double libération de mémoire [CVE-2018-18718]
havp Ajout de la prise en charge de clamav 0.101.1
icu Correction d'une erreur de segmentation dans la commande pkgdata
koji Correction de problème d'injection SQL [CVE-2018-1002161] ; validation correcte de chemins SCM [CVE-2017-1002153]
lemonldap-ng Correction d'un régression d'authentification interdomaine ; correction d'une vulnérabilité d'entité externe XML
libcaca Correction de problèmes de dépassement d'entier [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549]
libclamunrar Nouvelle version amont stable
libconvert-units-perl Reconstruction sans modification avec un numéro de version corrigé
libdatetime-timezone-perl Mise à jour des données incluses
libebml Application de corrections amont pour des lectures hors limites de tampon de tas
libevent-rpc-perl Correction d'échec de construction dû à des certificats SSL de test expirés
libgd2 Correction de lecture non initialisée dans gdImageCreateFromXbm [CVE-2019-11038]
libgovirt Nouvelle génération des certificats de test avec une date d'expiration loin dans le futur pour éviter l'échec des tests
librecad Correction de déni de service au moyen d'un fichier contrefait [CVE-2018-19105]
libsdl2-image Correction de plusieurs problèmes de sécurité
libthrift-java Correction de contournement de négociation SASL [CVE-2018-1320]
libtk-img Arrêt de l'utilisation de copies internes des codecs JPEG, Zlib et PixarLog, corrigeant des plantages
libu2f-host Correction de fuite de mémoire de pile [CVE-2019-9578]
libxslt Correction de contournement de l'infrastructure de sécurité [CVE-2019-11068], lecture non initialisée de jeton xsl:number [CVE-2019-13117] et lecture non initialisée de caractères groupés UTF-8 [CVE-2019-13118]
linux Nouvelle version amont avec ABI modifiée ; corrections de sécurité [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882]
linux-latest Mise à jour pour l'ABI du noyau 4.19.0-6
liquidsoap Correction de la compilation avec Ocaml 4.02
llvm-toolchain-7 Nouveau paquet pour prendre en charge la construction des nouvelles versions de Firefox
mariadb-10.1 Nouvelle version amont stable ; corrections de sécurité [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614]
minissdpd Évitement de vulnérabilité d'utilisation de mémoire après libération qui pourrait permettre à un attaquant distant de planter le processus [CVE-2019-12106]
miniupnpd Correction de problèmes de déni de service [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110] ; correction de fuite d'information [CVE-2019-12107]
mitmproxy Mise en liste noire des tests qui demandent un accès à Internet ; pas d'insertion de dépendances à version supérieure non désirées
monkeysphere Correction d'échec de construction en mettant à jour les tests pour adapter une version de GnuPG mise à jour dans Stretch produisant une sortie différente
nasm-mozilla Nouveau paquet pour prendre en charge la construction des nouvelles versions de Firefox
ncbi-tools6 Réempaquetage sans les données non libres d’UniVec.*
node-growl Nettoyage de l'entrée avant de la transmettre à exec
node-ws Limitation de la taille d'envoi [CVE-2016-10542]
open-vm-tools Correction d'un possible problème de sécurité avec les droits du répertoire et du chemin de transit intermédiaire
openldap Limitation de proxyauthz de rootDN à ses propres bases de données [CVE-2019-13057] ; déclaration d'ACL sasl_ssf exigée à chaque connexion [CVE-2019-13565] ; correction de slapo-rwm pour ne pas vider le filtre original quand le filtre réécrit n'est pas valable
openssh Correction d'un blocage dans la recherche de correspondance de clé
passwordsafe Pas d'installation des fichiers de localisation dans un sous-répertoire supplémentaire
pound Correction de dissimulation de requête au moyen d'en-têtes contrefaits [CVE-2016-10711]
prelink Reconstruction pour mettre à jour les paquets built-using
python-clamav Ajout de la prise en charge de clamav 0.101.1
reportbug Mise à jour des noms de version, suite à la publication de Buster
resiprocate Résolution d'un problème d'installation avec libssl-dev et --install-recommends
sash Reconstruction pour mettre à jour les paquets built-using
sdl-image1.2 Correction des dépassements de tampon [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] et d'accès hors limites [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051]
signing-party Correction d'appel shell non sûr permettant l'injection de commande au moyen de l'identifiant d'un utilisateur [CVE-2019-11627]
slurm-llnl Correction de dépassement de tas dans les systèmes 32 bits [CVE-2019-6438]
sox Correction de plusieurs problèmes de sécurité [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332
systemd Plus d'arrêt du client ndisc en cas d'erreur de configuration
t-digest Reconstruction sans modification pour éviter la réutilisation de la version 3.0-1 pré-epoch
tenshi Correction d'un problème de fichier PID qui permet aux utilisateurs locaux de tuer des processus arbitraires [CVE-2017-11746]
tzdata Nouvelle version amont
unzip Correction d'analyses incorrectes de valeurs 64 bits dans fileio.c ; correction de problèmes de « bombe zip » [CVE-2019-13232]
usbutils Mise à jour de la liste des identifiants USB
xymon Correction de plusieurs problèmes de sécurité (serveur uniquement) [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486]
yubico-piv-tool Correction de problèmes de sécurité [CVE-2018-14779 CVE-2018-14780]
z3 Pas de configuration du SONAME de libz3java.so à libz3.so.4
zfs-auto-snapshot Arrêt silencieux des tâches cron après la suppression d'un paquet
zsh Reconstruction pour mettre à jour les paquets built-using

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-4435 libpng1.6
DSA-4436 imagemagick
DSA-4437 gst-plugins-base1.0
DSA-4438 atftp
DSA-4439 postgresql-9.6
DSA-4440 bind9
DSA-4441 symfony
DSA-4442 cups-filters
DSA-4442 ghostscript
DSA-4443 samba
DSA-4444 linux
DSA-4445 drupal7
DSA-4446 lemonldap-ng
DSA-4447 intel-microcode
DSA-4448 firefox-esr
DSA-4449 ffmpeg
DSA-4450 wpa
DSA-4451 thunderbird
DSA-4452 jackson-databind
DSA-4453 openjdk-8
DSA-4454 qemu
DSA-4455 heimdal
DSA-4456 exim4
DSA-4457 evolution
DSA-4458 cyrus-imapd
DSA-4459 vlc
DSA-4460 mediawiki
DSA-4461 zookeeper
DSA-4462 dbus
DSA-4463 znc
DSA-4464 thunderbird
DSA-4465 linux
DSA-4466 firefox-esr
DSA-4467 vim
DSA-4468 php-horde-form
DSA-4469 libvirt
DSA-4470 pdns
DSA-4471 thunderbird
DSA-4472 expat
DSA-4473 rdesktop
DSA-4475 openssl
DSA-4475 openssl1.0
DSA-4476 python-django
DSA-4477 zeromq3
DSA-4478 dosbox
DSA-4480 redis
DSA-4481 ruby-mini-magick
DSA-4482 thunderbird
DSA-4483 libreoffice
DSA-4485 openjdk-8
DSA-4487 neovim
DSA-4488 exim4
DSA-4489 patch
DSA-4490 subversion
DSA-4491 proftpd-dfsg
DSA-4492 postgresql-9.6
DSA-4494 kconfig
DSA-4498 python-django
DSA-4499 ghostscript
DSA-4501 libreoffice
DSA-4504 vlc
DSA-4505 nginx
DSA-4506 qemu
DSA-4509 apache2
DSA-4510 dovecot

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
pump Non maintenu ; problèmes de sécurité
teeworlds Problèmes de sécurité ; incompatible avec les serveurs actuels

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Adresse de l'actuelle distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

>
http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.