Publication de la mise à jour de Debian 9.10
7 septembre 2019
Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa
distribution oldstable Debian 9 (codename Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch. Après installation, les paquets peuvent être mis à niveau vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
base-files | Mise à jour pour cette version ; ajout de VERSION_CODENAME à os-release |
basez | Décodage correct des chaînes encodées avec base64url |
biomaj-watcher | Correction des mises à niveau de Jessie à Stretch |
c-icap-modules | Ajout de la prise en charge de clamav 0.101.1 |
chaosreader | Ajout de la dépendance manquante à libnet-dns-perl |
clamav | Nouvelle version amont stable : ajout de limite de temps de balayage pour réduire le risque de « bombes zip » [CVE-2019-12625] ; correction d'écriture hors limites dans la bibliothèque NSIS bzip2 [CVE-2019-12900] |
corekeeper | Pas d'utilisation de /var/crash accessible à tous en écriture avec le script de sauvegarde ; gestion des versions antérieures du noyau Linux d'une façon plus sûre ; pas de troncature des noms principaux des exécutables avec des espaces |
cups | Correction de multiples problèmes de sécurité ou de divulgation – problèmes de dépassements de tampon SNMP [CVE-2019-8696 CVE-2019-8675], de dépassement de tampon IPP, de déni de service et de divulgation de mémoire dans l'ordonnanceur |
dansguardian | Ajout de la prise en charge de clamav 0.101.1 |
dar | Reconstruction pour mettre à jour les paquets built-using |
debian-archive-keyring | Ajout des clés de Buster ; retrait des clés de Wheezy |
fence-agents | Correction d'un problème de déni de service [CVE-2019-10153] |
fig2dev | Plus d'erreur de segmentation sur les pointes de flèche circulaires ou semi-circulaires avec un grossissement supérieur à 42 [CVE-2019-14275] |
fribidi | Correction de sortie de droite à gauche dans le mode texte de l'installateur Debian |
fusiondirectory | Vérifications plus strictes des recherches LDAP ; ajout de la dépendance manquante à php-xml |
gettext | Plantage de xgettext() empêché lors d'une exécution avec l'option --its=FILE |
glib2.0 | Création de répertoire et de fichier avec des droits restreints lors de l'utilisation de GKeyfileSettingsBackend [CVE-2019-13012] ; plus de débordement de tampon en lecture lors du formatage des messages d'erreur pour un codage UTF-8 non valable dans GMarkup [CVE-2018-16429] ; plus de déréférencement de pointeur NULL lors de l'analyse de GMarkup non valable avec une balise fermante mal formée pas appairée avec une balise ouvrante [CVE-2018-16429] |
gocode | gocode-auto-complete-el : pré-dépendance à auto-complete-el versionné pour corriger les mises à niveau de Jessie à Stretch |
groonga | Réduction du risque d'élévation des privilèges en changeant le propriétaire et le groupe des logs avec l'option su |
grub2 | Corrections pour la prise en charge de l'UEFI de Xen |
gsoap | Correction d'un problème de déni de service si une application serveur est construite avec l'option -DWITH_COOKIES [CVE-2019-7659] ; correction d'un problème avec le receveur du protocole DIME et d'en-têtes DIME mal formés |
gthumb | Correction d'un bogue de double libération de mémoire [CVE-2018-18718] |
havp | Ajout de la prise en charge de clamav 0.101.1 |
icu | Correction d'une erreur de segmentation dans la commande pkgdata |
koji | Correction de problème d'injection SQL [CVE-2018-1002161] ; validation correcte de chemins SCM [CVE-2017-1002153] |
lemonldap-ng | Correction d'un régression d'authentification interdomaine ; correction d'une vulnérabilité d'entité externe XML |
libcaca | Correction de problèmes de dépassement d'entier [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549] |
libclamunrar | Nouvelle version amont stable |
libconvert-units-perl | Reconstruction sans modification avec un numéro de version corrigé |
libdatetime-timezone-perl | Mise à jour des données incluses |
libebml | Application de corrections amont pour des lectures hors limites de tampon de tas |
libevent-rpc-perl | Correction d'échec de construction dû à des certificats SSL de test expirés |
libgd2 | Correction de lecture non initialisée dans gdImageCreateFromXbm [CVE-2019-11038] |
libgovirt | Nouvelle génération des certificats de test avec une date d'expiration loin dans le futur pour éviter l'échec des tests |
librecad | Correction de déni de service au moyen d'un fichier contrefait [CVE-2018-19105] |
libsdl2-image | Correction de plusieurs problèmes de sécurité |
libthrift-java | Correction de contournement de négociation SASL [CVE-2018-1320] |
libtk-img | Arrêt de l'utilisation de copies internes des codecs JPEG, Zlib et PixarLog, corrigeant des plantages |
libu2f-host | Correction de fuite de mémoire de pile [CVE-2019-9578] |
libxslt | Correction de contournement de l'infrastructure de sécurité [CVE-2019-11068], lecture non initialisée de jeton xsl:number [CVE-2019-13117] et lecture non initialisée de caractères groupés UTF-8 [CVE-2019-13118] |
linux | Nouvelle version amont avec ABI modifiée ; corrections de sécurité [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882] |
linux-latest | Mise à jour pour l'ABI du noyau 4.19.0-6 |
liquidsoap | Correction de la compilation avec Ocaml 4.02 |
llvm-toolchain-7 | Nouveau paquet pour prendre en charge la construction des nouvelles versions de Firefox |
mariadb-10.1 | Nouvelle version amont stable ; corrections de sécurité [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614] |
minissdpd | Évitement de vulnérabilité d'utilisation de mémoire après libération qui pourrait permettre à un attaquant distant de planter le processus [CVE-2019-12106] |
miniupnpd | Correction de problèmes de déni de service [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110] ; correction de fuite d'information [CVE-2019-12107] |
mitmproxy | Mise en liste noire des tests qui demandent un accès à Internet ; pas d'insertion de dépendances à version supérieure non désirées |
monkeysphere | Correction d'échec de construction en mettant à jour les tests pour adapter une version de GnuPG mise à jour dans Stretch produisant une sortie différente |
nasm-mozilla | Nouveau paquet pour prendre en charge la construction des nouvelles versions de Firefox |
ncbi-tools6 | Réempaquetage sans les données non libres d’UniVec.* |
node-growl | Nettoyage de l'entrée avant de la transmettre à exec |
node-ws | Limitation de la taille d'envoi [CVE-2016-10542] |
open-vm-tools | Correction d'un possible problème de sécurité avec les droits du répertoire et du chemin de transit intermédiaire |
openldap | Limitation de proxyauthz de rootDN à ses propres bases de données [CVE-2019-13057] ; déclaration d'ACL sasl_ssf exigée à chaque connexion [CVE-2019-13565] ; correction de slapo-rwm pour ne pas vider le filtre original quand le filtre réécrit n'est pas valable |
openssh | Correction d'un blocage dans la recherche de correspondance de clé |
passwordsafe | Pas d'installation des fichiers de localisation dans un sous-répertoire supplémentaire |
pound | Correction de dissimulation de requête au moyen d'en-têtes contrefaits [CVE-2016-10711] |
prelink | Reconstruction pour mettre à jour les paquets built-using |
python-clamav | Ajout de la prise en charge de clamav 0.101.1 |
reportbug | Mise à jour des noms de version, suite à la publication de Buster |
resiprocate | Résolution d'un problème d'installation avec libssl-dev et --install-recommends |
sash | Reconstruction pour mettre à jour les paquets built-using |
sdl-image1.2 | Correction des dépassements de tampon [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] et d'accès hors limites [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
signing-party | Correction d'appel shell non sûr permettant l'injection de commande au moyen de l'identifiant d'un utilisateur [CVE-2019-11627] |
slurm-llnl | Correction de dépassement de tas dans les systèmes 32 bits [CVE-2019-6438] |
sox | Correction de plusieurs problèmes de sécurité [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332 |
systemd | Plus d'arrêt du client ndisc en cas d'erreur de configuration |
t-digest | Reconstruction sans modification pour éviter la réutilisation de la version 3.0-1 pré-epoch |
tenshi | Correction d'un problème de fichier PID qui permet aux utilisateurs locaux de tuer des processus arbitraires [CVE-2017-11746] |
tzdata | Nouvelle version amont |
unzip | Correction d'analyses incorrectes de valeurs 64 bits dans fileio.c ; correction de problèmes de « bombe zip » [CVE-2019-13232] |
usbutils | Mise à jour de la liste des identifiants USB |
xymon | Correction de plusieurs problèmes de sécurité (serveur uniquement) [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486] |
yubico-piv-tool | Correction de problèmes de sécurité [CVE-2018-14779 CVE-2018-14780] |
z3 | Pas de configuration du SONAME de libz3java.so à libz3.so.4 |
zfs-auto-snapshot | Arrêt silencieux des tâches cron après la suppression d'un paquet |
zsh | Reconstruction pour mettre à jour les paquets built-using |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
pump | Non maintenu ; problèmes de sécurité |
teeworlds | Problèmes de sécurité ; incompatible avec les serveurs actuels |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
>Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.