Publication de la mise à jour de Debian 9.13
18 juillet 2020
Le projet Debian a l'honneur d'annoncer la treizième (et dernière) mise
à jour de sa distribution oldstable Debian 9 (nom de code Stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version oldstable. Les annonces
de sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Après cette version intermédiaire, les équipes de sécurité et de publication de Debian ne produiront plus de mises à jour pour Debian 9. Les utilisateurs qui souhaitent continuer à bénéficier du suivi de sécurité devraient mettre à niveau vers Debian 10, ou consulter https://wiki.debian.org/LTS pour avoir des détails sur le sous-ensemble d'architectures et de paquets couverts par le projet « Long Term Support »
Veuillez noter que cette révision ne constitue pas une nouvelle version
Debian 9 mais seulement une mise à jour de certains des paquets
qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de
Stretch
. Après l'installation, les paquets peuvent être mis
à niveau vers les versions actuelles à l'aide d'un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette révision.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette révision d'oldstable ajoute quelques importantes corrections aux paquets suivants :
| Paquet | Raison |
|---|---|
| acmetool | Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité |
| atril | dvi : atténuation d'attaques par injection de commande en protégeant le nom de fichier [CVE-2017-1000159] ; correction de vérifications de débordement dans le dorsal de tiff [CVE-2019-1010006] ; tiff : gestion d'échec issu de TIFFReadRGBAImageOriented [CVE-2019-11459] |
| bacula | Ajout du paquet de transition bacula-director-common, évitant la perte de /etc/bacula/bacula-dir.conf lors d'une purge ; fichiers PID rendus propriété du superutilisateur |
| base-files | Mise à jour de /etc/debian_version pour cette version |
| batik | Correction d'une falsification de requêtes côté serveur au moyen d'attributs xlink:href [CVE-2019-17566] |
| c-icap-modules | Prise en charge de ClamAV 0.102 |
| ca-certificates | Mise à jour du paquet CA de Mozilla vers la version 2.40, mise en liste noire des racines Symantec qui ne sont plus de confiance et de AddTrust External Rootexpiré ; suppression des certificats validés seulement par courriel |
| chasquid | Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité |
| checkstyle | Correction d'un problème d'injection d’entités externes XML [CVE-2019-9658 CVE-2019-10782] |
| clamav | Nouvelle version amont [CVE-2020-3123] ; corrections de sécurité [CVE-2020-3327 CVE-2020-3341] |
| compactheader | Nouvelle version amont, compatible avec les dernières versions de Thunderbird |
| cram | Échecs de test ignorés pour corriger des problèmes de construction |
| csync2 | Échec de la commande HELLO quand SSL est requis |
| cups | Correction d'un dépassement de tampon de tas [CVE-2020-3898] et de la fonction ippReadIO peut lire hors limites un champ d'extension[CVE-2019-8842] |
| dbus | Nouvelle version amont stable ; problème de déni de service évité [CVE-2020-12049] ; utilisation de mémoire après libération évitée si deux noms d'utilisateur partagent un UID |
| debian-installer | Mise à jour pour l'ABI du noyau 4.9.0-13 |
| debian-installer-netboot-images | Reconstruction avec stretch-proposed-updates |
| debian-security-support | Mise à jour de l'état de la prise en charge de plusieurs paquets |
| erlang | Correction de l'utilisation de chiffrements TLS faibles [CVE-2020-12872] |
| exiv2 | Correction d'un problème de déni de service [CVE-2018-16336] ; correction d'un correctif trop restrictif pour CVE-2018-10958 et CVE-2018-10999 |
| fex | Mise à jour de sécurité |
| file-roller | Correction de sécurité [CVE-2020-11736] |
| fwupd | Nouvelle version amont ; utilisation d'un CNAME pour rediriger vers le réseau de diffusion de contenu correct pour les métadonnées ; pas d'interruption de démarrage si le fichier de métadonnées XML n'est pas valable ; ajout des clés GPG publiques de la Fondation Linux pour les microprogrammes et les métadonnées ; limite de taille des métadonnées relevé à 10 Mo |
| glib-networking | Renvoi d'une erreur de mauvaise identité si l'identité n'est pas configurée [CVE-2020-13645] |
| gnutls28 | Correction d'un problème de corruption de mémoire [CVE-2019-3829] ; correction de fuite de mémoire ; ajout de la prise en charge des tickets de session de longueur nulle, correction d'erreurs de connexion de sessions TLS1.2 vers certains fournisseurs d'hébergement |
| gosa | Vérification renforcée des réussites et échecs de LDAP [CVE-2019-11187] ; correction de compatibilité avec les dernières versions de PHP ; rétroportage de plusieurs autres correctifs ; remplacement de (un)serialize par json_encode/json_decode pour atténuer une injection d'objet PHP [CVE-2019-14466] |
| heartbleeder | Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité |
| intel-microcode | Retour à des versions publiées précédemment de certains microcodes contournant des arrêts de l'initialisation sur Skylake-U/Y et Skylake Xeon E3 |
| iptables-persistent | Pas d'échec en cas d'échec de modprobe |
| jackson-databind | Correction de multiples problèmes de sécurité affectant BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267] |
| libbusiness-hours-perl | Utilisation explicite d'années à quatre chiffres, corrigeant des problèmes de construction et d'utilisation |
| libclamunrar | Nouvelle version amont stable ; ajout d'un méta-paquet non versionné |
| libdbi | Appel _error_handler() à nouveau commenté, corrigeant des problèmes avec les utilisateurs |
| libembperl-perl | Gestion des pages d'erreur d'Apache >= 2.4.40 |
| libexif | Corrections de sécurité [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093] ; corrections de sécurité [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114] ; correction d'un dépassement de tampon en lecture [CVE-2020-0182] et d'un dépassement d'entier non signé [CVE-2020-0198] |
| libvncserver | Correction d'un dépassement de tas [CVE-2019-15690] |
| linux | Nouvelle version amont stable ; mise à jour de l'ABI vers 4.9.0-13 |
| linux-latest | Mise à jour pour l'ABI du noyau 4.9.0-13 |
| mariadb-10.1 | Nouvelle version amont stable ; corrections de sécurité [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814] |
| megatools | Ajout de la prise en charge du nouveau format de liens mega.nz |
| mod-gnutls | Suites de chiffrement obsolètes évitées dans l'ensemble de tests ; correction des échecs de tests quand ils sont combinés à des corrections d'Apache pour le CVE-2019-10092 |
| mongo-tools | Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité |
| neon27 | Traitement des échecs de tests liés à OpenSSL comme non fatals |
| nfs-utils | Correction d'une possible vulnérabilité d'écrasement de fichier [CVE-2019-3689] ; la totalité de /var/lib/nfs n'est plus rendue propriété de l'utilisateur de statd |
| nginx | Correction d'une vulnérabilité de dissimulation de requête de la page d'erreur [CVE-2019-20372] |
| node-url-parse | Nettoyage des chemins et des hôtes avant l'analyse [CVE-2018-3774] |
| nvidia-graphics-drivers | Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967] |
| pcl | Correction de dépendance manquante à libvtk6-qt-dev |
| perl | Correction de multiples problèmes de sécurité liés aux expressions rationnelles [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Correction d'une vulnérabilité de script intersite [CVE-2020-8035] |
| php-horde-data | Correction d'une vulnérabilité d'exécution de code authentifié à distance [CVE-2020-8518] |
| php-horde-form | Correction d'une vulnérabilité d'exécution de code authentifié à distance [CVE-2020-8866] |
| php-horde-gollem | Correction d'une vulnérabilité de script intersite dans la sortie de breadcrumb [CVE-2020-8034] |
| php-horde-trean | Correction d'une vulnérabilité d'exécution de code authentifié à distance [CVE-2020-8865] |
| phpmyadmin | Plusieurs corrections de sécurité [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504] |
| postfix | Nouvelle version amont stable |
| proftpd-dfsg | Correction de gestion de paquets SSH_MSG_IGNORE |
| python-icalendar | Correction de dépendances à Python3 |
| rails | Correction d'une vulnérabilité de script intersite possible au moyen de l'assistant d'échappement de Javascript [CVE-2020-5267] |
| rake | Correction d'une vulnérabilité d'injection de commande [CVE-2020-8130] |
| roundcube | Correction d'un problème de vulnérabilité de script intersite au moyen de messages HTML malveillants avec un élément svg dans l'espace de noms [CVE-2020-15562] |
| ruby-json | Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663] |
| ruby2.3 | Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663] |
| sendmail | Correction du résultat du processus de contrôle d'exécution de file d'attente en mode split daemon, NOQUEUE: connect from (null), suppression d'échec lors de l'utilisation de BTRFS |
| sogo-connector | Nouvelle version amont, compatible avec les dernières versions de Thunderbird |
| ssvnc | Correction d'écriture hors limites [CVE-2018-20020], de boucle infinie [CVE-2018-20021], d'initialisation incorrecte [CVE-2018-20022], d'un potentiel déni de service [CVE-2018-20024] |
| storebackup | Correction d'une possible vulnérabilité d'élévation de privilèges [CVE-2020-7040] |
| swt-gtk | Correction de dépendance manquante à libwebkitgtk-1.0-0 |
| tinyproxy | Création de fichier PID avant l'abaissement des privilèges d'un compte non administrateur [CVE-2017-11747] |
| tzdata | Nouvelle version amont stable |
| websockify | Correction de dépendance manquante à python{3,}-pkg-resources |
| wpa | Correction de contournement de protection de déconnexion PMF de mode AP [CVE-2019-16275] ; correction de problèmes de randomisation de MAC avec certaines cartes |
| xdg-utils | Nettoyage du nom de fenêtre avant de l'envoyer sur D-Bus ; gestion correcte des répertoires dont les noms contiennent des espaces ; création du répertoire applicationssi nécessaire |
| xml-security-c | Correction du calcul de longueur dans la méthode concat |
| xtrlock | Correction du blocage de certains périphériques tactiles multipoints lors du verrouillage [CVE-2016-10894] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| certificatepatrol | Incompatible avec les versions actuelles de Firefox ESR |
| colorediffs-extension | Incompatible avec les versions actuelles de Thunderbird |
| dynalogin | Dépend de simpleid qui doit être supprimé |
| enigmail | Incompatible avec les versions actuelles de Thunderbird |
| firefox-esr | [armel] plus pris en charge (requiert nodejs) |
| firefox-esr | [mips mipsel mips64el] plus pris en charge (nécessite la dernière version de rustc) |
| getlive | Cassé du fait de modifications de Hotmail |
| gplaycli | Cassé par les modifications de l'API de Google |
| kerneloops | Service amont plus disponible |
| libmicrodns | Problèmes de sécurité |
| libperlspeak-perl | Problèmes de sécurité ; non maintenu |
| mathematica-fonts | Repose sur un emplacement de téléchargement non disponible |
| pdns-recursor | Problèmes de sécurité ; non pris en charge |
| predictprotein | Dépend de profphd qui doit être supprimé |
| profphd | Inutilisable |
| quotecolors | Incompatible avec les versions actuelles de Thunderbird |
| selenium-firefoxdriver | Incompatible avec les versions actuelles de Firefox ESR |
| simpleid | Ne fonctionne pas avec PHP7 |
| simpleid-ldap | Dépend de simpleid qui doit être supprimé |
| torbirdy | Incompatible avec les versions actuelles de Thunderbird |
| weboob | Non maintenu ; déjà supprimé des dernières versions |
| yahoo2mbox | Cassé depuis plusieurs années |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.