Publication de la mise à jour de Debian 9.4
10 mars 2018
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa
distribution stable Debian 9 (nommée stretch
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| acme-tiny | Correction de version obsolète de l'accord du souscripteur |
| activity-log-manager | Ajout de dépendances manquantes à python-zeitgeist |
| agenda.app | Correction de la création de tâches et de rendez-vous |
| apparmor | Déplacement du fichier de fonctions dans /usr/share/apparmor-features ; attachement de l'ensemble de fonctions d'AppArmor au noyau de Stretch |
| auto-apt-proxy | Retrait de la configuration d'apt lors de sa suppression et remise en place à la réinstallation |
| bareos | Correction d'échecs de sauvegarde avec le message No Volume name given |
| base-files | Mise à jour pour cette version |
| cappuccino | Ajout de dépendances manquantes à gir1.2-gtk-3.0 |
| cerealizer | Correction de dépendances de Python 3 |
| clamav | Nouvelle version amont ; mises à jour de sécurité [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] |
| cron | Transfert correct de tâches système au contexte de system_cronjob_t de SELinux et plus de dépendance aux identifiants particuliers de refpolicy |
| cups | Correction de l'exécution de commandes arbitraires IPP par l'envoi de requêtes POST au démon de CUPS conjointement à une attaque de « DNS rebinding » [CVE-2017-18190] |
| dbus | Nouvelle version amont ; relèvement plus rapide de la limite du nombre de descripteurs de fichier, corrigeant une régression dans la correction d'un déni de service local |
| debian-edu-config | Pré-configuration du navigateur Web Chromium au niveau du système pour qu'il détecte automatiquement la configuration du mandataire http avec WPAD ; possibilité d'association de clients Windows 10 au domaine de Samba de type NT4 |
| debian-installer | Passage du noyau Linux de la version 4.9.0-4 à la version 4.9.0-6 |
| debian-installer-netboot-images | Mise à jour vers les images 20170615+deb9u3, à partir de stretch-proposed-updates |
| directfb | Correction du filtre basé sur l'architecture pour installer effectivement les pilotes |
| dpdk | Mise à jour vers la nouvelle version stable intermédiaire |
| espeakup | udeb : correction du cas où la carte 0 n'a pas d'identifiant, ou bien où les cartes ont des index non contiguës ; utilisation de l'anglais par défaut ; utilisation de l'identifiant de la carte dans un système installé pour éviter des problèmes avec l'ordre de la détection des cartes |
| exam | Correction de dépendances de Python 3 |
| flatpak | Nouvelle version amont ; correction d'un contournement de filtrage D-Bus dans flatpak-dbus-proxy ; ignorer les chaînes d'autorisation non reconnues, plutôt que d'échouer ; interdiction des anciennes écoutes dans le bus de session D-Bus |
| fuse-zip | Correction d'échec de « writeback » avec libzip 1.0 |
| glade | Correction de boucle infinie potentielle |
| glibc | Pas de mise à jour de /etc/nsswitch.conf quand son contenu correspond déjà au contenu par défaut ; debian/script.in/nohwcap.sh : vérification systématique que tous les paquets soient optimisés parce que multiarch permet l'installation d'architectures supplémentaires ; accès de lecture de la mémoire après libération évité dans l'appel clntudp [CVE-2017-12133] ; définition du collationnement des caractères chillu du malayalam et correction du collationnement des caractères U+0D36 et U+0D37 du malayalam ; correction d'un forçage non valable dans la fusion de groupes affectant ppc64 et s390x ; correction de la compatibilité avec la convention d'appel __regcall d'Intel C++ ; installation des postinst et postrm de libc-otherbuild dans le paquet de transition libc6-i686 pour s'assurer du retrait correct de /etc/ld.so.nohwcap après une mise à niveau |
| global | Gozilla : protection des URL avant de les passer à BROWSER [CVE-2017-17531] |
| gnumail | Arrêt du lien à OpenSSL |
| golang-github-go-ldap-ldap | Explicitation nécessaire de l'intention de mot de passe vide |
| gosa-plugin-pwreset | Correction d'un appel de constructeur obsolète |
| grilo-plugins | Correction de la source de Radio France |
| hdf5 | Correction de l'invocation de javahelper |
| inputlirc | Inclusion d'input-event-codes.h à la place d'input.h, corrigeant un échec de construction |
| intercal | Nouvelle compilation avec PIE |
| java-atk-wrapper | Correction de l'initialisation de l'itérateur ; correction de référence manquante pour les fils |
| kildclient | Suppression de la prise en charge des navigateurs définis par l'utilisateur [CVE-2017-17511] |
| libdate-holidays-de-perl | Inscription de la fête de la Réforme comme jour férié à Hambourg et au Schleswig-Holstein à partir de 2018 |
| libdatetime-timezone-perl | Nouvelle version amont |
| libhibernate-validator-java | Correction d'une possible augmentation de droits en contournant les droits du gestionnaire de sécurité [CVE-2017-7536] |
| libperlx-assert-perl | Ajout de dépendances manquantes à libkeyword-simple-perl et libdevel-declare-perl |
| libreoffice | Exécution permise de WEBSERVICE par FunctionAccess ; utilisation du bon code d'erreur pour les échecs de WEBSERVICE() |
| libvhdi | Ajout de dépendance manquante à Python 3 |
| libvirt | QEMU : les disques partagés avec l'option cache=directsync devraient être sûrs pour les migrations ; déni de service de lecture à partir du moniteur de QEMU évité [CVE-2018-5748] |
| linux | Nouvelle version amont |
| lxc | Correction de la création de conteneurs testing et unstable en incluant iproute2à la place de iproute |
| mapproxy | Correction d'un problème de script intersite (XSS) dans le service demo [CVE-2017-1000426] |
| mosquitto | Correction du caractère lisible par tout le monde du fichier de persistance [CVE-2017-9868] |
| mpi4py | Prise en charge de la version actuelle de libmpi |
| ncurses | Correction de dépassement de tampon dans la fonction _nc_write_entry [CVE-2017-16879] |
| needrestart | Correction du basculement vers le mode liste si debconf est exécuté de façon non-interactive |
| ntp | Augmentation de la taille de la pile à au moins 32 ko |
| nvidia-graphics-drivers-legacy-304xx | Nouvelle version amont |
| nvidia-graphics-drivers-legacy-340xx | Nouvelle version amont |
| nvidia-modprobe | Nouvelle version amont ; exécution de setuid(0) avant la fourche de modprobe pour conserver les droits à travers les invocations de l'interpréteur de commandes et les appels récursifs de modprobe |
| nvidia-persistenced | Nouvelle version amont |
| nvidia-settings | Nouvelle version amont ; correction d'un bogue qui empêchait que les modifications de l'affectation de la vision stéréo soient appliquées à partir du panneau de contrôle de nvidia-settings |
| nvidia-xconfig | Nouvelle version amont ; correction d'une régression qui empêchait que nvidia-xconfig demande certains GPU, par exemple lors de l'exécution de « nvidia-xconfig -a » |
| ocfs2-tools | Migration de l'utilisation de rcS aux « runlevel » standard |
| opendmarc | Mise à jour du fichier du service opendmarc de manière à ce que les modifications dans opendmarc.conf soient utilisées |
| openssh | Correction de in read-only mode, sftp-server was incorrectly permitting creation of zero-length files[CVE-2017-15906] |
| osinfo-db | Mise à jour des données incluses |
| pdns-recursor | Reconstruction avec publicsuffix 20171028.2055-0+deb9u1 |
| postfix | Nouvelle version amont de correction de bogues ; pas d'enregistrement des avertissements que certaines restrictions renvoient OK, lorsque la fonctionnalité DISCARD du mappage des accès est effective ; ajout de la prise en charge de dynamicmaps manquants dans la commande sendmail de Postfix ; correction de l'envoi à certains sites avec des enregistrements TLSA 2 X X |
| postgresql-9.6 | Nouvelle version amont |
| publicsuffix | Mise à jour des données incluses |
| python-evtx | Correction de dépendance manquante à Python 3 |
| python-hacking | Correction de dépendances de Python 3 |
| python-hkdf | Correction de dépendances de Python 3 |
| python-mimeparse | Correction de dépendances de Python 3 |
| python-pyperclip | Correction de dépendances de Python 3 |
| python-spake2 | Correction de dépendances de Python 3 |
| qtpass | Correction du générateur intégré de mot de passe non sûr [CVE-2017-18021] |
| quota | Évitement de l'entrée de quotacheck dans une boucle infinie |
| reportbug | Plus d'envoi de courriel à secure-testing-team@lists.alioth.debian.org |
| rpy | Reconstruction avec r-base 3.3 |
| ruby-redis-store | Objets non sûrs autorisés à être chargés à partir de redis [CVE-2017-1000248] |
| salt | Correction d'une vulnérabilité de traversée de répertoires dans salt-master avec des identifiants de « minion » contrefaits [CVE-2017-12791], vulnérabilité de traversée de répertoires dans la validation d'identifiants de « minion » dans SaltStack [CVE-2017-14695], déni de service à distance avec une requête d'authentification contrefaite pour l'occasion [CVE-2017-14696] ; vérification que data[return] est de type « dict » |
| slic3r | Correction de la ligne use libdans tous les binaires installés ; contournement de la macro GL_MULTISAMPLE manquante ; correction de l'importation de STL binaires sur les architectures gros-boutistes |
| soundtouch | Corrections de sécurité [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] |
| systemd | networkd : gestion du champ MTU dans les messages RA IPv6 ; ajout d'un script d'édition de liens pour aider à éviter les collisions de symboles, en particulier avec les modules PAM ; resolved : correction de boucle sur les paquets de type pseudo dns [CVE-2017-15908] ; machinectl : pas de sortie No machines.avec l'option --no-legend |
| tzdata | Nouvelle version amont |
| ust | Correction du chargement de la bibliothèque de l'agent Python |
| uwsgi | Correction d'un dépassement de pile dans la fonction uwsgi_expand_path [CVE-2018-6758] |
| vagrant | Téléchargement de « box » à partir d'app.vagrantcloud.com à la place d'atlas.hashicorp.com obsolète |
| vdirsyncer | Correction de la découverte de contacts de Google |
| virt-what | Réparation de la détection de virt sur arm/aarch64 |
| w3m | Correction de dépassement de pile [CVE-2018-6196], déréférencement de pointeur NULL [CVE-2018-6197], situations de compétition de fichiers /tmp [CVE-2018-6198] |
| waagent | Nouvelle version amont |
| webkit2gtk | Nouvelle version amont stable |
| xchain | Correction de dépendance à wish |
| xrdp | Correction d'un problème de sécurité [CVE-2017-16927] ; correction de charge microprocesseur importante lors de ssl_tls_accept |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| dolibarr | trop de travail pour le maintenir proprement dans Debian |
| electrum | problèmes de sécurité ; cassé à cause de modifications amont |
| jirc | cassé avec libpoe-filter-xml-perl de Stretch |
| pgmodeler | incompatible avec la version de Postgresql de Stretch |
| seelablet | abandonné par l'amont ; cassé |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.