Publication de la mise à jour de Debian 9.6
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 9.6 press@debian.org
10 novembre 2018 https://www.debian.org/News/2018/20181110
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 9 (nommée « Stretch »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité
ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Stretch mais simplement de faire une mise à jour à
l’aide d’un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour. De nouvelles images d'installation seront
prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet Raison
accerciser Correction d'accès à des éléments sans un compositeur ;
correction de la console Python ; ajout de dépendance
manquante à python3-xlib
apache2 mod_http2 : correction de déni de service par
épuisement d'un « worker » [CVE-2018-1333] et par envoi
en continu de trames SETTINGS [CVE-2018-11763] ;
mod_proxy_fcgi : correction d'erreur de segmentation
base-files Mise à jour /etc/debian_version pour cette version
brltty Correction d'authentification de polkit
canna Correction de conflit de fichiers entre canna-dbgsym et
canna-utils-dbgsym
cargo Nouveau paquet pour gérer la construction de Firefox
ESR 60
clamav Nouvelle version amont ; correction de dépassement
d'entier d'HWP, de vulnérabilité de boucle infinie
[CVE-2018-0360] ; correction de problème de
vérification de longueur d'objet PDF, de durée
excessive pour l'analyse de fichier relativement petit
[CVE-2018-0361] ; nouvelle version amont ; correction
d'un problème de déni de service [CVE-2018-15378] ;
correction de boucle infinie dans dpkg-reconfigure
confuse Correction d'une lecture hors limites dans
trim_whitespace [CVE-2018-14447]
debian-installer
Mise à jour vers l'ABI du noyau -8
debian-installer-netboot-images
Reconstruction pour cette version
dnsmasq trust-anchors.conf : inclusion de l'ancre de confiance
DNS KSK-2017 la plus récente
dom4j Correction d'attaque d'injection XML
[CVE-2018-1000632] ; compilation avec source et
cible 1.5 pour corriger un problème de compilation avec
String.format
dpdk Nouvelle version amont stable
dropbear Correction de vulnérabilité d'énumération
d'utilisateurs [CVE-2018-15599]
easytag Correction de corruption d'OGG
enigmail Ajout de la compatibilité avec les dernières versions
de Thunderbird
espeakup espeakup.service : chargement automatique de
speakup_soft au démarrage du démon
fastforward Correction d'erreurs de segmentation sur les
architectures 64 bits
firetray Ajout de la compatibilité avec les dernières versions
de Thunderbird
firmware-nonfree
Corrections de problèmes de sécurité dans le microcode
Wifi de Broadcom [CVE-2016-0801 CVE-2017-0561
CVE-2017-9417 CVE-2017-13077 CVE-2017-13078
CVE-2017-13079 CVE-2017-13080 CVE-2017-13081] ;
réintroduction de paquets de transition pour
firmware-{adi,ralink}
fofix-dfsg Correction d'erreur au démarrage
fuse Autorisation d'autofs et FAT comme systèmes de fichiers
de point de montage valables
ganeti Vérification correcte des certificats SSL lors de
l'export de VM ; signature des certificats
générés avec SHA256 à la place de SHA1 ; complétions de
bash rendues automatiquement chargeables
globus-gsi-credential
Correction de problème avec le mandataire voms et
openssl 1.1
gnupg2 Corrections de sécurité ; rétroportage des
fonctionnalités requises pour le nouveau enigmail
gnutls28 Corrections de problèmes de sécurité [CVE-2018-10844
CVE-2018-10845]
gphoto2-cffi Fonctionnement à nouveau de python3-gphoto2cffi
grub2 grub-mknetdir : ajout de la prise en charge de ARM64
EFI ; modification de la méthode de calibration TSC par
défaut pour pmtimer sur les systèmes EFI
hdparm Activation d'APM uniquement sur les disques qui
l'annoncent
https-everywhere
Rétroportage de la nouvelle version amont, pour
compatibilité avec Firefox ESR 60
i3-wm Correction de plantage au redémarrage lors de
l'utilisation de marques
iipimage Correction de la configuration d'Apache
jhead Corrections de problèmes de sécurité [CVE-2018-17088
CVE-2018-16554]
lastpass-cli Rétroportage d'épinglages de certificats codés en dur à
partir de lastpass-cli 1.3.1 pour refléter les
modifications du service hébergé Lastpass.com
ldap2zone Correction de boucle infinie lors de la vérification du
numéro de série de zone
libcgroup Correction des fichiers de journaux accessibles à tous
(et modifiables) [CVE-2018-14348]
libclamunrar Nouvelle version amont
libdap Correction du contenu de libdap-doc
libdatetime-timezone-perl
Mise à jour des données incluses
libgd2 Bmp : vérification des valeurs de retour dans
gdImageBmpPtr [CVE-2018-1000222] ; correction d'une
potentielle boucle infinie dans
gdImageCreateFromGifCtx [CVE-2018-5711]
libmail-deliverystatus-bounceparser-perl
Retrait d'exemples de pourriels et de virus non
distribuables
libmspack Correction d'écriture hors limites [CVE-2018-18584] et
acceptation de noms de fichiers « vides »
[CVE-2018-18585]
libopenmpt Correction de « up11 : lecture hors limites lors du
chargement de fichiers IT/MO3 avec de nombreuses
boucles de motifs » [CVE-2018-10017]
libseccomp Ajout de la prise en charge des appels système de
Linux 4.9 : preadv2, pwritev2, pkey_mprotect,
pkey_alloc et pkey_free ; ajout de la prise en charge
de statx
libtirpc rendezvous_request : vérification de la valeur de
retour de makefd_xprt [CVE-2018-14622]
libx11 Correction de plusieurs problèmes de sécurité
[CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Correction d'un déni de service ou d'une exécution
potentielle de code avec un dépassement de tas d'un
octet [CVE-2015-9262]
libxml-stream-perl
Fourniture d'un chemin d'autorité de certification par
défaut
libxml-structured-perl
Ajout de dépendance de construction et d'exécution
manquante à libxml-parser-perl
linux Xen : correction de régression de démarrage dans les
domaines PV ; xen-netfront : correction de
régressions ; ext4 : correction de faux négatifs *et*
de faux positifs dans ext4_check_descriptors() ;
udeb : ajout de virtio_console à virtio-modules ;
cdc_ncm : remplissage au-delà de la fin de skb ;
suppression de « sit: reload iphdr in ipip6_rcv » ;
nouvelle version amont
lxcfs Suppression de la virtualisation du temps de
fonctionnement « uptime », corrigeant l'heure de
démarrage du processus
magicmaze Dépendance à fonts-isabella maintenant que ttf-isabella
est un paquet virtuel
mailman Correction d'une vulnérabilité d'injection de texte
arbitraire dans les CGI de Mailman [CVE-2018-13796]
multipath-tools Blocage évité dans les déclenchements d'udev
nagstamon Correction d'un problème d'authentification basique
d'IcingaWeb2
network-manager libnm : correction de l'accès aux propriétés
« enabled » et « metered » ; correction d'écriture de
tas hors limites dans la gestion de l'option dhcpv6
[CVE-2018-15688] et divers autres problèmes dans le
greffon dhcp=internal basé sur sd-network
network-manager-applet
libnma/pygobject : libnma/NMA doit utiliser libnm/NM à
la place des anciennes bibliothèques
ola Correction de coquille dans
/etc/init.d/rdm_test_server ; correction de nom de
fichier pour jquery dans les fichiers HTML statiques
du serveur de test rdm
opensc Correction de récursion non liée et de plusieurs
lectures et écritures hors limites [CVE-2018-16391
CVE-2018-16392 CVE-2018-16393 CVE-2018-16418
CVE-2018-16419 CVE-2018-16420 CVE-2018-16421
CVE-2018-16422 CVE-2018-16423 CVE-2018-16424
CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel Installation de nouvelles dépendances lors de la
sélection de safe-upgrade (par défaut)
publicsuffix Mise à jour des données incluses
python-django Prise en charge par défaut de Spatialite >= 4.2
python-imaplib2 Installation du module correct pour Python 3 ; pas
d'utilisation de TIMEOUT_MAX
rustc Activation de la construction sur plus
d'architectures : arm64, armel, armhf, i386, ppc64el,
s390x
sddm Respect des groupes extérieurs supplémentaires de PAM ;
ajout de la gestion manquante d'utmp/wtmp/btmp
serf Correction de déréférence de pointeur NULL
soundconverter Correction de la configuration d'Opus vbr
spamassassin Nouvelle version amont ; correction de déni de service
[CVE-2017-15705], d'exécution distante de code
[CVE-2018-11780], d'injection de code [CVE-2018-11781]
et d'utilisation non sûre de « . » dans @INC
[CVE-2016-1238] ; correction de la gestion du service
spamd lors des mises à niveau du paquet
spice-gtk Correction de dépassement de tampon de « flexible
array »[CVE-2018-10873]
sqlcipher Plantage évité à l'ouverture d'un fichier
subversion Correction d'une régression introduite dans les
correctifs pour les collisions de SHA1, où les
correctifs échouent de façon incorrecte avec une
erreur « Filesystem is corrupt » si la longueur du
delta est un multiple de 16 ko
systemd networkd : Pas d'échec de manager_connect_bus() si dbus
n'est pas encore actif ; dhcp6 : assurance qu'il y a
assez de place pour l'en-tête de l'option DHCP6
[CVE-2018-15688]
systraq Inversion de la logique afin de sortir avec succès si
/e/s/Makefile est manquant
tomcat-native Correction d'un problème du répondeur OSCP qui fait
qu'il est possible aux utilisateurs de s'authentifier
avec des certificats révoqués lors de l'utilisation de
l'authentification mutuelle TLS TLS [CVE-2018-8019
CVE-2018-8020]
tor Modifications de répertoire de tiers de confiance :
retrait du tiers de confiance de pont « Bifroest », en
faveur de « Serge » ; ajout d'une adresse IPv6 pour le
répertoire de tiers de confiance « dannenberg »
tzdata Nouvelle version amont
ublock-origin Rétroportage de la nouvelle version amont, pour
compatibilité avec Firefox ESR 60
unbound Correction d'une vulnérabilité dans le traitement des
enregistrements NSEC génériques synthétisés
[CVE-2017-15105]
vagrant Prise en charge de VirtualBox 5.2
vmtk python-vmtk : ajout de dépendance manquante à
python-vtk6
wesnoth-1.12 Désactivation du chargement du bytecode Lua à travers
load/dofile [CVE-2018- 1999023]
wpa Données des EAPOL-Key chiffrés non authentifiés
ignorées [CVE-2018-14526]
x11vnc Correction de deux dépassements de tampon
xapian-core Correction d'un bogue du moteur glass avec des curseurs
à longue vie sur une table dans une WritableDatabase
qui pourrait mener de façon incorrecte à envoyer
DatabaseCorruptError alors que la base de données est
véritablement OK
xmotd Plantage évité avec les attributs de renforcement
xorg-server GLX : pas de récupération de la configuration de sRGB
pour le mode visuel 32 bits RGBA – correction de
plusieurs problèmes de rendu avec kwin et Mesa >= 18.0
(c'est-à-dire Mesa issu de stretch-backports)
zutils Correction d'un débordement de tampon dans zcat
[CVE-2018-1000637]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
adblock-plus-element-hiding-helper
Incompatible avec les dernières versions de
firefox-esr
all-in-one-sidebar Incompatible avec les dernières versions de
firefox-esr
autofill-forms Incompatible avec les dernières versions de
firefox-esr
automatic-save-folder
Incompatible avec les dernières versions de
firefox-esr
classic-theme-restorer
Incompatible avec les dernières versions de
firefox-esr
colorfultabs Incompatible avec les dernières versions de
firefox-esr
custom-tab-width Incompatible avec les dernières versions de
firefox-esr
dactyl Incompatible avec les dernières versions de
firefox-esr
downthemall Incompatible avec les dernières versions de
firefox-esr
dvips-fontdata-n2bk Paquet vide
firebug Incompatible avec les dernières versions de
firefox-esr
firegestures Incompatible avec les dernières versions de
firefox-esr
firexpath Incompatible avec les dernières versions de
firefox-esr
flashgot Incompatible avec les dernières versions de
firefox-esr
form-history-control Incompatible avec les dernières versions de
firefox-esr
foxyproxy Incompatible avec les dernières versions de
firefox-esr
gitlab Problèmes de sécurité ouverts, correctifs
difficiles à rétroporter
greasemonkey Incompatible avec les dernières versions de
firefox-esr
intel-processor-trace
[s390x] Utile uniquement sur les architectures
Intel
itsalltext Incompatible avec les dernières versions de
firefox-esr
knot-resolver Problèmes de sécurité
lightbeam Incompatible avec les dernières versions de
firefox-esr
livehttpheaders Incompatible avec les dernières versions de
firefox-esr
lyz Incompatible avec les dernières versions de
firefox-esr
npapi-vlc Incompatible avec les dernières versions de
firefox-esr
nukeimage Incompatible avec les dernières versions de
firefox-esr
openinbrowser Incompatible avec les dernières versions de
firefox-esr
perspectives-extension
Incompatible avec les dernières versions de
firefox-esr
pwdhash Incompatible avec les dernières versions de
firefox-esr
python-facebook Cassé en raison de modifications de l'amont
python-tvrage Inutile depuis la fermeture de tvrage.com
reloadevery Incompatible avec les dernières versions de
firefox-esr
sage-extension Incompatible avec les dernières versions de
firefox-esr
scrapbook Incompatible avec les dernières versions de
firefox-esr
self-destructing-cookies
Incompatible avec les dernières versions de
firefox-esr
spdy-indicator Incompatible avec les dernières versions de
firefox-esr
status-4-evar Incompatible avec les dernières versions de
firefox-esr
stylish Incompatible avec les dernières versions de
firefox-esr
tabmixplus Incompatible avec les dernières versions de
firefox-esr
tree-style-tab Incompatible avec les dernières versions de
firefox-esr
ubiquity-extension Incompatible avec les dernières versions de
firefox-esr
uppity Incompatible avec les dernières versions de
firefox-esr
useragentswitcher Incompatible avec les dernières versions de
firefox-esr
video-without-flash Incompatible avec les dernières versions de
firefox-esr
webdeveloper Incompatible avec les dernières versions de
firefox-esr
xul-ext-monkeysphere Incompatible avec les dernières versions de
firefox-esr
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://security.debian.org/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: