Publication de la mise à jour de Debian 9.13
------------------------------------------------------------------------
Projet Debian https://www.debian.org/
Publication de la mise à jour de Debian 9.13 press@debian.org
18 juillet 2020 https://www.debian.org/News/2020/20200718
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la treizième (et dernière)
mise à jour de sa distribution oldstable Debian 9 (nom de code
« Stretch »). Tout en réglant quelques problèmes importants, cette mise
à jour corrige principalement des problèmes de sécurité de la version
oldstable. Les annonces de sécurité ont déjà été publiées séparément et
sont simplement référencées dans ce document.
Après cette version intermédiaire, les équipes de sécurité et de
publication de Debian ne produiront plus de mises à jour pour Debian 9.
Les utilisateurs qui souhaitent continuer à bénéficier du suivi de
sécurité devraient mettre à niveau vers Debian 10, ou consulter
https://wiki.debian.org/LTS pour avoir des détails sur le sous-ensemble
d'architectures et de paquets couverts par le projet « Long Term
Support »
Veuillez noter que cette révision ne constitue pas une nouvelle
version Debian 9 mais seulement une mise à jour de certains des paquets
qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de
« Stretch ». Après l'installation, les paquets peuvent être mis à niveau
vers les versions actuelles à l'aide d'un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette révision.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à
l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette révision d'oldstable ajoute quelques importantes corrections aux
paquets suivants :
Paquet Raison
acmetool Reconstruction avec une version récente de golang
pour récupérer des corrections de sécurité
atril dvi : atténuation d'attaques par injection de
commande en protégeant le nom de fichier
[CVE-2017-1000159] ; correction de vérifications de
débordement dans le dorsal de tiff
[CVE-2019-1010006] ; tiff : gestion d'échec issu de
TIFFReadRGBAImageOriented [CVE-2019-11459]
bacula Ajout du paquet de transition bacula-director-
common, évitant la perte de /etc/bacula/bacula-
dir.conf lors d'une purge ; fichiers PID rendus
propriété du superutilisateur
base-files Mise à jour de /etc/debian_version pour cette
version
batik Correction d'une falsification de requêtes côté
serveur au moyen d'attributs xlink:href
[CVE-2019-17566]
c-icap-modules Prise en charge de ClamAV 0.102
ca-certificates Mise à jour du paquet CA de Mozilla vers la
version 2.40, mise en liste noire des
racines Symantec qui ne sont plus de confiance et
de « AddTrust External Root » expiré ; suppression
des certificats validés seulement par courriel
chasquid Reconstruction avec une version récente de golang
pour récupérer des corrections de sécurité
checkstyle Correction d'un problème d'injection d’entités
externes XML [CVE-2019-9658 CVE-2019-10782]
clamav Nouvelle version amont [CVE-2020-3123] ;
corrections de sécurité [CVE-2020-3327
CVE-2020-3341]
compactheader Nouvelle version amont, compatible avec les
dernières versions de Thunderbird
cram Échecs de test ignorés pour corriger des problèmes
de construction
csync2 Échec de la commande HELLO quand SSL est requis
cups Correction d'un dépassement de tampon de tas
[CVE-2020-3898] et de « la fonction ippReadIO peut
lire hors limites un champ d'extension »
[CVE-2019-8842]
dbus Nouvelle version amont stable ; problème de déni
de service évité [CVE-2020-12049] ; utilisation
de mémoire après libération évitée si deux noms
d'utilisateur partagent un UID
debian-installer Mise à jour pour l'ABI du noyau 4.9.0-13
debian-installer-netboot-images
Reconstruction avec stretch-proposed-updates
debian-security-support
Mise à jour de l'état de la prise en charge de
plusieurs paquets
erlang Correction de l'utilisation de chiffrements TLS
faibles [CVE-2020-12872]
exiv2 Correction d'un problème de déni de service
[CVE-2018-16336] ; correction d'un correctif trop
restrictif pour CVE-2018-10958 et CVE-2018-10999
fex Mise à jour de sécurité
file-roller Correction de sécurité [CVE-2020-11736]
fwupd Nouvelle version amont ; utilisation d'un CNAME
pour rediriger vers le réseau de diffusion de
contenu correct pour les métadonnées ; pas
d'interruption de démarrage si le fichier de
métadonnées XML n'est pas valable ; ajout des clés
GPG publiques de la Fondation Linux pour les
microprogrammes et les métadonnées ; limite de
taille des métadonnées relevé à 10 Mo
glib-networking Renvoi d'une erreur de mauvaise identité si
l'identité n'est pas configurée [CVE-2020-13645]
gnutls28 Correction d'un problème de corruption de mémoire
[CVE-2019-3829] ; correction de fuite de mémoire ;
ajout de la prise en charge des tickets de session
de longueur nulle, correction d'erreurs de
connexion de sessions TLS1.2 vers certains
fournisseurs d'hébergement
gosa Vérification renforcée des réussites et échecs de
LDAP [CVE-2019-11187] ; correction de compatibilité
avec les dernières versions de PHP ; rétroportage
de plusieurs autres correctifs ; remplacement de
(un)serialize par json_encode/json_decode pour
atténuer une injection d'objet PHP [CVE-2019-14466]
heartbleeder Reconstruction avec une version récente de golang
pour récupérer des corrections de sécurité
intel-microcode Retour à des versions publiées précédemment de
certains microcodes contournant des arrêts de
l'initialisation sur Skylake-U/Y et Skylake Xeon E3
iptables-persistent Pas d'échec en cas d'échec de modprobe
jackson-databind Correction de multiples problèmes de sécurité
affectant BeanDeserializerFactory [CVE-2020-9548
CVE-2020-9547 CVE-2020-9546 CVE-2020-8840
CVE-2020-14195 CVE-2020-14062 CVE-2020-14061
CVE-2020-14060 CVE-2020-11620 CVE-2020-11619
CVE-2020-11113 CVE-2020-11112 CVE-2020-11111
CVE-2020-10969 CVE-2020-10968 CVE-2020-10673
CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 et
CVE-2019-17267]
libbusiness-hours-perl
Utilisation explicite d'années à quatre chiffres,
corrigeant des problèmes de construction et
d'utilisation
libclamunrar Nouvelle version amont stable ; ajout d'un méta-
paquet non versionné
libdbi Appel _error_handler() à nouveau commenté,
corrigeant des problèmes avec les utilisateurs
libembperl-perl Gestion des pages d'erreur d'Apache >= 2.4.40
libexif Corrections de sécurité [CVE-2016-6328
CVE-2017-7544 CVE-2018-20030 CVE-2020-12767
CVE-2020-0093] ; corrections de sécurité
[CVE-2020-13112 CVE-2020-13113 CVE-2020-13114] ;
correction d'un dépassement de tampon en lecture
[CVE-2020-0182] et d'un dépassement d'entier non
signé [CVE-2020-0198]
libvncserver Correction d'un dépassement de tas [CVE-2019-15690]
linux Nouvelle version amont stable ; mise à jour de
l'ABI vers 4.9.0-13
linux-latest Mise à jour pour l'ABI du noyau 4.9.0-13
mariadb-10.1 Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-2752 CVE-2020-2812
CVE-2020-2814]
megatools Ajout de la prise en charge du nouveau format de
liens mega.nz
mod-gnutls Suites de chiffrement obsolètes évitées dans
l'ensemble de tests ; correction des échecs de
tests quand ils sont combinés à des corrections
d'Apache pour le CVE-2019-10092
mongo-tools Reconstruction avec une version récente de golang
pour récupérer des corrections de sécurité
neon27 Traitement des échecs de tests liés à OpenSSL comme
non fatals
nfs-utils Correction d'une possible vulnérabilité
d'écrasement de fichier [CVE-2019-3689] ; la
totalité de /var/lib/nfs n'est plus rendue
propriété de l'utilisateur de statd
nginx Correction d'une vulnérabilité de dissimulation de
requête de la page d'erreur [CVE-2019-20372]
node-url-parse Nettoyage des chemins et des hôtes avant l'analyse
[CVE-2018-3774]
nvidia-graphics-drivers
Nouvelle version amont stable ; corrections de
sécurité [CVE-2020-5963 CVE-2020-5967]
pcl Correction de dépendance manquante à
libvtk6-qt-dev
perl Correction de multiples problèmes de sécurité liés
aux expressions rationnelles [CVE-2020-10543
CVE-2020-10878 CVE-2020-12723]
php-horde Correction d'une vulnérabilité de script intersite
[CVE-2020-8035]
php-horde-data Correction d'une vulnérabilité d'exécution
de code authentifié à distance [CVE-2020-8518]
php-horde-form Correction d'une vulnérabilité d'exécution de
code authentifié à distance [CVE-2020-8866]
php-horde-gollem Correction d'une vulnérabilité de script intersite
dans la sortie de breadcrumb [CVE-2020-8034]
php-horde-trean Correction d'une vulnérabilité d'exécution de
code authentifié à distance [CVE-2020-8865]
phpmyadmin Plusieurs corrections de sécurité [CVE-2018-19968
CVE-2018-19970 CVE-2018-7260 CVE-2019-11768
CVE-2019-12616 CVE-2019-6798 CVE-2019-6799
CVE-2020-0802 CVE-2020-10803 CVE-2020-10804
CVE-2020-5504]
postfix Nouvelle version amont stable
proftpd-dfsg Correction de gestion de paquets SSH_MSG_IGNORE
python-icalendar Correction de dépendances à Python3
rails Correction d'une vulnérabilité de script intersite
possible au moyen de l'assistant d'échappement de
Javascript [CVE-2020-5267]
rake Correction d'une vulnérabilité d'injection de
commande [CVE-2020-8130]
roundcube Correction d'un problème de vulnérabilité de script
intersite au moyen de messages HTML malveillants
avec un élément svg dans l'espace de noms
[CVE-2020-15562]
ruby-json Correction d'une vulnérabilité de création d'objet
non sûr [CVE-2020-10663]
ruby2.3 Correction d'une vulnérabilité de création d'objet
non sûr [CVE-2020-10663]
sendmail Correction du résultat du processus de contrôle
d'exécution de file d'attente en mode « split
daemon », « NOQUEUE: connect from (null) »,
suppression d'échec lors de l'utilisation de BTRFS
sogo-connector Nouvelle version amont, compatible avec les
dernières versions de Thunderbird
ssvnc Correction d'écriture hors limites
[CVE-2018-20020], de boucle infinie
[CVE-2018-20021], d'initialisation incorrecte
[CVE-2018-20022], d'un potentiel déni de service
[CVE-2018-20024]
storebackup Correction d'une possible vulnérabilité d'élévation
de privilèges [CVE-2020-7040]
swt-gtk Correction de dépendance manquante à
libwebkitgtk-1.0-0
tinyproxy Création de fichier PID avant l'abaissement des
privilèges d'un compte non administrateur
[CVE-2017-11747]
tzdata Nouvelle version amont stable
websockify Correction de dépendance manquante à
python{3,}-pkg-resources
wpa Correction de contournement de protection de
déconnexion PMF de mode AP [CVE-2019-16275] ;
correction de problèmes de randomisation de MAC
avec certaines cartes
xdg-utils Nettoyage du nom de fenêtre avant de l'envoyer sur
D-Bus ; gestion correcte des répertoires dont les
noms contiennent des espaces ; création du
répertoire « applications » si nécessaire
xml-security-c Correction du calcul de longueur dans la méthode
concat
xtrlock Correction du blocage de certains périphériques
tactiles multipoints lors du verrouillage
[CVE-2016-10894]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version oldstable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet
DSA-4005 openjfx
DSA-4255 ant
DSA-4352 chromium-browser
DSA-4379 golang-1.7
DSA-4380 golang-1.8
DSA-4395 chromium
DSA-4421 chromium
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4621 openjdk-8
DSA-4622 postgresql-9.6
DSA-4624 evince
DSA-4625 thunderbird
DSA-4628 php7.0
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4637 network-manager-ssh
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4642 thunderbird
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4650 qbittorrent
DSA-4653 firefox-esr
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4659 git
DSA-4660 awl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4666 openldap
DSA-4668 openjdk-8
DSA-4670 tiff
DSA-4671 vlc
DSA-4673 tomcat8
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4683 thunderbird
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4692 netqmail
DSA-4693 drupal7
DSA-4695 firefox-esr
DSA-4698 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4703 mysql-connector-java
DSA-4704 vlc
DSA-4705 python-django
DSA-4706 drupal7
DSA-4707 mutt
DSA-4711 coturn
DSA-4713 firefox-esr
DSA-4715 imagemagick
DSA-4717 php7.0
DSA-4718 thunderbird
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
certificatepatrol Incompatible avec les versions actuelles de
Firefox ESR
colorediffs-extension Incompatible avec les versions actuelles de
Thunderbird
dynalogin Dépend de simpleid qui doit être supprimé
enigmail Incompatible avec les versions actuelles de
Thunderbird
firefox-esr [armel] plus pris en charge (requiert nodejs)
firefox-esr [mips mipsel mips64el] plus pris en charge
(nécessite la dernière version de rustc)
getlive Cassé du fait de modifications de Hotmail
gplaycli Cassé par les modifications de l'API de
Google
kerneloops Service amont plus disponible
libmicrodns Problèmes de sécurité
libperlspeak-perl Problèmes de sécurité ; non maintenu
mathematica-fonts Repose sur un emplacement de téléchargement non
disponible
pdns-recursor Problèmes de sécurité ; non pris en charge
predictprotein Dépend de profphd qui doit être supprimé
profphd Inutilisable
quotecolors Incompatible avec les versions actuelles de
Thunderbird
selenium-firefoxdriver Incompatible avec les versions actuelles de
Firefox ESR
simpleid Ne fonctionne pas avec PHP7
simpleid-ldap Dépend de simpleid qui doit être supprimé
torbirdy Incompatible avec les versions actuelles de
Thunderbird
weboob Non maintenu ; déjà supprimé des dernières
versions
yahoo2mbox Cassé depuis plusieurs années
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution oldstable :
http://ftp.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
http://ftp.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution oldstable (notes de publication,
errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: