------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 9.5 pr...@debian.org 14 juillet 2018 https://www.debian.org/News/2018/20180714 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian 9 (nommée « Stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison 2ping Ajout de dépendance manquante à python-pkg-resources abiword Résolution du conflit de fichiers binaires entre abiword-dbgsym et abiword-plugin-grammar-dbgsym adminer Interdiction des connexions à des ports privilégiés [CVE-2018-7667] animals Correction de droits de fichier erronés qui rendent le jeu inutilisable apache2 Mise à niveau de mod_http et mod_proxy_http2 vers les versions à partir de 2.4.33, correction d'erreurs de segmentation, d'utilisation élevée de la mémoire et d'un plantage potentiel [CVE-2018-1302] ; le script d'initialisation apache-htcacheclean utilise réellement /etc/default/apache-htcacheclean pour sa configuration auto-complete-el Ajout du correctif amont pour emacs25 ; ajustement des dépendances d'emacs aux versions d'emacs dans Stretch ; réglage d'auto-complete-el.emacsen-compat pour des avertissements d'installation silencieux awffull Plus d'utilisation des options supprimées dans /etc/cron.daily/awffull ax25-tools Erreur de segmentation évitée au moment de l'exécution base-files Mise à jour pour cette version blktrace Correction de dépassement de tampon dans btt [CVE-2018-10689] ca-certificates Mise à jour du paquet de CA de Mozilla vers la version 2.22 ; corrections de bogues camo Ajout de dépendance manquante à openssl cffi Ajout de fichiers manquants pour cffi-libffi et cffi-toolchain ; ajout de plusieurs dépendances manquantes check-postgres Mise à jour de la suite de tests pour gérer maintenant pg_get_indexdef() en incluant toujours le nom de schéma clamav Nouvelle version amont ; plus d'échec sur les options de configuration récemment supprimées clustershell Ajout de dépendance manquante à python-pkg-resources debian-installer Mise à jour vers l'ABI du noyau -7 debian-installer-netboot-images Reconstruction pour cette version debian-security-support Mise à jour des données incluses dehydrated Correction d'un échec de création de fullchain.pem devscripts uscan : correction de l'expression rationnelle d'une nouvelle version de paquet pour filenamemangle ; debsign : correction de la complétion de commande pour bash ; bts : prise en charge de la nouvelle étiquette « ftbfs » ; uscan : prise en charge d'HTTPS dans le redirecteur sf.net ; debcheckout : prise en charge de salsa.debian.org ; debdiff : tri des fichiers shlibs avant de les comparer, réduisant le « bruit » dans les diff ; uscan : prise en charge effective de --copy disc-cover Correction d'une erreur de Perl lors de l'exécution de disc-cover discover Utilisation du type correct pour le paramètre de longueur de l'appel getline() django-xmlrpc Correction de dépendances à python3 dosbox Correction de plantages avec core=dynamic dpdk Nouvelle mise à jour amont stable dpkg Correction d'un dépassement d'entier dans l'analyseur de version de format deb(5) ; correction d'une traversée de répertoire avec dpkg-deb --raw-extract ; ajout de la prise en charge du processeur riscv64 ; pas de normalisation des arguments après le passage d'un mot « stop » dans Dpkg::Getopt ; analyse correcte des noms et des groupes d'utilisateurs start-stop-daemon commençant par des chiffres ; utilisation toujours de la version binaire pour le nom de fichier .buildinfo dput-ng Ajout des cibles jessie-backports-sloppy et stretch-backports ; inclusion de « testing » dans les suites gérées par rm et de « oldstable » dans les « protected distributions » ; ajout du profil ports-master ; FTP : analyse et utilisation de la partie optionnelle [:port] pour le nom de domaine complètement qualifié elastix Reconstruction avec ITK qui a été construit avec gcc 6 email2trac Correction de la détection de Trac 1.2 faad2 Correction de plusieurs dénis de service au moyen de fichiers MP4 contrefaits [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257] faker Ajout de dépendance manquante à python-ipaddress fastkml Ajout de dépendance manquante à pkg-resources file Lecture au-delà de la fin d'un tampon évitée [CVE-2018-10360] freedink-dfarc Correction d'une traversée de répertoire dans l'extracteur D-Mod [CVE-2018-0496] ganeti Vérification correcte des certificats SSL lors de l'export de VM ghostscript Correction d'erreur de segmentation avec un fichier à données aléatoires dans gxht_thresh_image_init ; correction de dépassement de tampon dans fill_threshold_buffer [CVE-2016-10317] ; pdfwrite – protection contre les tentatives de sortie d'un nombre infini [CVE-2018-10194] git-annex Corrections de sécurité [CVE-2018-10857 CVE-2018-10859] glx-alternatives Nouvelle version amont gridengine Utilisation des chemins corrects vers les pixmaps de qmon ; correction d'un échec de construction à partir des sources sur armhf intel-microcode Mise à jour du microcode inclus, y compris les correctifs pour Spectre v2 [CVE-2017-5715] jdresolve Correction d'une incompatibilité avec libnet-dns-perl dans Debian 8 et ultérieure libb64 Reconstruction avec PIE libdate-holidays-de-perl Inscription de la fête de la Réforme comme jour férié dans les régions de Brême et de Basse-Saxe libdatetime-timezone-perl Mise à jour des données incluses libextractor Diverses corrections de sécurité [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440] libipc-run-perl Correction de fuite de mémoire liblouis Correction d'un dépassement de tampon [CVE-2018-11410] ; correction de plusieurs dépassements de tampon [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085] libosmium Sortie correcte de coordonnées avec une valeur de -2^31 ; correction des tampons plus grands que 2^32 octets linux Nouvelle version amont stable 4.9.110 linux-latest Mise à jour vers l'ABI du noyau -7 llvm-toolchain-4.0 Nouveau paquet pour les rétroportages de rust ; correction de la construction sur s390x local-apt-repository Plus de casse d'apt quand le paquet est retiré mais pas purgé loook Correction de la gestion des fichiers protégés par mot de passe miniupnpd Correction d'un déni de service [CVE-2017-1000494] nss-pam-ldapd Augmentation de la taille du tampon de nom d'hôte nvidia-graphics-drivers Nouvelle version amont obfsproxy Pas d'installation du profil cassé d'AppArmor openldap Correction d'un problème de désynchronisation avec la réplication de delta-syncrepl dans des environnements multi-maîtres ; correction réelle de mises à niveau lorsque la configuration contient des caractères spéciaux protégés par une barre oblique inverse (« \ ») openstack-debian-images Configuration de CloudStack après OpenStack dans datasource_list pour éviter une attente de 120 s dans cloud-init lors de l'amorçage d'une machine dans un nuage OpenStack patch Correction d'exécution de commande arbitraire dans les rustines de type ed [CVE-2018-1000156] piglit Correction d'une dépendance manquante à python-mako postgresql-9.6 Nouvelle version amont postgresql-common Mise à jour ou retrait des paquets du serveur n'arrêtant plus les autres grappes d'une version majeure lors de l'exécution de systemd psad Ajout de dépendances manquantes à net-tools et iproute2 pysurfer Ajout de dépendance manquante à python-matplotlib python-cluster Ajout de dépendance manquante à pkg-resources python-pyorick Correction d'un échec d'importation en ajoutant une dépendance manquante à python3-numpy python-scruffy Ajout de dépendances manquantes à pkg-resources r-cran-mi Ajout de dépendance manquante à r-cran-arm redis Correction de l'erreur RunTimeDirectory -> RuntimeDirectory dans les fichiers .service de systemd reportbug Notification à l'équipe de sécurité ou à l'équipe LTS d'une possible régression lors du rapport d'un bogue sur un paquet renfermant un correctif de sécurité rustc Nouvelle version amont pour la prise en charge de Firefox ESR salt Correction de « salt-ssh minion copied over configuration from the Salt Master without adjusting permissions » [CVE-2017-8109] shared-mime-info Passage de « dpkg trigger » à « noawait », corrigeant des problèmes de mise à niveau depuis Jessie showq Correction d'un préfixe, ainsi l'application fonctionne réellement source-highlight Correction d'une dépendance à libboost-regex-dev starplot Correction d'un plantage au démarrage subversion Rejet des correctifs qui introduiraient des collisions de hachage avec des données existantes, traitant donc le problème « SHA1/SHAttered » sus Mise à jour vers la nouvelle version, techniquement identique à SUSv4 + TC1 + TC2 systemd networkd-ndisc : gestion élégante d'absence de MTU ; configuration de RemoveIPC= autorisée dans le fichier unit pas seulement au moyen de D-Bus ; nspawn : ajout de -E manquant à getopt_long' ; login : respect de --no-wall lors de l'annulation d'une requête d'arrêt tclreadline Correction d'une bibliothèque partagée construite sur ppc64el thefuck Ajout de dépendance manquante à pkg-resources tinyproxy Pas d'arrêt d'écoute après SIGHUP ; correction d'un chemin de fichier de configuration ; ajout de dépendance manquante à adduser tlslite-ng Vérification de MAC même si le remplissage a une longueur d'un octet tzdata Nouvelle version amont unison Reconstruction avec ocaml de Stretch variety Correction d'une injection de commande lors de la suppression de fichiers vers la corbeille ; correction d'une injection de commande dans les filtres et l'horloge avec des noms de fichiers contrefaits pour l'occasion ; sécurisation des appels d'ImageMagick contre une potentielle injection de commande xapian-core Correction de MSet::snippet() pour protéger HTML dans tous les cas [CVE-2018-499] xerces-c Correction d'un déni de service au moyen d'une référence DTD externe [CVE-2017-12627] ; correction d'une régression qui forçait gcc à utiliser SSE2, même sur les plateformes qui ne le gèrent pas xrdp Correction d'une erreur due à un décalage d'entier qui pourrait mener à des plantages Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-4010 git-annex DSA-4064 chromium-browser DSA-4113 libvorbis DSA-4133 isc-dhcp DSA-4134 util-linux DSA-4135 samba DSA-4136 curl DSA-4137 libvirt DSA-4138 mbedtls DSA-4139 firefox-esr DSA-4140 libvorbis DSA-4141 libvorbisidec DSA-4142 uwsgi DSA-4143 firefox-esr DSA-4144 openjdk-8 DSA-4145 gitlab DSA-4146 plexus-utils DSA-4148 kamailio DSA-4150 icu DSA-4151 librelp DSA-4152 mupdf DSA-4153 firefox-esr DSA-4155 thunderbird DSA-4156 drupal7 DSA-4157 openssl DSA-4158 openssl1.0 DSA-4159 remctl DSA-4160 libevt DSA-4161 python-django DSA-4162 irssi DSA-4163 beep DSA-4164 apache2 DSA-4165 ldap-account-manager DSA-4167 sharutils DSA-4169 pcs DSA-4170 pjproject DSA-4171 ruby-loofah DSA-4172 perl DSA-4173 r-cran-readxl DSA-4174 corosync DSA-4175 freeplane DSA-4177 libsdl2-image DSA-4178 libreoffice DSA-4180 drupal7 DSA-4181 roundcube DSA-4183 tor DSA-4184 sdl-image1.2 DSA-4185 openjdk-8 DSA-4188 linux DSA-4189 quassel DSA-4190 jackson-databind DSA-4191 redmine DSA-4192 libmad DSA-4193 wordpress DSA-4194 lucene-solr DSA-4195 wget DSA-4196 linux DSA-4197 wavpack DSA-4198 prosody DSA-4199 firefox-esr DSA-4200 wallet-pam DSA-4201 xen DSA-4202 curl DSA-4203 vlc DSA-4203 phonon-backend-vlc DSA-4203 goldencheetah DSA-4206 gitlab DSA-4206 ruby-omniauth-auth0 DSA-4207 packagekit DSA-4208 procps DSA-4209 thunderbird DSA-4210 xen DSA-4211 xdg-utils DSA-4212 git DSA-4213 qemu DSA-4214 zookeeper DSA-4215 batik DSA-4216 prosody DSA-4217 wireshark DSA-4218 memcached DSA-4219 jruby DSA-4220 firefox-esr DSA-4221 libvncserver DSA-4222 gnupg2 DSA-4223 gnupg1 DSA-4226 perl DSA-4227 plexus-archiver DSA-4228 spip DSA-4229 strongswan DSA-4230 redis DSA-4231 libgcrypt20 DSA-4232 xen DSA-4233 bouncycastle DSA-4234 lava-server DSA-4235 firefox-esr DSA-4236 xen DSA-4238 exiv2 DSA-4239 gosa DSA-4240 php7.0 DSA-4241 libsoup2.4 Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison libnet-whois-perl Cassé mlbviewer Ne fonctionne plus à cause de modifications du fournisseur de contenus python-uniconvertor Inutilisable ; réclame une dépendance non empaquetée singularity-container Pas de prise en charge de sécurité undertow Non pris en charge ; plusieurs problèmes de sécurité ; des alternatives existent visionegg Inutilisable ; réclame numpy.oldnumeric plus disponible Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/stretch/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.