------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 9.2
press@debian.org 7 octobre 2017
https://www.debian.org/News/2017/20171007 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa distribution stable Debian 9 (nommée « stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Cas particulier pour cette publication, les utilisateurs de l'outil « apt-get » pour réaliser la mise à niveau devront s'assurer d'utiliser la commande « dist-upgrade », afin de mettre à jour vers les paquets les plus récents du noyau. Les utilisateurs d'autres outils tels que « apt » et « aptitude » devraient utiliser la commande « upgrade ».
Corrections de bogues divers
----------------------------
En raison d'une omission durant la préparation de la publication, la
mise à jour habituelle du paquet « base-files » pour refléter cette nouvelle version n'a malheureusement pas été incluse. Une mise à jour du paquet sera disponible à travers « stretch-updates » dans un futur
proche.
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
apt Correction de problèmes dans apt-daily-upgrade ;
correction d'un plantage possible dans la méthode de
miroir
at-spi2-core Correction d'un plantage lors du changement de fenêtre
bareos Correction des droits de la configuration de logrotate
bareos-dir lors d'une mise à niveau ; correction de
corruption de fichier lors de l'utilisation d'une
signature SHA1
bind9 Prise en charge de l'importation de DNSSEC KSK-2017
bridge-utils Correction d'un problème avec l'absence de création de
certaines interfaces de vlan
caja Correction d'une consommation excessive de CPU lors du
chargement d'une image de fond
chrony Pas de passage de la commande « burst » à chronyc
cross-gcc Correction de la prise en charge obsolète de
gcc 6.3.0-18
cvxopt Suppression de la couche de compatibilité inutile et non
fonctionnelle pourlpx_main()
db5.3 Pas d'accès à DB_CONFIG si db_home n'est pas configuré
[CVE-2017-10140]
dbus Nouvelle version amont stable
debian-edu-doc Incorporation de la documentation relative à Stretch et
des mises à jour des traductions ; mise à jour du manuel
de Debian Edu Stretch à partir du wiki ; remplacement
des captures d'écran du menu de démarrage existantes par
les plus récentes présentes dans le wiki
debian-installer
Mise à jour de l'ABI du noyau Linux vers la version 4
debian-installer-netboot-images
Reconstruction avec proposed-updates
desktop-base Correction d'erreurs de syntaxe XML dans les fichiers
de description de fond d'écran de GNOME qui rendent
les fonds d'écran Joy indisponibles par défaut ;
vérification que postinst n'échoue pas à la mise à jour
même quand un paquet de thème incomplet est actif
dns-root-data Mise à jour de root.hints vers la version 2017072601 ;
modification de l'état de KSK-2017 à VALID
dnsdist Corrections de sécurité [CVE-2016-7069 CVE-2017-7557]
dnsviz Sélections choisies des corrections liées à des
modifications de root.hints et de root.keys
dose3 Correction de la prise en charge de « provides » gérant
les versions – les paquets qui fournissent le même
paquet virtuel dans différentes versions ou qui
fournissent le même paquet virtuel gérant les versions
comme un paquet réel, sont co-installables
ecl Ajout de dépendance manquante de libffi-dev
erlang-p1-tls Correction des courbes ECDH
evolution Correction du blocage lors d'un clic droit dans la
fenêtre du compositeur
expect Vérification correcte de la fin de fichier (« EOF »)
pour éviter de perdre l'entrée
fife Correction de fuite de mémoire
flatpak Nouvelle version amont stable ; évitement du
déploiement de fichiers avec des droits inappropriés ;
restauration de la compatibilité avec libostree 2017.7
freerdp Activation de la prise en charge de TLS >= 1.1
gnome-exe-thumbnailer
Passage à msiinfo de msitools pour la récupération de
ProductVersion, remplaçant l'analyse non sûre basée sur
VBScript [CVE-2017-11421] ; correction du texte blanc
sur blanc illisible sur les étiquettes de version
gnupg2 Correction des problèmes de dirmngr avec des DNS
inverses cassés, d'assertion lors de l'utilisation de
« tofu-default-policy ask », de problèmes multiples
avec scdaemon, plus d'avertissement frauduleux lors du
partage d'une boîte à clés avec gpg >= 2.1.20
gnutls28 Correction des erreurs de vérifications d'OCSP,
particulièrement avec les signatures ECDSA
gosa-plugin-mailaddress
Correction des appels des constructeurs parents, pour
la compatibilité avec PHP7
gsoap Correction d'un dépassement d'entier à l'aide d'un
grand document XML [CVE-2017-9765]
haveged Démarrage de haveged.service après l'exécution de
systemd-tmpfiles-setup.service
ipsec-tools Correction de sécurité [CVE-2016-10396]
irssi Correction de déréférencement de pointeur NULL
[CVE-2017-10965], situation d'utilisation de mémoire
après libération pour la liste de pseudonymes
[CVE-2017-10966]
kanatest Suppression des attributs DISABLE_DEPRECATED, parce
qu'ils provoquent une conversion implicite de pointeur
et donc une erreur de segmentation au démarrage
kdepim Correction de « send Later with Delay bypasses
OpenPGP » [CVE-2017-9604]
kf5-messagelib Correction de « send Later with Delay bypasses
OpenPGP » [CVE-2017-9604]
krb5 Correction d'un problème de sécurité où des attaquants
distants authentifiés peuvent planter le KDC
[CVE-2017-11368] ; correction de démarrage si
getaddrinfo() renvoie une adresse multiple v6 et
gestion d'adresse multiple v4 spécifiée explicitement ;
correction des recherches SRV pour respecter
udp_preference_limit
lava-tool Ajout de dépendance manquante à python-simplejson
librsb Correction de bogues sévères conduisant à des résultats
numériques erronés
libselinux Reconstruction avec le nouveau sbuild pour corriger la
date du changelog
libsolv Correction des dépendances à des modules de Python 3
libwpd Correction d'un problème de déni de service
[CVE-2017-14226]
linux Nouvelle version amont stable
linux-latest Mise à jour vers 4.9.0-4
lzma Reconstruction avec le nouveau sbuild pour corriger la
date du changelog
mailman Correction de dépendances cassées dans
contrib/SpamAssassin.py
mate-power-manager
Pas d'abandon sur un nom de signal de DBus inconnu
mate-themes Correction de la couleur de police sur la barre d'URL
de Google Chrome
mate-tweak Ajout de dépendance manquante à python3-gi
ncurses Correction de divers bogues de plantage dans la
bibliothèque et l'exécutable tic [CVE-2017-10684
CVE-2017-10685 CVE-2017-11112 CVE-2017-11113
CVE-2017-13728 CVE-2017-13729 CVE-2017-13730
CVE-2017-13731 CVE-2017-13732 CVE-2017-13734
CVE-2017-13733]
nettle Reconstruction avec le nouveau sbuild pour corriger la
date du changelog
node-brace-expansion
Correction d'un problème de déni de service
d'expression rationnelle
node-dateformat Réglage TZ=UTC pour des tests pour corriger un échec
de construction
ntp Construction et installation de /usr/bin/sntp
nvidia-graphics-drivers
Nouvelle version amont de la branche à long terme 375.82
– corrections de sécurité [CVE-2017-6257 CVE-2017-6259],
ajout de la prise en charge des GPU suivants : GeForce
GTX 1080 avec Max-Q Design, GeForce GTX 1070 avec Max-Q
Design, GeForce GTX 1060 avec Max-Q Design ;
nvidia-kernel-dkms : respect des configurations
parallèles de dkms
open-vm-tools Génération aléatoire des noms de répertoire temporaire
[CVE-2015-5191]
opendkim Démarrage comme superutilisateur et abandon de droits
dans opendkim pour une possession appropriée du fichier
de clé
openldap Assouplissement de la dépendance de libldap-2.4-2 à
libldap-common pour permettre aussi des versions
ultérieures ; correction d'échec de mise à niveau
lorsque olcSuffix contient une barre oblique inverse
(« \ ») ; plus de lecture de la valeur de l'option
LDAP_OPT_X_TLS_REQUIRE_CERT à partir de la mémoire
antérieurement libérée ; correction d'une potentielle
boucle de réplication infinie dans un scénario de
delta-syncrepl à multi-maîtres avec 3 nœuds ou plus ;
correction d'une corruption de mémoire provoquée par
l'appel de sasl_client_init() de multiples fois et
éventuellement simultanément
openvpn Correction de reconnexions cassées dues à un calcul
erroné de l'algorithme de « push »
osinfo-db Mise à jour des informations de distribution
pcb-rnd Correction d'exécution de code à cause d'un fichier de
conception formé de manière malveillante
postfix Nouvelle version amont stable – envoi de noms de
variable à un seul caractère aux filtres de courriels
sans {} ; évitement de la dégradation de MIME de l'état
de message ou de distribution généré par Postfix ;
contournement de la tentative de Berkeley DB de lire la
configuration dans le fichier « DB_CONFIG »
python-pampy Correction de dépendances à des modules de Python 3
request-tracker4
Correction d'une régression dans une précédente version
de sécurité où des mots de passe SHA256 incorrects
pourraient déclencher une erreur
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler} : ajout de
dépendances manquantes
samba Assurance que la signature SMB est appliquée
[CVE-2017-12150] ; conservation du chiffrage requis à
travers les redirections DFS de SMB3 [CVE-2017-12151] ;
correction de fuite d'information mémoire du serveur sur
SMB1 [CVE-2017-12163] ; nouvelle version amont ;
correction de libpam-winbind.prerm pour qu'il soit sûr
du point de vue multiarchitecture ; ajout de logrotate
manquant pour /var/log/samba/log.samba ; correction des
serveurs racine du DNS obsolètes ; correction de
« Non-kerberos logins fails on winbind 4.X when
krb5_auth is configured in PAM »
smplayer Correction des connexions à YouTube
speech-dispatcher
Remise en fonction de spd-conf
suricata Limitation du nombre d'appels récursifs dans le décodeur
DER/ASN.1 pour éviter des dépassements de pile
swift Nouvelle version amont stable
tbdialout Inclusion d'un signe plus initial lors de l'utilisation
du schéma d'URI tel:
tiny-initramfs Ajout de dépendance manquante à cpio
topal Correction de la mauvaise utilisation de la syntaxe des
classes de caractères de sed
torsocks Correction de check_addr() pour qu'il renvoie 0 ou 1
trace-cmd Correction d'erreur de segmentation lors du traitement
de certains fichiers trace
unbound Correction de l'installation de l'ancre de confiance
quand deux ancres sont présentes ; dépendance à
dns-root-data (>= 2017072601~) pour KSK-2017
unknown-horizons
Correction de fuite de mémoire
up-imapproxy Correction du fichier de service systemd
vim Correction de plusieurs plantages et accès illégaux à
la mémoire [CVE-2017-11109]
waagent Nouvelle version amont, avec prise en compte d'Azure
Stack
webkit2gtk Version amont de sécurité et de correction de bogues
[CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030
CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046
CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061
CVE-2017-7064]
whois Correction des références de whois our .com, .net,
.jobs, .bz, .cc et .tv ; ajout de nouveaux serveurs
TLD indiens ; mise à jour de la liste des gTLD
wrk Correction d'échecs de construction
xfonts-ayu Correction de la génération de fontes bold et italic
xkeyboard-config
Retour des dispositions Indic dans la liste principale
de dispositions, permettant à nouveau leur utilisation
yadm Correction d'une situation de compétition qui pourrait
permettre l'accès à des clés privées PGP et SSH
[CVE-2017-11353]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
clapack fourche obsolète et non maintenue de lapack
Installateur Debian
-------------------
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://security.debian.org/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org> ou c