------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 9.4
press@debian.org 10 mars 2018
https://www.debian.org/News/2018/20180310 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 9 (nommée « stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en
faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
acme-tiny Correction de version obsolète de l'accord du
souscripteur
activity-log-manager
Ajout de dépendances manquantes à python-zeitgeist
agenda.app Correction de la création de tâches et de rendez-vous
apparmor Déplacement du fichier de fonctions dans
/usr/share/apparmor-features ; attachement de
l'ensemble de fonctions d'AppArmor au noyau de Stretch
auto-apt-proxy Retrait de la configuration d'apt lors de sa
suppression et remise en place à la réinstallation
bareos Correction d'échecs de sauvegarde avec le message
« No Volume name given »
base-files Mise à jour pour cette version
cappuccino Ajout de dépendances manquantes à gir1.2-gtk-3.0
cerealizer Correction de dépendances de Python 3
clamav Nouvelle version amont ; mises à jour de sécurité
[CVE-2017-6418 CVE-2017-6420 CVE-2017-12374
CVE-2017-12375 CVE-2017-12376 CVE-2017-12377
CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron Transfert correct de tâches système au contexte de
system_cronjob_t de SELinux et plus de dépendance aux
identifiants particuliers de refpolicy
cups Correction de l'exécution de commandes arbitraires IPP
par l'envoi de requêtes POST au démon de CUPS
conjointement à une attaque de « DNS rebinding »
[CVE-2017-18190]
dbus Nouvelle version amont ; relèvement plus rapide de la
limite du nombre de descripteurs de fichier,
corrigeant une régression dans la correction d'un
déni de service local
debian-edu-config
Pré-configuration du navigateur Web Chromium au niveau
du système pour qu'il détecte automatiquement la
configuration du mandataire http avec WPAD ;
possibilité d'association de clients Windows 10 au
domaine de Samba de type NT4
debian-installer
Passage du noyau Linux de la version 4.9.0-4 à la
version 4.9.0-6
debian-installer-netboot-images
Mise à jour vers les images 20170615+deb9u3, à partir
de stretch-proposed-updates
directfb Correction du filtre basé sur l'architecture pour
installer effectivement les pilotes
dpdk Mise à jour vers la nouvelle version stable
intermédiaire
espeakup udeb : correction du cas où la carte 0 n'a pas
d'identifiant, ou bien où les cartes ont des index
non contiguës ; utilisation de l'anglais par défaut ;
utilisation de l'identifiant de la carte dans un
système installé pour éviter des problèmes avec l'ordre
de la détection des cartes
exam Correction de dépendances de Python 3
flatpak Nouvelle version amont ; correction d'un contournement
de filtrage D-Bus dans flatpak-dbus-proxy ; ignorer
les chaînes d'autorisation non reconnues, plutôt que
d'échouer ; interdiction des anciennes écoutes dans le
bus de session D-Bus
fuse-zip Correction d'échec de « writeback » avec libzip 1.0
glade Correction de boucle infinie potentielle
glibc Pas de mise à jour de /etc/nsswitch.conf quand son
contenu correspond déjà au contenu par défaut ;
debian/script.in/nohwcap.sh : vérification systématique
que tous les paquets soient optimisés parce que
multiarch permet l'installation d'architectures
supplémentaires ; accès de lecture de la mémoire
après libération évité dans l'appel clntudp
[CVE-2017-12133] ; définition du collationnement
des caractères chillu du malayalam et correction du
collationnement des caractères U+0D36 et U+0D37 du
malayalam ; correction d'un forçage non valable dans
la fusion de groupes affectant ppc64 et s390x ;
correction de la compatibilité avec la convention
d'appel __regcall d'Intel C++ ; installation des
postinst et postrm de libc-otherbuild dans le paquet de
transition libc6-i686 pour s'assurer du retrait correct
de /etc/ld.so.nohwcap après une mise à niveau
global Gozilla : protection des URL avant de les passer à
BROWSER [CVE-2017-17531]
gnumail Arrêt du lien à OpenSSL
golang-github-go-ldap-ldap
Explicitation nécessaire de l'intention de mot de passe
vide
gosa-plugin-pwreset
Correction d'un appel de constructeur obsolète
grilo-plugins Correction de la source de Radio France
hdf5 Correction de l'invocation de javahelper
inputlirc Inclusion d'input-event-codes.h à la place d'input.h,
corrigeant un échec de construction
intercal Nouvelle compilation avec PIE
java-atk-wrapper
Correction de l'initialisation de l'itérateur ;
correction de référence manquante pour les fils
kildclient Suppression de la prise en charge des navigateurs
définis par l'utilisateur [CVE-2017-17511]
libdate-holidays-de-perl
Inscription de la fête de la Réforme comme jour
férié à Hambourg et au Schleswig-Holstein à partir
de 2018
libdatetime-timezone-perl
Nouvelle version amont
libhibernate-validator-java
Correction d'une possible augmentation de droits en
contournant les droits du gestionnaire de sécurité
[CVE-2017-7536]
libperlx-assert-perl
Ajout de dépendances manquantes à libkeyword-simple-
perl et libdevel-declare-perl
libreoffice Exécution permise de WEBSERVICE par FunctionAccess ;
utilisation du bon code d'erreur pour les échecs
de WEBSERVICE()
libvhdi Ajout de dépendance manquante à Python 3
libvirt QEMU : les disques partagés avec l'option
cache=directsync devraient être sûrs pour
les migrations ; déni de service de lecture à partir
du moniteur de QEMU évité [CVE-2018-5748]
linux Nouvelle version amont
lxc Correction de la création de conteneurs testing et
unstable en incluant « iproute2 » à la place de
« iproute »
mapproxy Correction d'un problème de script intersite (XSS)
dans le service demo [CVE-2017-1000426]
mosquitto Correction du caractère lisible par tout le monde du
fichier de persistance [CVE-2017-9868]
mpi4py Prise en charge de la version actuelle de libmpi
ncurses Correction de dépassement de tampon dans la fonction
_nc_write_entry [CVE-2017-16879]
needrestart Correction du basculement vers le mode liste si
debconf est exécuté de façon non-interactive
ntp Augmentation de la taille de la pile à au moins 32 ko
nvidia-graphics-drivers-legacy-304xx
Nouvelle version amont
nvidia-graphics-drivers-legacy-340xx
Nouvelle version amont
nvidia-modprobe Nouvelle version amont ; exécution de setuid(0)
avant la fourche de modprobe pour conserver les
droits à travers les invocations de l'interpréteur de
commandes et les appels récursifs de modprobe
nvidia-persistenced
Nouvelle version amont
nvidia-settings Nouvelle version amont ; correction d'un bogue qui
empêchait que les modifications de l'affectation de la
vision stéréo soient appliquées à partir du panneau de
contrôle de nvidia-settings
nvidia-xconfig Nouvelle version amont ; correction d'une régression
qui empêchait que nvidia-xconfig demande certains GPU,
par exemple lors de l'exécution de
« nvidia-xconfig -a »
ocfs2-tools Migration de l'utilisation de rcS aux « runlevel »
standard
opendmarc Mise à jour du fichier du service opendmarc de manière
à ce que les modifications dans opendmarc.conf soient
utilisées
openssh Correction de « in read-only mode, sftp-server was
incorrectly permitting creation of zero-length
files » [CVE-2017-15906]
osinfo-db Mise à jour des données incluses
pdns-recursor Reconstruction avec publicsuffix
20171028.2055-0+deb9u1
postfix Nouvelle version amont de correction de bogues ; pas
d'enregistrement des avertissements que certaines
restrictions renvoient OK, lorsque la fonctionnalité
DISCARD du mappage des accès est effective ; ajout de
la prise en charge de dynamicmaps manquants dans la
commande sendmail de Postfix ; correction de l'envoi à
certains sites avec des enregistrements « TLSA 2 X X »
postgresql-9.6 Nouvelle version amont
publicsuffix Mise à jour des données incluses
python-evtx Correction de dépendance manquante à Python 3
python-hacking Correction de dépendances de Python 3
python-hkdf Correction de dépendances de Python 3
python-mimeparse
Correction de dépendances de Python 3
python-pyperclip
Correction de dépendances de Python 3
python-spake2 Correction de dépendances de Python 3
qtpass Correction du générateur intégré de mot de passe non
sûr [CVE-2017-18021]
quota Évitement de l'entrée de quotacheck dans une boucle
infinie
reportbug Plus d'envoi de courriel à
secure-testing-team@lists.alioth.debian.org
rpy Reconstruction avec r-base 3.3
ruby-redis-store
Objets non sûrs autorisés à être chargés à partir de
redis [CVE-2017-1000248]
salt Correction d'une vulnérabilité de traversée de
répertoires dans salt-master avec des identifiants de
« minion » contrefaits [CVE-2017-12791], vulnérabilité
de traversée de répertoires dans la validation
d'identifiants de « minion » dans SaltStack
[CVE-2017-14695], déni de service à distance avec une
requête d'authentification contrefaite pour l'occasion
[CVE-2017-14696] ; vérification que data[return] est de
type « dict »
slic3r Correction de la ligne « use lib » dans tous les
binaires installés ; contournement de la macro
GL_MULTISAMPLE manquante ; correction de l'importation
de STL binaires sur les architectures gros-boutistes
soundtouch Corrections de sécurité [CVE-2017-9258 CVE-2017-9259
CVE-2017-9260]
systemd networkd : gestion du champ MTU dans les messages RA
IPv6 ; ajout d'un script d'édition de liens pour aider
à éviter les collisions de symboles, en particulier
avec les modules PAM ; resolved : correction de boucle
sur les paquets de type pseudo dns [CVE-2017-15908] ;
machinectl : pas de sortie « No machines. » avec
l'option --no-legend
tzdata Nouvelle version amont
ust Correction du chargement de la bibliothèque de l'agent
Python
uwsgi Correction d'un dépassement de pile dans la fonction
uwsgi_expand_path [CVE-2018-6758]
vagrant Téléchargement de « box » à partir
d'app.vagrantcloud.com à la place d'atlas.hashicorp.com
obsolète
vdirsyncer Correction de la découverte de contacts de Google
virt-what Réparation de la détection de virt sur arm/aarch64
w3m Correction de dépassement de pile [CVE-2018-6196],
déréférencement de pointeur NULL [CVE-2018-6197],
situations de compétition de fichiers /tmp
[CVE-2018-6198]
waagent Nouvelle version amont
webkit2gtk Nouvelle version amont stable
xchain Correction de dépendance à « wish »
xrdp Correction d'un problème de sécurité [CVE-2017-16927] ;
correction de charge microprocesseur importante lors
de ssl_tls_accept
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
dolibarr trop de travail pour le maintenir proprement dans
Debian
electrum problèmes de sécurité ; cassé à cause de
modifications amont
jirc cassé avec libpoe-filter-xml-perl de Stretch
pgmodeler incompatible avec la version de Postgresql de
Stretch
seelablet abandonné par l'amont ; cassé
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://security.debian.org/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org> ou con