------------------------------------------------------------------------
Projet Debian
https://www.debian.org/
Publication de la mise à jour de Debian 9.6
press@debian.org
10 novembre 2018
https://www.debian.org/News/2018/20181110
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 9 (nommée « Stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour. De nouvelles images d'installation seront
prochainement disponibles à leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison accerciser Correction d'accès à des éléments sans un compositeur ;
correction de la console Python ; ajout de dépendance
manquante à python3-xlib apache2 mod_http2 : correction de déni de service par épuisement d'un « worker » [CVE-2018-1333] et par envoi
en continu de trames SETTINGS [CVE-2018-11763] ;
mod_proxy_fcgi : correction d'erreur de segmentation
base-files Mise à jour /etc/debian_version pour cette version brltty Correction d'authentification de polkit canna Correction de conflit de fichiers entre canna-dbgsym et
canna-utils-dbgsym cargo Nouveau paquet pour gérer la construction de Firefox
ESR 60
clamav Nouvelle version amont ; correction de dépassement
d'entier d'HWP, de vulnérabilité de boucle infinie
[CVE-2018-0360] ; correction de problème de vérification de longueur d'objet PDF, de durée
excessive pour l'analyse de fichier relativement petit
[CVE-2018-0361] ; nouvelle version amont ; correction
d'un problème de déni de service [CVE-2018-15378] ;
correction de boucle infinie dans dpkg-reconfigure
confuse Correction d'une lecture hors limites dans trim_whitespace [CVE-2018-14447] debian-installer
Mise à jour vers l'ABI du noyau -8 debian-installer-netboot-images Reconstruction pour cette version dnsmasq trust-anchors.conf : inclusion de l'ancre de confiance
DNS KSK-2017 la plus récente dom4j Correction d'attaque d'injection XML [CVE-2018-1000632] ; compilation avec source et
cible 1.5 pour corriger un problème de compilation avec
String.format dpdk Nouvelle version amont stable dropbear Correction de vulnérabilité d'énumération d'utilisateurs [CVE-2018-15599] easytag Correction de corruption d'OGG enigmail Ajout de la compatibilité avec les dernières versions
de Thunderbird espeakup espeakup.service : chargement automatique de speakup_soft au démarrage du démon fastforward Correction d'erreurs de segmentation sur les architectures 64 bits firetray Ajout de la compatibilité avec les dernières versions
de Thunderbird
firmware-nonfree
Corrections de problèmes de sécurité dans le microcode
Wifi de Broadcom [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081] ;
réintroduction de paquets de transition pour firmware-{adi,ralink} fofix-dfsg Correction d'erreur au démarrage fuse Autorisation d'autofs et FAT comme systèmes de fichiers
de point de montage valables ganeti Vérification correcte des certificats SSL lors de l'export de VM ; signature des certificats générés avec SHA256 à la place de SHA1 ; complétions de
bash rendues automatiquement chargeables globus-gsi-credential
Correction de problème avec le mandataire voms et
openssl 1.1 gnupg2 Corrections de sécurité ; rétroportage des fonctionnalités requises pour le nouveau enigmail
gnutls28 Corrections de problèmes de sécurité [CVE-2018-10844
CVE-2018-10845] gphoto2-cffi Fonctionnement à nouveau de python3-gphoto2cffi grub2 grub-mknetdir : ajout de la prise en charge de ARM64
EFI ; modification de la méthode de calibration TSC par
défaut pour pmtimer sur les systèmes EFI hdparm Activation d'APM uniquement sur les disques qui l'annoncent
https-everywhere
Rétroportage de la nouvelle version amont, pour
compatibilité avec Firefox ESR 60 i3-wm Correction de plantage au redémarrage lors de l'utilisation de marques iipimage Correction de la configuration d'Apache jhead Corrections de problèmes de sécurité [CVE-2018-17088
CVE-2018-16554] lastpass-cli Rétroportage d'épinglages de certificats codés en dur à
partir de lastpass-cli 1.3.1 pour refléter les
modifications du service hébergé Lastpass.com
ldap2zone Correction de boucle infinie lors de la vérification du
numéro de série de zone libcgroup Correction des fichiers de journaux accessibles à tous
(et modifiables) [CVE-2018-14348] libclamunrar Nouvelle version amont libdap Correction du contenu de libdap-doc libdatetime-timezone-perl
Mise à jour des données incluses libgd2 Bmp : vérification des valeurs de retour dans gdImageBmpPtr [CVE-2018-1000222] ; correction d'une
potentielle boucle infinie dans gdImageCreateFromGifCtx [CVE-2018-5711] libmail-deliverystatus-bounceparser-perl Retrait d'exemples de pourriels et de virus non
distribuables libmspack Correction d'écriture hors limites [CVE-2018-18584] et
acceptation de noms de fichiers « vides » [CVE-2018-18585] libopenmpt Correction de « up11 : lecture hors limites lors du chargement de fichiers IT/MO3 avec de nombreuses
boucles de motifs » [CVE-2018-10017] libseccomp Ajout de la prise en charge des appels système de Linux 4.9 : preadv2, pwritev2, pkey_mprotect,
pkey_alloc et pkey_free ; ajout de la prise en charge
de statx libtirpc rendezvous_request : vérification de la valeur de retour de makefd_xprt [CVE-2018-14622] libx11 Correction de plusieurs problèmes de sécurité [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Correction d'un déni de service ou d'une exécution potentielle de code avec un dépassement de tas d'un
octet [CVE-2015-9262]
libxml-stream-perl
Fourniture d'un chemin d'autorité de certification par
défaut
libxml-structured-perl
Ajout de dépendance de construction et d'exécution
manquante à libxml-parser-perl linux Xen : correction de régression de démarrage dans les
domaines PV ; xen-netfront : correction de régressions ; ext4 : correction de faux négatifs *et*
de faux positifs dans ext4_check_descriptors() ;
udeb : ajout de virtio_console à virtio-modules ;
cdc_ncm : remplissage au-delà de la fin de skb ;
suppression de « sit: reload iphdr in ipip6_rcv » ;
nouvelle version amont lxcfs Suppression de la virtualisation du temps de fonctionnement « uptime », corrigeant l'heure de
démarrage du processus magicmaze Dépendance à fonts-isabella maintenant que ttf-isabella
est un paquet virtuel mailman Correction d'une vulnérabilité d'injection de texte
arbitraire dans les CGI de Mailman [CVE-2018-13796]
multipath-tools Blocage évité dans les déclenchements d'udev nagstamon Correction d'un problème d'authentification basique d'IcingaWeb2
network-manager libnm : correction de l'accès aux propriétés « enabled » et « metered » ; correction d'écriture de
tas hors limites dans la gestion de l'option dhcpv6
[CVE-2018-15688] et divers autres problèmes dans le
greffon dhcp=internal basé sur sd-network network-manager-applet
libnma/pygobject : libnma/NMA doit utiliser libnm/NM à
la place des anciennes bibliothèques ola Correction de coquille dans /etc/init.d/rdm_test_server ; correction de nom de
fichier pour jquery dans les fichiers HTML statiques
du serveur de test rdm opensc Correction de récursion non liée et de plusieurs lectures et écritures hors limites [CVE-2018-16391
CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] pkgsel Installation de nouvelles dépendances lors de la sélection de safe-upgrade (par défaut) publicsuffix Mise à jour des données incluses python-django Prise en charge par défaut de Spatialite >= 4.2 python-imaplib2 Installation du module correct pour Python 3 ; pas d'utilisation de TIMEOUT_MAX rustc Activation de la construction sur plus d'architectures : arm64, armel, armhf, i386, ppc64el,
s390x
sddm Respect des groupes extérieurs supplémentaires de PAM ;
ajout de la gestion manquante d'utmp/wtmp/btmp
serf Correction de déréférence de pointeur NULL soundconverter Correction de la configuration d'Opus vbr spamassassin Nouvelle version amont ; correction de déni de service [CVE-2017-15705], d'exécution distante de code
[CVE-2018-11780], d'injection de code [CVE-2018-11781]
et d'utilisation non sûre de « . » dans @INC
[CVE-2016-1238] ; correction de la gestion du service
spamd lors des mises à niveau du paquet spice-gtk Correction de dépassement de tampon de « flexible array »[CVE-2018-10873] sqlcipher Plantage évité à l'ouverture d'un fichier subversion Correction d'une régression introduite dans les correctifs pour les collisions de SHA1, où les
correctifs échouent de façon incorrecte avec une
erreur « Filesystem is corrupt » si la longueur du
delta est un multiple de 16 ko systemd networkd : Pas d'échec de manager_connect_bus() si dbus
n'est pas encore actif ; dhcp6 : assurance qu'il y a
assez de place pour l'en-tête de l'option DHCP6
[CVE-2018-15688] systraq Inversion de la logique afin de sortir avec succès si
/e/s/Makefile est manquant tomcat-native Correction d'un problème du répondeur OSCP qui fait qu'il est possible aux utilisateurs de s'authentifier
avec des certificats révoqués lors de l'utilisation de
l'authentification mutuelle TLS TLS [CVE-2018-8019
CVE-2018-8020] tor Modifications de répertoire de tiers de confiance :
retrait du tiers de confiance de pont « Bifroest », en
faveur de « Serge » ; ajout d'une adresse IPv6 pour le
répertoire de tiers de confiance « dannenberg »
tzdata Nouvelle version amont ublock-origin Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60 unbound Correction d'une vulnérabilité dans le traitement des
enregistrements NSEC génériques synthétisés
[CVE-2017-15105] vagrant Prise en charge de VirtualBox 5.2 vmtk python-vmtk : ajout de dépendance manquante à python-vtk6 wesnoth-1.12 Désactivation du chargement du bytecode Lua à travers load/dofile [CVE-2018- 1999023] wpa Données des EAPOL-Key chiffrés non authentifiés
ignorées [CVE-2018-14526] x11vnc Correction de deux dépassements de tampon xapian-core Correction d'un bogue du moteur glass avec des curseurs à longue vie sur une table dans une WritableDatabase
qui pourrait mener de façon incorrecte à envoyer
DatabaseCorruptError alors que la base de données est
véritablement OK xmotd Plantage évité avec les attributs de renforcement
xorg-server GLX : pas de récupération de la configuration de sRGB pour le mode visuel 32 bits RGBA – correction de
plusieurs problèmes de rendu avec kwin et Mesa >= 18.0
(c'est-à-dire Mesa issu de stretch-backports)
zutils Correction d'un débordement de tampon dans zcat [CVE-2018-1000637]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
adblock-plus-element-hiding-helper Incompatible avec les dernières versions de
firefox-esr all-in-one-sidebar Incompatible avec les dernières versions de firefox-esr autofill-forms Incompatible avec les dernières versions de firefox-esr
automatic-save-folder
Incompatible avec les dernières versions de
firefox-esr
classic-theme-restorer
Incompatible avec les dernières versions de
firefox-esr colorfultabs Incompatible avec les dernières versions de firefox-esr custom-tab-width Incompatible avec les dernières versions de firefox-esr dactyl Incompatible avec les dernières versions de
firefox-esr downthemall Incompatible avec les dernières versions de firefox-esr dvips-fontdata-n2bk Paquet vide firebug Incompatible avec les dernières versions de firefox-esr firegestures Incompatible avec les dernières versions de firefox-esr firexpath Incompatible avec les dernières versions de firefox-esr flashgot Incompatible avec les dernières versions de firefox-esr
form-history-control Incompatible avec les dernières versions de firefox-esr foxyproxy Incompatible avec les dernières versions de firefox-esr gitlab Problèmes de sécurité ouverts, correctifs
difficiles à rétroporter greasemonkey Incompatible avec les dernières versions de firefox-esr
intel-processor-trace
[s390x] Utile uniquement sur les architectures
Intel itsalltext Incompatible avec les dernières versions de firefox-esr knot-resolver Problèmes de sécurité lightbeam Incompatible avec les dernières versions de firefox-esr livehttpheaders Incompatible avec les dernières versions de firefox-esr lyz Incompatible avec les dernières versions de
firefox-esr npapi-vlc Incompatible avec les dernières versions de firefox-esr nukeimage Incompatible avec les dernières versions de firefox-esr openinbrowser Incompatible avec les dernières versions de firefox-esr
perspectives-extension
Incompatible avec les dernières versions de
firefox-esr pwdhash Incompatible avec les dernières versions de firefox-esr python-facebook Cassé en raison de modifications de l'amont python-tvrage Inutile depuis la fermeture de tvrage.com reloadevery Incompatible avec les dernières versions de firefox-esr sage-extension Incompatible avec les dernières versions de firefox-esr scrapbook Incompatible avec les dernières versions de firefox-esr
self-destructing-cookies
Incompatible avec les dernières versions de
firefox-esr spdy-indicator Incompatible avec les dernières versions de firefox-esr status-4-evar Incompatible avec les dernières versions de firefox-esr stylish Incompatible avec les dernières versions de firefox-esr tabmixplus Incompatible avec les dernières versions de firefox-esr tree-style-tab Incompatible avec les dernières versions de firefox-esr ubiquity-extension Incompatible avec les dernières versions de firefox-esr uppity Incompatible avec les dernières versions de
firefox-esr useragentswitcher Incompatible avec les dernières versions de firefox-esr video-without-flash Incompatible avec les dernières versions de firefox-esr webdeveloper Incompatible avec les dernières versions de firefox-esr
xul-ext-monkeysphere Incompatible avec les dernières versions de firefox-esr
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://security.debian.org/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <press@debi