------------------------------------------------------------------------
Projet Debian
https://www.debian.org/
Publication de la mise à jour de Debian 9.10
press@debian.org
7 septembre 2019
https://www.debian.org/News/2019/2019090702
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa distribution oldstable Debian 9 (codename « Stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 9 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
médias de la version Stretch. Après installation, les paquets peuvent
être mis à niveau vers les versions courantes en utilisant un miroir
Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à
leurs emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux
miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version oldstable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison base-files Mise à jour pour cette version ; ajout de VERSION_ CODENAME à os-release basez Décodage correct des chaînes encodées avec base64url
biomaj-watcher Correction des mises à niveau de Jessie à Stretch
c -icap-modules Ajout de la prise en charge de clamav 0.101.1 chaosreader Ajout de la dépendance manquante à libnet-dns-perl clamav Nouvelle version amont stable : ajout de limite de
temps de balayage pour réduire le risque de « bombes
zip » [CVE-2019-12625] ; correction d'écriture hors
limites dans la bibliothèque NSIS bzip2 [CVE-2019-12900] corekeeper Pas d'utilisation de /var/crash accessible à tous en
écriture avec le script de sauvegarde ; gestion des
versions antérieures du noyau Linux d'une façon plus
sûre ; pas de troncature des noms principaux des
exécutables avec des espaces cups Correction de multiples problèmes de sécurité ou de
divulgation – problèmes de dépassements de tampon
SNMP [CVE-2019-8696 CVE-2019-8675], de dépassement de
tampon IPP, de déni de service et de divulgation de
mémoire dans l'ordonnanceur dansguardian Ajout de la prise en charge de clamav 0.101.1 dar Reconstruction pour mettre à jour les paquets « built-
using »
debian-archive-keyring
Ajout des clés de Buster ; retrait des clés de Wheezy
fence-agents Correction d'un problème de déni de service [CVE-2019-10153] fig2dev Plus d'erreur de segmentation sur les pointes de flèche circulaires ou semi-circulaires avec un
grossissement supérieur à 42 [CVE-2019-14275]
fribidi Correction de sortie de droite à gauche dans le mode
texte de l'installateur Debian fusiondirectory Vérifications plus strictes des recherches LDAP ; ajout de la dépendance manquante à php-xml
gettext Plantage de xgettext() empêché lors d'une exécution
avec l'option --its=FILE glib2.0 Création de répertoire et de fichier avec des droits
restreints lors de l'utilisation de GKeyfileSettingsBackend [CVE-2019-13012] ; plus de
débordement de tampon en lecture lors du formatage
des messages d'erreur pour un codage UTF-8 non
valable dans GMarkup [CVE-2018-16429] ; plus de
déréférencement de pointeur NULL lors de l'analyse de
GMarkup non valable avec une balise fermante mal
formée pas appairée avec une balise ouvrante
[CVE-2018-16429] gocode gocode-auto-complete-el : pré-dépendance à auto-complete-el versionné pour corriger les mises à
niveau de Jessie à Stretch groonga Réduction du risque d'élévation des privilèges en
changeant le propriétaire et le groupe des logs avec
l'option « su » grub2 Corrections pour la prise en charge de l'UEFI de Xen
gsoap Correction d'un problème de déni de service si une
application serveur est construite avec l'option
-DWITH_COOKIES [CVE-2019-7659] ; correction d'un
problème avec le receveur du protocole DIME et
d'en-têtes DIME mal formés gthumb Correction d'un bogue de double libération de mémoire
[CVE-2018-18718] havp Ajout de la prise en charge de clamav 0.101.1 icu Correction d'une erreur de segmentation dans la
commande pkgdata koji Correction de problème d'injection SQL [CVE-2018-1002161] ; validation correcte de chemins
SCM [CVE-2017-1002153] lemonldap-ng Correction d'un régression d'authentification interdomaine ; correction d'une vulnérabilité
d'entité externe XML libcaca Correction de problèmes de dépassement d'entier [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547
CVE-2018-20548 CVE-2018-20549] libclamunrar Nouvelle version amont stable
libconvert-units-perl
Reconstruction sans modification avec un numéro de
version corrigé libdatetime-timezone-perl
Mise à jour des données incluses libebml Application de corrections amont pour des lectures
hors limites de tampon de tas libevent-rpc-perl Correction d'échec de construction dû à des certificats SSL de test expirés libgd2 Correction de lecture non initialisée dans gdImageCreateFromXbm [CVE-2019-11038] libgovirt Nouvelle génération des certificats de test avec une
date d'expiration loin dans le futur pour éviter
l'échec des tests librecad Correction de déni de service au moyen d'un fichier
contrefait [CVE-2018-19105] libsdl2-image Correction de plusieurs problèmes de sécurité libthrift-java Correction de contournement de négociation SASL [CVE-2018-1320] libtk-img Arrêt de l'utilisation de copies internes des codecs
JPEG, Zlib et PixarLog, corrigeant des plantages
libu2f-host Correction de fuite de mémoire de pile [CVE-2019-9578] libxslt Correction de contournement de l'infrastructure de
sécurité [CVE-2019-11068], lecture non initialisée de
jeton xsl:number [CVE-2019-13117] et lecture non
initialisée de caractères groupés UTF-8 [CVE-2019-13118] linux Nouvelle version amont avec ABI modifiée ; corrections de sécurité [CVE-2015-8553 CVE-2017-5967
CVE-2018-20509 CVE-2018-20510 CVE-2018-20836
CVE-2018-5995 CVE-2019-11487 CVE-2019-3882]
linux-latest Mise à jour pour l'ABI du noyau 4.19.0-6 liquidsoap Correction de la compilation avec Ocaml 4.02 llvm-toolchain-7 Nouveau paquet pour prendre en charge la construction des nouvelles versions de Firefox mariadb-10.1 Nouvelle version amont stable ; corrections de sécurité [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740
CVE-2019-2805 CVE-2019-2627 CVE-2019-2614] minissdpd Évitement de vulnérabilité d'utilisation de mémoire
après libération qui pourrait permettre à un
attaquant distant de planter le processus [CVE-2019-12106] miniupnpd Correction de problèmes de déni de service [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110] ;
correction de fuite d'information [CVE-2019-12107]
mitmproxy Mise en liste noire des tests qui demandent un accès à Internet ; pas d'insertion de dépendances à
version supérieure non désirées monkeysphere Correction d'échec de construction en mettant à jour les tests pour adapter une version de GnuPG mise à
jour dans Stretch produisant une sortie différente
nasm-mozilla Nouveau paquet pour prendre en charge la construction des nouvelles versions deFirefox ncbi-tools6 Réempaquetage sans les données non libres d’UniVec.*
node-growl Nettoyage de l'entrée avant de la transmettre à exec
node-ws Limitation de la taille d'envoi [CVE-2016-10542] open-vm-tools Correction d'un possible problème de sécurité avec les droits du répertoire et du chemin de transit
intermédiaire openldap Limitation de proxyauthz de rootDN à ses propres bases de données [CVE-2019-13057] ; déclaration d'ACL
sasl_ssf exigée à chaque connexion [CVE-2019-13565] ;
correction de slapo-rwm pour ne pas vider le filtre
original quand le filtre réécrit n'est pas valable
openssh Correction d'un blocage dans la recherche de correspondance de clé passwordsafe Pas d'installation des fichiers de localisation dans un sous-répertoire supplémentaire pound Correction de dissimulation de requête au moyen
d'en-têtes contrefaits [CVE-2016-10711] prelink Reconstruction pour mettre à jour les paquets « built-using » python-clamav Ajout de la prise en charge de clamav 0.101.1 reportbug Mise à jour des noms de version, suite à la publication de Buster resiprocate Résolution d'un problème d'installation avec libssl-dev et --install-recommends sash Reconstruction pour mettre à jour les paquets « built-using » sdl-image1.2 Correction des dépassements de tampon [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] et d'accès hors limites
[CVE-2019-12216 CVE-2019-12217 CVE-2019-12218
CVE-2019-12219 CVE-2019-12220 CVE-2019-12221
CVE-2019-12222 CVE-2019-5051] signing-party Correction d'appel shell non sûr permettant l'injection de commande au moyen de l'identifiant
d'un utilisateur [CVE-2019-11627] slurm-llnl Correction de dépassement de tas dans les systèmes 32 bits [CVE-2019-6438] sox Correction de plusieurs problèmes de sécurité
[CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144
CVE-2017-15372 878808 CVE-2017-15371 878809
CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358
CVE-2017-11332 systemd Plus d'arrêt du client ndisc en cas d'erreur de configuration
t-digest Reconstruction sans modification pour éviter la réutilisation de la version 3.0-1 pré-epoch
tenshi Correction d'un problème de fichier PID qui permet
aux utilisateurs locaux de tuer des processus
arbitraires [CVE-2017-11746] tzdata Nouvelle version amont unzip Correction d'analyses incorrectes de valeurs 64 bits
dans fileio.c ; correction de problèmes de « bombe
zip » [CVE-2019-13232] usbutils Mise à jour de la liste des identifiants USB xymon Correction de plusieurs problèmes de sécurité
(serveur uniquement) [CVE-2019-13273 CVE-2019-13274
CVE-2019-13451 CVE-2019-13452 CVE-2019-13455
CVE-2019-13484 CVE-2019-13485 CVE-2019-13486]
yubico-piv-tool Correction de problèmes de sécurité [CVE-2018-14779 CVE-2018-14780] z3 Pas de configuration du SONAME de libz3java.so à
libz3.so.4
zfs-auto-snapshot Arrêt silencieux des tâches cron après la suppression d'un paquet zsh Reconstruction pour mettre à jour les paquets « built-
using »
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-4435 libpng1.6
DSA-4436 imagemagick
DSA-4437 gst-plugins-base1.0
DSA-4438 atftp
DSA-4439 postgresql-9.6
DSA-4440 bind9
DSA-4441 symfony
DSA-4442 cups-filters
DSA-4442 ghostscript
DSA-4443 samba
DSA-4444 linux
DSA-4445 drupal7
DSA-4446 lemonldap-ng
DSA-4447 intel-microcode
DSA-4448 firefox-esr
DSA-4449 ffmpeg
DSA-4450 wpa
DSA-4451 thunderbird
DSA-4452 jackson-databind
DSA-4453 openjdk-8
DSA-4454 qemu
DSA-4455 heimdal
DSA-4456 exim4
DSA-4457 evolution
DSA-4458 cyrus-imapd
DSA-4459 vlc
DSA-4460 mediawiki
DSA-4461 zookeeper
DSA-4462 dbus
DSA-4463 znc
DSA-4464 thunderbird
DSA-4465 linux
DSA-4466 firefox-esr
DSA-4467 vim
DSA-4468 php-horde-form
DSA-4469 libvirt
DSA-4470 pdns
DSA-4471 thunderbird
DSA-4472 expat
DSA-4473 rdesktop
DSA-4475 openssl
DSA-4475 openssl1.0
DSA-4476 python-django
DSA-4477 zeromq3
DSA-4478 dosbox
DSA-4480 redis
DSA-4481 ruby-mini-magick
DSA-4482 thunderbird
DSA-4483 libreoffice
DSA-4485 openjdk-8
DSA-4487 neovim
DSA-4488 exim4
DSA-4489 patch
DSA-4490 subversion
DSA-4491 proftpd-dfsg
DSA-4493 postgresql-9.6
DSA-4494 kconfig
DSA-4498 python-django
DSA-4499 ghostscript
DSA-4501 libreoffice
DSA-4504 vlc
DSA-4505 nginx
DSA-4506 qemu
DSA-4509 apache2
DSA-4510 dovecot
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
pump Non maintenu ; problèmes de sécurité teeworlds Problèmes de sécurité ; incompatible avec les serveurs actuels
Installateur Debian
-------------------
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/stretch/ChangeLog
Adresse de l'actuelle distribution oldstable :
http://ftp.debian.org/debian/dists/oldstable/
Mises à jour proposées à la distribution oldstable :
http://ftp.debian.org/debian/dists/oldstable-proposed-updates
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier é