------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 9.2 pr...@debian.org 7 octobre 2017 https://www.debian.org/News/2017/20171007 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa distribution stable Debian 9 (nommée « stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Cas particulier pour cette publication, les utilisateurs de l'outil « apt-get » pour réaliser la mise à niveau devront s'assurer d'utiliser la commande « dist-upgrade », afin de mettre à jour vers les paquets les plus récents du noyau. Les utilisateurs d'autres outils tels que « apt » et « aptitude » devraient utiliser la commande « upgrade ». Corrections de bogues divers ---------------------------- En raison d'une omission durant la préparation de la publication, la mise à jour habituelle du paquet « base-files » pour refléter cette nouvelle version n'a malheureusement pas été incluse. Une mise à jour du paquet sera disponible à travers « stretch-updates » dans un futur proche. Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison apt Correction de problèmes dans apt-daily-upgrade ; correction d'un plantage possible dans la méthode de miroir at-spi2-core Correction d'un plantage lors du changement de fenêtre bareos Correction des droits de la configuration de logrotate bareos-dir lors d'une mise à niveau ; correction de corruption de fichier lors de l'utilisation d'une signature SHA1 bind9 Prise en charge de l'importation de DNSSEC KSK-2017 bridge-utils Correction d'un problème avec l'absence de création de certaines interfaces de vlan caja Correction d'une consommation excessive de CPU lors du chargement d'une image de fond chrony Pas de passage de la commande « burst » à chronyc cross-gcc Correction de la prise en charge obsolète de gcc 6.3.0-18 cvxopt Suppression de la couche de compatibilité inutile et non fonctionnelle pourlpx_main() db5.3 Pas d'accès à DB_CONFIG si db_home n'est pas configuré [CVE-2017-10140] dbus Nouvelle version amont stable debian-edu-doc Incorporation de la documentation relative à Stretch et des mises à jour des traductions ; mise à jour du manuel de Debian Edu Stretch à partir du wiki ; remplacement des captures d'écran du menu de démarrage existantes par les plus récentes présentes dans le wiki debian-installer Mise à jour de l'ABI du noyau Linux vers la version 4 debian-installer-netboot-images Reconstruction avec proposed-updates desktop-base Correction d'erreurs de syntaxe XML dans les fichiers de description de fond d'écran de GNOME qui rendent les fonds d'écran Joy indisponibles par défaut ; vérification que postinst n'échoue pas à la mise à jour même quand un paquet de thème incomplet est actif dns-root-data Mise à jour de root.hints vers la version 2017072601 ; modification de l'état de KSK-2017 à VALID dnsdist Corrections de sécurité [CVE-2016-7069 CVE-2017-7557] dnsviz Sélections choisies des corrections liées à des modifications de root.hints et de root.keys dose3 Correction de la prise en charge de « provides » gérant les versions – les paquets qui fournissent le même paquet virtuel dans différentes versions ou qui fournissent le même paquet virtuel gérant les versions comme un paquet réel, sont co-installables ecl Ajout de dépendance manquante de libffi-dev erlang-p1-tls Correction des courbes ECDH evolution Correction du blocage lors d'un clic droit dans la fenêtre du compositeur expect Vérification correcte de la fin de fichier (« EOF ») pour éviter de perdre l'entrée fife Correction de fuite de mémoire flatpak Nouvelle version amont stable ; évitement du déploiement de fichiers avec des droits inappropriés ; restauration de la compatibilité avec libostree 2017.7 freerdp Activation de la prise en charge de TLS >= 1.1 gnome-exe-thumbnailer Passage à msiinfo de msitools pour la récupération de ProductVersion, remplaçant l'analyse non sûre basée sur VBScript [CVE-2017-11421] ; correction du texte blanc sur blanc illisible sur les étiquettes de version gnupg2 Correction des problèmes de dirmngr avec des DNS inverses cassés, d'assertion lors de l'utilisation de « tofu-default-policy ask », de problèmes multiples avec scdaemon, plus d'avertissement frauduleux lors du partage d'une boîte à clés avec gpg >= 2.1.20 gnutls28 Correction des erreurs de vérifications d'OCSP, particulièrement avec les signatures ECDSA gosa-plugin-mailaddress Correction des appels des constructeurs parents, pour la compatibilité avec PHP7 gsoap Correction d'un dépassement d'entier à l'aide d'un grand document XML [CVE-2017-9765] haveged Démarrage de haveged.service après l'exécution de systemd-tmpfiles-setup.service ipsec-tools Correction de sécurité [CVE-2016-10396] irssi Correction de déréférencement de pointeur NULL [CVE-2017-10965], situation d'utilisation de mémoire après libération pour la liste de pseudonymes [CVE-2017-10966] kanatest Suppression des attributs DISABLE_DEPRECATED, parce qu'ils provoquent une conversion implicite de pointeur et donc une erreur de segmentation au démarrage kdepim Correction de « send Later with Delay bypasses OpenPGP » [CVE-2017-9604] kf5-messagelib Correction de « send Later with Delay bypasses OpenPGP » [CVE-2017-9604] krb5 Correction d'un problème de sécurité où des attaquants distants authentifiés peuvent planter le KDC [CVE-2017-11368] ; correction de démarrage si getaddrinfo() renvoie une adresse multiple v6 et gestion d'adresse multiple v4 spécifiée explicitement ; correction des recherches SRV pour respecter udp_preference_limit lava-tool Ajout de dépendance manquante à python-simplejson librsb Correction de bogues sévères conduisant à des résultats numériques erronés libselinux Reconstruction avec le nouveau sbuild pour corriger la date du changelog libsolv Correction des dépendances à des modules de Python 3 libwpd Correction d'un problème de déni de service [CVE-2017-14226] linux Nouvelle version amont stable linux-latest Mise à jour vers 4.9.0-4 lzma Reconstruction avec le nouveau sbuild pour corriger la date du changelog mailman Correction de dépendances cassées dans contrib/SpamAssassin.py mate-power-manager Pas d'abandon sur un nom de signal de DBus inconnu mate-themes Correction de la couleur de police sur la barre d'URL de Google Chrome mate-tweak Ajout de dépendance manquante à python3-gi ncurses Correction de divers bogues de plantage dans la bibliothèque et l'exécutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] nettle Reconstruction avec le nouveau sbuild pour corriger la date du changelog node-brace-expansion Correction d'un problème de déni de service d'expression rationnelle node-dateformat Réglage TZ=UTC pour des tests pour corriger un échec de construction ntp Construction et installation de /usr/bin/sntp nvidia-graphics-drivers Nouvelle version amont de la branche à long terme 375.82 – corrections de sécurité [CVE-2017-6257 CVE-2017-6259], ajout de la prise en charge des GPU suivants : GeForce GTX 1080 avec Max-Q Design, GeForce GTX 1070 avec Max-Q Design, GeForce GTX 1060 avec Max-Q Design ; nvidia-kernel-dkms : respect des configurations parallèles de dkms open-vm-tools Génération aléatoire des noms de répertoire temporaire [CVE-2015-5191] opendkim Démarrage comme superutilisateur et abandon de droits dans opendkim pour une possession appropriée du fichier de clé openldap Assouplissement de la dépendance de libldap-2.4-2 à libldap-common pour permettre aussi des versions ultérieures ; correction d'échec de mise à niveau lorsque olcSuffix contient une barre oblique inverse (« \ ») ; plus de lecture de la valeur de l'option LDAP_OPT_X_TLS_REQUIRE_CERT à partir de la mémoire antérieurement libérée ; correction d'une potentielle boucle de réplication infinie dans un scénario de delta-syncrepl à multi-maîtres avec 3 nœuds ou plus ; correction d'une corruption de mémoire provoquée par l'appel de sasl_client_init() de multiples fois et éventuellement simultanément openvpn Correction de reconnexions cassées dues à un calcul erroné de l'algorithme de « push » osinfo-db Mise à jour des informations de distribution pcb-rnd Correction d'exécution de code à cause d'un fichier de conception formé de manière malveillante postfix Nouvelle version amont stable – envoi de noms de variable à un seul caractère aux filtres de courriels sans {} ; évitement de la dégradation de MIME de l'état de message ou de distribution généré par Postfix ; contournement de la tentative de Berkeley DB de lire la configuration dans le fichier « DB_CONFIG » python-pampy Correction de dépendances à des modules de Python 3 request-tracker4 Correction d'une régression dans une précédente version de sécurité où des mots de passe SHA256 incorrects pourraient déclencher une erreur ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler} : ajout de dépendances manquantes samba Assurance que la signature SMB est appliquée [CVE-2017-12150] ; conservation du chiffrage requis à travers les redirections DFS de SMB3 [CVE-2017-12151] ; correction de fuite d'information mémoire du serveur sur SMB1 [CVE-2017-12163] ; nouvelle version amont ; correction de libpam-winbind.prerm pour qu'il soit sûr du point de vue multiarchitecture ; ajout de logrotate manquant pour /var/log/samba/log.samba ; correction des serveurs racine du DNS obsolètes ; correction de « Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM » smplayer Correction des connexions à YouTube speech-dispatcher Remise en fonction de spd-conf suricata Limitation du nombre d'appels récursifs dans le décodeur DER/ASN.1 pour éviter des dépassements de pile swift Nouvelle version amont stable tbdialout Inclusion d'un signe plus initial lors de l'utilisation du schéma d'URI tel: tiny-initramfs Ajout de dépendance manquante à cpio topal Correction de la mauvaise utilisation de la syntaxe des classes de caractères de sed torsocks Correction de check_addr() pour qu'il renvoie 0 ou 1 trace-cmd Correction d'erreur de segmentation lors du traitement de certains fichiers trace unbound Correction de l'installation de l'ancre de confiance quand deux ancres sont présentes ; dépendance à dns-root-data (>= 2017072601~) pour KSK-2017 unknown-horizons Correction de fuite de mémoire up-imapproxy Correction du fichier de service systemd vim Correction de plusieurs plantages et accès illégaux à la mémoire [CVE-2017-11109] waagent Nouvelle version amont, avec prise en compte d'Azure Stack webkit2gtk Version amont de sécurité et de correction de bogues [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] whois Correction des références de whois our .com, .net, .jobs, .bz, .cc et .tv ; ajout de nouveaux serveurs TLD indiens ; mise à jour de la liste des gTLD wrk Correction d'échecs de construction xfonts-ayu Correction de la génération de fontes bold et italic xkeyboard-config Retour des dispositions Indic dans la liste principale de dispositions, permettant à nouveau leur utilisation yadm Correction d'une situation de compétition qui pourrait permettre l'accès à des clés privées PGP et SSH [CVE-2017-11353] Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-3881 firefox-esr DSA-3898 expat DSA-3904 bind9 DSA-3909 samba DSA-3913 apache2 DSA-3914 imagemagick DSA-3915 ruby-mixlib-archive DSA-3916 atril DSA-3917 catdoc DSA-3919 openjdk-8 DSA-3920 qemu DSA-3921 enigmail DSA-3923 freerdp DSA-3924 varnish DSA-3925 qemu DSA-3926 chromium-browser DSA-3927 linux DSA-3928 firefox-esr DSA-3929 libsoup2.4 DSA-3930 freeradius DSA-3931 ruby-rack-cors DSA-3932 subversion DSA-3934 git DSA-3936 postgresql-9.6 DSA-3938 libgd2 DSA-3940 cvs DSA-3941 iortcw DSA-3942 supervisor DSA-3946 libmspack DSA-3947 newsbeuter DSA-3948 ioquake3 DSA-3949 augeas DSA-3950 libraw DSA-3952 libxml2 DSA-3953 aodh DSA-3955 mariadb-10.1 DSA-3956 connman DSA-3957 ffmpeg DSA-3958 fontforge DSA-3959 libgcrypt20 DSA-3961 libgd2 DSA-3962 strongswan DSA-3963 mercurial DSA-3964 asterisk DSA-3965 file DSA-3966 ruby2.3 DSA-3967 mbedtls DSA-3968 icedove DSA-3969 xen DSA-3970 emacs24 DSA-3971 tcpdump DSA-3972 bluez DSA-3973 wordpress-shibboleth DSA-3974 tomcat8 DSA-3975 emacs25 DSA-3976 freexl DSA-3977 newsbeuter DSA-3978 gdk-pixbuf DSA-3979 pyjwt DSA-3980 apache2 DSA-3982 perl DSA-3984 git DSA-3985 chromium-browser DSA-3986 ghostscript DSA-3987 firefox-esr DSA-3988 libidn2-0 Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison clapack fourche obsolète et non maintenue de lapack Installateur Debian ------------------- URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/stretch/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.