------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 9.6 pr...@debian.org 10 novembre 2018 https://www.debian.org/News/2018/20181110 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 9 (nommée « Stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version Stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison accerciser Correction d'accès à des éléments sans un compositeur ; correction de la console Python ; ajout de dépendance manquante à python3-xlib apache2 mod_http2 : correction de déni de service par épuisement d'un « worker » [CVE-2018-1333] et par envoi en continu de trames SETTINGS [CVE-2018-11763] ; mod_proxy_fcgi : correction d'erreur de segmentation base-files Mise à jour /etc/debian_version pour cette version brltty Correction d'authentification de polkit canna Correction de conflit de fichiers entre canna-dbgsym et canna-utils-dbgsym cargo Nouveau paquet pour gérer la construction de Firefox ESR 60 clamav Nouvelle version amont ; correction de dépassement d'entier d'HWP, de vulnérabilité de boucle infinie [CVE-2018-0360] ; correction de problème de vérification de longueur d'objet PDF, de durée excessive pour l'analyse de fichier relativement petit [CVE-2018-0361] ; nouvelle version amont ; correction d'un problème de déni de service [CVE-2018-15378] ; correction de boucle infinie dans dpkg-reconfigure confuse Correction d'une lecture hors limites dans trim_whitespace [CVE-2018-14447] debian-installer Mise à jour vers l'ABI du noyau -8 debian-installer-netboot-images Reconstruction pour cette version dnsmasq trust-anchors.conf : inclusion de l'ancre de confiance DNS KSK-2017 la plus récente dom4j Correction d'attaque d'injection XML [CVE-2018-1000632] ; compilation avec source et cible 1.5 pour corriger un problème de compilation avec String.format dpdk Nouvelle version amont stable dropbear Correction de vulnérabilité d'énumération d'utilisateurs [CVE-2018-15599] easytag Correction de corruption d'OGG enigmail Ajout de la compatibilité avec les dernières versions de Thunderbird espeakup espeakup.service : chargement automatique de speakup_soft au démarrage du démon fastforward Correction d'erreurs de segmentation sur les architectures 64 bits firetray Ajout de la compatibilité avec les dernières versions de Thunderbird firmware-nonfree Corrections de problèmes de sécurité dans le microcode Wifi de Broadcom [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081] ; réintroduction de paquets de transition pour firmware-{adi,ralink} fofix-dfsg Correction d'erreur au démarrage fuse Autorisation d'autofs et FAT comme systèmes de fichiers de point de montage valables ganeti Vérification correcte des certificats SSL lors de l'export de VM ; signature des certificats générés avec SHA256 à la place de SHA1 ; complétions de bash rendues automatiquement chargeables globus-gsi-credential Correction de problème avec le mandataire voms et openssl 1.1 gnupg2 Corrections de sécurité ; rétroportage des fonctionnalités requises pour le nouveau enigmail gnutls28 Corrections de problèmes de sécurité [CVE-2018-10844 CVE-2018-10845] gphoto2-cffi Fonctionnement à nouveau de python3-gphoto2cffi grub2 grub-mknetdir : ajout de la prise en charge de ARM64 EFI ; modification de la méthode de calibration TSC par défaut pour pmtimer sur les systèmes EFI hdparm Activation d'APM uniquement sur les disques qui l'annoncent https-everywhere Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60 i3-wm Correction de plantage au redémarrage lors de l'utilisation de marques iipimage Correction de la configuration d'Apache jhead Corrections de problèmes de sécurité [CVE-2018-17088 CVE-2018-16554] lastpass-cli Rétroportage d'épinglages de certificats codés en dur à partir de lastpass-cli 1.3.1 pour refléter les modifications du service hébergé Lastpass.com ldap2zone Correction de boucle infinie lors de la vérification du numéro de série de zone libcgroup Correction des fichiers de journaux accessibles à tous (et modifiables) [CVE-2018-14348] libclamunrar Nouvelle version amont libdap Correction du contenu de libdap-doc libdatetime-timezone-perl Mise à jour des données incluses libgd2 Bmp : vérification des valeurs de retour dans gdImageBmpPtr [CVE-2018-1000222] ; correction d'une potentielle boucle infinie dans gdImageCreateFromGifCtx [CVE-2018-5711] libmail-deliverystatus-bounceparser-perl Retrait d'exemples de pourriels et de virus non distribuables libmspack Correction d'écriture hors limites [CVE-2018-18584] et acceptation de noms de fichiers « vides » [CVE-2018-18585] libopenmpt Correction de « up11 : lecture hors limites lors du chargement de fichiers IT/MO3 avec de nombreuses boucles de motifs » [CVE-2018-10017] libseccomp Ajout de la prise en charge des appels système de Linux 4.9 : preadv2, pwritev2, pkey_mprotect, pkey_alloc et pkey_free ; ajout de la prise en charge de statx libtirpc rendezvous_request : vérification de la valeur de retour de makefd_xprt [CVE-2018-14622] libx11 Correction de plusieurs problèmes de sécurité [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600] libxcursor Correction d'un déni de service ou d'une exécution potentielle de code avec un dépassement de tas d'un octet [CVE-2015-9262] libxml-stream-perl Fourniture d'un chemin d'autorité de certification par défaut libxml-structured-perl Ajout de dépendance de construction et d'exécution manquante à libxml-parser-perl linux Xen : correction de régression de démarrage dans les domaines PV ; xen-netfront : correction de régressions ; ext4 : correction de faux négatifs *et* de faux positifs dans ext4_check_descriptors() ; udeb : ajout de virtio_console à virtio-modules ; cdc_ncm : remplissage au-delà de la fin de skb ; suppression de « sit: reload iphdr in ipip6_rcv » ; nouvelle version amont lxcfs Suppression de la virtualisation du temps de fonctionnement « uptime », corrigeant l'heure de démarrage du processus magicmaze Dépendance à fonts-isabella maintenant que ttf-isabella est un paquet virtuel mailman Correction d'une vulnérabilité d'injection de texte arbitraire dans les CGI de Mailman [CVE-2018-13796] multipath-tools Blocage évité dans les déclenchements d'udev nagstamon Correction d'un problème d'authentification basique d'IcingaWeb2 network-manager libnm : correction de l'accès aux propriétés « enabled » et « metered » ; correction d'écriture de tas hors limites dans la gestion de l'option dhcpv6 [CVE-2018-15688] et divers autres problèmes dans le greffon dhcp=internal basé sur sd-network network-manager-applet libnma/pygobject : libnma/NMA doit utiliser libnm/NM à la place des anciennes bibliothèques ola Correction de coquille dans /etc/init.d/rdm_test_server ; correction de nom de fichier pour jquery dans les fichiers HTML statiques du serveur de test rdm opensc Correction de récursion non liée et de plusieurs lectures et écritures hors limites [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] pkgsel Installation de nouvelles dépendances lors de la sélection de safe-upgrade (par défaut) publicsuffix Mise à jour des données incluses python-django Prise en charge par défaut de Spatialite >= 4.2 python-imaplib2 Installation du module correct pour Python 3 ; pas d'utilisation de TIMEOUT_MAX rustc Activation de la construction sur plus d'architectures : arm64, armel, armhf, i386, ppc64el, s390x sddm Respect des groupes extérieurs supplémentaires de PAM ; ajout de la gestion manquante d'utmp/wtmp/btmp serf Correction de déréférence de pointeur NULL soundconverter Correction de la configuration d'Opus vbr spamassassin Nouvelle version amont ; correction de déni de service [CVE-2017-15705], d'exécution distante de code [CVE-2018-11780], d'injection de code [CVE-2018-11781] et d'utilisation non sûre de « . » dans @INC [CVE-2016-1238] ; correction de la gestion du service spamd lors des mises à niveau du paquet spice-gtk Correction de dépassement de tampon de « flexible array »[CVE-2018-10873] sqlcipher Plantage évité à l'ouverture d'un fichier subversion Correction d'une régression introduite dans les correctifs pour les collisions de SHA1, où les correctifs échouent de façon incorrecte avec une erreur « Filesystem is corrupt » si la longueur du delta est un multiple de 16 ko systemd networkd : Pas d'échec de manager_connect_bus() si dbus n'est pas encore actif ; dhcp6 : assurance qu'il y a assez de place pour l'en-tête de l'option DHCP6 [CVE-2018-15688] systraq Inversion de la logique afin de sortir avec succès si /e/s/Makefile est manquant tomcat-native Correction d'un problème du répondeur OSCP qui fait qu'il est possible aux utilisateurs de s'authentifier avec des certificats révoqués lors de l'utilisation de l'authentification mutuelle TLS TLS [CVE-2018-8019 CVE-2018-8020] tor Modifications de répertoire de tiers de confiance : retrait du tiers de confiance de pont « Bifroest », en faveur de « Serge » ; ajout d'une adresse IPv6 pour le répertoire de tiers de confiance « dannenberg » tzdata Nouvelle version amont ublock-origin Rétroportage de la nouvelle version amont, pour compatibilité avec Firefox ESR 60 unbound Correction d'une vulnérabilité dans le traitement des enregistrements NSEC génériques synthétisés [CVE-2017-15105] vagrant Prise en charge de VirtualBox 5.2 vmtk python-vmtk : ajout de dépendance manquante à python-vtk6 wesnoth-1.12 Désactivation du chargement du bytecode Lua à travers load/dofile [CVE-2018- 1999023] wpa Données des EAPOL-Key chiffrés non authentifiés ignorées [CVE-2018-14526] x11vnc Correction de deux dépassements de tampon xapian-core Correction d'un bogue du moteur glass avec des curseurs à longue vie sur une table dans une WritableDatabase qui pourrait mener de façon incorrecte à envoyer DatabaseCorruptError alors que la base de données est véritablement OK xmotd Plantage évité avec les attributs de renforcement xorg-server GLX : pas de récupération de la configuration de sRGB pour le mode visuel 32 bits RGBA – correction de plusieurs problèmes de rendu avec kwin et Mesa >= 18.0 (c'est-à-dire Mesa issu de stretch-backports) zutils Correction d'un débordement de tampon dans zcat [CVE-2018-1000637] Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-4074 imagemagick DSA-4103 chromium-browser DSA-4182 chromium-browser DSA-4237 chromium-browser DSA-4242 ruby-sprockets DSA-4243 cups DSA-4244 thunderbird DSA-4245 imagemagick DSA-4246 mailman DSA-4247 ruby-rack-protection DSA-4248 blender DSA-4249 ffmpeg DSA-4250 wordpress DSA-4251 vlc DSA-4252 znc DSA-4253 network-manager-vpnc DSA-4254 slurm-llnl DSA-4256 chromium-browser DSA-4257 fuse DSA-4258 ffmpeg DSA-4260 libmspack DSA-4261 vim-syntastic DSA-4262 symfony DSA-4263 cgit DSA-4264 python-django DSA-4265 xml-security-c DSA-4266 linux DSA-4267 kamailio DSA-4268 openjdk-8 DSA-4269 postgresql-9.6 DSA-4270 gdm3 DSA-4271 samba DSA-4272 linux DSA-4273 intel-microcode DSA-4274 xen DSA-4275 keystone DSA-4276 php-horde-image DSA-4277 mutt DSA-4278 jetty9 DSA-4279 linux DSA-4279 linux-latest DSA-4280 openssh DSA-4281 tomcat8 DSA-4282 trafficserver DSA-4283 ruby-json-jwt DSA-4284 lcms2 DSA-4285 sympa DSA-4286 curl DSA-4287 firefox-esr DSA-4288 ghostscript DSA-4289 chromium-browser DSA-4290 libextractor DSA-4291 mgetty DSA-4292 kamailio DSA-4293 discount DSA-4294 ghostscript DSA-4295 thunderbird DSA-4296 mbedtls DSA-4297 chromium-browser DSA-4298 hylafax DSA-4299 texlive-bin DSA-4300 libarchive-zip-perl DSA-4301 mediawiki DSA-4302 openafs DSA-4303 okular DSA-4304 firefox-esr DSA-4305 strongswan DSA-4306 python2.7 DSA-4307 python3.5 DSA-4308 linux DSA-4309 strongswan DSA-4310 firefox-esr DSA-4311 git DSA-4312 tinc DSA-4313 linux DSA-4314 net-snmp DSA-4315 wireshark DSA-4316 imagemagick DSA-4317 otrs2 DSA-4318 moin DSA-4319 spice DSA-4320 asterisk DSA-4321 graphicsmagick DSA-4322 libssh DSA-4323 drupal7 DSA-4324 firefox-esr DSA-4325 mosquitto DSA-4326 openjdk-8 DSA-4327 thunderbird DSA-4328 xorg-server DSA-4329 teeworlds DSA-4331 curl Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison adblock-plus-element-hiding-helper Incompatible avec les dernières versions de firefox-esr all-in-one-sidebar Incompatible avec les dernières versions de firefox-esr autofill-forms Incompatible avec les dernières versions de firefox-esr automatic-save-folder Incompatible avec les dernières versions de firefox-esr classic-theme-restorer Incompatible avec les dernières versions de firefox-esr colorfultabs Incompatible avec les dernières versions de firefox-esr custom-tab-width Incompatible avec les dernières versions de firefox-esr dactyl Incompatible avec les dernières versions de firefox-esr downthemall Incompatible avec les dernières versions de firefox-esr dvips-fontdata-n2bk Paquet vide firebug Incompatible avec les dernières versions de firefox-esr firegestures Incompatible avec les dernières versions de firefox-esr firexpath Incompatible avec les dernières versions de firefox-esr flashgot Incompatible avec les dernières versions de firefox-esr form-history-control Incompatible avec les dernières versions de firefox-esr foxyproxy Incompatible avec les dernières versions de firefox-esr gitlab Problèmes de sécurité ouverts, correctifs difficiles à rétroporter greasemonkey Incompatible avec les dernières versions de firefox-esr intel-processor-trace [s390x] Utile uniquement sur les architectures Intel itsalltext Incompatible avec les dernières versions de firefox-esr knot-resolver Problèmes de sécurité lightbeam Incompatible avec les dernières versions de firefox-esr livehttpheaders Incompatible avec les dernières versions de firefox-esr lyz Incompatible avec les dernières versions de firefox-esr npapi-vlc Incompatible avec les dernières versions de firefox-esr nukeimage Incompatible avec les dernières versions de firefox-esr openinbrowser Incompatible avec les dernières versions de firefox-esr perspectives-extension Incompatible avec les dernières versions de firefox-esr pwdhash Incompatible avec les dernières versions de firefox-esr python-facebook Cassé en raison de modifications de l'amont python-tvrage Inutile depuis la fermeture de tvrage.com reloadevery Incompatible avec les dernières versions de firefox-esr sage-extension Incompatible avec les dernières versions de firefox-esr scrapbook Incompatible avec les dernières versions de firefox-esr self-destructing-cookies Incompatible avec les dernières versions de firefox-esr spdy-indicator Incompatible avec les dernières versions de firefox-esr status-4-evar Incompatible avec les dernières versions de firefox-esr stylish Incompatible avec les dernières versions de firefox-esr tabmixplus Incompatible avec les dernières versions de firefox-esr tree-style-tab Incompatible avec les dernières versions de firefox-esr ubiquity-extension Incompatible avec les dernières versions de firefox-esr uppity Incompatible avec les dernières versions de firefox-esr useragentswitcher Incompatible avec les dernières versions de firefox-esr video-without-flash Incompatible avec les dernières versions de firefox-esr webdeveloper Incompatible avec les dernières versions de firefox-esr xul-ext-monkeysphere Incompatible avec les dernières versions de firefox-esr Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/stretch/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.