------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 9.4 pr...@debian.org 10 mars 2018 https://www.debian.org/News/2018/20180310 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 9 (nommée « stretch »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 9 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de la version stretch mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels. Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison acme-tiny Correction de version obsolète de l'accord du souscripteur activity-log-manager Ajout de dépendances manquantes à python-zeitgeist agenda.app Correction de la création de tâches et de rendez-vous apparmor Déplacement du fichier de fonctions dans /usr/share/apparmor-features ; attachement de l'ensemble de fonctions d'AppArmor au noyau de Stretch auto-apt-proxy Retrait de la configuration d'apt lors de sa suppression et remise en place à la réinstallation bareos Correction d'échecs de sauvegarde avec le message « No Volume name given » base-files Mise à jour pour cette version cappuccino Ajout de dépendances manquantes à gir1.2-gtk-3.0 cerealizer Correction de dépendances de Python 3 clamav Nouvelle version amont ; mises à jour de sécurité [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] cron Transfert correct de tâches système au contexte de system_cronjob_t de SELinux et plus de dépendance aux identifiants particuliers de refpolicy cups Correction de l'exécution de commandes arbitraires IPP par l'envoi de requêtes POST au démon de CUPS conjointement à une attaque de « DNS rebinding » [CVE-2017-18190] dbus Nouvelle version amont ; relèvement plus rapide de la limite du nombre de descripteurs de fichier, corrigeant une régression dans la correction d'un déni de service local debian-edu-config Pré-configuration du navigateur Web Chromium au niveau du système pour qu'il détecte automatiquement la configuration du mandataire http avec WPAD ; possibilité d'association de clients Windows 10 au domaine de Samba de type NT4 debian-installer Passage du noyau Linux de la version 4.9.0-4 à la version 4.9.0-6 debian-installer-netboot-images Mise à jour vers les images 20170615+deb9u3, à partir de stretch-proposed-updates directfb Correction du filtre basé sur l'architecture pour installer effectivement les pilotes dpdk Mise à jour vers la nouvelle version stable intermédiaire espeakup udeb : correction du cas où la carte 0 n'a pas d'identifiant, ou bien où les cartes ont des index non contiguës ; utilisation de l'anglais par défaut ; utilisation de l'identifiant de la carte dans un système installé pour éviter des problèmes avec l'ordre de la détection des cartes exam Correction de dépendances de Python 3 flatpak Nouvelle version amont ; correction d'un contournement de filtrage D-Bus dans flatpak-dbus-proxy ; ignorer les chaînes d'autorisation non reconnues, plutôt que d'échouer ; interdiction des anciennes écoutes dans le bus de session D-Bus fuse-zip Correction d'échec de « writeback » avec libzip 1.0 glade Correction de boucle infinie potentielle glibc Pas de mise à jour de /etc/nsswitch.conf quand son contenu correspond déjà au contenu par défaut ; debian/script.in/nohwcap.sh : vérification systématique que tous les paquets soient optimisés parce que multiarch permet l'installation d'architectures supplémentaires ; accès de lecture de la mémoire après libération évité dans l'appel clntudp [CVE-2017-12133] ; définition du collationnement des caractères chillu du malayalam et correction du collationnement des caractères U+0D36 et U+0D37 du malayalam ; correction d'un forçage non valable dans la fusion de groupes affectant ppc64 et s390x ; correction de la compatibilité avec la convention d'appel __regcall d'Intel C++ ; installation des postinst et postrm de libc-otherbuild dans le paquet de transition libc6-i686 pour s'assurer du retrait correct de /etc/ld.so.nohwcap après une mise à niveau global Gozilla : protection des URL avant de les passer à BROWSER [CVE-2017-17531] gnumail Arrêt du lien à OpenSSL golang-github-go-ldap-ldap Explicitation nécessaire de l'intention de mot de passe vide gosa-plugin-pwreset Correction d'un appel de constructeur obsolète grilo-plugins Correction de la source de Radio France hdf5 Correction de l'invocation de javahelper inputlirc Inclusion d'input-event-codes.h à la place d'input.h, corrigeant un échec de construction intercal Nouvelle compilation avec PIE java-atk-wrapper Correction de l'initialisation de l'itérateur ; correction de référence manquante pour les fils kildclient Suppression de la prise en charge des navigateurs définis par l'utilisateur [CVE-2017-17511] libdate-holidays-de-perl Inscription de la fête de la Réforme comme jour férié à Hambourg et au Schleswig-Holstein à partir de 2018 libdatetime-timezone-perl Nouvelle version amont libhibernate-validator-java Correction d'une possible augmentation de droits en contournant les droits du gestionnaire de sécurité [CVE-2017-7536] libperlx-assert-perl Ajout de dépendances manquantes à libkeyword-simple- perl et libdevel-declare-perl libreoffice Exécution permise de WEBSERVICE par FunctionAccess ; utilisation du bon code d'erreur pour les échecs de WEBSERVICE() libvhdi Ajout de dépendance manquante à Python 3 libvirt QEMU : les disques partagés avec l'option cache=directsync devraient être sûrs pour les migrations ; déni de service de lecture à partir du moniteur de QEMU évité [CVE-2018-5748] linux Nouvelle version amont lxc Correction de la création de conteneurs testing et unstable en incluant « iproute2 » à la place de « iproute » mapproxy Correction d'un problème de script intersite (XSS) dans le service demo [CVE-2017-1000426] mosquitto Correction du caractère lisible par tout le monde du fichier de persistance [CVE-2017-9868] mpi4py Prise en charge de la version actuelle de libmpi ncurses Correction de dépassement de tampon dans la fonction _nc_write_entry [CVE-2017-16879] needrestart Correction du basculement vers le mode liste si debconf est exécuté de façon non-interactive ntp Augmentation de la taille de la pile à au moins 32 ko nvidia-graphics-drivers-legacy-304xx Nouvelle version amont nvidia-graphics-drivers-legacy-340xx Nouvelle version amont nvidia-modprobe Nouvelle version amont ; exécution de setuid(0) avant la fourche de modprobe pour conserver les droits à travers les invocations de l'interpréteur de commandes et les appels récursifs de modprobe nvidia-persistenced Nouvelle version amont nvidia-settings Nouvelle version amont ; correction d'un bogue qui empêchait que les modifications de l'affectation de la vision stéréo soient appliquées à partir du panneau de contrôle de nvidia-settings nvidia-xconfig Nouvelle version amont ; correction d'une régression qui empêchait que nvidia-xconfig demande certains GPU, par exemple lors de l'exécution de « nvidia-xconfig -a » ocfs2-tools Migration de l'utilisation de rcS aux « runlevel » standard opendmarc Mise à jour du fichier du service opendmarc de manière à ce que les modifications dans opendmarc.conf soient utilisées openssh Correction de « in read-only mode, sftp-server was incorrectly permitting creation of zero-length files » [CVE-2017-15906] osinfo-db Mise à jour des données incluses pdns-recursor Reconstruction avec publicsuffix 20171028.2055-0+deb9u1 postfix Nouvelle version amont de correction de bogues ; pas d'enregistrement des avertissements que certaines restrictions renvoient OK, lorsque la fonctionnalité DISCARD du mappage des accès est effective ; ajout de la prise en charge de dynamicmaps manquants dans la commande sendmail de Postfix ; correction de l'envoi à certains sites avec des enregistrements « TLSA 2 X X » postgresql-9.6 Nouvelle version amont publicsuffix Mise à jour des données incluses python-evtx Correction de dépendance manquante à Python 3 python-hacking Correction de dépendances de Python 3 python-hkdf Correction de dépendances de Python 3 python-mimeparse Correction de dépendances de Python 3 python-pyperclip Correction de dépendances de Python 3 python-spake2 Correction de dépendances de Python 3 qtpass Correction du générateur intégré de mot de passe non sûr [CVE-2017-18021] quota Évitement de l'entrée de quotacheck dans une boucle infinie reportbug Plus d'envoi de courriel à secure-testing-t...@lists.alioth.debian.org rpy Reconstruction avec r-base 3.3 ruby-redis-store Objets non sûrs autorisés à être chargés à partir de redis [CVE-2017-1000248] salt Correction d'une vulnérabilité de traversée de répertoires dans salt-master avec des identifiants de « minion » contrefaits [CVE-2017-12791], vulnérabilité de traversée de répertoires dans la validation d'identifiants de « minion » dans SaltStack [CVE-2017-14695], déni de service à distance avec une requête d'authentification contrefaite pour l'occasion [CVE-2017-14696] ; vérification que data[return] est de type « dict » slic3r Correction de la ligne « use lib » dans tous les binaires installés ; contournement de la macro GL_MULTISAMPLE manquante ; correction de l'importation de STL binaires sur les architectures gros-boutistes soundtouch Corrections de sécurité [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] systemd networkd : gestion du champ MTU dans les messages RA IPv6 ; ajout d'un script d'édition de liens pour aider à éviter les collisions de symboles, en particulier avec les modules PAM ; resolved : correction de boucle sur les paquets de type pseudo dns [CVE-2017-15908] ; machinectl : pas de sortie « No machines. » avec l'option --no-legend tzdata Nouvelle version amont ust Correction du chargement de la bibliothèque de l'agent Python uwsgi Correction d'un dépassement de pile dans la fonction uwsgi_expand_path [CVE-2018-6758] vagrant Téléchargement de « box » à partir d'app.vagrantcloud.com à la place d'atlas.hashicorp.com obsolète vdirsyncer Correction de la découverte de contacts de Google virt-what Réparation de la détection de virt sur arm/aarch64 w3m Correction de dépassement de pile [CVE-2018-6196], déréférencement de pointeur NULL [CVE-2018-6197], situations de compétition de fichiers /tmp [CVE-2018-6198] waagent Nouvelle version amont webkit2gtk Nouvelle version amont stable xchain Correction de dépendance à « wish » xrdp Correction d'un problème de sécurité [CVE-2017-16927] ; correction de charge microprocesseur importante lors de ssl_tls_accept Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-4054 tor DSA-4055 heimdal DSA-4056 nova DSA-4057 erlang DSA-4058 optipng DSA-4059 libxcursor DSA-4060 wireshark DSA-4061 thunderbird DSA-4062 firefox-esr DSA-4063 pdns-recursor DSA-4065 openssl1.0 DSA-4066 otrs2 DSA-4067 openafs DSA-4068 rsync DSA-4069 otrs2 DSA-4070 enigmail DSA-4071 sensible-utils DSA-4072 bouncycastle DSA-4073 linux DSA-4075 thunderbird DSA-4076 asterisk DSA-4077 gimp DSA-4078 linux DSA-4078 linux-latest DSA-4079 poppler DSA-4080 php7.0 DSA-4083 poco DSA-4084 gifsicle DSA-4086 libxml2 DSA-4087 transmission DSA-4088 gdk-pixbuf DSA-4089 bind9 DSA-4090 wordpress DSA-4092 awstats DSA-4093 openocd DSA-4094 smarty3 DSA-4095 gcab DSA-4096 firefox-esr DSA-4097 poppler DSA-4098 curl DSA-4099 ffmpeg DSA-4100 tiff DSA-4101 wireshark DSA-4102 thunderbird DSA-4104 p7zip DSA-4105 mpv DSA-4106 libtasn1-6 DSA-4107 django-anymail DSA-4108 mailman DSA-4109 ruby-omniauth DSA-4110 exim4 DSA-4111 libreoffice DSA-4112 xen DSA-4114 jackson-databind DSA-4115 quagga DSA-4116 plasma-workspace DSA-4118 tomcat-native DSA-4120 linux-latest DSA-4120 linux DSA-4121 gcc-6 DSA-4122 squid3 DSA-4123 drupal7 DSA-4124 lucene-solr DSA-4125 wavpack DSA-4126 xmltooling DSA-4127 simplesamlphp DSA-4128 trafficserver DSA-4129 freexl DSA-4130 dovecot DSA-4131 xen DSA-4132 libvpx Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison dolibarr trop de travail pour le maintenir proprement dans Debian electrum problèmes de sécurité ; cassé à cause de modifications amont jirc cassé avec libpoe-filter-xml-perl de Stretch pgmodeler incompatible avec la version de Postgresql de Stretch seelablet abandonné par l'amont ; cassé Installateur Debian ------------------- L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de stable. URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/stretch/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.