Debian 9 bénéficie de sa première mise à jour qui vient principalement corriger les problèmes de sécurité
Et les bogues

Le , par Stéphane le calme, Chroniqueur Actualités
Quelques semaines après la disponibilité de la version 9 de Debian baptisée Stretch, le Projet a annoncé la première mise à jour. Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Le Projet a rappelé que cette mise à jour ne constitue pas une nouvelle version de Debian 9, mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est donc pas nécessaire de jeter les anciens médias de la version stretch, mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Parmi les bogues qui ont été corrigés, le projet cite :
  • la réinitialisation de la raison d'échec quand la connexion a réussi, ainsi les erreurs ultérieures sont rapportées comme telles et non comme des alertes connection failure ; http : une réponse avec « Content-Length: 0 » n'a pas de contenu, et donc pas de tentative pour la lire ; utilisation du port de l'enregistrement SRV à la place du port initial (dans le paquet apt) ;
  • l’ajout de la prise en charge de Stretch et Buster ; nécessité pour Python de https_proxy pour la configuration du mandataire avec https:// URL ;
  • la réduction d'une consommation déraisonnable de CPU ;
  • la correction d'une vulnérabilité de corruption de mémoire ;
  • la correction de la prise en charge des systèmes avec un grand nombre de disques ;
  • l’annulation des modifications des métapaquets de symboles de débogage ;
  • la migration de Pre-Depends: nvidia-installer-cleanup vers (>= 20151021) pour des mises à niveau plus en douceur à partir de Jessie ;
  • l’accélération de l'installateur Debian quand iSCSI n'est pas utilisé ;
  • l’ajout également de mises à jour de sécurité pour les versions non Wheezy ou Jessie ;
  • la protection de la zone du micrologiciel sur tous les périphériques (et pas seulement sur mmcblk0) contre les attaques durant le partitionnement assisté ;
  • le rétroportage de diverses corrections de Getopt-Long à partir de l'amont 2.49..2.51 ; rétroportage du correctif amont corrigeant regexp Malformed UTF-8 character ; application du correctif amont base.pm no-dot-in-inc ;
  • la suppression des liaisons pour plasma webview ; elles sont obsolètes et non fonctionnelles ;
  • la gestion correcte des droits de configuration après les modifications de RT_SiteConfig.d ;
  • la correction du rétroportage amont pour un plantage dans le code de XSettings ; correction de syntaxe dans le fichier appdata XML ;
  • la correction de la corruption de grands fichiers ; correction d'une rare situation de concurrence ;
  • la correction d'écriture hors limites dans systemd-resolved [CVE-2017-9445] ; absence réelle de message dans systemctl -q is-enabled ; amélioration de la gestion de RLIMIT_NOFILE ; debian/extra/rules : utilisation de l'ensemble de règles U2F mis à jour ;
  • l’ajout de la prise en charge de Broadwell-GT3E et Kabylake ;
  • l’ajout de vérifications de limites pour les paramètres VMSF_DELTA, VMSF_RGB et VMSF_AUDIO [CVE-2012-6706] ;
  • le remplacement de toutes les URL de miroir par deb.debian.org ; suppression de la compression bz2 pour les sources.

Il y a également eu de nombreuses mises à jour de sécurité comme :
  • la correction de l'absence de validation du mode sécurisé (SecureMode) dans le système de requêtes par ticket OTRS, ce qui pouvait permettre à des agents d'augmenter leurs droits ;
  • la correction d’un problème dans jabberd2, un serveur de messagerie instantanée Jabber, qui autorisait des connexions SASL anonymes, même si elles sont désactivées dans la configuration ;
  • la correction de deux vulnérabilités dans Undertow, un serveur web écrit en Java, qui pourraient conduire à un déni de service ou à une dissimulation de requête HTTP ;
  • la correction d’une faille dans Heimdal, une implémentation de Kerberos 5 qui vise à être compatible avec la version Kerberos du MIT, et fait confiance aux métadonnées prises du texte en clair non authentifié (Ticket), plutôt qu'à la réponse KDC authentifiée et chiffrée. Un attaquant de type « homme du milieu » peut utiliser ce défaut pour se faire passer pour des services auprès du client ;
  • la correction de deux vulnérabilités dans Drupal, un environnement complet de gestion de contenu, notamment le module Overlay ne valide pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture et le fait que lorsque des fichiers sont envoyés par des utilisateurs anonymes dans un système de fichiers privé, d'autres utilisateurs anonymes peuvent y accéder menant à une vulnérabilité de contournement d'accès.

Source : Debian


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Développeur asp.net mvc confirmé H/F
MCNEXT - Ile de France - Paris (75003)
Iam strong authentication & sso
Atos - Ile de France - Les Clayes-sous-Bois (78340)
Expert Microsoft Dynamics CRM (h/f)
Atos Intégration - Ile de France - France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil