Fin juin 2017, l’équipe responsable du développement du projet Debian, la distribution Linux, a annoncé la disponibilité de Debian 9 qui était baptisée Stretch. Cette fois-ci, l’équipe a annoncé la disponibilité de la quatrième mise à jour de Stretch, Debian 9.4, qui, tout en réglant quelques problèmes importants, corrige principalement des problèmes de sécurité de la version stable.
Les développeurs évoquent notamment :
dans le paquet postfix, une nouvelle version amont de correction de bogues ; pas d’enregistrement des avertissements que certaines restrictions renvoient OK, lorsque la fonctionnalité DISCARD du mappage des accès est effective ; ajout de la prise en charge de dynamicmaps manquants dans la commande sendmail de Postfix ; correction de l’envoi à certains sites avec des enregistrements TLSA 2 X X ;
dans le paquet salt, une correction d’une vulnérabilité de traversée de répertoires dans salt-master avec des identifiants de « minion » contrefaits [CVE-2017-12791], vulnérabilité de traversée de répertoires dans la validation d’identifiants de « minion » dans SaltStack [CVE-2017-14695], déni de service à distance avec une requête d’authentification contrefaite pour l’occasion [CVE-2017-14696] ; vérification que data[return] est de type « dict » ;
dans le paquet systemd, networkd : gestion du champ MTU dans les messages RA IPv6 ; ajout d’un script d’édition de liens pour aider à éviter les collisions de symboles, en particulier avec les modules PAM ; resolved : correction de boucle sur les paquets de type pseudo dns [CVE-2017-15908] ; machinectl : pas de sortie No machines. avec l’option –no-legend ;
dans le paquet w3m, une correction de dépassement de pile [CVE-2018-6196], déréférencement de pointeur NULL [CVE-2018-6197], situations de compétition de fichiers /tmp [CVE-2018-6198]
dans le paquet glibc, pas de mise à jour de /etc/nsswitch.conf quand son contenu correspond déjà au contenu par défaut ; debian/script.in/nohwcap.sh : vérification systématique que tous les paquets soient optimisés parce que multiarch permet l’installation d’architectures supplémentaires ; accès de lecture de la mémoire après libération évité dans l’appel clntudp [CVE-2017-12133] ; définition du collationnement des caractères chillu du malayalam et correction du collationnement des caractères U+0D36 et U+0D37 du malayalam ; correction d’un forçage non valable dans la fusion de groupes affectant ppc64 et s390x ; correction de la compatibilité avec la convention d’appel __regcall d’Intel C++ ; installation des postinst et postrm de libc-otherbuild dans le paquet de transition libc6-i686 pour s’assurer du retrait correct de /etc/ld.so.nohwcap après une mise à niveau ;
dans le paquet flatpak, une nouvelle version amont ; correction d’un contournement de filtrage D-Bus dans flatpak-dbus-proxy ; ignorer les chaînes d’autorisation non reconnues, plutôt que d’échouer ; interdiction des anciennes écoutes dans le bus de session D-Bus ;
dans le paquet espeakup, udeb : correction du cas où la carte 0 n’a pas d’identifiant, ou bien où les cartes ont des index non contigus ; utilisation de l’anglais par défaut ; utilisation de l’identifiant de la carte dans un système installé pour éviter des problèmes avec l’ordre de la détection des cartes ;
dans le paquet debian-edu-config, préconfiguration du navigateur Web Chromium au niveau du système pour qu’il détecte automatiquement la configuration du mandataire http avec WPAD ; possibilité d’association de clients Windows 10 au domaine de Samba de type NT4.
Certains paquets ont également été supprimés à cause de circonstances hors du contrôle de l’équipe. Il s’agit de :
- dolibarr, trop de travail pour le maintenir proprement dans Debian ;
- electrum, problèmes de sécurité ; cassé à cause de modifications amont ;
- jirc, cassé avec libpoe-filter-xml-perl de Stretch ;
- pgmodeler, incompatible avec la version de Postgresql de Stretch ;
- seelablet, abandonné par l’amont ; cassé.
Source : developpez.com