Quel est le kernel le plus fiable en version 4.9? 4.9.0-3 dans le dépôt sécurité de stable VS 4.9.0-4 dans le dépôt stable

grandtoubab · Octobre 21, 2017, 12:36pm

Salut

Je viens de voir que le kernel 4.9 a deux branches

4.9.0-3 dans le dépôt sécurité de stable
https://packages.debian.org/stretch/linux-image-4.9.0-3-amd64
https://www.debian.org/security/2017/dsa-3981
4.9.0-4 dans le dépôt stable
https://packages.debian.org/stretch/linux-image-4.9.0-4-amd64

Alors du coup, quel est le plus fiable? 4.9.0-4 contient il tous les patchs de sécurité de 4.9.0-3?

sebiseb · Octobre 20, 2017, 10:13am

Et c’est lors de mon passage d’une branche dans l’autre que j’ai rencontré mon problème wifi évoqué dans un autre message. Donc, on peut en effet s’interroger !

grandtoubab · Octobre 20, 2017, 11:35am

exactement
moi je suis sur la version securité 4.9.0-3 et j’ai été surpris de voir que tu étais " en avance " sur moi

root@debian:/# apt-cache policy linux-image*amd64 | grep secur -B1
 *** 4.9.30-2+deb9u5 500
        500 http://deb.debian.org/debian-security stretch/updates/main amd64 Packages
--
     4.9.30-2+deb9u5 500
        500 http://deb.debian.org/debian-security stretch/updates/main amd64 Packages
--
 *** 3.16.43-2+deb8u5 500
        500 http://deb.debian.org/debian-security jessie/updates/main amd64 Packages

sebiseb · Octobre 20, 2017, 10:42am

Du coup, synaptics me propose de mettre à jour 3 paquets xserver-xorg et j’hésites

cleloup · Octobre 20, 2017, 1:10pm

Fait hier,
pas de soucis de mon coté.

grandtoubab · Octobre 21, 2017, 8:25am

ça m’intéresse d’avoir les explications d’une personne compétente

4.9.0-3 dans le dépôt sécurité de stable VS 4.9.0-4 dans le dépôt stable ??

gilles2 · Octobre 21, 2017, 11:02am

J’ai mis à jour ma deb9 le dimanche 8 octobre et depuis je n’ai plus les plantages en utilisant youtube avec qutebrowser0.11.0-1, mais vu que ce navigateur dans cette version n’est pas à jour dans Deb9 et qu’il doit être utilisé par assez peu de personnes, je ne sais pas si cela aide beaucoup. Vu de mon côté en utilisant ce navigateur la 4.9.0-4 est plus fiable.

Je mets à la suite les modifications effectuées par aptitude lors de cette mise à jour :

Aptitude 0.8.7: log report

Sun, Oct 8 2017 21:24:49 +0200

IMPORTANT: this log only lists intended actions; actions which fail
due to dpkg problems may not be completed.

Will install 101 packages, and remove 0 packages.
190 MB of disk space will be used

[INSTALL, DEPENDENCIES] linux-image-4.9.0-4-amd64:amd64 4.9.51-1
[UPGRADE] apt:amd64 1.4.7 -> 1.4.8
[UPGRADE] apt-transport-https:amd64 1.4.7 -> 1.4.8
[UPGRADE] apt-utils:amd64 1.4.7 -> 1.4.8
[UPGRADE] at-spi2-core:amd64 2.22.0-6 -> 2.22.0-6+deb9u1
[UPGRADE] base-files:amd64 9.9+deb9u1 -> 9.9+deb9u2
[UPGRADE] dbus:amd64 1.10.18-1 -> 1.10.22-0+deb9u1
[UPGRADE] dbus-user-session:amd64 1.10.18-1 -> 1.10.22-0+deb9u1
[UPGRADE] dbus-x11:amd64 1.10.18-1 -> 1.10.22-0+deb9u1
[UPGRADE] desktop-base:amd64 9.0.2 -> 9.0.2+deb9u1
[UPGRADE] dirmngr:amd64 2.1.18-6 -> 2.1.18-8~deb9u1
[UPGRADE] evolution:amd64 3.22.6-1 -> 3.22.6-1+deb9u1
[UPGRADE] evolution-common:amd64 3.22.6-1 -> 3.22.6-1+deb9u1
[UPGRADE] evolution-plugins:amd64 3.22.6-1 -> 3.22.6-1+deb9u1
[UPGRADE] flatpak:amd64 0.8.5-2+deb9u1 -> 0.8.7-2~deb9u1
[UPGRADE] gir1.2-atspi-2.0:amd64 2.22.0-6 -> 2.22.0-6+deb9u1
[UPGRADE] gir1.2-javascriptcoregtk-4.0:amd64 2.16.3-2 -> 2.16.6-0+deb9u1
[UPGRADE] gir1.2-webkit2-4.0:amd64 2.16.3-2 -> 2.16.6-0+deb9u1
[UPGRADE] gnupg:amd64 2.1.18-6 -> 2.1.18-8~deb9u1
[UPGRADE] gnupg-agent:amd64 2.1.18-6 -> 2.1.18-8~deb9u1
[UPGRADE] gnupg-l10n:amd64 2.1.18-6 -> 2.1.18-8~deb9u1
[UPGRADE] gpgv:amd64 2.1.18-6 -> 2.1.18-8~deb9u1
[UPGRADE] krb5-locales:amd64 1.15-1 -> 1.15-1+deb9u1
[UPGRADE] libapt-inst2.0:amd64 1.4.7 -> 1.4.8
[UPGRADE] libapt-pkg5.0:amd64 1.4.7 -> 1.4.8
[UPGRADE] libatspi2.0-0:amd64 2.22.0-6 -> 2.22.0-6+deb9u1
[UPGRADE] libdb5.3:amd64 5.3.28-12+b1 -> 5.3.28-12+deb9u1
[UPGRADE] libdbus-1-3:amd64 1.10.18-1 -> 1.10.22-0+deb9u1
[UPGRADE] libevolution:amd64 3.22.6-1 -> 3.22.6-1+deb9u1
[UPGRADE] libflatpak0:amd64 0.8.5-2+deb9u1 -> 0.8.7-2~deb9u1
[UPGRADE] libfreerdp-cache1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-codec1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-common1.1.0:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-core1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-crypto1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-gdi1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-locale1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-primitives1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libfreerdp-utils1.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libgnutls30:amd64 3.5.8-5+deb9u2 -> 3.5.8-5+deb9u3
[UPGRADE] libgssapi-krb5-2:amd64 1.15-1 -> 1.15-1+deb9u1
[UPGRADE] libhogweed4:amd64 3.3-1+b1 -> 3.3-1+b2
[UPGRADE] libjavascriptcoregtk-4.0-18:amd64 2.16.3-2 -> 2.16.6-0+deb9u1
[UPGRADE] libk5crypto3:amd64 1.15-1 -> 1.15-1+deb9u1
[UPGRADE] libkrb5-3:amd64 1.15-1 -> 1.15-1+deb9u1
[UPGRADE] libkrb5support0:amd64 1.15-1 -> 1.15-1+deb9u1
[UPGRADE] libldap-2.4-2:amd64 2.4.44+dfsg-5 -> 2.4.44+dfsg-5+deb9u1
[UPGRADE] libldap-common:amd64 2.4.44+dfsg-5 -> 2.4.44+dfsg-5+deb9u1
[UPGRADE] libnautilus-extension1a:amd64 3.22.3-1 -> 3.22.3-1+deb9u1
[UPGRADE] libncurses5:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] libncursesw5:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] libncursesw5-dev:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] libnettle6:amd64 3.3-1+b1 -> 3.3-1+b2
[UPGRADE] libselinux1:amd64 2.6-3+b1 -> 2.6-3+b3
[UPGRADE] libsmbclient:amd64 2:4.5.8+dfsg-2+deb9u2 -> 2:4.5.12+dfsg-2
[UPGRADE] libspeechd2:amd64 0.8.6-4 -> 0.8.6-4+deb9u1
[UPGRADE] libtinfo-dev:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] libtinfo5:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] libwbclient0:amd64 2:4.5.8+dfsg-2+deb9u2 -> 2:4.5.12+dfsg-2
[UPGRADE] libwebkit2gtk-4.0-37:amd64 2.16.3-2 -> 2.16.6-0+deb9u1
[UPGRADE] libwinpr-crt0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-crypto0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-dsparse0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-environment0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-file0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-handle0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-heap0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-input0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-interlocked0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-library0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-path0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-pool0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-registry0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-rpc0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-sspi0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-synch0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-sysinfo0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-thread0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwinpr-utils0.1:amd64 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u1 -> 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u2
[UPGRADE] libwpd-0.10-10:amd64 0.10.1-5 -> 0.10.1-5+deb9u1
[UPGRADE] linux-image-amd64:amd64 4.9+80+deb9u1 -> 4.9+80+deb9u2
[UPGRADE] linux-libc-dev:amd64 4.9.30-2+deb9u5 -> 4.9.51-1
[UPGRADE] nautilus:amd64 3.22.3-1 -> 3.22.3-1+deb9u1
[UPGRADE] nautilus-data:amd64 3.22.3-1 -> 3.22.3-1+deb9u1
[UPGRADE] ncurses-base:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] ncurses-bin:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] ncurses-term:amd64 6.0+20161126-1 -> 6.0+20161126-1+deb9u1
[UPGRADE] ntp-doc:amd64 1:4.2.8p10+dfsg-3 -> 1:4.2.8p10+dfsg-3+deb9u1
[UPGRADE] ntpdate:amd64 1:4.2.8p10+dfsg-3 -> 1:4.2.8p10+dfsg-3+deb9u1
[UPGRADE] osinfo-db:amd64 0.20170225-3~deb9u1 -> 0.20170811-1~deb9u1
[UPGRADE] python3-speechd:amd64 0.8.6-4 -> 0.8.6-4+deb9u1
[UPGRADE] samba-libs:amd64 2:4.5.8+dfsg-2+deb9u2 -> 2:4.5.12+dfsg-2
[UPGRADE] smplayer:amd64 16.11.0~ds0-1 -> 16.11.0~ds0-1+deb9u1
[UPGRADE] smplayer-l10n:amd64 16.11.0~ds0-1 -> 16.11.0~ds0-1+deb9u1
[UPGRADE] speech-dispatcher:amd64 0.8.6-4 -> 0.8.6-4+deb9u1
[UPGRADE] speech-dispatcher-audio-plugins:amd64 0.8.6-4 -> 0.8.6-4+deb9u1
[UPGRADE] speech-dispatcher-espeak-ng:amd64 0.8.6-4 -> 0.8.6-4+deb9u1
[UPGRADE] vim-common:amd64 2:8.0.0197-4 -> 2:8.0.0197-4+deb9u1
[UPGRADE] vim-tiny:amd64 2:8.0.0197-4 -> 2:8.0.0197-4+deb9u1
[UPGRADE] xkb-data:amd64 2.19-1 -> 2.19-1+deb9u1
[UPGRADE] xxd:amd64 2:8.0.0197-4 -> 2:8.0.0197-4+deb9u1

Log complete.

===============================================================================

grandtoubab · Octobre 21, 2017, 11:23am

Très bien , belle mise à jour, ce n’est pas ce que je souhaite savoir
ma question est
4.9.0-4 contient il tous les patchs de sécurité de 4.9.0-3?

gilles2 · Octobre 21, 2017, 12:25pm

En tout cas, chez moi avec les paquets installées dans ma machine, apt-listbugs n’a pas lancé d’alerte de sécurité avec les paquets mis à jour lors de cette mise à jour 4.9.0-3 vers 4.9.0-4. Cette affirmation ne répond pas entièrement à ta question qui est plus exhaustive bien sûr puisque tu te soucies de tous les patchs.

grandtoubab · Octobre 23, 2017, 6:01am

Toujours est-il que pour l’instant, seul la branche 4.9.0.3 est prise en charge par la sécurité

root@debian:/# apt-cache policy  linux-image*amd64 | grep secur -B5
linux-image-4.9.0-3-amd64:
  Installé : 4.9.30-2+deb9u5
  Candidat : 4.9.30-2+deb9u5
 Table de version :
 *** 4.9.30-2+deb9u5 500
        500 http://deb.debian.org/debian-security stretch/updates/main amd64 Packages
--
linux-image-4.9.0-3-rt-amd64:
  Installé : (aucun)
  Candidat : 4.9.30-2+deb9u5
 Table de version :
     4.9.30-2+deb9u5 500
        500 http://deb.debian.org/debian-security stretch/updates/main amd64 Packages
--
linux-image-3.16.0-4-amd64:
  Installé : 3.16.43-2+deb8u5
  Candidat : 3.16.43-2+deb8u5
 Table de version :
 *** 3.16.43-2+deb8u5 500
        500 http://deb.debian.org/debian-security jessie/updates/main amd64 Packages

grandtoubab · Octobre 29, 2017, 8:20am

bon je m’amuse avec l’outil debsecan

Pour le noyau il me sort ça

CVE-2013-7445 linux-image-4.9.0-3-amd64 (remotely exploitable, high urgency, obsolete)
CVE-2015-8553 linux-image-4.9.0-3-amd64 (low urgency, obsolete)
CVE-2016-8660 linux-image-4.9.0-3-amd64 (low urgency, obsolete)
CVE-2017-0786 linux-image-4.9.0-3-amd64 (remotely exploitable, medium urgency, obsolete)
CVE-2017-1000379 linux-image-4.9.0-3-amd64 (high urgency, obsolete)
CVE-2017-10663 linux-image-4.9.0-3-amd64 (high urgency, obsolete)
CVE-2017-12188 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-12190 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-15265 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-15274 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-15299 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-15649 linux-image-4.9.0-3-amd64 (obsolete)
CVE-2017-8831 linux-image-4.9.0-3-amd64 (high urgency, obsolete)
CVE-2017-9984 linux-image-4.9.0-3-amd64 (high urgency, obsolete)
CVE-2017-9985 linux-image-4.9.0-3-amd64 (high urgency, obsolete)

Je ne comprends pas la notion d’obsolete puisque par exemple la première est toujours vulnérable dans le tracker Debian
https://security-tracker.debian.org/tracker/CVE-2013-7445

https://security-tracker.debian.org/tracker/source-package/linux

Finalement il y en plus qui sont corrigés (fixed) dans le noyau 4.13 de Buster

gilles2 · Octobre 28, 2017, 7:07pm

Je trouve ceci avec ma machine :

uname -a
Linux 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 GNU/Linux

Si tu regardes ici :
https://security-tracker.debian.org/tracker/CVE-2017-8831

Tu verras que pour cette vulnérabilité la version Debian 4.9.51-1 est plus sûre que la 4.9.30-2+deb9u5

Si tu regardes ici :
https://security-tracker.debian.org/tracker/CVE-2017-9984
Idem, tu verras aussi que pour cette vulnérabilité la version Debian 4.9.51-1 est plus sûre que la 4.9.30-2+deb9u5

Quel est le kernel le plus fiable en version 4.9? 4.9.0-3 dans le dépôt sécurité de stable VS 4.9.0-4 dans le dépôt stable

Will install 101 packages, and remove 0 packages. 190 MB of disk space will be used

Will install 101 packages, and remove 0 packages.
190 MB of disk space will be used