Changelog : sortie de Debian 9 Stretch
posté à l'origine sur Medium le 25/06/2017
Ça y est, après 26 mois de dur labeur, l’équipe Debian a sorti la mouture n°9, comme Channel, nommée “Stretch”. Elle est dédiée au regretté Ian Murdock, qui n’est ni plus ni moins le père fondateur du projet Debian…
L’hommage est de taille, le nombre de paquets supplémentaires ou mis à jour est phénoménal. Pas moins de 15346 nouveaux paquets pour un total de 51687 paquets. La plupart des logiciels de la distribution ont été mis à jour : plus de 29859 paquets logiciels (ce qui représente 57 % des paquets de la distribution Jessie). Tremendous !
Les paquets
Commençons par les paquets importants qui changent de version :
- le noyau Linux passe de la 3.16 à la 4.9, génial
- nôtre bien aimé OpenSSH 6.7p1 passe en 7.4p1, à noter que SSH1 et les anciens ciphers sont dépréciés (finally !)
- l’éditeur Vim 7 passe en version 8, une occasion d’arrêter nano
- le toolkit GnuPG 1.4 passe à la version majeure 2.1 !
- systemd 232, et oui j’aime systemd
Le retard qu’aurait éventuellement pris Debian face à une Ubuntu se réduit drastiquement, sans pour autant sacrifier la stabilité et la portabilité chère à Debian.
Les paquets du quotidien s’offrent eux aussi une cure de jouvence :
- Chromium 59.0.3071.86
- Firefox ESR 45.9
- Thunderbird 45.8
- Apache 2.4.25
- MariaDB 10.1
Clap de fin pour Iceweasel et Icedove qui laissent place à Firefox et Thunderbird :)
APT va plus loin
L’erreur hash sum mismatch qui apparaît lorsque apt est exécuté durant la synchronisation d’un miroir va disparaître grâce à une nouvelle gestion des dépôts (by_hash).
APT rejette maintenant les sommes de contrôle trop faibles par défaut (par exemple SHA1) ou dans l’autre sens exige du SHA256. Le fichier InRelease doit être signé avec une clé de taille 2048 bits ou plus.
Le téléchargement des paquets se fait en tant qu'utilisateur non privilégié, _apt.
APT dans Stretch peut utiliser les enregistrements DNS (SRV) pour trouver une dorsale HTTP.
deb.debian.org devient le dépôt unifié à utiliser, il fournit le contenu de l'archive principale, de l'archive de sécurité, des portages et même de la nouvelle archive des symboles de débogage
Des noms d’interfaces réseaux prédictibles
RHEL l’avait fait depuis la version 7, Debian s’y met et c’est une bonne chose ! Le nommage des interfaces réseaux se fait de façon prédictive, grâce notamment au type de matériel. Les noms d’interfaces sont par exemple ens0 ou enp1s1 (Ethernet) ou wlp3s0 (sans fil).
GCC6 permet le placement mémoire aléatoire
Ça a l’air bien, même si je n’ai pas tous les détails techniques pour bien comprendre, la version du compilateur GNU GCC 6 incluse dans Debian est maintenant paramétrée pour compiler des exécutables indépendants de l'emplacement (PIE, « position independent executables ») par défaut.
De ce fait, la grande majorité des exécutables auront maintenant une distribution aléatoire de l'espace d'adressage (ASLR, « Address space layout randomization »), ce qui limite un grand nombre d'attaques, qui seront maintenant probabilistes plutôt que déterministes.
A creuser.
Et plus encore
- la version de Xorg dans Stretch permet d'être exécutée en tant qu'utilisateur non privilégié
- Upstart est supprimé, qui l’utilisait ? :)
- net-tools est vraiment déprécié en faveur d’iproute2
- 3DES et RC4 sont supprimés dans OpenSSL
A vos marques, prêt, dist-upgrade.