------------------------------------------------------------------------ Projet Debian http://www.debian.org/ Publication de la mise à jour de Debian 7.5 pr...@debian.org 26 avril 2014 http://www.debian.org/News/20140426 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian 7 (nommée « wheezy »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 7 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version 7 mais simplement de faire une mise à jour à l'aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels. La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants : Paquet Raison advi Passage explicite de latexdir à make pour éviter aux fichiers d'échouer dans un répertoire non FHS base-files Mise à jour pour cette version calendarserver Mise à jour de zoneinfo vers tzdata 2014a catfish Correction du problème de vulnérabilité dans le chemin de recherche [CVE-2014-2093, CVE-2014-2094, CVE-2014-2095, CVE-2014-2096] certificatepatrol Déclaration de la compatibilité avec Iceweasel 24 clamav Nouvelle version amont conkeror Ajout des correctifs pour assurer la compatibilité avec Iceweasel 24 debian-installer Ajout de la prise en charge pour QNAP HS-210 debian-installer-netboot- images Reconstruction avec la dernière version de debian-installer docx2txt Ajout d'une dépendance manquante sur unzip erlang Correction de l'injection de commande à l'aide de CR ou LF dans les noms d'utilisateurs, de fichiers ou de répertoires dans le module FTP [CVE-2014-1693] evolution-ews Correction de l'indicateur libre/occupé avec les serveurs Exchange 2013 firebug Nouvelle version amont ; compatible avec Iceweasel 24 flashblock Nouvelle version amont ; compatible avec Iceweasel 24 freeciv Correction d'un déni de service [CVE-2012-5645, CVE-2012-6083] freerdp Correction de libfreerdp-dev pour pouvoir compiler glark Force l'utilisation de Ruby 1.8, car glark ne fonctionne pas avec les versions plus récentes gorm.app Correction d'un échec de construction greasemonkey Nouvelle version amont ; compatible avec Iceweasel 24 gst-plugins-bad0.10 Correction d'un échec de construction lié à la mise à jour de libmodplug suite à la DSA 2751 intel-microcode Inclusion d'un microcode mis à jour ktp-filetransfer-handler Correction de kde-telepathy-filetransfer-handler-dbg sur mips qui était cassé lcms2 Correctifs de sécurité libdatetime-timezone-perl Mise à jour vers tzdata 2014a libfinance-quote-perl Mise à jour des URL du service Yahoo! Finance libpdf-api2-perl Correction d'un échec de construction libquvi-scripts Nouvelle version amont libsoup2.4 Correction des problèmes d'authentification NTLM avec Windows 2012 libxml2 Correction de corruption de mémoire lors de la réutilisation de la bibliothèque par des applications parallèlisées linux Mise à jour vers la version stable 3.2.57, 3.2.55-rt81, drm/agp 3.4.86 ; plusieurs corrections de sécurité ; e1000e, igb : rétroportage des changements de Linux 3.13 ltsp Correction de l'audio à distance sur les clients légers meep Fin de la construction avec l'option - march=native meep-openmpi Fin de la construction avec l'option - march=native mozilla-noscript Nouvelle version amont ; compatible avec Iceweasel 24 mp3gain Correction de déni de service et de problèmes de dépassement de tampon [CVE-2003-0577, CVE-2004-0805, CVE-2004-0991, CVE-2006-1655] net-snmp Correction de problèmes du sous-agent agentx lors des requêtes à plusieurs objets et de l'augmentation de la taille des objets [CVE-2014-2310] newsbeuter Correction de problèmes de construction dûs au passage de json de booléen à json_bool nvidia-graphics-drivers Nouvelle version amont nvidia-graphics-modules Construction avec nvidia-kernel-source 304.117 openblas Correction du plantage lors de l'appel par un programme utilisant OpenMP php-getid3 Correction de problèmes de sécurité potentiels XXE [CVE-2014-2053] php5 Beaucoup de corrections rétroportées depuis la version amont polarssl Correction d'un échec de construction dû à des certificats expirés postgresql-8.4 Nouvelle micro-version amont postgresql-9.1 Nouvelle micro-version amont qemu Correction du pointeur d'entrée pour les noyaux ELF chargés avec l'option - kernel ; autorise l'accès aux adresses 32 bits uniquement en mode réel, sauf en mode long qemu-kvm Correction du pointeur d'entrée pour les noyaux ELF chargés avec l'option - kernel ; autorise l'accès aux adresses 32 bits uniquement en mode réel, sauf en mode long quassel Restriction de l'accès des clients aux journaux appartenant à d'autres utilisateurs [CVE-2013-6404] resource-agents Correction du contrôle par adresse IP du service HTTPS ruby-passenger Correction de l'usage peu sûr de /tmp [CVE-2014-1831, CVE-2014-1832] sage-extension Nouvelle version amont ; compatible avec Iceweasel 24 samba Correction du contournement d'authentification et de la protection insuffisante contre une attaque des mots de passe par force brute [CVE-2012-6150, CVE-2013-4496] samba4 Suppression des paquets binaires samba4 et winbind4, peu sûrs et cassés spamassassin Suppression de « xxx » de la liste des faux TLD communs, car ce n'est plus un faux ; suppression des règles se rapportant à rfc-ignorant.org et NJABL, qui ont fermé spip Correction des échappements manquants ; mise à jour de l'écran de sécurité subversion Correction du plantage de mod_dav_svn lors du traitementde certaines requêtes [CVE-2014-0032] et retrait de libsvnjavahl-1.a/.la/.so de libsvn-dev sympa Correction de problèmes d'authentification CAS ; correction du correctif de la mise à jour de SQLite pour éviter les erreurs avec perl <= 5.14 ; affichage d'un avertissement à la place d'une erreur lorsque le fichier paquet CA n'est pas lisible ; fourniture du modèle manquant help_suspend.tt2 tweepy Utilisation de l'API Twitter 1.1 et SSL tzdata Nouvelle version amont wml Suppression des répertoires temporaires (ipp.*) xine-lib Correction d'un échec de construction lié à la mise à niveau de libmodplug suite à la DSA 2751 xine-lib-1.2 Correction d'un échec de construction lié à la mise à niveau de libmodplug suite à la DSA 2751 Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet Correction DSA-2848 mysql-5.5 Plusieurs vulnérabilités DSA-2850 libyaml Dépassement de tas DSA-2852 libgadu Dépassement de tampon DSA-2854 mumble Plusieurs vulnérabilités DSA-2855 libav Plusieurs vulnérabilités DSA-2856 libcommons-fileupload-java Déni de service DSA-2857 libspring-java Plusieurs vulnérabilités DSA-2858 iceweasel Plusieurs vulnérabilités DSA-2859 pidgin Plusieurs vulnérabilités DSA-2860 parcimonie Divulgation d'informations DSA-2861 file Déni de service DSA-2862 chromium-browser Plusieurs vulnérabilités DSA-2863 libtar Traversée de répertoires DSA-2865 postgresql-9.1 Plusieurs vulnérabilités DSA-2866 gnutls26 Défaut de vérification de certificat DSA-2867 otrs2 Plusieurs vulnérabilités DSA-2868 php5 Déni de service DSA-2869 gnutls26 Vérification de certificat incorrecte DSA-2870 libyaml-libyaml-perl Dépassement de tas DSA-2871 wireshark Plusieurs vulnérabilités DSA-2872 udisks Plusieurs vulnérabilités DSA-2873 file Plusieurs vulnérabilités DSA-2874 mutt Dépassement de tampon DSA-2875 cups-filters Plusieurs vulnérabilités DSA-2877 lighttpd Plusieurs vulnérabilités DSA-2878 virtualbox Plusieurs vulnérabilités DSA-2879 libssh Graine aléatoire du générateur de nombres pseudo-aléatoires non correctement réinitialisée DSA-2880 python2.7 Plusieurs vulnérabilités DSA-2881 iceweasel Plusieurs vulnérabilités DSA-2882 extplorer Script intersite DSA-2883 chromium-browser Plusieurs vulnérabilités DSA-2884 libyaml Dépassement de tas DSA-2885 libyaml-libyaml-perl Dépassement de tas DSA-2886 libxalan2-java Plusieurs vulnérabilités DSA-2887 ruby-actionmailer-3.2 Absence de vérification des entrées DSA-2888 ruby-activesupport-3.2 Plusieurs vulnérabilités DSA-2888 ruby-actionpack-3.2 Plusieurs vulnérabilités DSA-2889 postfixadmin Injection de SQL DSA-2890 libspring-java Plusieurs vulnérabilités DSA-2891 mediawiki-extensions Plusieurs vulnérabilités DSA-2891 mediawiki Plusieurs vulnérabilités DSA-2892 a2ps Plusieurs vulnérabilités DSA-2894 openssh Plusieurs vulnérabilités DSA-2895 prosody Déni de service DSA-2895 lua-expat Déni de service DSA-2896 openssl Vulnérabilité extension TLS/DTLS Heartbeat DSA-2897 tomcat7 Plusieurs vulnérabilités DSA-2898 imagemagick Dépassements de tampon DSA-2899 openafs Dépassement de tampon DSA-2900 jbigkit Dépassements de tampon DSA-2901 wordpress Plusieurs vulnérabilités DSA-2902 curl Plusieurs vulnérabilités DSA-2903 strongswan Contournement d'authentification DSA-2904 virtualbox Absence de vérification des entrées DSA-2905 chromium-browser Plusieurs vulnérabilités DSA-2908 openssl Plusieurs vulnérabilités DSA-2909 qemu Dépassement de tampon DSA-2910 qemu-kvm Dépassement de tampon Paquets supprimés ----------------- Les paquet suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison hlbr Cassé hlbrw Dépend de hlbr qui doit être supprimé Installateur Debian ------------------- L'installateur Debian a été mis à jour pour ajouter la prise en charge du matériel QNAP HS-210 et pour intégrer les corrections introduites dans stable par cette version. URL ---- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/wheezy/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : http://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>. -- Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-news-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/536a0099.4010...@neuf.fr