------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 8.6 pr...@debian.org 17 septembre 2016 https://www.debian.org/News/2016/20160917 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 8 (nommée « Jessie »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels. La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison adblock-plus Nouvelle version amont, compatible avec firefox-esr apache2 Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à 15 s pour permettre les connexions « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration manquant mods-available/ proxy_html.conf audiofile Correction de dépassement de tampon lors du changement simultané de format d'échantillonnage et de nombre de canaux [CVE-2015-7747] automake-1.14 Évitement d'une utilisation non sûre de /tmp/ dans install-sh backintime Ajout de dépendance manquante de python-dbus backuppc Correction de régressions depuis la mise à jour de samba vers 4.2 base-files Mise à jour pour cette version biber Correction d'une casse déclenchée par une mise à jour intermédiaire de Perl cacti Correction d'injection de code sql dans tree.php [CVE-2016-3172] et graph_view.php [CVE-2016-3659] ; correction de contournement d'authentification [CVE-2016-2313] ccache Version amont de correction de bogues clamav Pas d'échec si l'option AllowSupplementaryGroups est encore réglée dans le fichier de configuration cmake Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t conkeror Prise en charge de Firefox 44 et suivant debian-edu-config Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP dédié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mises à niveau à partir des vieilles installations de Wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante debian-edu-doc Mise à jour des manuels de Debian Edu Jessie et Wheezy à partir du wiki debian-installer Reconstruction avec proposed-updates debian-installer-netboot-images Reconstruction pour cette version debian-security-support Mise à jour des données d'assistance incluses ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir dietlibc Correction de PATH par défaut non sécurisé dwarfutils Corrections de sécurité [CVE-2015-8538, CVE-2015-8750, CVE-2016-2050, CVE-2016-2091, CVE-2016-5034, CVE-2016-5036, CVE-2016-5038, CVE-2016-5039, CVE-2016-5042] e2fsprogs Désactivation des messages d'erreurs de date qui est décalée dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs exim4 Correction de bogue « cutthrough » avec des lignes de lettres avec un simple point ; correction de plantage avec « exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' » ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd file Correction d'un écrasement de tampon dans le fichier magique finfo_open malformé [CVE-2015-8865] firegestures Nouvelle version amont, compatible avec firefox-esr flashplugin-nonfree Update-flashplugin-nonfree : suppression de l'ancien get-upstream-version.pl du cache fusionforge Retrait de la dépendance au greffon de Mediawiki du métapaquet fusionforge-full gdcm Correction d'un dépassement d'entier [CVE-2015-8396] et de déni de service [CVE-2015-8397] glibc Correction d'un échec d'assertion d'adresses de nom de serveur non connectable (régression introduite par la correction CVE-2015-7547) ; correction des fonctions *context de s390x ; correction d'un dépassement de tampon dans la fonction glob [CVE-2016-1234], d'un dépassement de pile dans nss_dns_getnetbyname_r [CVE-2016-3075], d'un dépassement de pile dans la fonction getaddrinfo [CVE-2016-3706], d'un dépassement de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ; mise à jour à partir de la branche stable amont ; correction des fonctions open et openat d'O_TMPFILE ; correction d'une suspension de trace sur armel/armhf, provoquant éventuellement une légère vulnérabilité de déni de service [CVE-2016-6323] ; correction de mtr sur les systèmes utilisant seulement des serveurs de noms IPv6 gnome-maps Nouvelle version amont ; utilisation du serveur de tuiles Mapbox, à la place du serveur MapQuest plus pris en charge gnome-sudoku Plus de génération de la même série de grilles chaque fois gnupg gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature gnupg2 gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature greasemonkey Nouvelle version amont, compatible avec firefox-esr intel-microcode Nouvelle version amont jakarta-jmeter Installation réelle des modèles ; correction d'une erreur avec libxstream-java >= 1.4.9 lors du chargement des modèles javatools Retour d'une chaîne correcte d'architecture pour ppc64el dans java-arch.sh kamailio Correction de la vérification de version de libssl libbusiness-creditcard-perl Ajustement pour des modifications dans la série des cartes de crédit et traitement de diverses sociétés libcss-dom-perl Contournement de modifications d'Encode incluses dans les mises à jour stables de perl et libencode-perl libdatetime-timezone- perl Mise à jour des données incluses à 2016e ; nouvelle version amont libdevel-declare-perl Correction d'une casse déclenchée par une mise à jour de Perl stable libnet-ssleay-perl Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1 libquota-perl Adaptation de la détection de plateforme pour fonctionner avec Linux 4.x libtool Correction de la capacité de co-installation multi-architecture [amd64 i386] libxml2 Correction d'un problème de non analyse d'URI sans partie hôte telle que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres linux Nouvelle version stable amont lxc Assurance que les conteneurs Stretch ou Sid ont un système init, après l'abandon de l'en-tête « Essential: yes » par init 1.34 mariadb-10.0 Nouvelle version amont, comprenant la correction de sécurité [CVE-2016-6662] mozilla-noscript Nouvelle version amont, compatible avec firefox-esr nullmailer Conservation des données relayhost dans la base de données de debconf seulement tant que cela est strictement nécessaire open-iscsi Script init : léger délai après l'apparition des périphériques iSCSI, contournant une situation de concurrence dans laquelle les périphériques dépendants ne peuvent apparaître qu'après le retour de l'installation initiale d'udev ; open-iscsi-udeb : mise à jour d'initramfs après la copie de la configuration sur le système cible openssl Correction de la vérification de longueur des CRL ; activation de l'optimisation d'asm pour s390x ovirt-guest-agent Installation de l'exécutable ovirt-guest-agent.py ; modification du propriétaire du répertoire du journal vers ovirtagent dans postinst piuparts Correction de l'échec de construction (pas de test de l'état de la version courante de Debian, suivant ce qui est le problème de distro-info-data) policykit-1 Plusieurs corrections de bogue : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218] publicsuforrection Nouvelle version amont pypdf2 Correction de boucle infinie dans la fonction readObject() python-django Mise à jour de correction de bogues vers la version 1.7.11 python2.7 Traitement de l'attaque « StartTLS stripping attack » dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699] quassel Correction d'un déni de service distant dans le noyau quassel avec des données de connexion incorrectes [CVE-2016-4414] ruby-eventmachine Correction de plantage déclenchable à distance dû à la manipulation de descripteurs de fichier ruby2.1 Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque souillé en mode sans échec [CVE-2009-5147] ; « Fiddle::handle » ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551] sendmail Pas d'abandon avec une assertion si la connexion à un serveur LDAP est perdue ; assurance que sendmail {client_port} est réglé correctement sur les machines petit-boutistes sqlite3 Correction d'une vulnérabilité de sélection de répertoire temporaire [CVE-2016-6153], d'une erreur de segmentation suite à l'utilisation intensive de SAVEPOINT systemd Utilisation du délai correct pour arrêter un processus créé par un fork ; pas de réinitialisation du niveau de journalisation à NOTICE si on obtient « quiet » sur la ligne de commande du noyau ; correction de la fonction « prepare priority queue comparison » dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user- lookup.target et network.target tabmixplus Nouvelle version amont, compatible avec firefox-esr tcpreplay Gestion de trames d'une taille de 65535 octets, ajout de vérification de taille [CVE-2016-6160] tor Mise à jour de l'ensemble des serveurs de répertoires d'autorité tzdata Nouvelle version amont ; mise à jour vers 2016e unbound Correction du script init : ajout du commentaire magique « pidfile » ; appel de start-stop-daemon avec l'option --retry pour l'action « stop » util-vserver Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, corrigeant le PATH par défaut non sécurisé vorbis-tools Correction de la fonction alloca large sur une entrée d'AIFF vers oggenc [CVE-2015-6749], validation du nombre de canaux dans l'en-tête [CVE-2014-9638 CVE-2014-9639], correction d'erreur de segmentation dans vcut vtk Reconstruction pour corriger les chemins de Java [ppc64el] wget Par défaut, dans les redirections de serveur vers une ressource FTP, utilisation de l'URL originale pour récupérer le nom de fichier local [CVE-2016-4971] wpa Mise à jour de sécurité relative à des caractères invalides [CVE-2016-4476, CVE-2016-4477] yaws Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108] zabbix Correction d'injection de commande mysql.size dans zabbix-agent [CVE-2016-4338] Le paquet « mariadb-10.0 » échoue lors de sa construction pour l’architecture powerpc, mais a été inclus dans cette publication intermédiaire pour permettre une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique au moment de cet envoi. Si une correction pour l’échec de construction est disponible avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée à l’aide de « jessie-updates ». Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-3548 samba DSA-3548 talloc DSA-3548 tdb DSA-3548 tevent DSA-3548 ldb DSA-3565 monotone DSA-3588 symfony DSA-3589 gdk-pixbuf DSA-3590 chromium-browser DSA-3591 imagemagick DSA-3592 nginx DSA-3593 libxml2 DSA-3594 chromium-browser DSA-3596 spice DSA-3597 expat DSA-3598 vlc DSA-3599 p7zip DSA-3600 firefox-esr DSA-3602 php5 DSA-3603 libav DSA-3604 drupal7 DSA-3605 libxslt DSA-3606 libpdfbox-java DSA-3607 linux DSA-3608 libreoffice DSA-3609 tomcat8 DSA-3610 xerces-c DSA-3611 libcommons-fileupload-java DSA-3612 gimp DSA-3613 libvirt DSA-3614 tomcat7 DSA-3615 wireshark DSA-3616 linux DSA-3617 horizon DSA-3618 php5 DSA-3619 libgd2 DSA-3620 pidgin DSA-3621 mysql-connector-java DSA-3622 python-django DSA-3623 apache2 DSA-3624 mysql-5.5 DSA-3625 squid3 DSA-3626 openssh DSA-3627 phpmyadmin DSA-3628 libunicode-linebreak-perl DSA-3628 debhelper DSA-3628 libmime-encwords-perl DSA-3628 perl DSA-3628 libsys-syslog-perl DSA-3628 libmodule-build-perl DSA-3628 libnet-dns-perl DSA-3628 libintl-perl DSA-3628 cdbs DSA-3628 libmime-charset-perl DSA-3628 devscripts DSA-3628 exim4 DSA-3629 ntp DSA-3630 libgd2 DSA-3631 php5 DSA-3633 xen DSA-3634 redis DSA-3635 libdbd-mysql-perl DSA-3637 chromium-browser DSA-3638 curl DSA-3639 wordpress DSA-3640 firefox-esr DSA-3641 openjdk-7 DSA-3642 lighttpd DSA-3643 kde4libs DSA-3644 fontconfig DSA-3645 chromium-browser DSA-3646 postgresql-9.4 DSA-3647 icedove DSA-3648 wireshark DSA-3649 gnupg DSA-3650 libgcrypt20 DSA-3651 rails DSA-3652 imagemagick DSA-3653 flex DSA-3653 bogofilter DSA-3654 quagga DSA-3655 mupdf DSA-3656 tryton-server DSA-3657 libarchive DSA-3658 libidn DSA-3659 linux DSA-3660 chromium-browser DSA-3661 charybdis DSA-3662 inspircd DSA-3663 xen DSA-3664 pdns Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison minit Non maintenu et obsolète trn Problèmes de sécurité ; remplacé par trn4 Installateur Debian ------------------- URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/jessie/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.