Bonjour, suggestions.
Amicalement. -- Jean-Paul
--- 0000000f.20160917.wml 2016-09-18 07:21:23.179520641 +0200 +++ - 2016-09-18 09:17:04.623502125 +0200 @@ -72,7 +72,7 @@ <table border=0> <tr><th>Paquet</th> <th>Raison</th></tr> <correction adblock-plus "Nouvelle version amont, compatible avec firefox-esr"> -<correction apache2 "Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à  15 s pour permettre les connexionx « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration mods-available/proxy_html.conf"> +<correction apache2 "Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à  15 s pour permettre les connexions « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration manquant mods-available/proxy_html.conf"> <correction audiofile "Correction de dépassement de tampon lors du changement simultané de format d'échantillonnage et de nombre de canaux [CVE-2015-7747]"> <correction automake-1.14 "Ãvitement d'une utilisation non sûre de /tmp/ dans install-sh"> <correction backintime "Ajout de dépendance manquante de python-dbus"> @@ -80,26 +80,26 @@ <correction base-files "Mise à jour pour cette version"> <correction biber "Correction d'une casse déclenchée par une mise à jour intermédiaire de Perl"> <correction cacti "Correction d'injection de code sql dans tree.php [CVE-2016-3172] et graph_view.php [CVE-2016-3659] ; correction de contournement d'authentification [CVE-2016-2313]"> -<correction ccache "version amont de correction de bogues"> +<correction ccache "Version amont de correction de bogues"> <correction clamav "Pas d'échec si l'option AllowSupplementaryGroups est encore réglée dans le fichier de configuration"> -<correction cmake "Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t"> +<correction cmake "Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t"> <correction conkeror "Prise en charge de Firefox 44 et suivant"> -<correction debian-edu-config "Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP déié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mise à niveaux à partir des vieilles installations de wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante"> +<correction debian-edu-config "Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP dédié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mises à niveau à partir des vieilles installations de Wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante"> <correction debian-edu-doc "Mise à jour des manuels de Debian Edu Jessie et Wheezy à partir du wiki"> <correction debian-installer "Reconstruction avec proposed-updates"> <correction debian-installer-netboot-images "Reconstruction pour cette version"> -<correction debian-security-support "Mise à jour des données d'assistance inclues ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir"> +<correction debian-security-support "Mise à jour des données d'assistance incluses ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir"> <correction dietlibc "Correction de PATH par défaut non sécurisé"> <correction dwarfutils "Corrections de sécurité [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]"> -<correction e2fsprogs "Désactivation des messages d'erreurs de dates qui sont trafiquées dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs"> -<correction exim4 "Correction de bogue <q>cutthrough</q> avec des lignes du corps du texte avec un simple point ; correction de plantage avec <q>exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'</q> ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd"> +<correction e2fsprogs "Désactivation des messages d'erreurs de date qui est décalée dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs"> +<correction exim4 "Correction de bogue <q>cutthrough</q> avec des lignes de lettres avec un seul point ; correction de plantage avec <q>exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'</q> ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd"> <correction file "Correction d'un écrasement de tampon dans le fichier magique finfo_open malformé [CVE-2015-8865]"> <correction firegestures "nouvelle version amont, compatible avec firefox-esr"> <correction flashplugin-nonfree "Update-flashplugin-nonfree : suppression de l'ancien get-upstream-version.pl du cache"> <correction fusionforge "Retrait de la dépendance au greffon de Mediawiki du métapaquet fusionforge-full"> <correction gdcm "Correction d'un dépassement d'entier [CVE-2015-8396] et de déni de service [CVE-2015-8397]"> <correction glibc "Correction d'un échec d'assertion d'adresses de nom de serveur non connectable (régression introduite par la correction CVE-2015-7547) ; correction des fonctions *context de s390x ; correction d'un dépassement de tampon dans la fonction glob [CVE-2016-1234], d'un dépassement de pile dans nss_dns_getnetbyname_r [CVE-2016-3075], d'un dépassement de pile dans la fonction getaddrinfo [CVE-2016-3706], d'un dépassement de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ; mise à jour à partir de la branche stable amont ; correction des fonctions open et openat d'O_TMPFILE ; correction d'une suspension de trace sur armel/armhf, provoquant éventuellement une légère vulnérabilité de déni de service [CVE-2016-6323] ; correction de mtr sur les systèmes utilisant seulement des serveurs de noms IPv6"> -<correction gnome-maps "Nouvelle version amont ; utilisation du serveur de tuile Mapbox, à la place du serveur MapQuest plus pris en charge"> +<correction gnome-maps "Nouvelle version amont ; utilisation du serveur de tuiles Mapbox, à la place du serveur MapQuest plus pris en charge"> <correction gnome-sudoku "Plus de génération de la même série de grilles chaque fois"> <correction gnupg "gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature"> <correction gnupg2 "gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature"> @@ -109,15 +109,15 @@ <correction javatools "Retour d'une chaîne correcte d'architecture pour ppc64el dans java-arch.sh"> <correction kamailio "Correction de la vérification de version de libssl"> <correction libbusiness-creditcard-perl "Ajustement pour des modifications dans la série des cartes de crédit et traitement de diverses sociétés"> -<correction libcss-dom-perl "Contournement de modifications d'Encode inclues dans les mises à jour stables de perl et libencode-perl"> -<correction libdatetime-timezone-perl "Mise à jour des données inclues vers 2016e ; nouvelle version amont"> +<correction libcss-dom-perl "Contournement de modifications d'Encode incluses dans les mises à jour stables de perl et libencode-perl"> +<correction libdatetime-timezone-perl "Mise à jour des données incluses à 2016e ; nouvelle version amont"> <correction libdevel-declare-perl "Correction d'une casse déclenchée par une mise à jour de Perl stable"> -<correction libnet-ssleay-perl "Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1"> +<correction libnet-ssleay-perl "Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1"> <correction libquota-perl "Adaptation de la détection de plateforme pour fonctionner avec Linux 4.x"> <correction libtool "Correction de la capacité de co-installation multi-architecture [amd64 i386]"> -<correction libxml2 "Correction d'un problème de non analyse d'URI sans partie hôte tel que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres"> +<correction libxml2 "Correction d'un problème de non analyse d'URI sans partie hôte telle que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres"> <correction linux "Nouvelle version stable amont"> -<correction lxc "Assurance que les conteneurs Stretch ou Sid ont un système init, après que l'abandon de l'en-tête <q>Essential: yes</q> par init 1.34"> +<correction lxc "Assurance que les conteneurs Stretch ou Sid ont un système init, après l'abandon de l'en-tête <q>Essential: yes</q> par init 1.34"> <correction mariadb-10.0 "Nouvelle version amont, comprenant la correction de sécurité [CVE-2016-6662]"> <correction mozilla-noscript "Nouvelle version amont, compatible avec firefox-esr"> <correction nullmailer "Conservation des données relayhost dans la base de données de debconf seulement tant que cela est strictement nécessaire"> @@ -125,14 +125,14 @@ <correction openssl "Correction de la vérification de longueur des CRL ; activation de l'optimisation d'asm pour s390x"> <correction ovirt-guest-agent "Installation de l'exécutable ovirt-guest-agent.py ; modification du propriétaire du répertoire du journal vers ovirtagent dans postinst"> <correction piuparts "Correction de l'échec de construction (pas de test de l'état de la version courante de Debian, suivant ce qui est le problème de distro-info-data)"> -<correction policykit-1 "Plusieurs corrections de bogues : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218]"> -<correction publicsuforrection "Nouvelle version amont"> +<correction policykit-1 "Plusieurs corrections de bogue : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218]"> +<correction publicsuforrection "Nouvelle version amont"> <correction pypdf2 "Correction de boucle infinie dans la fonction readObject()"> <correction python-django "Mise à jour de correction de bogues vers la version 1.7.11"> <correction python2.7 "Traitement de l'attaque <q>StartTLS stripping attack</q> dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699]"> <correction quassel "Correction d'un déni de service distant dans le noyau quassel avec des données de connexion incorrectes [CVE-2016-4414]"> <correction ruby-eventmachine "Correction de plantage déclenchable à distance dû à la manipulation de descripteurs de fichier"> -<correction ruby2.1 "Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque teinté en mode sans échec [CVE-2009-5147] ; <q>Fiddle::handle</q> ne devrait pas appeler des fonctions avec des noms de fonction teintés [CVE-2015-7551]"> +<correction ruby2.1 "Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque souillé en mode sans échec [CVE-2009-5147] ; <q>Fiddle::handle</q> ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551]"> <correction sendmail "Pas d'abandon avec une assertion si la connexion à un serveur LDAP est perdue ; assurance que sendmail {client_port} est réglé correctement sur les machines petit-boutistes"> <correction sqlite3 "Correction d'une vulnérabilité de sélection de répertoire temporaire [CVE-2016-6153], d'une erreur de segmentation suite à l'utilisation intensive de SAVEPOINT"> <correction systemd "Utilisation du délai correct pour arrêter un processus créé par un fork ; pas de réinitialisation du niveau de journalisation à NOTICE si on obtient <q>quiet</q> sur la ligne de commande du noyau ; correction de la fonction <q>prepare priority queue comparison</q> dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target"> @@ -146,10 +146,17 @@ <correction vtk "Reconstruction pour corriger les chemins de Java [ppc64el]"> <correction wget "Par défaut, dans les redirections de serveur vers une ressource FTP, utilisation de l'URL original pour récupérer le nom de fichier local [CVE-2016-4971]"> <correction wpa "Mise à jour de sécurité relative à des caractères invalides [CVE-2016-4476, CVE-2016-4477]"> -<correction yaws "Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108]"> +<correction yaws "Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108]"> <correction zabbix "Correction d'injection de commande mysql.size dans zabbix-agent [CVE-2016-4338]"> </table> +<p>Le paquet <q>mariadb-10.0</q> échoue lors de sa construction pour lâarchitecture +powerpc, mais a été inclus dans cette publication intermédiaire pour permettre +une correction plus rapide du bogue CVE-2016-6662, qui nâa pas été rendue publique +au moment de cet envoi. Si une correction pour lâéchec de construction est disponible +avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée +à lâaide de <q>jessie-updates</q>.</p> + <h2>Mises à jour de sécurité</h2> @@ -300,8 +307,7 @@ </div> <p> -Informations sur la distribution stable (notes de publication, <i>errata</i>, -etc.) : +Informations sur la distribution stable (notes de publication, <i>errata</i>, etc.) : </p> <div class="center">