------------------------------------------------------------------------ Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 8.3 pr...@debian.org 23 janvier 2016 https://www.debian.org/News/2016/20160123 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 8 (nommée « Jessie »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels. La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : https://www.debian.org/mirror/list Corrections de bogues divers ---------------------------- Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants : Paquet Raison android-platform-frameworks-base [i386] nouvelle version pour corriger la dépendance à android-libhost apache2 Correction d'asplit-logfile pour qu'il fonctionne avec la version actuelle de perl, de secondary-init-script pour qu'il ne source pas le script principal d'init avec l'option 'set -e', tests sur la migration différée de MPM ; ajout d'une version à « Replaces / Breaks » pour libapache2-mod-macro apt Dissimulation du premier message de débogage d'échec de fusion de pdiff ; correction du marquage des dépendances de paquet dans APT::Never-MarkAuto-Sections comme dans le manuel ; arrêt de l'analyse des champs Status des sources distantes apt-dater-host Correction de la détection de la version du noyau apt-offline Ajout de dépendances manquantes à python-apt arb Omission de la vérification de la version du compilateur augeas Programmes « lense » HTTPD : inclusion du répertoire /etc/apache2/conf-available, autorisation de commentaires EOL après les étiquettes de section base-files Mise à jour pour la version 8.3 ; os-release : suppression de la barre oblique à la fin de la variable SUPPORT_URL bcfg2 Prise en charge de Django 1.7 ben Correction des liens compacts buildd.debian.org ; erreurs potentielles lors de la suppression d'un fichier de verrouillage ignorées ; appel de dose-debcheck avec --deb-native-arch ca-certificates Mise à jour du paquet de l'autorité de certification Mozilla vers la version 2.6 ceph Codage d'adresse des noms de« bucket » [CVE-2015-5245] charybdis Correction de sécurité [CVE-2015-5290] ; initialisation correcte de gnutls chrony Construction dépendante de libcap-dev, pour permettre l'abandon de droits commons-httpclient Assurance que les appels HTTPS utilisent http.socket.timeout pendant l'initialisation de connexion SSL [CVE-2015-5262] cpuset Mise à jour du correctif du préfixe de l'espace de nom du système de fichiers curlftpfs Évitement des forçages non sécurisés pour getpass() sur les architectures 64 bits dbconfig-common Correction des droits des fichiers de sauvegarde de PostgreSQL debian-handbook Mise à jour pour Jessie debian-installer Réintroductions des images de l'installateur pour QNAP TS-x09 ; fourniture d'images u-boot pour les mini-PC ; ajout du module part_gpt dans l'image principale de grub ; ajout de bips au menu d'amorçage UEFI x86 ; ajout du raccourci « s » pour la synthèse vocale au menu d'amorçage UEFI x86 ; exclusion d'usb-serial-modules de l'image network-console d'armel et explicitement d'usb-modules dans armel/orion5x network-console ; abandon de l'extension file dans l'initrd pour les périphériques QNAP ; ajustement de la prise en charge de p-u pour gérer file:// au lieu de seulement (f|ht)tp:// debian-installer-netboot-images Reconstruction pour cette version docbook2x Suppression de l'installation des fichiers info/dir.gz doctrine Correction des problèmes de droits des répertoires [CVE-2015-5723] drbd-utils Correction de l'ajustement de drbdadm aux adresses de connexion IPv6 ejabberd Correction de requêtes LDAP cassées exfat-utils Correction de dépassement de tampon et de boucle infinie exim4 Correction de quelques plantages liés à MIME ACL ; correction d'un bogue provoquant des doubles distributions, surtout avec les connexions TLS fglrx-driver Nouvelle version amont ; correction de problème de sécurité [CVE-2015-7724] file Correction de la gestion de --parameter flash-kernel Évitement de l'attente de Ctrl-C si une interface debconf est utilisée fuse-exfat Correction de dépassement de tampon et de boucle infinie ganglia-modules-linux Redémarrage du service ganglia après installation seulement s'il était exécuté précédemment getmail4 Réglage poplib._MAXLINE=1MB glance Modification directe interdite du statut de l'image par l'API v1 [CVE-2015-5251] glibc Correction du renvoi parfois par getaddrinfo de données non initialisées avec nscd ; correction de données lors de la lecture de la base de données de fichiers de NSS [CVE-2015-5277] ; correction de dépassement de tampon (lecture au-delà de la fin du tampon) dans internal_fnmatch ; correction de dépassement d'entier de _IO_wstr_overflow ; correction de la fermeture inattendue de la base de données nss_files après recherche, provoquant un déni de service [CVE-2014-8121] ; correction du cache netgroup de NSCD ; désactivation inconditionnelle de LD_POINTER_GUARD ; détournement de pointeurs de fonction dans tls_dtor_list ; correction de problèmes d'allocation de mémoire qui mènent à des dépassements de tampon sur la pile ; mise à jour de la liste noire de TSX pour ajouter certains processeurs Broadwell gnome-orca Assurance de viser la bonne cible à l'entrée du mot de passe, afin que les caractères ne soient pas affichés gnome-shell-extension-weather Affichage d'un avertissement si la clé de l'API n'a pas été fournie par l'utilisateur, dans la mesure où les requêtes à openweathermap.org nefonctionnent plus sans cette clé gummi Évitement de noms prédictibles pour les fichiers temporaires [CVE 2015-7758] human-icon-theme debian/clean-up.sh : pas d'exécution de processus en arrière-plan ieee-data mise à jour des fichiers de données inclus, ajoutant mam.txt et oui36.txt ; arrêt des téléchargement par HTTPS, parce que ni wget ni curl ne gèrent TLS AIA, tel qu'utilisé maintenant par standards.ieee.org intel-microcode Mise à jour des micrologiciels inclus iptables-persistent Arrêt des fichiers de règles lisibles par tout le monde ; réécriture du README isc-dhcp Correction d'erreur quand le temps d'attribution est dépassé avec les systèmes 64 bits keepassx Correction du stockage des mots de passe en clair [CVE-2015-8378] libapache-mod-fastcgi Passage de B-D de libtool à libtool-bin pour corriger un échec de compilation libapache2-mod-perl2 Correction de plantages dans modperl_interp_unselect() libcgi-session-perl Retrait de la teinte de données brutesvenant de dorsaux de stockage de session, corrigeant une régression provoquée par les corrections de CVE-2015-8607 dans Perl libdatetime-timezone-perl Nouvelle version amont libencode-perl Gestion correcte de l'absence de BOM lors du décodage libhtml-scrubber-perl Correction d'une vulnérabilité de script inter-site dans les commentaires [CVE-2015-5667] libinfinity Correction de plantages potentiels lorsqu'une entrée est retirée du navigateur de documents alors que les listes de contrôle d'accès sont actives libiptables-parse-perl Correction de l'utilisation de noms prédictibles pour les fichiers temporaires [CVE-2015-8326] libraw Correction de dépassement d'index dans smal_decode_segment [CVE-2015-8366] ; correction d'objets mémoire non initialisés correctement [CVE-2015-8367] libssh Correction de « null pointer dereference due to a logical error in the handling of a SSH_MSG_NEWKEYS and KEXDH_REPLY packets » (déréférencement de pointeur null lié à une erreur logique dans la gestion des paquets SSH_MSG_NEWKEYS et KEXDH_REPLY) [CVE-2015-3146] linux Mise à jour vers la version amont 3.16.7-ctk20 ; nbd : restauration de la détection de délai de requête ; [x86] activation de PINCTRL_BAYTRAIL ; [mips* octeon] / activation de CAVIUM_CN63XXP1 ; firmware_class correction de condition dans la boucle de recherche de répertoire ; [x86] KVM : svm : interception inconditionnelle de #DB [CVE-2015-8104] linux-tools Ajout du nouveau paquet hyperv-daemons lldpd Correction d'une erreur de segmentation et d'une erreur d'assertion lors de la réception d'adresses de gestion LLDP incorrectement formées madfuload Utilisation d'autoreconf -fi pour corriger un échec de compilation avec automake 1.14 mdadm Désactivation de l'assembleur incrémental parce qu'il provoque des problèmes en démarrant un RAID dégradé mkvmlinuz Direction des sorties de run-parts sur l'erreur standard monit Correction d'une régression concernant umask depuis 5.8.1 mpm-itk Correction d'un problème de tentative de fermeture de connexions dans le parent. Cela pourrait aboutir à ce que « Connection: close » ne soit pas honoré et divers effets étranges avec la persistance de SSL dans certains navigateurs multipath-tools Correction de la découverte de périphériques avec un attribut sysfs vide ; ajout de documentation pour traiter des scénarios de noms supplémentaires adaptés ; init : correction de l'échec d'arrêt quand aucun périphérique racine n'est trouvé ; utilisation de « SCSI_IDENT_.* » comme propriété par défaut de liste blanche netcfg Correction d'is_layer3_qeth sur s390x pour éviter d'abandonner si le pilote de réseau n'est pas qeth nvidia-graphics-drivers Nouvelle version amont [CVE-2015-5950] ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869] nvidia-graphics-drivers-legacy-304xx Nouvelle version amont ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869] nvidia-graphics-modules Reconstruction avec nvidia-kernel-source 340.96 openldap Correction d'un plantage lors de l'ajout d'une grande valeur d'attribut avec la surcouche auditlog activée openvpn Ajout de --no-block au script if-up.d pour éviter un blocage au démarrage surles interfaces avec des instances openvpn owncloud Correction de l'inclusion de fichier local avec Microsoft Windows Platform [CVE-2015-4716], de l'épuisement de ressource lors de la vérification de noms de fichier [CVE-2015-4717], de l'injection de commande lors de l'utilisation de stockage externe SMB [CVE-2015-4718], exportation d'agenda : contournement d'autorisation par des clés contrôlées par l'utilisateur [CVE-2015-6670] ; correction de script intersite (XSS) réfléchi dans la découverte de fournisseur OCS [oc-sa-2016-001] [CVE-2016-1498], divulgation de fichiers qui commencent par « .v » due à une valeur de retour non vérifiée [oc-sa-2016-003] [CVE-2016-1500], fuite d'informations à travers les listes de répertoires dans le scanner de fichiers [oc-sa-2016-002] [CVE-2016-1499], divulgation de chemin d'installation par les messages d'erreur [oc-sa-2016-004] [CVE-2016-1501] pam Correction de déni de service et d'énumération d'utilisateurs due au blocage de tube dans pam_unix [CVE-2015-3238] pcre3 Correction de problèmes de sécurité [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] pdns Correction mise à niveau avec la configuration par défaut perl Gestion correcte de l'absence de BOM lors du décodage php-auth-sasl Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP php-doctrine-annotations Correction d'un problème de droits de répertoire [CVE-2015-5723] php-doctrine-cache Correction d'un problème de droits de fichier et de répertoire [CVE-2015-5723] php-doctrine-common Correction d'un problème de droits de fichier [CVE-2015-5723] php-dropbox Refus de gestion des fichiers contenant une @ [CVE-2015-4715] php-mail-mimedecode Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP php5 Nouvelle version amont plowshare4 Désactivation de la prise en charge de Javascript postgresql-9.1 Nouvelle version amont pykerberos Ajout de la prise en charge de la vérification d'authenticité de KDC [CVE-2015-3206] python-yaql Retrait du paquet cassé python3-yaql qpsmtpd Correction de problème de compatibilité avec les nouvelles versions de Net::DNS quassel Correction d'un déni de service distant dans quassel core, à l'utilisation de la commande /op * [CVE-2015-8547] redis Assurance qu'un répertoire d'exécution valable est créé lors de l'exécution sous systemd redmine Correction des mises à niveau lorsqu'il y a des greffons installés localement ; correction de problèmes de déplacement dans les projets rsyslog Correction de plantage dans le module imfile lors de l'utilisation du mode inotify ; évitement d'une erreur de segmentation dans la création de dynafile ruby-bson Correction d'un déni de service et d'une possible injection [CVE-2015-4410] s390-dasd Sortie propre si aucun canal n'est trouvé. Cela permet à s390-dasd de franchir l'étape dans les machines virtuelles avec les disques virtio shadow Correction de gestion d'erreur dans la détection d'utilisateur occupé sparse Correction d'échec de compilation avec llvm-3.5 spip Correction d'un problème de script intersite stk Installation des fichiers include SKINI.{msg,tbl} absents sus Mise à jour des sommes de contrôle pour l'archive amont swift Correction de la destruction non autorisée de versions d'objet Swift [CVE-2015-1856] ; correction de fuite d'informations à travers les tempurls de Swift [CVE-2015-5223] ; correction de nom de service d'object-expirer dans le script d'initiation ; ajout du script d'initiation container-sync ; ajout de l'utilisateur « standardise » systemd Correction du bris de l'espace de nom dû à un tri de chemin incorrect ; suppression du délai de 90 secondes en l'absence de mot de passe pour les périphériques cryptsetup ; réglage du fuseau horaire du noyau seulement si RTC S'exécute en heure locale, évitant de possibles sauts dans le passé ; correction de la gestion incorrecte des virgules de séparation dans systemd-delta ; configuration possible du comportement de diffusion de DHCP dans systemd-networkd tangerine-icon-theme debian/clean-up.sh : pas d'exécution de processus en arrière-plan torbrowser-launcher Application réelle des correctifs de 0.1.9-1+deb8u1 ; arrêt du confinement du script start-tor-browser avec AppArmor ; réglage des profils usr.bin.torbrowser-launcher d'AppArmor au mode complain (réclamation) ttylog Correction de la troncature du nom d'un périphérique lors de la sélection d'un périphérique tzdata Nouvelle version amont uqm Ajout de l'option manquante -lm, corrigeant un échec de compilation vlc Nouvelle version amont stable webkitgtk Nouvelle version amont stable ; correction de « late TLS certificate verification » (vérification des certificats TLS tardive) [CVE-2015-2330] wxmaxima Évitement de plantage lors de la rencontre de parenthèses dans dialogues zendframework Correction d'un problème d'entropie avec captcha [ZF2015-09] Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet DSA-3208 freexl DSA-3235 openjdk-7 DSA-3280 php5 DSA-3311 mariadb-10.0 DSA-3316 openjdk-7 DSA-3324 icedove DSA-3327 squid3 DSA-3332 wordpress DSA-3337 gdk-pixbuf DSA-3344 php5 DSA-3346 drupal7 DSA-3347 pdns DSA-3348 qemu DSA-3350 bind9 DSA-3351 chromium-browser DSA-3352 screen DSA-3353 openslp-dfsg DSA-3354 spice DSA-3355 libvdpau DSA-3356 openldap DSA-3357 vzctl DSA-3358 php5 DSA-3359 virtualbox DSA-3360 icu DSA-3361 qemu DSA-3363 owncloud-client DSA-3364 linux DSA-3365 iceweasel DSA-3366 rpcbind DSA-3367 wireshark DSA-3368 cyrus-sasl2 DSA-3369 zendframework DSA-3370 freetype DSA-3371 spice DSA-3373 owncloud DSA-3374 postgresql-9.4 DSA-3375 wordpress DSA-3376 chromium-browser DSA-3377 mysql-5.5 DSA-3378 gdk-pixbuf DSA-3379 miniupnpc DSA-3380 php5 DSA-3381 openjdk-7 DSA-3382 phpmyadmin DSA-3384 virtualbox DSA-3385 mariadb-10.0 DSA-3386 unzip DSA-3387 openafs DSA-3388 ntp DSA-3390 xen DSA-3391 php-horde DSA-3392 freeimage DSA-3393 iceweasel DSA-3394 libreoffice DSA-3395 krb5 DSA-3397 wpa DSA-3398 strongswan DSA-3399 libpng DSA-3400 lxc DSA-3401 openjdk-7 DSA-3402 symfony DSA-3403 libcommons-collections3-java DSA-3404 python-django DSA-3405 smokeping DSA-3406 nspr DSA-3407 dpkg DSA-3409 putty DSA-3411 cups-filters DSA-3412 redis DSA-3413 openssl DSA-3414 xen DSA-3415 chromium-browser DSA-3416 libphp-phpmailer DSA-3417 bouncycastle DSA-3418 chromium-browser DSA-3419 cups-filters DSA-3420 bind9 DSA-3421 grub2 DSA-3422 iceweasel DSA-3423 cacti DSA-3424 subversion DSA-3425 tryton-server DSA-3426 linux DSA-3427 blueman DSA-3428 tomcat8 DSA-3429 foomatic-filters DSA-3430 libxml2 DSA-3431 ganeti DSA-3433 ldb DSA-3433 samba DSA-3434 linux DSA-3435 git DSA-3438 xscreensaver DSA-3439 prosody DSA-3440 sudo DSA-3441 perl DSA-3442 isc-dhcp DSA-3443 libpng DSA-3444 wordpress DSA-3446 openssh Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle : Paquet Raison core-network Problèmes de sécurité elasticsearch Plus pris en charge googlecl Problèmes de sécurité, non maintenu libnsgif Problèmes de sécurité, non maintenu vimperator Incompatible avec les versions récentes d'Iceweasel Installateur Debian ------------------- URL --- Liste complète des paquets qui ont été modifiés dans cette version : http://ftp.debian.org/debian/dists/jessie/ChangeLog Adresse de l'actuelle distribution stable : http://ftp.debian.org/debian/dists/stable/ Mises à jour proposées à la distribution stable : http://ftp.debian.org/debian/dists/proposed-updates Informations sur la distribution stable (notes de publication, errata, etc.) : https://www.debian.org/releases/stable/ Annonces et informations de sécurité : https://security.debian.org/ À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <pr...@debian.org> ou contactez l'équipe de publication de la version stable à <debian-rele...@lists.debian.org>.