------------------------------------------------------------------------
Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 8.3 press@debian.org
23 janvier 2016 https://www.debian.org/News/2016/20160123 ------------------------------------------------------------------------


Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 8 (nommée « Jessie »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD
de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à
jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de
manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list


Corrections de bogues divers
----------------------------

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :


Paquet Raison

android-platform-frameworks-base
[i386] nouvelle version pour corriger la dépendance à
android-libhost
apache2 Correction d'asplit-logfile pour qu'il fonctionne avec
la version actuelle de perl, de secondary-init-script
pour qu'il ne source pas le script principal d'init
avec l'option 'set -e', tests sur la migration différée
de MPM ; ajout d'une version à « Replaces / Breaks »
pour libapache2-mod-macro
apt Dissimulation du premier message de débogage d'échec de
fusion de pdiff ; correction du marquage des
dépendances de paquet dans APT::Never-MarkAuto-Sections
comme dans le manuel ; arrêt de l'analyse des champs
Status des sources distantes
apt-dater-host Correction de la détection de la version du noyau
apt-offline Ajout de dépendances manquantes à python-apt
arb Omission de la vérification de la version du compilateur augeas Programmes « lense » HTTPD : inclusion du répertoire
/etc/apache2/conf-available, autorisation de
commentaires EOL après les étiquettes de section
base-files Mise à jour pour la version 8.3 ; os-release :
suppression de la barre oblique à la fin de la variable
SUPPORT_URL
bcfg2 Prise en charge de Django 1.7
ben Correction des liens compacts buildd.debian.org ;
erreurs potentielles lors de la suppression d'un fichier
de verrouillage ignorées ; appel de dose-debcheck avec
--deb-native-arch
ca-certificates Mise à jour du paquet de l'autorité de certification
Mozilla vers la version 2.6
ceph Codage d'adresse des noms de« bucket » [CVE-2015-5245] charybdis Correction de sécurité [CVE-2015-5290] ; initialisation
correcte de gnutls
chrony Construction dépendante de libcap-dev, pour permettre
l'abandon de droits
commons-httpclient
Assurance que les appels HTTPS utilisent
http.socket.timeout pendant l'initialisation de
connexion SSL [CVE-2015-5262]
cpuset Mise à jour du correctif du préfixe de l'espace de nom
du système de fichiers
curlftpfs Évitement des forçages non sécurisés pour getpass() sur
les architectures 64 bits
dbconfig-common Correction des droits des fichiers de sauvegarde de
PostgreSQL
debian-handbook Mise à jour pour Jessie
debian-installer Réintroductions des images de l'installateur pour QNAP
TS-x09 ; fourniture d'images u-boot pour les mini-PC ;
ajout du module part_gpt dans l'image principale de
grub ; ajout de bips au menu d'amorçage UEFI x86 ;
ajout du raccourci « s » pour la synthèse vocale au
menu d'amorçage UEFI x86 ; exclusion
d'usb-serial-modules de l'image network-console d'armel
et explicitement d'usb-modules dans armel/orion5x
network-console ; abandon de l'extension file dans
l'initrd pour les périphériques QNAP ; ajustement de
la prise en charge de p-u pour gérer file:// au lieu
de seulement (f|ht)tp://
debian-installer-netboot-images
Reconstruction pour cette version
docbook2x Suppression de l'installation des fichiers info/dir.gz doctrine Correction des problèmes de droits des répertoires
[CVE-2015-5723]
drbd-utils Correction de l'ajustement de drbdadm aux adresses
de connexion IPv6
ejabberd Correction de requêtes LDAP cassées
exfat-utils Correction de dépassement de tampon et de boucle
infinie
exim4 Correction de quelques plantages liés à MIME ACL ;
correction d'un bogue provoquant des doubles
distributions, surtout avec les connexions TLS
fglrx-driver Nouvelle version amont ; correction de problème de
sécurité [CVE-2015-7724]
file Correction de la gestion de --parameter
flash-kernel Évitement de l'attente de Ctrl-C si une interface
debconf est utilisée
fuse-exfat Correction de dépassement de tampon et de boucle infinie ganglia-modules-linux
Redémarrage du service ganglia après installation
seulement s'il était exécuté précédemment
getmail4 Réglage poplib._MAXLINE=1MB
glance Modification directe interdite du statut de l'image
par l'API v1 [CVE-2015-5251]
glibc Correction du renvoi parfois par getaddrinfo de données
non initialisées avec nscd ; correction de données
lors de la lecture de la base de données de fichiers
de NSS [CVE-2015-5277] ; correction de dépassement de
tampon (lecture au-delà de la fin du tampon) dans
internal_fnmatch ; correction de dépassement d'entier de
_IO_wstr_overflow ; correction de la fermeture
inattendue de la base de données nss_files après
recherche, provoquant un déni de service
[CVE-2014-8121] ; correction du cache netgroup de
NSCD ; désactivation inconditionnelle de
LD_POINTER_GUARD ; détournement de pointeurs de
fonction dans tls_dtor_list ; correction de problèmes
d'allocation de mémoire qui mènent à des dépassements
de tampon sur la pile ; mise à jour de la liste noire
de TSX pour ajouter certains processeurs Broadwell
gnome-orca Assurance de viser la bonne cible à l'entrée du mot de
passe, afin que les caractères ne soient pas affichés gnome-shell-extension-weather
Affichage d'un avertissement si la clé de l'API n'a pas
été fournie par l'utilisateur, dans la mesure où les
requêtes à openweathermap.org nefonctionnent plus
sans cette clé
gummi Évitement de noms prédictibles pour les fichiers
temporaires [CVE 2015-7758]
human-icon-theme debian/clean-up.sh : pas d'exécution de processus en
arrière-plan
ieee-data mise à jour des fichiers de données inclus, ajoutant
mam.txt et oui36.txt ; arrêt des téléchargement par
HTTPS, parce que ni wget ni curl ne gèrent TLS AIA,
tel qu'utilisé maintenant par standards.ieee.org intel-microcode Mise à jour des micrologiciels inclus
iptables-persistent
Arrêt des fichiers de règles lisibles par tout le
monde ; réécriture du README
isc-dhcp Correction d'erreur quand le temps d'attribution est
dépassé avec les systèmes 64 bits
keepassx Correction du stockage des mots de passe en clair
[CVE-2015-8378]
libapache-mod-fastcgi
Passage de B-D de libtool à libtool-bin pour corriger
un échec de compilation
libapache2-mod-perl2
Correction de plantages dans
modperl_interp_unselect()
libcgi-session-perl
Retrait de la teinte de données brutesvenant de dorsaux
de stockage de session, corrigeant une régression
provoquée par les corrections de CVE-2015-8607 dans
Perl
libdatetime-timezone-perl
Nouvelle version amont
libencode-perl Gestion correcte de l'absence de BOM lors du décodage libhtml-scrubber-perl
Correction d'une vulnérabilité de script inter-site
dans les commentaires [CVE-2015-5667]
libinfinity Correction de plantages potentiels lorsqu'une entrée
est retirée du navigateur de documents alors que les
listes de contrôle d'accès sont actives libiptables-parse-perl
Correction de l'utilisation de noms prédictibles pour
les fichiers temporaires [CVE-2015-8326]
libraw Correction de dépassement d'index dans
smal_decode_segment [CVE-2015-8366] ; correction
d'objets mémoire non initialisés correctement
[CVE-2015-8367]
libssh Correction de « null pointer dereference due to a
logical error in the handling of a SSH_MSG_NEWKEYS
and KEXDH_REPLY packets » (déréférencement de pointeur
null lié à une erreur logique dans la gestion des
paquets SSH_MSG_NEWKEYS et KEXDH_REPLY)
[CVE-2015-3146]
linux Mise à jour vers la version amont 3.16.7-ctk20 ; nbd :
restauration de la détection de délai de requête ;
[x86] activation de PINCTRL_BAYTRAIL ; [mips* octeon] /
activation de CAVIUM_CN63XXP1 ; firmware_class
correction de condition dans la boucle de recherche de
répertoire ; [x86] KVM : svm : interception
inconditionnelle de #DB [CVE-2015-8104]
linux-tools Ajout du nouveau paquet hyperv-daemons
lldpd Correction d'une erreur de segmentation et d'une
erreur d'assertion lors de la réception d'adresses
de gestion LLDP incorrectement formées
madfuload Utilisation d'autoreconf -fi pour corriger un échec
de compilation avec automake 1.14
mdadm Désactivation de l'assembleur incrémental parce qu'il
provoque des problèmes en démarrant un RAID dégradé mkvmlinuz Direction des sorties de run-parts sur l'erreur
standard
monit Correction d'une régression concernant umask
depuis 5.8.1
mpm-itk Correction d'un problème de tentative de fermeture de
connexions dans le parent. Cela pourrait aboutir à
ce que « Connection: close » ne soit pas honoré et
divers effets étranges avec la persistance de SSL
dans certains navigateurs
multipath-tools Correction de la découverte de périphériques avec
un attribut sysfs vide ; ajout de documentation
pour traiter des scénarios de noms supplémentaires
adaptés ; init : correction de l'échec d'arrêt quand
aucun périphérique racine n'est trouvé ; utilisation
de « SCSI_IDENT_.* » comme propriété par défaut de liste
blanche
netcfg Correction d'is_layer3_qeth sur s390x pour éviter
d'abandonner si le pilote de réseau n'est pas qeth nvidia-graphics-drivers
Nouvelle version amont [CVE-2015-5950] ; correction de
problème d'entrée du mode utilisateur non nettoyée
[CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx
Nouvelle version amont ; correction de problème d'entrée
du mode utilisateur non nettoyée [CVE-2015-7869] nvidia-graphics-modules
Reconstruction avec nvidia-kernel-source 340.96
openldap Correction d'un plantage lors de l'ajout d'une grande
valeur d'attribut avec la surcouche auditlog activée
openvpn Ajout de --no-block au script if-up.d pour éviter un
blocage au démarrage surles interfaces avec des
instances openvpn
owncloud Correction de l'inclusion de fichier local avec
Microsoft Windows Platform [CVE-2015-4716], de
l'épuisement de ressource lors de la vérification de
noms de fichier [CVE-2015-4717], de l'injection de
commande lors de l'utilisation de stockage externe SMB
[CVE-2015-4718], exportation d'agenda : contournement
d'autorisation par des clés contrôlées par l'utilisateur
[CVE-2015-6670] ; correction de script intersite (XSS)
réfléchi dans la découverte de fournisseur OCS
[oc-sa-2016-001] [CVE-2016-1498], divulgation de
fichiers qui commencent par « .v » due à une valeur de
retour non vérifiée [oc-sa-2016-003] [CVE-2016-1500],
fuite d'informations à travers les listes de répertoires
dans le scanner de fichiers [oc-sa-2016-002]
[CVE-2016-1499], divulgation de chemin d'installation
par les messages d'erreur [oc-sa-2016-004]
[CVE-2016-1501]
pam Correction de déni de service et d'énumération
d'utilisateurs due au blocage de tube dans pam_unix
[CVE-2015-3238]
pcre3 Correction de problèmes de sécurité [CVE-2015-2325
CVE-2015-2326 CVE-2015-3210 CVE-2015-5073
CVE-2015-8384 CVE-2015-8388]
pdns Correction mise à niveau avec la configuration par
défaut
perl Gestion correcte de l'absence de BOM lors du décodage php-auth-sasl Reconstruction avec pkg-php-tools 1.28 pour corriger
les dépendances de PHP
php-doctrine-annotations
Correction d'un problème de droits de répertoire
[CVE-2015-5723]
php-doctrine-cache
Correction d'un problème de droits de fichier et de
répertoire [CVE-2015-5723]
php-doctrine-common
Correction d'un problème de droits de fichier
[CVE-2015-5723]
php-dropbox Refus de gestion des fichiers contenant une @
[CVE-2015-4715]
php-mail-mimedecode
Reconstruction avec pkg-php-tools 1.28 pour corriger les
dépendances de PHP
php5 Nouvelle version amont
plowshare4 Désactivation de la prise en charge de Javascript postgresql-9.1 Nouvelle version amont
pykerberos Ajout de la prise en charge de la vérification
d'authenticité de KDC [CVE-2015-3206]
python-yaql Retrait du paquet cassé python3-yaql
qpsmtpd Correction de problème de compatibilité avec les
nouvelles versions de Net::DNS
quassel Correction d'un déni de service distant dans quassel
core, à l'utilisation de la commande /op *
[CVE-2015-8547]
redis Assurance qu'un répertoire d'exécution valable est créé
lors de l'exécution sous systemd
redmine Correction des mises à niveau lorsqu'il y a des greffons
installés localement ; correction de problèmes de
déplacement dans les projets
rsyslog Correction de plantage dans le module imfile lors de
l'utilisation du mode inotify ; évitement d'une erreur
de segmentation dans la création de dynafile
ruby-bson Correction d'un déni de service et d'une possible
injection [CVE-2015-4410]
s390-dasd Sortie propre si aucun canal n'est trouvé. Cela
permet à s390-dasd de franchir l'étape dans les
machines virtuelles avec les disques virtio
shadow Correction de gestion d'erreur dans la détection
d'utilisateur occupé
sparse Correction d'échec de compilation avec llvm-3.5
spip Correction d'un problème de script intersite
stk Installation des fichiers include SKINI.{msg,tbl}
absents
sus Mise à jour des sommes de contrôle pour l'archive amont swift Correction de la destruction non autorisée de versions
d'objet Swift [CVE-2015-1856] ; correction de fuite
d'informations à travers les tempurls de Swift
[CVE-2015-5223] ; correction de nom de service
d'object-expirer dans le script d'initiation ; ajout du
script d'initiation container-sync ; ajout de
l'utilisateur « standardise »
systemd Correction du bris de l'espace de nom dû à un tri de
chemin incorrect ; suppression du délai de 90 secondes
en l'absence de mot de passe pour les périphériques
cryptsetup ; réglage du fuseau horaire du noyau
seulement si RTC S'exécute en heure locale, évitant de
possibles sauts dans le passé ; correction de la
gestion incorrecte des virgules de séparation dans
systemd-delta ; configuration possible du comportement
de diffusion de DHCP dans systemd-networkd tangerine-icon-theme
debian/clean-up.sh : pas d'exécution de processus en
arrière-plan
torbrowser-launcher
Application réelle des correctifs de 0.1.9-1+deb8u1 ;
arrêt du confinement du script start-tor-browser avec
AppArmor ; réglage des profils
usr.bin.torbrowser-launcher d'AppArmor au mode
complain (réclamation)
ttylog Correction de la troncature du nom d'un périphérique
lors de la sélection d'un périphérique
tzdata Nouvelle version amont
uqm Ajout de l'option manquante -lm, corrigeant un échec
de compilation
vlc Nouvelle version amont stable
webkitgtk Nouvelle version amont stable ; correction de « late
TLS certificate verification » (vérification des
certificats TLS tardive) [CVE-2015-2330]
wxmaxima Évitement de plantage lors de la rencontre de
parenthèses dans dialogues
zendframework Correction d'un problème d'entropie avec captcha
[ZF2015-09]


Mises à jour de sécurité
------------------------

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :


Identifiant Paquet

DSA-3208 freexl
DSA-3235 openjdk-7
DSA-3280 php5
DSA-3311 mariadb-10.0
DSA-3316 openjdk-7
DSA-3324 icedove
DSA-3327 squid3
DSA-3332 wordpress
DSA-3337 gdk-pixbuf
DSA-3344 php5
DSA-3346 drupal7
DSA-3347 pdns
DSA-3348 qemu
DSA-3350 bind9
DSA-3351 chromium-browser
DSA-3352 screen
DSA-3353 openslp-dfsg
DSA-3354 spice
DSA-3355 libvdpau
DSA-3356 openldap
DSA-3357 vzctl
DSA-3358 php5
DSA-3359 virtualbox
DSA-3360 icu
DSA-3361 qemu
DSA-3363 owncloud-client
DSA-3364 linux
DSA-3365 iceweasel
DSA-3366 rpcbind
DSA-3367 wireshark
DSA-3368 cyrus-sasl2
DSA-3369 zendframework
DSA-3370 freetype
DSA-3371 spice
DSA-3373 owncloud
DSA-3374 postgresql-9.4
DSA-3375 wordpress
DSA-3376 chromium-browser
DSA-3377 mysql-5.5
DSA-3378 gdk-pixbuf
DSA-3379 miniupnpc
DSA-3380 php5
DSA-3381 openjdk-7
DSA-3382 phpmyadmin
DSA-3384 virtualbox
DSA-3385 mariadb-10.0
DSA-3386 unzip
DSA-3387 openafs
DSA-3388 ntp
DSA-3390 xen
DSA-3391 php-horde
DSA-3392 freeimage
DSA-3393 iceweasel
DSA-3394 libreoffice
DSA-3395 krb5
DSA-3397 wpa
DSA-3398 strongswan
DSA-3399 libpng
DSA-3400 lxc
DSA-3401 openjdk-7
DSA-3402 symfony
DSA-3403 libcommons-collections3-java
DSA-3404 python-django
DSA-3405 smokeping
DSA-3406 nspr
DSA-3407 dpkg
DSA-3409 putty
DSA-3411 cups-filters
DSA-3412 redis
DSA-3413 openssl
DSA-3414 xen
DSA-3415 chromium-browser
DSA-3416 libphp-phpmailer
DSA-3417 bouncycastle
DSA-3418 chromium-browser
DSA-3419 cups-filters
DSA-3420 bind9
DSA-3421 grub2
DSA-3422 iceweasel
DSA-3423 cacti
DSA-3424 subversion
DSA-3425 tryton-server
DSA-3426 linux
DSA-3427 blueman
DSA-3428 tomcat8
DSA-3429 foomatic-filters
DSA-3430 libxml2
DSA-3431 ganeti
DSA-3433 ldb
DSA-3433 samba
DSA-3434 linux
DSA-3435 git
DSA-3438 xscreensaver
DSA-3439 prosody
DSA-3440 sudo
DSA-3441 perl
DSA-3442 isc-dhcp
DSA-3443 libpng
DSA-3444 wordpress
DSA-3446 openssh

Paquets supprimés
-----------------

Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :

Paquet Raison
core-network Problèmes de sécurité
elasticsearch Plus pris en charge
googlecl Problèmes de sécurité, non maintenu
libnsgif Problèmes de sécurité, non maintenu
vimperator Incompatible avec les versions récentes d'Iceweasel


Installateur Debian
-------------------

URL
---

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog


Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/


Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates


Informations sur la distribution stable (notes de publication,
errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/


À propos de Debian
------------------

Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.


Contacts
--------

Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier
électronique à <press@debian.org> ou contactez