------------------------------------------------------------------------
Projet Debian
https://www.debian.org/ Publication de la mise à jour de Debian 8.7
press@debian.org
14 janvier 2017
https://www.debian.org/News/2017/20170114 ------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 8 (nommée « jessie »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 8 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens
CD et DVD de la version jessie mais simplement de faire une mise à jour
à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de
manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
----------------------------
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet Raison
ark Arrêt du plantage en quittant lors d'une utilisation
uniquement comme un KPart
asterisk Correction d'un problème de sécurité dû au traitement
de caractères ASCII non imprimables, comme des
espaces [CVE-2016-9938]
asused Utilisation de champs créés à la place de champs
modifiés, conforme à la modification des données
source
base-files Passage de /etc/debian_version à 8.7
bash Correction d'exécution de code arbitraire à travers
un nom d'hôte malveillant [CVE-2016-0634] et de
variables SHELLOPTS+PS4 contrefaites pour l'occasion
qui permettent une substitution de commande
[CVE-2016-7543]
ca-certificates Mise à jour du paquet de l'autorité de certification
Mozilla vers la version 2.9 ; postinst : exécution de
update-certificates sans connecteur pour remplir
initialement /etc/ssl/certs
cairo Correction de déni de service par l'utilisation de SVG
pour créer des pointeurs non valables [CVE-2016-9082]
ccache [amd64] Reconstruction dans un environnement propre
ceph Correction de problème de requête CORS courte
[CVE-2016-9579], déni de service sur le moniteur DoS
[CVE-2016-5009], lecture anomyne d'ACL [CVE-2016-7031],
déni de service de RGW [CVE-2016-8626]
chirp Désactivation du rapport de télémétrie par défaut cyrus-imapd-2.4 Correction de la prise en charge de LIST GROUP
darktable Correction de dépassement d'entier dans ljpeg_start()
[CVE-2015-3885]
dbus Correction d'une vulnérabilité potentielle de format
de chaîne ; dbus.prerm : assurance que dbus.socket est
arrêté avant suppression
debian-edu-doc Mise à jour du manuel de Debian Edu Jessie à partir du
wiki ; correction des fichiers PO du manuel (da|nl) de
Jessie pour obtenir la construction des manuels au
format PDF ; mises à jour des traductions
debian-edu-install
Mise à jour du numéro de version vers 8+edu1 debian-installer Reconstruction pour cette version debian-installer-netboot-images
Reconstruction pour cette version
duck Correction de chargement de code à partir
d'emplacements non fiables [CVE-2016-1239]
e2fsprogs Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1,
pour bénéficier des corrections de sécurité incluses ebook-speaker Correction de suggestion d'installation de html2text
pour lire les fichiers html
elog Correction d'envoi d'entrée sous un nom d'utilisateur
arbitraire [CVE-2016-6342]
evolution-data-server
Correction d'abandon de connexion prématuré avec des
tailles de fenêtre TCP réduites et ayant pour
conséquence la perte de données
exim4 Correction de fuite de mémoire de GnuTLS
file Correction de fuite de mémoire dans le chargeur
magique
ganeti-instance-debootstrap
Correction d'invocations de losetup en remplaçant -s
par --show
glibc Pas d'utilisation inconditionnelle de l'instruction
fsqrt sur les CPU PowerPC 64 bits ; correction d'une
régression introduite par cvs-resolv-ipv6-
nameservers.diff dans hesiod ; désactivation de
l'omission de verrouillage (alias Intel TSX) sur les
architectures x86
glusterfs Quota : la correction ne devrait pas générer de
problème de montage supplémentaire
gnutls28 Correction de validation incorrecte de certificat
lors de l'utilisation de réponses OCSP
[GNUTLS-SA-2016-3 / CVE-2016-7444] ; compatibilité
assurée avec nettle et la correction CVE-2016-6489
hplip Utilisation d'empreinte de clé gpg complète lors de
la récupération de clé à partir des serveurs de clés
[CVE-2015-0839]
ieee-data Désactivation de la tâche cron de mise à jour
mensuelle
intel-microcode Mise à jour du micro-logiciel
irssi Correction d'un problème de fuite d'informations avec
buf.pl et /upgrade [CVE-2016-7553] ; correction
de déréférencement de pointeur NULL dans la fonction
nickcmp [CVE-2017-5193], d'utilisation de mémoire après
libération lors de la réception de message nick non
valable [CVE-2017-5194] et de lecture hors limite dans
certains codes de contrôle incomplets [CVE-2017-5195] isenkram Téléchargement de micro-logiciel avec curl ;
utilisation de HTTPS lors du téléchargement de
modalias ; migration de miroir de http.debian.net à
httpredir.debian.org
jq Correction de dépassement de tas [CVE-2015-8863] et
d'épuisement de pile [CVE-2016-4074]
libclamunrar Correction d'accès hors bande
libdatetime-timezone-perl
Mise à jour pour 2016h ; mise à jour des données
incluses pour 2016i ; mise à jour pour 2016j ;
mise à jour pour 2016g
libfcgi-perl Correction de « numerous connections cause segfault
DoS » [CVE-2012-6687]
libio-socket-ssl-perl
Correction d'un problème d'erreur « unreadable SSL_key_
file » lors d'utilisation des ACL du système de
fichiers
libmateweather Migration de weather.noaa.gov interrompu à
aviationweather.gov
libphp-adodb Correction de vulnérabilité de script intersite
[CVE-2016-4855] et de problème d'injection SQL
[CVE-2016-7405]
libpng Correction d'un problème de déréférencement de
pointeur NULL [CVE-2016-10087]
libwmf Correction d'allocation de grands blocs de mémoire
[CVE-2016-9011]
linkchecker Correction de vérification HTTPS
linux Mise à jour vers stable 3.16.39 ; ajout du pilote
chaoskey, rétroporté à partir de 4.8, prise en charge
du périphérique flash SPI n25q256a11 ; sécurité,
perf : désactivation permise de l'utilisation non
privilégiée de perf_event_open ; plusieurs corrections
de bogues et de sécurité
lxc Attach : pas d'envoi de procfd au processus attaché
[CVE-2016-8649] ; remontage des montages bind si
l'étiquette lecture seule est fournie ; correction de
la création de conteneur d'Alpine Linux
mapserver Correction de FTBFS avec php >= 5.6.25 ; correction de
fuite d'informations par les messages d'erreur
[CVE-2016-9839]
mdadm Permission à « --grow --continue » de réorganiser avec
succès un volume lors de l'utilisation d'un espace de
sauvegarde sur un périphérique « de secours »
metar Mise à jour de l'URL du rapport
minissdpd Correction d'une vulnérabilité de validation incorrecte
d'index de volume [CVE-2016-3178 CVE-2016-3179]
monotone Modification du test sigpipe pour écrire 1 Mo de
données de test pour augmenter la possibilité de
déborder le tampon de tube
most Correction d'attaque d'injection de commande lors de
l'ouverture de fichiers compressés avec lzma
[CVE-2016-1253]
mpg123 Correction d'un déni de service avec des étiquettes
ID3v2 contrefaites
musl Correction de dépassement d'entier [CVE-2016-8859]
nbd Arrêt du mélange d'étiquettes globales dans le champ
des étiquettes qui est envoyé au noyau, de manière à ce
que la connexion à nbd-server >= 3.9 ne fasse pas que
chaque exportation soit marquée en lecture seule, de
façon incorrecte
nettle Protection contre les attaques potentielles par canal
auxiliaire à l'encontre des opérations d'exponentiation
[CVE-2016-6489]
nss-pam-ldapd Retour de l'action d'arrêt du script d'initialisation
seulement quand nslcd s'est vraiment arrêté nvidia-graphics-drivers
Mise à jour vers la version du pilote comprenant les
corrections de sécurité [CVE-2016-8826 CVE-2016-7382
CVE-2016-7389]
nvidia-graphics-drivers-legacy-304xx
Mise à jour vers la version du pilote comprenant les
corrections de sécurité [CVE-2016-8826 CVE-2016-7382
CVE-2016-7389]
nvidia-graphics-modules
Reconstruction avec nvidia-kernel-source 340.101
openbox Ajout de la dépendance de construction libxcursor-dev
pour corriger le chargement de notifications de
démarrage ; remplacement de getgrent par getgroups pour
ne pas énumérer tous les groupes au démarrage
opendkim Correction de la mise en forme canonique assouplie des
en-têtes imbriqués qui casse les signatures
pam Correction de gestion de loginuid dans les conteneurs
pgpdump Correction de boucle infinie à l'analyse d'entrée
falsifiée pour l'occasion dans read_binary
[CVE-2016-4021] et de dépassement de tampon dans
read_radix64
postgresql-9.4 Nouvelle version stable amont
postgresql-common
Pg_upgradecluster : mise à niveau correcte des bases
de données avec des propriétaires non autorisés à se
connecter ; pg_ctlcluster : protection contre les liens
symboliques dans /var/ log/postgresql/ permettant la
création de fichiers arbitraires ailleurs
[CVE-2016-1255]
potrace Correction de sécurité [CVE-2016-8694 CVE-2016-8695
CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699
CVE-2016-8700 CVE-2016-8701 CVE-2016-8702
CVE-2016-8703]
python-crypto Avertissement lancé quand un IV est utilisé avec ECB
(« Electronic Code Book ») ou CTR (« CounTer Mode ») et
ignore l'IV [CVE-2013-7459]
python-werkzeug Correction de script intersite dans le débogueur qtbase-opensource-src
Évitement de déréférencement bad-ptrs dans
QNetworkConfigurationManagerPrivate ; correction des
icônes de la zone de notification de X11 sur
certains bureaux
rawtherapee Correction de dépassement de tampon dans dcraw
[CVE-2015-8366]
redmine Gestion de l'échec de vérification de dépendance au
déclenchement pour éviter de casser au milieu des
dist-upgrades ; ouverture évitée de la configuration de
bases de données qui ne sont pas lisibles
samba Correction de « client side SMB2/3 required signing can
be downgraded » [CVE-2016-2119], de diverses
régressions introduites dans les corrections de
sécurité 4.2.10 et d'erreur de segmentation dans les
grappes
sed Garantie de droits cohérents avec différents umasks
shutter Correction d'utilisation non sécurisée de system()
[CVE-2015-0854]
sniffit Correction de sécurité [CVE-2014-5439]
suckless-tools Correction de SEGV dans slock quand le compte de
l'utilisateur a été désactivé [CVE-2016-6866]
sympa Correction de la configuration de logrotate pour que
sympa ne soit pas laissé dans un état confus quand
systemd est utilisé
systemd Pas de retour d'erreur dans manager_dispatch_notify_
fd() [CVE-2016-7796] ; core : réécriture logique pour
déterminer quand décider d'ajouter des dépendances
automatiques pour les montages ; diverses corrections
d'ordonnancement pour ifupdown ; systemctl : correction
de la gestion d'argument lorsqu'il est invoqué à
l'extinction ; localed : absence tolérée de
/etc/default/keyboard ; systemctl, loginctl, etc. : pas
de démarrage de l'agent polkit lors d'une exécution en
tant que root
tevent Nouvelle version amont, requise pour samba
tre Correction de dépassement d'entier regex dans les
calculs de taille de tampon [CVE-2016-8859]
tzdata Mise à jour des données incluses pour 2016h ; mise à
jour pour 2016g ; mise à jour pour 2016j ; mise à jour
des données incluses pour 2016i
unrtf Correction de dépassement de tampon dans diverses
fonctions cmd_ [CVE-2016-10091]
w3m Plusieurs corrections de sécurité [CVE-2016-9430
CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441
CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432
CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435
CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428
CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621
CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624
CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628
CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632
CVE-2016-9633]
wireless-regdb Mise à jour des données incluses
wot Suppression de greffon à cause de problèmes de vie
privée
xwax Remplacement de ffmpeg par avconv de libav-tools
zookeeper Correction de dépassement de tampon par la commande
d'entrée lors de l'utilisation de la syntaxe de mode
batch « cmd: » [CVE-2016-5017]
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant Paquet
DSA-3636 collectd
DSA-3665 openjpeg2
DSA-3666 mysql-5.5
DSA-3667 chromium-browser
DSA-3668 mailman
DSA-3669 tomcat7
DSA-3670 tomcat8
DSA-3671 wireshark
DSA-3672 irssi
DSA-3673 openssl
DSA-3674 firefox-esr
DSA-3675 imagemagick
DSA-3676 unadf
DSA-3677 libarchive
DSA-3678 python-django
DSA-3679 jackrabbit
DSA-3680 bind9
DSA-3681 wordpress
DSA-3682 c-ares
DSA-3683 chromium-browser
DSA-3684 libdbd-mysql-perl
DSA-3685 libav
DSA-3686 icedove
DSA-3687 nspr
DSA-3688 nss
DSA-3689 php5
DSA-3691 ghostscript
DSA-3692 freeimage
DSA-3693 libgd2
DSA-3694 tor
DSA-3695 quagga
DSA-3696 linux
DSA-3697 kdepimlibs
DSA-3698 php5
DSA-3700 asterisk
DSA-3701 nginx
DSA-3702 tar
DSA-3703 bind9
DSA-3704 memcached
DSA-3705 curl
DSA-3706 mysql-5.5
DSA-3709 libxslt
DSA-3710 pillow
DSA-3712 terminology
DSA-3713 gst-plugins-bad0.10
DSA-3714 akonadi
DSA-3715 moin
DSA-3716 firefox-esr
DSA-3717 gst-plugins-bad0.10
DSA-3717 gst-plugins-bad1.0
DSA-3718 drupal7
DSA-3719 wireshark
DSA-3720 tomcat8
DSA-3721 tomcat7
DSA-3722 vim
DSA-3723 gst-plugins-good1.0
DSA-3724 gst-plugins-good0.10
DSA-3725 icu
DSA-3726 imagemagick
DSA-3727 hdf5
DSA-3728 firefox-esr
DSA-3729 xen
DSA-3731 chromium-browser
DSA-3732 php-ssh2
DSA-3732 php5
DSA-3733 apt
DSA-3734 firefox-esr
DSA-3735 game-music-emu
DSA-3736 libupnp
DSA-3737 php5
DSA-3738 tomcat7
DSA-3739 tomcat8
DSA-3740 samba
DSA-3741 tor
DSA-3743 python-bottle
DSA-3744 libxml2
DSA-3745 squid3
DSA-3747 exim4
DSA-3748 libcrypto++
DSA-3749 dcmtk
DSA-3750 libphp-phpmailer
DSA-3751 libgd2
DSA-3752 pcsc-lite
DSA-3753 libvncserver
DSA-3754 tomcat7
DSA-3755 tomcat8
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :
Paquet Raison
dotclear Problèmes de sécurité
sogo Problèmes de sécurité
Installateur Debian
-------------------
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
http://ftp.debian.org/debian/dists/jessie/ChangeLog
Adresse de l'actuelle distribution stable :
http://ftp.debian.org/debian/dists/stable/
Mises à jour proposées à la distribution stable :
http://ftp.debian.org/debian/dists/proposed-updates
Informations sur la distribution stable (notes de publication, errata,
etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://security.debian.org/
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian
https://www.debian.org/ ou envoyez un courrier électronique à <
press@debian.org> ou contacte