------------------------------------------------------------------------
Projet Debian https://www.debian.org/ Publication de la mise à jour de Debian 8.6 press@debian.org
17 septembre 2016 https://www.debian.org/News/2016/20160917 ------------------------------------------------------------------------


Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 8 (nommée « Jessie »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD
de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à
jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de
manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers
----------------------------

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
adblock-plus Nouvelle version amont, compatible avec firefox-esr
apache2 Correction d'une situation de compétition et d'une
erreur logique dans le script init ; retrait de liens
vers manpages.debian.org dans l'index.html par défaut ;
mod_socache_memcache : augmentation du délai de pause à
15 s pour permettre les connexions « keep-alive » ;
mod_proxy_fcgi : correction d'un mauvais comportement
avec les réponses 304 ; correction du comportement de
systemd-sysv-generator ; mod_proxy_html : ajout du
fichier de configuration manquant mods-available/
proxy_html.conf
audiofile Correction de dépassement de tampon lors du changement
simultané de format d'échantillonnage et de nombre de
canaux [CVE-2015-7747]
automake-1.14 Évitement d'une utilisation non sûre de /tmp/ dans
install-sh
backintime Ajout de dépendance manquante de python-dbus
backuppc Correction de régressions depuis la mise à jour de samba
vers 4.2
base-files Mise à jour pour cette version
biber Correction d'une casse déclenchée par une mise à jour
intermédiaire de Perl
cacti Correction d'injection de code sql dans tree.php
[CVE-2016-3172] et graph_view.php [CVE-2016-3659] ;
correction de contournement d'authentification
[CVE-2016-2313]
ccache Version amont de correction de bogues
clamav Pas d'échec si l'option AllowSupplementaryGroups est
encore réglée dans le fichier de configuration
cmake Correction du module FindOpenSSL pour qu'il détecte
OpenSSL 1.0.1t
conkeror Prise en charge de Firefox 44 et suivant
debian-edu-config
Migration d'Iceweasel à Firefox ESR ; ajustement de
ldap-tools/ldap-debian-edu-install pour être conforme à
systemd maintenant que l'unité samba.service est
masquée ; dhclient-exit-hooks.d/hostname : ajustement
pour le cas d'un serveur LTSP dédié ; ajustement de
cf.krb5client pour assurer que les exécutions de
cfengine sont idempotentes ; migration du code pour
nettoyer le détournement de /usr/share/pam-configs/krb5
de postinst à preinst pour faciliter les mises à niveau
à partir des vieilles installations de Wheezy ; pas de
purge de libnss-mdns puisque cups a besoin de mdns pour
la détection automatique de l'imprimante
debian-edu-doc Mise à jour des manuels de Debian Edu Jessie et Wheezy à
partir du wiki
debian-installer Reconstruction avec proposed-updates debian-installer-netboot-images
Reconstruction pour cette version
debian-security-support
Mise à jour des données d'assistance incluses ; ajout de
la prise en charge du marquage des paquets comme devant
ne plus être pris en charge à une date à venir
dietlibc Correction de PATH par défaut non sécurisé
dwarfutils Corrections de sécurité [CVE-2015-8538, CVE-2015-8750,
CVE-2016-2050, CVE-2016-2091, CVE-2016-5034,
CVE-2016-5036, CVE-2016-5038, CVE-2016-5039,
CVE-2016-5042]
e2fsprogs Désactivation des messages d'erreurs de date qui est
décalée dans e2fsck ; correction d'une corruption
potentielle des systèmes de fichiers de Hurd par e2fsck
et de bogues de pointeur qui pourraient provoquer des
plantages dans e2fsck et resize2fs
exim4 Correction de bogue « cutthrough » avec des lignes de
lettres avec un simple point ; correction de plantage
avec « exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' » ;
amélioration du fichier NEWS ; rétroportage de la
correction amont manquante pour réaliser vraiment le
travail d'expansion $initial_cwd
file Correction d'un écrasement de tampon dans le fichier
magique finfo_open malformé [CVE-2015-8865]
firegestures Nouvelle version amont, compatible avec firefox-esr flashplugin-nonfree
Update-flashplugin-nonfree : suppression de l'ancien
get-upstream-version.pl du cache
fusionforge Retrait de la dépendance au greffon de Mediawiki du
métapaquet fusionforge-full
gdcm Correction d'un dépassement d'entier [CVE-2015-8396]
et de déni de service [CVE-2015-8397]
glibc Correction d'un échec d'assertion d'adresses de nom de
serveur non connectable (régression introduite par la
correction CVE-2015-7547) ; correction des fonctions
*context de s390x ; correction d'un dépassement de
tampon dans la fonction glob [CVE-2016-1234], d'un
dépassement de pile dans nss_dns_getnetbyname_r
[CVE-2016-3075], d'un dépassement de pile dans la
fonction getaddrinfo [CVE-2016-3706], d'un dépassement
de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ;
mise à jour à partir de la branche stable amont ;
correction des fonctions open et openat d'O_TMPFILE ;
correction d'une suspension de trace sur armel/armhf,
provoquant éventuellement une légère vulnérabilité de
déni de service [CVE-2016-6323] ; correction de mtr sur
les systèmes utilisant seulement des serveurs de
noms IPv6
gnome-maps Nouvelle version amont ; utilisation du serveur de
tuiles Mapbox, à la place du serveur MapQuest plus pris
en charge
gnome-sudoku Plus de génération de la même série de grilles chaque
fois
gnupg gpgv : adaptation des options par défaut pour davantage
de sécurité ; g10 : correction de vérification de clé
pour la validation de signature
gnupg2 gpgv : adaptation des options par défaut pour davantage
de sécurité ; g10 : correction de vérification de clé
pour la validation de signature
greasemonkey Nouvelle version amont, compatible avec firefox-esr intel-microcode Nouvelle version amont
jakarta-jmeter Installation réelle des modèles ; correction d'une
erreur avec libxstream-java >= 1.4.9 lors du chargement
des modèles
javatools Retour d'une chaîne correcte d'architecture pour ppc64el
dans java-arch.sh
kamailio Correction de la vérification de version de libssl libbusiness-creditcard-perl
Ajustement pour des modifications dans la série des
cartes de crédit et traitement de diverses sociétés libcss-dom-perl Contournement de modifications d'Encode incluses dans
les mises à jour stables de perl et libencode-perl libdatetime-timezone- perl
Mise à jour des données incluses à 2016e ; nouvelle
version amont
libdevel-declare-perl
Correction d'une casse déclenchée par une mise à jour de
Perl stable
libnet-ssleay-perl
Correction d'échec de construction avec
openssl 1.0.1t-1+deb8u1
libquota-perl Adaptation de la détection de plateforme pour
fonctionner avec Linux 4.x
libtool Correction de la capacité de co-installation
multi-architecture [amd64 i386]
libxml2 Correction d'un problème de non analyse d'URI sans
partie hôte telle que qemu:///system ; cela répare
libvirt, libsys-virt-perl et d'autres
linux Nouvelle version stable amont
lxc Assurance que les conteneurs Stretch ou Sid ont un
système init, après l'abandon de l'en-tête « Essential:
yes » par init 1.34
mariadb-10.0 Nouvelle version amont, comprenant la correction de
sécurité [CVE-2016-6662]
mozilla-noscript Nouvelle version amont, compatible avec firefox-esr
nullmailer Conservation des données relayhost dans la base de
données de debconf seulement tant que cela est
strictement nécessaire
open-iscsi Script init : léger délai après l'apparition des
périphériques iSCSI, contournant une situation de
concurrence dans laquelle les périphériques dépendants
ne peuvent apparaître qu'après le retour de
l'installation initiale d'udev ; open-iscsi-udeb : mise
à jour d'initramfs après la copie de la configuration
sur le système cible
openssl Correction de la vérification de longueur des CRL ;
activation de l'optimisation d'asm pour s390x ovirt-guest-agent
Installation de l'exécutable ovirt-guest-agent.py ;
modification du propriétaire du répertoire du journal
vers ovirtagent dans postinst
piuparts Correction de l'échec de construction (pas de test de
l'état de la version courante de Debian, suivant ce qui
est le problème de distro-info-data)
policykit-1 Plusieurs corrections de bogue : correction de
corruption de tas [CVE-2015-3255], déni de service local
authentifié [CVE-2015-4625] et problème de chemins
d'objet incorrects dans RegisterAuthenticationAgent
[CVE-2015-3218]
publicsuforrection
Nouvelle version amont
pypdf2 Correction de boucle infinie dans la fonction
readObject()
python-django Mise à jour de correction de bogues vers la
version 1.7.11
python2.7 Traitement de l'attaque « StartTLS stripping attack »
dans smtplib [CVE-2016-0772], dépassement d'entier
dans zipimporter [CVE-2016-5636], injection d'en-tête
HTTP [CVE-2016-5699]
quassel Correction d'un déni de service distant dans le noyau
quassel avec des données de connexion incorrectes
[CVE-2016-4414]
ruby-eventmachine
Correction de plantage déclenchable à distance dû à la
manipulation de descripteurs de fichier
ruby2.1 Pas d'ouverture par dl::dlopen d'une bibliothèque
avec un nom de bibliothèque souillé en mode sans échec
[CVE-2009-5147] ; « Fiddle::handle » ne devrait pas
appeler des fonctions avec des noms de fonction souillés
[CVE-2015-7551]
sendmail Pas d'abandon avec une assertion si la connexion à un
serveur LDAP est perdue ; assurance que sendmail
{client_port} est réglé correctement sur les machines
petit-boutistes
sqlite3 Correction d'une vulnérabilité de sélection de
répertoire temporaire [CVE-2016-6153], d'une erreur de
segmentation suite à l'utilisation intensive de
SAVEPOINT
systemd Utilisation du délai correct pour arrêter un processus
créé par un fork ; pas de réinitialisation du niveau de
journalisation à NOTICE si on obtient « quiet » sur la
ligne de commande du noyau ; correction de la fonction
« prepare priority queue comparison » dans sd-event ;
mise à jour des liens vers la documentation cgroup de
kernel.org ; pas de lancement de console-getty.service
lorsque /dev/console est absent ; ordonnancement de
systemd-user-sessions.service après nss-user-
lookup.target et network.target
tabmixplus Nouvelle version amont, compatible avec firefox-esr
tcpreplay Gestion de trames d'une taille de 65535 octets, ajout de
vérification de taille [CVE-2016-6160]
tor Mise à jour de l'ensemble des serveurs de répertoires
d'autorité
tzdata Nouvelle version amont ; mise à jour vers 2016e
unbound Correction du script init : ajout du commentaire magique
« pidfile » ; appel de start-stop-daemon avec l'option
--retry pour l'action « stop »
util-vserver Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1,
corrigeant le PATH par défaut non sécurisé
vorbis-tools Correction de la fonction alloca large sur une entrée
d'AIFF vers oggenc [CVE-2015-6749], validation du nombre
de canaux dans l'en-tête [CVE-2014-9638 CVE-2014-9639],
correction d'erreur de segmentation dans vcut
vtk Reconstruction pour corriger les chemins de Java
[ppc64el]
wget Par défaut, dans les redirections de serveur vers une
ressource FTP, utilisation de l'URL originale pour
récupérer le nom de fichier local [CVE-2016-4971]
wpa Mise à jour de sécurité relative à des caractères
invalides [CVE-2016-4476, CVE-2016-4477]
yaws Correction d'injection d'environnement CGI de HTTP_PROXY
[CVE-2016-1000108]
zabbix Correction d'injection de commande mysql.size dans
zabbix-agent [CVE-2016-4338]

Le paquet « mariadb-10.0 » échoue lors de sa construction pour l’architecture powerpc, mais a été inclus dans cette publication intermédiaire pour permettre une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique au moment de cet envoi.
Si une correction pour l’échec de construction est disponible avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être
publiée à l’aide de « jessie-updates ».

Mises à jour de sécurité
------------------------

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :


Identifiant Paquet
DSA-3548 samba
DSA-3548 talloc
DSA-3548 tdb
DSA-3548 tevent
DSA-3548 ldb
DSA-3565 monotone
DSA-3588 symfony
DSA-3589 gdk-pixbuf
DSA-3590 chromium-browser
DSA-3591 imagemagick
DSA-3592 nginx
DSA-3593 libxml2
DSA-3594 chromium-browser
DSA-3596 spice
DSA-3597 expat
DSA-3598 vlc
DSA-3599 p7zip
DSA-3600 firefox-esr
DSA-3602 php5
DSA-3603 libav
DSA-3604 drupal7
DSA-3605 libxslt
DSA-3606 libpdfbox-java
DSA-3607 linux
DSA-3608 libreoffice
DSA-3609 tomcat8
DSA-3610 xerces-c
DSA-3611 libcommons-fileupload-java
DSA-3612 gimp
DSA-3613 libvirt
DSA-3614 tomcat7
DSA-3615 wireshark
DSA-3616 linux
DSA-3617 horizon
DSA-3618 php5
DSA-3619 libgd2
DSA-3620 pidgin
DSA-3621 mysql-connector-java
DSA-3622 python-django
DSA-3623 apache2
DSA-3624 mysql-5.5
DSA-3625 squid3
DSA-3626 openssh
DSA-3627 phpmyadmin
DSA-3628 libunicode-linebreak-perl
DSA-3628 debhelper
DSA-3628 libmime-encwords-perl
DSA-3628 perl
DSA-3628 libsys-syslog-perl
DSA-3628 libmodule-build-perl
DSA-3628 libnet-dns-perl
DSA-3628 libintl-perl
DSA-3628 cdbs
DSA-3628 libmime-charset-perl
DSA-3628 devscripts
DSA-3628 exim4
DSA-3629 ntp
DSA-3630 libgd2
DSA-3631 php5
DSA-3633 xen
DSA-3634 redis
DSA-3635 libdbd-mysql-perl
DSA-3637 chromium-browser
DSA-3638 curl
DSA-3639 wordpress
DSA-3640 firefox-esr
DSA-3641 openjdk-7
DSA-3642 lighttpd
DSA-3643 kde4libs
DSA-3644 fontconfig
DSA-3645 chromium-browser
DSA-3646 postgresql-9.4
DSA-3647 icedove
DSA-3648 wireshark
DSA-3649 gnupg
DSA-3650 libgcrypt20
DSA-3651 rails
DSA-3652 imagemagick
DSA-3653 flex
DSA-3653 bogofilter
DSA-3654 quagga
DSA-3655 mupdf
DSA-3656 tryton-server
DSA-3657 libarchive
DSA-3658 libidn
DSA-3659 linux
DSA-3660 chromium-browser
DSA-3661 charybdis
DSA-3662 inspircd
DSA-3663 xen
DSA-3664 pdns

Paquets supprimés
-----------------

Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :

Paquet Raison

minit Non maintenu et obsolète
trn Problèmes de sécurité ; remplacé par trn4

Installateur Debian
-------------------

URL
---

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog


Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/


Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates


Informations sur la distribution stable (notes de publication,
errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/


À propos de Debian
------------------

Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.


Contacts
--------

Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier électronique
à <press@debian.org> ou contactez