Publication de la mise à jour de Debian 7.7
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 7 (nommée wheezy
) en date du 18 octobre 2014. Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 7 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 7 plus anciens mais simplement de faire une mise à jour à l'aide d'un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| at | Ne retenir que les variables dont le nom est composé de caractères alphanumériques et underscores pour empêcher les tâches d'échouer dans le cas où bash exporte les fonctions vers l'environnement avec les modifications de DSA-3035 |
| axis | Correction d'attaque d'homme du milieu sur SSL causée par une correction incomplète pour CVE-2012-5784 [CVE-2014-3596] |
| base-files | Mise à jour pour cette version |
| blender | Correction d'instruction matérielle illégale |
| ca-certificates | Mise à jour du groupe de certificats de Mozilla ; correction de certdata2pem.py pour plusieurs autorités de certification utilisant le même CKA_LABEL |
| debian-archive-keyring | Ajout de la clé de distribution stable de Jessie |
| debian-installer | Reconstruction pour cette version |
| debian-installer-netboot-images | Mise à jour vers les images 20130613+deb7u2+b3 |
| debsums | Suppression du rapport des fichiers de configuration qui ont été déplacés vers un nouveau paquet en tant que modifiés dans l'ancien paquet |
| dwm | Correction d'en-têtes de correctifs cassés |
| eglibc | Correction de réutilisation de descripteur de fichier invalide lors de l'envoi de requêtes DNS ; correction de problèmes de dépassement de tas [CVE-2013-4357] ; correction d'une régression localplt introduite dans la version 2.13-38+deb7u3 [CVE-2014-0475] ; correction d'une fuite de mémoire avec dlopen() et les variables de stockage locales aux threads ; réinclusion de toute la documentation, accidentellement cassée par des envois précédents |
| exim4 | Arrêts de la double expansion non voulue d'arguments aux opérations de comparaison mathématique [CVE-2014-2972] |
| flashplugin-nonfree | Correction d'une vulnérabilité de remise à niveau inférieur, mise à jour des dépendances |
| foremost | Correction d'un en-tête de correctif invalide |
| getfem++ | Correction d'en-têtes de correctif cassés |
| gnubg |
Correction d'un plantage sur end gamequand gnubg est lancé avec l'option -t |
| hawtjni | Correction d'une situation de compétition dans /tmp avec l'exécution de code arbitraire [CVE-2013-2035] |
| ipython | Correction d'exécution à distance avec des websockets d'origine croisée [CVE-2014-3429] |
| iso-scan | Ne pas faire d'erreur lors d'une recherche dans des répertoires ayant des caractères shell spéciaux dans leur nom |
| keyutils | Utilisation du niveau de compression par défaut de xz pour les paquets binaires |
| kvpm | Correction d'en-tête de correctif invalide |
| libdatetime-timezone-perl | Nouvelle version amont |
| libplack-perl | Éviter l'accès fichier non voulu dû à la suppression incorrecte des slash de fin dans les chemins fournis [CVE-2014-5269] |
| libsnmp-session-perl | Correction des avertissements de perl avec libsocket6-perl installé |
| linux | Mise à jour vers la version amont stable 3.2.63 ; mise à jour de drm et agp vers 3.4.103 ; udf : éviter une boucle infinie lors du traitement des ICB indirects [CVE-2014-6410] ; libceph : ne pas coder en dur la longueur maximum des tickets d'authentification [CVE-2014-6416 CVE-2014-6417 CVE-2014-6418] ; ajout de pata_rdc à l'udeb pata-modules et de virtio_scsi à l'udeb virtio-modules ; sp5100_tco : rejet des puces SB8x0 |
| live-config | Désactiver l'identification par SSH au démarrage |
| nana | Reconstruction avec debhelper de Wheezy pour se débarrasser des appels à install-info dans les scripts de mainteneur ; ajout d'un script prerm vide factice pour permettre la mise à niveau du paquet quand il n'est plus disponible |
| net-snmp |
Correction du bogue snmpd : produit une erreur si les entrées Executables/scripts de snmpd.conf sont plus der 50; corrections de sécurité [CVE-2014-2285 CVE-2014-3565 CVE-2012-6151] |
| netcfg | Correction de la prise en charge pour l'entrée manuelle d'un ESSID |
| oss-compat | Utilisation de directives softdep dans la configuration de modprobe ; suppression de oss-compat.conf lors de la suppression du paquet |
| perl | Correction de la récursion infinie dans Data::Dumper [CVE-2014-4330] |
| php-getid3 | Amélioration du correctif pour le problème de sécurité de XXE [CVE-2014-2053] |
| postgresql-8.4 | Nouvelle version amont |
| postgresql-9.1 | Nouvelle version amont |
| proftpd-dfsg | Correction d'un tampon débordant menant à des plantages et des blocages de SFTP |
| qlandkartegt | Mise à jour de la chaîne d'agent utilisateur |
| scotch | Reconstruction sur amd64 pour corriger la dépendance à openmpi |
| supervisor | Correction des problèmes de redémarrage et de formatage avec le script d'init |
| tor | Utilisation de l'ordre correct des octets lors de l'envoi de l'adresse du point de rendez-vous choisi à un service caché ; mise à jour de l'adresse IP pour l'autorité de répertoire gabelmoo v3 |
| tzdata | Nouvelle version amont |
| unattended-upgrades |
Ajout de oldstableà la liste des origines acceptées pour les paquets de sécurité |
| virtinst | Réparation de virtinst avec la bibliothèque python-libvirt la plus récente |
| wireless-regdb | Nouvelle version amont |
| witty | Correction du lien symbolique vers le thème Blue Monday de jPlayer |
| xdg-utils | Utilisation de /bin/echo à la place de echo -e dans xdg-mail |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| ctn | Non distribuable |
| ssdeep | Non distribuable |
| dicomnifti | Dépend de ctn, sur le point d'être supprimé |
| ctsim | Dépend de ctn, sur le point d'être supprimé |
URLs
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.