Publication de la mise à jour de Debian 8.3
Rédigé par niconux
Aucun commentaire
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 8 (nommée « Jessie »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| android-platform-frameworks-base | [i386] nouvelle version pour corriger la dépendance à android-libhost |
| apache2 | Correction d'asplit-logfile pour qu'il fonctionne avec la version actuelle de perl, de secondary-init-script pour qu'il ne source pas le script principal d'init avec l'option 'set -e', tests sur la migration différée de MPM ; ajout d'une version à « Replaces / Breaks » pour libapache2-mod-macro |
| apt | Dissimulation du premier message de débogage d'échec de fusion de pdiff ; correction du marquage des dépendances de paquet dans APT::Never-MarkAuto-Sections comme dans le manuel ; arrêt de l'analyse des champs Status des sources distantes |
| apt-dater-host | Correction de la détection de la version du noyau |
| apt-offline | Ajout de dépendances manquantes à python-apt |
| arb | Omission de la vérification de la version du compilateur |
| augeas | Programmes « lense » HTTPD : inclusion du répertoire /etc/apache2/conf-available, autorisation de commentaires EOL après les étiquettes de section |
| base-files | Mise à jour pour la version 8.3 ; os-release : suppression de la barre oblique à la fin de la variable SUPPORT_URL |
| bcfg2 | Prise en charge de Django 1.7 |
| ben | Correction des liens compacts buildd.debian.org ; erreurs potentielles lors de la suppression d'un fichier de verrouillage ignorées ; appel de dose-debcheck avec --deb-native-arch |
| ca-certificates | Mise à jour du paquet de l'autorité de certification Mozilla vers la version 2.6 |
| ceph | Codage d'adresse des noms de « bucket » [CVE-2015-5245] |
| charybdis | Correction de sécurité [CVE-2015-5290] ; initialisation correcte de gnutls |
| chrony | Construction dépendante de libcap-dev, pour permettre l'abandon de droits |
| commons-httpclient | Assurance que les appels HTTPS utilisent http.socket.timeout pendant l'initialisation de connexion SSL [CVE-2015-5262] |
| cpuset | Mise à jour du correctif du préfixe de l'espace de nom du système de fichiers |
| curlftpfs | Évitement des forçages non sécurisés pour getpass() sur les architectures 64 bits |
| dbconfig-common | Correction des droits des fichiers de sauvegarde de PostgreSQL |
| debian-handbook | Mise à jour pour Jessie |
| debian-installer | Réintroductions des images de l'installateur pour QNAP TS-x09 ; fourniture d'images u-boot pour les mini-PC ; ajout du module part_gpt dans l'image principale de grub ; ajout de bips au menu d'amorçage UEFI x86 ; ajout du raccourci « s » pour la synthèse vocale au menu d'amorçage UEFI x86 ; exclusion d'usb-serial-modules de l'image network-console d'armel et explicitement d'usb-modules dans armel/orion5x network-console ; abandon de l'extension file dans l'initrd pour les périphériques QNAP ; ajustement de la prise en charge de p-u pour gérer file:// au lieu de seulement (f|ht)tp:// |
| debian-installer-netboot-images | Reconstruction pour cette version |
| docbook2x | Suppression de l'installation des fichiers info/dir.gz |
| doctrine | Correction des problèmes de droits des répertoires [CVE-2015-5723] |
| drbd-utils | Correction de l'ajustement de drbdadm aux adresses de connexion IPv6 |
| ejabberd | Correction de requêtes LDAP cassées |
| exfat-utils | Correction de dépassement de tampon et de boucle infinie |
| exim4 | Correction de quelques plantages liés à MIME ACL ; correction d'un bogue provoquant des doubles distributions, surtout avec les connexions TLS |
| fglrx-driver | Nouvelle version amont ; correction de problème de sécurité [CVE-2015-7724] |
| file | Correction de la gestion de --parameter |
| flash-kernel | Évitement de l'attente de Ctrl-C si une interface debconf est utilisée |
| fuse-exfat | Correction de dépassement de tampon et de boucle infinie |
| ganglia-modules-linux | Redémarrage du service ganglia après installation seulement s'il était exécuté précédemment |
| getmail4 | Réglage poplib._MAXLINE=1MB |
| glance | Modification directe interdite du statut de l'image par l'API v1 [CVE-2015-5251] |
| glibc | Correction du renvoi parfois par getaddrinfo de données non initialisées avec nscd ; correction de données lors de la lectures de la base de données de fichiers de NSS [CVE-2015-5277] ; correction de dépassement de tampon (lecture au-delà de la fin du tampon) dans internal_fnmatch ; correction de dépassement d'entier de _IO_wstr_overflow ; correction de la fermeture inattendue de la base de données nss_files après recherche, provoquant un déni de service [CVE-2014-8121] ; correction du cache netgroup de NSCD ; désactivation inconditionnelle de LD_POINTER_GUARD ; détournement de pointeurs de fonction dans tls_dtor_list ; correction de problèmes d'allocation de mémoire qui mènent à des dépassements de tampon sur la pile ; mise à jour de la liste noire de TSX pour ajouter certains processeurs Broadwell |
| gnome-orca | Assurance de viser la bonne cible à l'entrée du mot de passe, afin que les caractères ne soient pas affichés |
| gnome-shell-extension-weather | Affichage d'un avertissement si la clé de l'API n'a pas été fournie par l'utilisateur, dans la mesure où les requêtes à openweathermap.org ne fonctionnent plus sans cette clé |
| gummi | Évitement de noms prédictibles pour les fichiers temporaires [CVE 2015-7758] |
| human-icon-theme | debian/clean-up.sh : pas d'exécution de processus en arrière-plan |
| ieee-data | Mise à jour des fichiers de données inclus, ajoutant mam.txt et oui36.txt ; arrêt des téléchargement par HTTPS, parce que ni wget ni curl ne gèrent TLS AIA, tel qu'utilisé maintenant par standards.ieee.org |
| intel-microcode | Mise à jour des micrologiciels inclus |
| iptables-persistent | Arrêt des fichiers de règles lisibles par tout le monde ; réécriture du README |
| isc-dhcp | Correction d'erreur quand le temps d'attribution est dépassé avec les systèmes 64 bits |
| keepassx | Correction du stockage des mots de passe en clair [CVE-2015-8378] |
| libapache-mod-fastcgi | Passage de B-D de libtool à libtool-bin pour corriger un échec de compilation |
| libapache2-mod-perl2 | Correction de plantages dans modperl_interp_unselect() |
| libcgi-session-perl | Retrait de la teinte de données brutes venant de dorsaux de stockage de session, corrigeant une régression provoquée par les corrections de CVE-2015-8607 dans Perl |
| libdatetime-timezone-perl | Nouvelle version amont |
| libencode-perl | Gestion correcte de l'absence de BOM lors du décodage |
| libhtml-scrubber-perl | Correction d'une vulnérabilité de script inter-site dans les commentaires [CVE-2015-5667] |
| libinfinity | Correction de plantages potentiels lorsqu'une entrée est retirée du navigateur de documents alors que les listes de contrôle d'accès sont actives |
| libiptables-parse-perl | Correction de l'utilisation de noms prédictibles pour les fichiers temporaires [CVE-2015-8326] |
| libraw | Correction de dépassement d'index dans smal_decode_segment [CVE-2015-8366] ; correction d'objets mémoire non initialisés correctement [CVE-2015-8367] |
| libssh |
Correction de null pointer dereference due to a logical error in the handling of a SSH_MSG_NEWKEYS and KEXDH_REPLY packets(déréférencement de pointeur null lié à une erreur logique dans la gestion des paquets SSH_MSG_NEWKEYS et KEXDH_REPLY) [CVE-2015-3146] |
| linux | Mise à jour vers la version amont 3.16.7-ctk20 ; nbd : restauration de la détection de délai de requête ; [x86] activation de PINCTRL_BAYTRAIL ; [mips*/octeon] activation de CAVIUM_CN63XXP1 ; firmware_class : correction de condition dans la boucle de recherche de répertoire ; [x86] KVM : svm : interception inconditionnelle de #DB [CVE-2015-8104] |
| linux-tools | Ajout du nouveau paquet hyperv-daemons |
| lldpd | Correction d'une erreur de segmentation et d'une erreur d'assertion lors de la réception d'adresses de gestion LLDP incorrectement formées |
| madfuload | Utilisation d'autoreconf -fi pour corriger un échec de compilation avec automake 1.14 |
| mdadm | Désactivation de l'assembleur incrémental parce qu'il provoque des problèmes en démarrant un RAID dégradé |
| mkvmlinuz | Direction des sorties de run-parts sur l'erreur standard |
| monit | Correction d'une régression concernant umask depuis 5.8.1 |
| mpm-itk |
Correction d'un problème de tentative de fermeture de connexions dans le parent. Cela pourrait aboutir à ce que Connection: closene soit pas honoré et divers effets étranges avec la persistance de SSL dans certains navigateurs |
| multipath-tools | Correction de la découverte de périphériques avec un attribut sysfs vide ; ajout de documentation pour traiter des scénarios de noms supplémentaires adaptés ; init : correction de l'échec d'arrêt quand aucun périphérique racine n'est trouvé ; utilisation de « SCSI_IDENT_.* » comme propriété par défaut de liste blanche |
| netcfg | Correction d'is_layer3_qeth sur s390x pour éviter d'abandonner si le pilote de réseau n'est pas qeth |
| nvidia-graphics-drivers | Nouvelle version amont [CVE-2015-5950] ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869] |
| nvidia-graphics-drivers-legacy-304xx | Nouvelle version amont ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869] |
| nvidia-graphics-modules | Reconstruction avec nvidia-kernel-source 340.96 |
| openldap | Correction d'un plantage lors de l'ajout d'une grande valeur d'attribut avec la surcouche auditlog activée |
| openvpn | Ajout de --no-block au script if-up.d pour éviter un blocage au démarrage sur les interfaces avec des instances openvpn |
| owncloud |
Correction de l'inclusion de fichier local avec Microsoft Windows Platform [CVE-2015-4716], de l'épuisement de ressource lors de la vérification de noms de fichier [CVE-2015-4717], de l'injection de commande lors de l'utilisation de stockage externe SMB [CVE-2015-4718], exportation d'agenda : contournement d'autorisation par des clés contrôlées par l'utilisateur [CVE-2015-6670] ; correction de script intersite (XSS) réfléchi dans la découverte de fournisseur OCS [oc-sa-2016-001] [CVE-2016-1498], divulgation de fichiers qui commencent par .vdue à une valeur de retour non vérifiée [oc-sa-2016-003] [CVE-2016-1500], fuite d'informations à travers les listes de répertoires dans le scanner de fichiers [oc-sa-2016-002] [CVE-2016-1499], divulgation de chemin d'installation par les messages d'erreur [oc-sa-2016-004] [CVE-2016-1501] |
| pam | Correction de déni de service et d'énumération d'utilisateurs due au blocage de tube dans pam_unix [CVE-2015-3238] |
| pcre3 | Correction de problèmes de sécurité [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
| pdns | Correction mise à niveau avec la configuration par défaut |
| perl | Gestion correcte de l'absence de BOM lors du décodage |
| php-auth-sasl | Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP |
| php-doctrine-annotations | Correction d'un problème de droits de répertoire [CVE-2015-5723] |
| php-doctrine-cache | Correction d'un problème de droits de fichier et de répertoire [CVE-2015-5723] |
| php-doctrine-common | Correction d'un problème de droits de fichier [CVE-2015-5723] |
| php-dropbox | Refus de gestion des fichiers contenant une @ [CVE-2015-4715] |
| php-mail-mimedecode | Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP |
| php5 | Nouvelle version amont |
| plowshare4 | Désactivation de la prise en charge de Javascript |
| postgresql-9.1 | Nouvelle version amont |
| pykerberos | Ajout de la prise en charge de la vérification d'authenticité de KDC [CVE-2015-3206] |
| python-yaql | Retrait du paquet cassé python3-yaql |
| qpsmtpd | Correction de problème de compatibilité avec les nouvelles versions de Net::DNS |
| quassel | Correction d'un déni de service distant dans quassel core, à l'utilisation de la commande /op * [CVE-2015-8547] |
| redis | Assurance qu'un répertoire d'exécution valable est créé lors de l'exécution sous systemd |
| redmine | Correction des mises à niveau lorsqu'il y a des greffons installés localement ; correction de problèmes de déplacement dans les projets |
| rsyslog | Correction de plantage dans le module imfile lors de l'utilisation du mode inotify ; évitement d'une erreur de segmentation dans la création de dynafile |
| ruby-bson | Correction d'un déni de service et d'une possible injection [CVE-2015-4410] |
| s390-dasd | Sortie propre si aucun canal n'est trouvé. Cela permet à s390-dasd de franchir l'étape dans les machines virtuelles avec les disques virtio |
| shadow | Correction de gestion d'erreur dans la détection d'utilisateur occupé |
| sparse | Correction d'échec de compilation avec llvm-3.5 |
| spip | Correction d'un problème de script intersite |
| stk | Installation des fichiers include SKINI.{msg,tbl} absents |
| sus | Mise à jour des sommes de contrôle pour l'archive amont |
| swift |
Correction de la destruction non autorisée de versions d'objet Swift [CVE-2015-1856] ; correction de fuite d'informations à travers les tempurls de Swift [CVE-2015-5223] ; correction de nom de service d'object-expirer dans le script d'initiation ; ajout du script d'initiation container-sync ; ajout de l'utilisateur standardise |
| systemd | Correction du bris de l'espace de nom dû à un tri de chemin incorrect ; suppression du délai de 90 secondes en l'absence de mot de passe pour les périphériques cryptsetup ; réglage du fuseau horaire du noyau seulement si RTC s'exécute en heure locale, évitant de possibles sauts dans le passé ; correction de la gestion incorrecte des virgules de séparation dans systemd-delta ; configuration possible du comportement de diffusion de DHCP dans systemd-networkd |
| tangerine-icon-theme | debian/clean-up.sh : pas d'exécution de processus en arrière-plan |
| torbrowser-launcher | Application réelle des correctifs de 0.1.9-1+deb8u1 ; arrêt du confinement du script start-tor-browser avec AppArmor ; réglage des profils usr.bin.torbrowser-launcher d'AppArmor au mode complain (réclamation) |
| ttylog | Correction de la troncature du nom d'un périphérique lors de la sélection d'un périphérique |
| tzdata | Nouvelle version amont |
| uqm | Ajout de l'option manquante -lm, corrigeant un échec de compilation |
| vlc | Nouvelle version amont stable |
| webkitgtk |
Nouvelle version amont stable ; correction de late TLS certificate verification(vérification des certificats TLS tardive) [CVE-2015-2330] |
| wxmaxima | Évitement de plantage lors de la rencontre de parenthèses dans dialogues |
| zendframework | Correction d'un problème d'entropie avec captcha [ZF2015-09] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| core-network | Problèmes de sécurité |
| elasticsearch | Plus pris en charge |
| googlecl | Cassé parce que dépendant d'API obsolètes |
| libnsbmp | Problèmes de sécurité, non maintenu |
| libnsgif | Problèmes de sécurité, non maintenu |
| vimperator | Incompatible avec les versions récentes d'Iceweasel |
Installateur Debian
L'installateur a été mis à jour pour réintroduire la prise en charge des périphériques TS-x09 de QNAP et pour inclure les correctifs incorporés dans cette version.
URLs
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
Source
Annonce officielle Debian : https://www.debian.org/News/2016/20160123