Publication de la mise à jour de Debian 7.4
8 février 2014
Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa
distribution stable Debian 7 (nommée Wheezy
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 7 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 7 plus anciens mais simplement de faire une mise à jour à l'aide d'un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| apache2 | Correction de la protection des journaux de mod_rewrite (CVE-2013-1862), du déni de service de mod_dav (CVE-2013-1896) et des erreurs de segmentation dans certaines conditions |
| base-files | Mise à jour pour cette version |
| ctdb | Correction de l'échec du démarrage et de l'arrêt du service pendant la tentative de suppression d'une IP publique non attribuée en local |
| debian-handbook | Mise à jour pour Wheezy |
| debian-installer | Reconstruction pour cette version |
| eglibc | Plusieurs corrections de sécurité ; correction de SIGFPE lorsque locale-archive a été corrompue pour ne contenir que des zéros ; kfreebsd : toujours mettre l'identifiant de groupe supplémentaire fourni comme la première entrée de la liste des groupes dans setgroups() ; correction de sys_ktimer_settime |
| gatling | Restauration de la compatibilité avec la mise à jour de sécurité de PolarSSL |
| gnash | Correction de la lecture de vidéos YouTube avec le lecteur de média ffmpeg |
| kexec-tools | Prise en charge des versions de noyau de la forme x.y |
| kfreebsd-8 | Plusieurs corrections de sécurité |
| kfreebsd-9 | Désactivation du générateur de nombre aléatoire matériel VIA par défaut ; correction de la condition d'erreur lseek ENXIO avec ZFS |
| lazr.restfulclient | Correction de quelques problèmes de concurrence |
| libapache2-mod-rpaf | Restauration du correctif IPv6 supprimé par accident |
| libglib-object-introspection-perl | Correction de l'allocation incorrecte de mémoire qui causait des erreurs de segmentations dans les dépendances inverses |
| libhtml-formhandler-perl | Correction de l'échec de construction à partir des sources |
| libmicrohttpd | Divers problèmes de sécurité |
| libnet-mac-vendor-perl | Correction de l'échec de construction à partir des sources à cause de l'échec du test t/fetch_oui.t |
| libotr | Désactivation du protocole OTRv1 non sûr |
| linux | Mise à jour à la version stable 3.2.54 ; mise à jour de drm et agp à la version 3.4.76 ; Correction de CVE-2013-4579, CVE-2013-6368 et CVE-2014-1446 |
| localepurge | Correction de CVE-2014-1638, création non sûre de fichiers temporaires |
| lxc | Utilisation de la version amont la plus récente de lxc-debian ; ajout de rsync aux paquets recommandés |
| mapserver | Correction de CVE-2013-7262, une vulnérabilité à l'injection SQL dans la fonction msPostGISLayerSetTimeFilter |
| nut | Réinitialisation du délai d'attente USB à 5 secondes |
| openssl | Activation de l'assembleur pour les cibles arm ; activation d'ec_nistp_64_gcc_128 sur les plateformes *-amd64 |
| pdns | Correction des longueurs des colonnes pour records.content et supermasters.ip |
| ruby-gsl | Suppression de la documentation non libre |
| ruby-opengl | Suppression des exemples sans licence explicite |
| rush | Correction de CVE-2013-6889, élévation de privilèges d'accès de fichiers |
| samhain | Désactivation de dnmalloc pour toutes les architectures sauf celles qui sont connues pour fonctionner ; correction de l'envoi de messages électroniques avec la configuration par défaut |
| spip | Correction de script intersite pour la signature de l'auteur [CVE-2013-7303] |
| tuxguitar | Mise à jour de la liste des versions de xulrunner prises en charge |
| tzdata | Nouvelle version amont |
| user-mode-linux | Reconstruction avec le noyau Linux 3.2.54-2 |
| vips | Correction du plantage de la compression des images TIFF avec JPEG |
| wget | Ajout de la prise en charge de SNI |
| whois | Nouvelle version amont ; mise à jour des divers domaines de premier niveau (TLD) |
| xfce4-weather-plugin | Correction de l'abandon lorsque l'élément <hi> est vide |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction |
|---|---|---|
| DSA-2749 | asterisk | Plusieurs problèmes |
| DSA-2757 | wordpress | Plusieurs problèmes |
| DSA-2793 | libav | Plusieurs problèmes |
| DSA-2812 | samba | Plusieurs problèmes |
| DSA-2813 | gimp | Plusieurs problèmes |
| DSA-2814 | varnish | Déni de service |
| DSA-2815 | munin | Déni de service |
| DSA-2816 | php5 | Plusieurs problèmes |
| DSA-2817 | libtar | Plusieurs dépassements d'entier |
| DSA-2818 | mysql-5.5 | Plusieurs problèmes |
| DSA-2820 | nspr | Dépassement d'entier |
| DSA-2821 | gnupg | Attaque par canal auxiliaire |
| DSA-2822 | xorg-server | Dépassement d'entier par le bas |
| DSA-2823 | pixman | Dépassement d'entier par le bas |
| DSA-2824 | curl | Nom d'hôte de certificat TLS/SSL non vérifié |
| DSA-2825 | wireshark | Plusieurs problèmes |
| DSA-2826 | denyhosts | Déni de service distant de ssh |
| DSA-2827 | libcommons-fileupload-java | Chargement arbitraire de fichier grâce à une désérialisation |
| DSA-2829 | hplip | Plusieurs problèmes |
| DSA-2830 | ruby-i18n | Script intersite |
| DSA-2831 | puppet | Fichiers temporaires non sûrs |
| DSA-2832 | memcached | Plusieurs problèmes |
| DSA-2833 | openssl | Plusieurs problèmes |
| DSA-2834 | typo3-src | Plusieurs problèmes |
| DSA-2835 | asterisk | Dépassement de tampon |
| DSA-2836 | devscripts | Exécution de code arbitraire |
| DSA-2837 | openssl | Erreur de programmation |
| DSA-2838 | libxfont | Dépassement de tampon |
| DSA-2839 | spice | Déni de service |
| DSA-2840 | srtp | Dépassement de tampon |
| DSA-2841 | movabletype-opensource | Script intersite |
| DSA-2842 | libspring-java | Plusieurs problèmes |
| DSA-2843 | graphviz | Dépassement de tampon |
| DSA-2846 | libvirt | Plusieurs problèmes |
| DSA-2847 | drupal7 | Plusieurs problèmes |
| DSA-2849 | curl | Divulgation d'informations |
| DSA-2850 | libyaml | Dépassement de tas |
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| iceape | Arrêt de la prise en charge de la sécurité |
Installateur Debian
L'installateur Debian a été mis à jour pour intégrer un nouveau noyau contenant plusieurs correctifs importants et liés à la sécurité.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.