Publication de la mise à jour de Debian 7.4

8 février 2014

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 7 (nommée wheezy). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 7 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 7 plus anciens mais simplement de faire une mise à jour à l'aide d'un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apache2 Correction de la protection des journaux de mod_rewrite (CVE-2013-1862), du déni de service de mod_dav (CVE-2013-1896) et des erreurs de segmentation dans certaines conditions
base-files Mise à jour pour cette version
ctdb Correction de l'échec du démarrage et de l'arrêt du service pendant la tentative de suppression d'une IP publique non attribuée en local
debian-handbook Mise à jour pour Wheezy
debian-installer Reconstruction pour cette version
eglibc Plusieurs corrections de sécurité ; correction de SIGFPE lorsque locale-archive a été corrompue pour ne contenir que des zéros ; kfreebsd : toujours mettre l'identifiant de groupe supplémentaire fourni comme la première entrée de la liste des groupes dans setgroups() ; correction de sys_ktimer_settime
gatling Restauration de la compatibilité avec la mise à jour de sécurité de PolarSSL
gnash Correction de la lecture de vidéos YouTube avec le lecteur de média ffmpeg
kexec-tools Prise en charge des versions de noyau de la forme x.y
kfreebsd-8 Plusieurs corrections de sécurité
kfreebsd-9 Désactivation du générateur de nombre aléatoire matériel VIA par défaut ; correction de la condition d'erreur lseek ENXIO avec ZFS
lazr.restfulclient Correction de quelques problèmes de concurrence
libapache2-mod-rpaf Restauration du correctif IPv6 supprimé par accident
libglib-object-introspection-perl Correction de l'allocation incorrecte de mémoire qui causait des erreurs de segmentations dans les dépendances inverses
libhtml-formhandler-perl Correction de l'échec de construction à partir des sources
libmicrohttpd Divers problèmes de sécurité
libnet-mac-vendor-perl Correction de l'échec de construction à partir des sources à cause de l'échec du test t/fetch_oui.t
libotr Désactivation du protocole OTRv1 non sûr
linux Mise à jour à la version stable 3.2.54 ; mise à jour de drm et agp à la version 3.4.76 ; Correction de CVE-2013-4579, CVE-2013-6368 et CVE-2014-1446
localepurge Correction de CVE-2014-1638, création non sûre de fichiers temporaires
lxc Utilisation de la version amont la plus récente de lxc-debian ; ajout de rsync aux paquets recommandés
mapserver Correction de CVE-2013-7262, une vulnérabilité à l'injection SQL dans la fonction msPostGISLayerSetTimeFilter
nut Réinitialisation du délai d'attente USB à 5 secondes
openssl Activation de l'assembleur pour les cibles arm ; activation d'ec_nistp_64_gcc_128 sur les plateformes *-amd64
pdns Correction des longueurs des colonnes pour records.content et supermasters.ip
ruby-gsl Suppression de la documentation non libre
ruby-opengl Suppression des exemples sans licence explicite
rush Correction de CVE-2013-6889, élévation de privilèges d'accès de fichiers
samhain Désactivation de dnmalloc pour toutes les architectures sauf celles qui sont connues pour fonctionner ; correction de l'envoi de messages électroniques avec la configuration par défaut
spip Correction de script intersite pour la signature de l'auteur [CVE-2013-7303]
tuxguitar Mise à jour de la liste des versions de xulrunner prises en charge
tzdata Nouvelle version amont
user-mode-linux Reconstruction avec le noyau Linux 3.2.54-2
vips Correction du plantage de la compression des images TIFF avec JPEG
wget Ajout de la prise en charge de SNI
whois Nouvelle version amont ; mise à jour des divers domaines de premier niveau (TLD)
xfce4-weather-plugin Correction de l'abandon lorsque l'élément <hi> est vide

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction
DSA-2749 asteriskPlusieurs problèmes
DSA-2757 wordpressPlusieurs problèmes
DSA-2793 libavPlusieurs problèmes
DSA-2812 sambaPlusieurs problèmes
DSA-2813 gimpPlusieurs problèmes
DSA-2814 varnishDéni de service
DSA-2815 muninDéni de service
DSA-2816 php5Plusieurs problèmes
DSA-2817 libtarPlusieurs dépassements d'entier
DSA-2818 mysql-5.5Plusieurs problèmes
DSA-2820 nsprDépassement d'entier
DSA-2821 gnupgAttaque par canal auxiliaire
DSA-2822 xorg-serverDépassement d'entier par le bas
DSA-2823 pixmanDépassement d'entier par le bas
DSA-2824 curlNom d'hôte de certificat TLS/SSL non vérifié
DSA-2825 wiresharkPlusieurs problèmes
DSA-2826 denyhostsDéni de service distant de ssh
DSA-2827 libcommons-fileupload-javaChargement arbitraire de fichier grâce à une désérialisation
DSA-2829 hplipPlusieurs problèmes
DSA-2830 ruby-i18nScript intersite
DSA-2831 puppetFichiers temporaires non sûrs
DSA-2832 memcachedPlusieurs problèmes
DSA-2833 opensslPlusieurs problèmes
DSA-2834 typo3-srcPlusieurs problèmes
DSA-2835 asteriskDépassement de tampon
DSA-2836 devscriptsExécution de code arbitraire
DSA-2837 opensslErreur de programmation
DSA-2838 libxfontDépassement de tampon
DSA-2839 spiceDéni de service
DSA-2840 srtpDépassement de tampon
DSA-2841 movabletype-opensourceScript intersite
DSA-2842 libspring-javaPlusieurs problèmes
DSA-2843 graphvizDépassement de tampon
DSA-2846 libvirtPlusieurs problèmes
DSA-2847 drupal7Plusieurs problèmes
DSA-2849 curlDivulgation d'informations
DSA-2850 libyamlDépassement de tas

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
iceape Arrêt de la prise en charge de la sécurité

Installateur Debian

L'installateur Debian a été mis à jour pour intégrer un nouveau noyau contenant plusieurs correctifs importants et liés à la sécurité.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/wheezy/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.