Publication de la mise à jour de Debian 8.3

23 janvier 2016

Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 8 (nommée Jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
android-platform-frameworks-base [i386] nouvelle version pour corriger la dépendance à android-libhost
apache2 Correction d'asplit-logfile pour qu'il fonctionne avec la version actuelle de perl, de secondary-init-script pour qu'il ne source pas le script principal d'init avec l'option 'set -e', tests sur la migration différée de MPM ; ajout d'une version à « Replaces / Breaks » pour libapache2-mod-macro
apt Dissimulation du premier message de débogage d'échec de fusion de pdiff ; correction du marquage des dépendances de paquet dans APT::Never-MarkAuto-Sections comme dans le manuel ; arrêt de l'analyse des champs Status des sources distantes
apt-dater-host Correction de la détection de la version du noyau
apt-offline Ajout de dépendances manquantes à python-apt
arb Omission de la vérification de la version du compilateur
augeas Programmes « lense » HTTPD : inclusion du répertoire /etc/apache2/conf-available, autorisation de commentaires EOL après les étiquettes de section
base-files Mise à jour pour la version 8.3 ; os-release : suppression de la barre oblique à la fin de la variable SUPPORT_URL
bcfg2 Prise en charge de Django 1.7
ben Correction des liens compacts buildd.debian.org ; erreurs potentielles lors de la suppression d'un fichier de verrouillage ignorées ; appel de dose-debcheck avec --deb-native-arch
ca-certificates Mise à jour du paquet de l'autorité de certification Mozilla vers la version 2.6
ceph Codage d'adresse des noms de « bucket » [CVE-2015-5245]
charybdis Correction de sécurité [CVE-2015-5290] ; initialisation correcte de gnutls
chrony Construction dépendante de libcap-dev, pour permettre l'abandon de droits
commons-httpclient Assurance que les appels HTTPS utilisent http.socket.timeout pendant l'initialisation de connexion SSL [CVE-2015-5262]
cpuset Mise à jour du correctif du préfixe de l'espace de nom du système de fichiers
curlftpfs Évitement des forçages non sécurisés pour getpass() sur les architectures 64 bits
dbconfig-common Correction des droits des fichiers de sauvegarde de PostgreSQL
debian-handbook Mise à jour pour Jessie
debian-installer Réintroductions des images de l'installateur pour QNAP TS-x09 ; fourniture d'images u-boot pour les mini-PC ; ajout du module part_gpt dans l'image principale de grub ; ajout de bips au menu d'amorçage UEFI x86 ; ajout du raccourci « s » pour la synthèse vocale au menu d'amorçage UEFI x86 ; exclusion d'usb-serial-modules de l'image network-console d'armel et explicitement d'usb-modules dans armel/orion5x network-console ; abandon de l'extension file dans l'initrd pour les périphériques QNAP ; ajustement de la prise en charge de p-u pour gérer file:// au lieu de seulement (f|ht)tp://
debian-installer-netboot-images Reconstruction pour cette version
docbook2x Suppression de l'installation des fichiers info/dir.gz
doctrine Correction des problèmes de droits des répertoires [CVE-2015-5723]
drbd-utils Correction de l'ajustement de drbdadm aux adresses de connexion IPv6
ejabberd Correction de requêtes LDAP cassées
exfat-utils Correction de dépassement de tampon et de boucle infinie
exim4 Correction de quelques plantages liés à MIME ACL ; correction d'un bogue provoquant des doubles distributions, surtout avec les connexions TLS
fglrx-driver Nouvelle version amont ; correction de problème de sécurité [CVE-2015-7724]
file Correction de la gestion de --parameter
flash-kernel Évitement de l'attente de Ctrl-C si une interface debconf est utilisée
fuse-exfat Correction de dépassement de tampon et de boucle infinie
ganglia-modules-linux Redémarrage du service ganglia après installation seulement s'il était exécuté précédemment
getmail4 Réglage poplib._MAXLINE=1MB
glance Modification directe interdite du statut de l'image par l'API v1 [CVE-2015-5251]
glibc Correction du renvoi parfois par getaddrinfo de données non initialisées avec nscd ; correction de données lors de la lectures de la base de données de fichiers de NSS [CVE-2015-5277] ; correction de dépassement de tampon (lecture au-delà de la fin du tampon) dans internal_fnmatch ; correction de dépassement d'entier de _IO_wstr_overflow ; correction de la fermeture inattendue de la base de données nss_files après recherche, provoquant un déni de service [CVE-2014-8121] ; correction du cache netgroup de NSCD ; désactivation inconditionnelle de LD_POINTER_GUARD ; détournement de pointeurs de fonction dans tls_dtor_list ; correction de problèmes d'allocation de mémoire qui mènent à des dépassements de tampon sur la pile ; mise à jour de la liste noire de TSX pour ajouter certains processeurs Broadwell
gnome-orca Assurance de viser la bonne cible à l'entrée du mot de passe, afin que les caractères ne soient pas affichés
gnome-shell-extension-weather Affichage d'un avertissement si la clé de l'API n'a pas été fournie par l'utilisateur, dans la mesure où les requêtes à openweathermap.org ne fonctionnent plus sans cette clé
gummi Évitement de noms prédictibles pour les fichiers temporaires [CVE 2015-7758]
human-icon-theme debian/clean-up.sh : pas d'exécution de processus en arrière-plan
ieee-data Mise à jour des fichiers de données inclus, ajoutant mam.txt et oui36.txt ; arrêt des téléchargement par HTTPS, parce que ni wget ni curl ne gèrent TLS AIA, tel qu'utilisé maintenant par standards.ieee.org
intel-microcode Mise à jour des micrologiciels inclus
iptables-persistent Arrêt des fichiers de règles lisibles par tout le monde ; réécriture du README
isc-dhcp Correction d'erreur quand le temps d'attribution est dépassé avec les systèmes 64 bits
keepassx Correction du stockage des mots de passe en clair [CVE-2015-8378]
libapache-mod-fastcgi Passage de B-D de libtool à libtool-bin pour corriger un échec de compilation
libapache2-mod-perl2 Correction de plantages dans modperl_interp_unselect()
libcgi-session-perl Retrait de la teinte de données brutes venant de dorsaux de stockage de session, corrigeant une régression provoquée par les corrections de CVE-2015-8607 dans Perl
libdatetime-timezone-perl Nouvelle version amont
libencode-perl Gestion correcte de l'absence de BOM lors du décodage
libhtml-scrubber-perl Correction d'une vulnérabilité de script inter-site dans les commentaires [CVE-2015-5667]
libinfinity Correction de plantages potentiels lorsqu'une entrée est retirée du navigateur de documents alors que les listes de contrôle d'accès sont actives
libiptables-parse-perl Correction de l'utilisation de noms prédictibles pour les fichiers temporaires [CVE-2015-8326]
libraw Correction de dépassement d'index dans smal_decode_segment [CVE-2015-8366] ; correction d'objets mémoire non initialisés correctement [CVE-2015-8367]
libssh Correction de null pointer dereference due to a logical error in the handling of a SSH_MSG_NEWKEYS and KEXDH_REPLY packets (déréférencement de pointeur null lié à une erreur logique dans la gestion des paquets SSH_MSG_NEWKEYS et KEXDH_REPLY) [CVE-2015-3146]
linux Mise à jour vers la version amont 3.16.7-ctk20 ; nbd : restauration de la détection de délai de requête ; [x86] activation de PINCTRL_BAYTRAIL ; [mips*/octeon] activation de CAVIUM_CN63XXP1 ; firmware_class : correction de condition dans la boucle de recherche de répertoire ; [x86] KVM : svm : interception inconditionnelle de #DB [CVE-2015-8104]
linux-tools Ajout du nouveau paquet hyperv-daemons
lldpd Correction d'une erreur de segmentation et d'une erreur d'assertion lors de la réception d'adresses de gestion LLDP incorrectement formées
madfuload Utilisation d'autoreconf -fi pour corriger un échec de compilation avec automake 1.14
mdadm Désactivation de l'assembleur incrémental parce qu'il provoque des problèmes en démarrant un RAID dégradé
mkvmlinuz Direction des sorties de run-parts sur l'erreur standard
monit Correction d'une régression concernant umask depuis 5.8.1
mpm-itk Correction d'un problème de tentative de fermeture de connexions dans le parent. Cela pourrait aboutir à ce que Connection: close ne soit pas honoré et divers effets étranges avec la persistance de SSL dans certains navigateurs
multipath-tools Correction de la découverte de périphériques avec un attribut sysfs vide ; ajout de documentation pour traiter des scénarios de noms supplémentaires adaptés ; init : correction de l'échec d'arrêt quand aucun périphérique racine n'est trouvé ; utilisation de « SCSI_IDENT_.* » comme propriété par défaut de liste blanche
netcfg Correction d'is_layer3_qeth sur s390x pour éviter d'abandonner si le pilote de réseau n'est pas qeth
nvidia-graphics-drivers Nouvelle version amont [CVE-2015-5950] ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx Nouvelle version amont ; correction de problème d'entrée du mode utilisateur non nettoyée [CVE-2015-7869]
nvidia-graphics-modules Reconstruction avec nvidia-kernel-source 340.96
openldap Correction d'un plantage lors de l'ajout d'une grande valeur d'attribut avec la surcouche auditlog activée
openvpn Ajout de --no-block au script if-up.d pour éviter un blocage au démarrage sur les interfaces avec des instances openvpn
owncloud Correction de l'inclusion de fichier local avec Microsoft Windows Platform [CVE-2015-4716], de l'épuisement de ressource lors de la vérification de noms de fichier [CVE-2015-4717], de l'injection de commande lors de l'utilisation de stockage externe SMB [CVE-2015-4718], exportation d'agenda : contournement d'autorisation par des clés contrôlées par l'utilisateur [CVE-2015-6670] ; correction de script intersite (XSS) réfléchi dans la découverte de fournisseur OCS [oc-sa-2016-001] [CVE-2016-1498], divulgation de fichiers qui commencent par .v due à une valeur de retour non vérifiée [oc-sa-2016-003] [CVE-2016-1500], fuite d'informations à travers les listes de répertoires dans le scanner de fichiers [oc-sa-2016-002] [CVE-2016-1499], divulgation de chemin d'installation par les messages d'erreur [oc-sa-2016-004] [CVE-2016-1501]
pam Correction de déni de service et d'énumération d'utilisateurs due au blocage de tube dans pam_unix [CVE-2015-3238]
pcre3 Correction de problèmes de sécurité [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388]
pdns Correction mise à niveau avec la configuration par défaut
perl Gestion correcte de l'absence de BOM lors du décodage
php-auth-sasl Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP
php-doctrine-annotations Correction d'un problème de droits de répertoire [CVE-2015-5723]
php-doctrine-cache Correction d'un problème de droits de fichier et de répertoire [CVE-2015-5723]
php-doctrine-common Correction d'un problème de droits de fichier [CVE-2015-5723]
php-dropbox Refus de gestion des fichiers contenant une @ [CVE-2015-4715]
php-mail-mimedecode Reconstruction avec pkg-php-tools 1.28 pour corriger les dépendances de PHP
php5 Nouvelle version amont
plowshare4 Désactivation de la prise en charge de Javascript
postgresql-9.1 Nouvelle version amont
pykerberos Ajout de la prise en charge de la vérification d'authenticité de KDC [CVE-2015-3206]
python-yaql Retrait du paquet cassé python3-yaql
qpsmtpd Correction de problème de compatibilité avec les nouvelles versions de Net::DNS
quassel Correction d'un déni de service distant dans quassel core, à l'utilisation de la commande /op * [CVE-2015-8547]
redis Assurance qu'un répertoire d'exécution valable est créé lors de l'exécution sous systemd
redmine Correction des mises à niveau lorsqu'il y a des greffons installés localement ; correction de problèmes de déplacement dans les projets
rsyslog Correction de plantage dans le module imfile lors de l'utilisation du mode inotify ; évitement d'une erreur de segmentation dans la création de dynafile
ruby-bson Correction d'un déni de service et d'une possible injection [CVE-2015-4410]
s390-dasd Sortie propre si aucun canal n'est trouvé. Cela permet à s390-dasd de franchir l'étape dans les machines virtuelles avec les disques virtio
shadow Correction de gestion d'erreur dans la détection d'utilisateur occupé
sparse Correction d'échec de compilation avec llvm-3.5
spip Correction d'un problème de script intersite
stk Installation des fichiers include SKINI.{msg,tbl} absents
sus Mise à jour des sommes de contrôle pour l'archive amont
swift Correction de la destruction non autorisée de versions d'objet Swift [CVE-2015-1856] ; correction de fuite d'informations à travers les tempurls de Swift [CVE-2015-5223] ; correction de nom de service d'object-expirer dans le script d'initiation ; ajout du script d'initiation container-sync ; ajout de l'utilisateur standardise
systemd Correction du bris de l'espace de nom dû à un tri de chemin incorrect ; suppression du délai de 90 secondes en l'absence de mot de passe pour les périphériques cryptsetup ; réglage du fuseau horaire du noyau seulement si RTC s'exécute en heure locale, évitant de possibles sauts dans le passé ; correction de la gestion incorrecte des virgules de séparation dans systemd-delta ; configuration possible du comportement de diffusion de DHCP dans systemd-networkd
tangerine-icon-theme debian/clean-up.sh : pas d'exécution de processus en arrière-plan
torbrowser-launcher Application réelle des correctifs de 0.1.9-1+deb8u1 ; arrêt du confinement du script start-tor-browser avec AppArmor ; réglage des profils usr.bin.torbrowser-launcher d'AppArmor au mode complain (réclamation)
ttylog Correction de la troncature du nom d'un périphérique lors de la sélection d'un périphérique
tzdata Nouvelle version amont
uqm Ajout de l'option manquante -lm, corrigeant un échec de compilation
vlc Nouvelle version amont stable
webkitgtk Nouvelle version amont stable ; correction de late TLS certificate verification (vérification des certificats TLS tardive) [CVE-2015-2330]
wxmaxima Évitement de plantage lors de la rencontre de parenthèses dans dialogues
zendframework Correction d'un problème d'entropie avec captcha [ZF2015-09]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-3208 freexl
DSA-3235 openjdk-7
DSA-3280 php5
DSA-3311 mariadb-10.0
DSA-3316 openjdk-7
DSA-3324 icedove
DSA-3327 squid3
DSA-3332 wordpress
DSA-3337 gdk-pixbuf
DSA-3344 php5
DSA-3346 drupal7
DSA-3347 pdns
DSA-3348 qemu
DSA-3350 bind9
DSA-3351 chromium-browser
DSA-3352 screen
DSA-3353 openslp-dfsg
DSA-3354 spice
DSA-3355 libvdpau
DSA-3356 openldap
DSA-3357 vzctl
DSA-3358 php5
DSA-3359 virtualbox
DSA-3360 icu
DSA-3361 qemu
DSA-3363 owncloud-client
DSA-3364 linux
DSA-3365 iceweasel
DSA-3366 rpcbind
DSA-3367 wireshark
DSA-3368 cyrus-sasl2
DSA-3369 zendframework
DSA-3370 freetype
DSA-3371 spice
DSA-3373 owncloud
DSA-3374 postgresql-9.4
DSA-3375 wordpress
DSA-3376 chromium-browser
DSA-3377 mysql-5.5
DSA-3378 gdk-pixbuf
DSA-3379 miniupnpc
DSA-3380 php5
DSA-3381 openjdk-7
DSA-3382 phpmyadmin
DSA-3384 virtualbox
DSA-3385 mariadb-10.0
DSA-3386 unzip
DSA-3387 openafs
DSA-3388 ntp
DSA-3390 xen
DSA-3391 php-horde
DSA-3392 freeimage
DSA-3393 iceweasel
DSA-3394 libreoffice
DSA-3395 krb5
DSA-3397 wpa
DSA-3398 strongswan
DSA-3399 libpng
DSA-3400 lxc
DSA-3401 openjdk-7
DSA-3402 symfony
DSA-3403 libcommons-collections3-java
DSA-3404 python-django
DSA-3405 smokeping
DSA-3406 nspr
DSA-3407 dpkg
DSA-3409 putty
DSA-3411 cups-filters
DSA-3412 redis
DSA-3413 openssl
DSA-3414 xen
DSA-3415 chromium-browser
DSA-3416 libphp-phpmailer
DSA-3417 bouncycastle
DSA-3418 chromium-browser
DSA-3419 cups-filters
DSA-3420 bind9
DSA-3421 grub2
DSA-3422 iceweasel
DSA-3423 cacti
DSA-3424 subversion
DSA-3425 tryton-server
DSA-3426 linux
DSA-3427 blueman
DSA-3428 tomcat8
DSA-3429 foomatic-filters
DSA-3430 libxml2
DSA-3431 ganeti
DSA-3433 ldb
DSA-3433 samba
DSA-3434 linux
DSA-3435 git
DSA-3438 xscreensaver
DSA-3439 prosody
DSA-3440 sudo
DSA-3441 perl
DSA-3442 isc-dhcp
DSA-3443 libpng
DSA-3444 wordpress
DSA-3445 pygments
DSA-3446 openssh

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
core-network Problèmes de sécurité
elasticsearch Plus pris en charge
googlecl Cassé parce que dépendant d'API obsolètes
libnsbmp Problèmes de sécurité, non maintenu
libnsgif Problèmes de sécurité, non maintenu
vimperator Incompatible avec les versions récentes d'Iceweasel

Installateur Debian

L'installateur a été mis à jour pour réintroduire la prise en charge des périphériques TS-x09 de QNAP et pour inclure les correctifs incorporés dans cette version.

URLs

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.