Publication de la mise à jour de Debian 8.6

17 septembre 2016

Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 8 (nommée jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
adblock-plus Nouvelle version amont, compatible avec firefox-esr
apache2 Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à 15 s pour permettre les connexionx « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration manquant mods-available/proxy_html.conf
audiofile Correction de dépassement de tampon lors du changement simultané de format d'échantillonnage et de nombre de canaux [CVE-2015-7747]
automake-1.14 Évitement d'une utilisation non sûre de /tmp/ dans install-sh
backintime Ajout de dépendance manquante de python-dbus
backuppc Correction de régressions depuis la mise à jour de samba vers 4.2
base-files Mise à jour pour cette version
biber Correction d'une casse déclenchée par une mise à jour intermédiaire de Perl
cacti Correction d'injection de code sql dans tree.php [CVE-2016-3172] et graph_view.php [CVE-2016-3659] ; correction de contournement d'authentification [CVE-2016-2313]
ccache Version amont de correction de bogues
clamav Pas d'échec si l'option AllowSupplementaryGroups est encore réglée dans le fichier de configuration
cmake Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t
conkeror Prise en charge de Firefox 44 et suivant
debian-edu-config Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP dédié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mise à niveaux à partir des vieilles installations de Wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante
debian-edu-doc Mise à jour des manuels de Debian Edu Jessie et Wheezy à partir du wiki
debian-installer Reconstruction avec proposed-updates
debian-installer-netboot-images Reconstruction pour cette version
debian-security-support Mise à jour des données d'assistance incluses ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir
dietlibc Correction de PATH par défaut non sécurisé
dwarfutils Corrections de sécurité [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogs Désactivation des messages d'erreurs de date qui est décalée dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs
exim4 Correction de bogue cutthrough avec des lignes de lettres avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd
file Correction d'un écrasement de tampon dans le fichier magique finfo_open malformé [CVE-2015-8865]
firegestures Nouvelle version amont, compatible avec firefox-esr
flashplugin-nonfree Update-flashplugin-nonfree : suppression de l'ancien get-upstream-version.pl du cache
fusionforge Retrait de la dépendance au greffon de Mediawiki du métapaquet fusionforge-full
gdcm Correction d'un dépassement d'entier [CVE-2015-8396] et de déni de service [CVE-2015-8397]
glibc Correction d'un échec d'assertion d'adresses de nom de serveur non connectable (régression introduite par la correction CVE-2015-7547) ; correction des fonctions *context de s390x ; correction d'un dépassement de tampon dans la fonction glob [CVE-2016-1234], d'un dépassement de pile dans nss_dns_getnetbyname_r [CVE-2016-3075], d'un dépassement de pile dans la fonction getaddrinfo [CVE-2016-3706], d'un dépassement de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ; mise à jour à partir de la branche stable amont ; correction des fonctions open et openat d'O_TMPFILE ; correction d'une suspension de trace sur armel/armhf, provoquant éventuellement une légère vulnérabilité de déni de service [CVE-2016-6323] ; correction de mtr sur les systèmes utilisant seulement des serveurs de noms IPv6
gnome-maps Nouvelle version amont ; utilisation du serveur de tuiles Mapbox, à la place du serveur MapQuest plus pris en charge
gnome-sudoku Plus de génération de la même série de grilles chaque fois
gnupg gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature
gnupg2 gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature
greasemonkey Nouvelle version amont, compatible avec firefox-esr
intel-microcode Nouvelle version amont
jakarta-jmeter Installation réelle des modèles ; correction d'une erreur avec libxstream-java >= 1.4.9 lors du chargement des modèles
javatools Retour d'une chaîne correcte d'architecture pour ppc64el dans java-arch.sh
kamailio Correction de la vérification de version de libssl
libbusiness-creditcard-perl Ajustement pour des modifications dans la série des cartes de crédit et traitement de diverses sociétés
libcss-dom-perl Contournement de modifications d'Encode incluses dans les mises à jour stables de perl et libencode-perl
libdatetime-timezone-perl Mise à jour des données incluses à 2016e ; nouvelle version amont
libdevel-declare-perl Correction d'une casse déclenchée par une mise à jour de Perl stable
libnet-ssleay-perl Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1
libquota-perl Adaptation de la détection de plateforme pour fonctionner avec Linux 4.x
libtool Correction de la capacité de co-installation multi-architecture [amd64 i386]
libxml2 Correction d'un problème de non analyse d'URI sans partie hôte telle que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres
linux Nouvelle version stable amont
lxc Assurance que les conteneurs Stretch ou Sid ont un système init, après l'abandon de l'en-tête Essential: yes par init 1.34
mariadb-10.0 Nouvelle version amont, comprenant la correction de sécurité [CVE-2016-6662]
mozilla-noscript Nouvelle version amont, compatible avec firefox-esr
nullmailer Conservation des données relayhost dans la base de données de debconf seulement tant que cela est strictement nécessaire
open-iscsi Script init : léger délai après l'apparition des périphériques iSCSI, contournant une situation de concurrence dans laquelle les périphériques dépendants ne peuvent apparaître qu'après le retour de l'installation initiale d'udev ; open-iscsi-udeb : mise à jour d'initramfs après la copie de la configuration sur le système cible
openssl Correction de la vérification de longueur des CRL ; activation de l'optimisation d'asm pour s390x
ovirt-guest-agent Installation de l'exécutable ovirt-guest-agent.py ; modification du propriétaire du répertoire du journal vers ovirtagent dans postinst
piuparts Correction de l'échec de construction (pas de test de l'état de la version courante de Debian, suivant ce qui est le problème de distro-info-data)
policykit-1 Plusieurs corrections de bogue : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218]
publicsuforrection Nouvelle version amont
pypdf2 Correction de boucle infinie dans la fonction readObject()
python-django Mise à jour de correction de bogues vers la version 1.7.11
python2.7 Traitement de l'attaque StartTLS stripping attack dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699]
quassel Correction d'un déni de service distant dans le noyau quassel avec des données de connexion incorrectes [CVE-2016-4414]
ruby-eventmachine Correction de plantage déclenchable à distance dû à la manipulation de descripteurs de fichier
ruby2.1 Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque souillé en mode sans échec [CVE-2009-5147] ; Fiddle::handle ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551]
sendmail Pas d'abandon avec une assertion si la connexion à un serveur LDAP est perdue ; assurance que sendmail {client_port} est réglé correctement sur les machines petit-boutistes
sqlite3 Correction d'une vulnérabilité de sélection de répertoire temporaire [CVE-2016-6153], d'une erreur de segmentation suite à l'utilisation intensive de SAVEPOINT
systemd Utilisation du délai correct pour arrêter un processus créé par un fork ; pas de réinitialisation du niveau de journalisation à NOTICE si on obtient quiet sur la ligne de commande du noyau ; correction de la fonction prepare priority queue comparison dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target
tabmixplus Nouvelle version amont, compatible avec firefox-esr
tcpreplay Gestion de trames d'une taille de 65535 octets, ajout de vérification de taille [CVE-2016-6160]
tor Mise à jour de l'ensemble des serveurs de répertoires d'autorité
tzdata Nouvelle version amont ; mise à jour vers 2016e
unbound Correction du script init : ajout du commentaire magique pidfile ; appel de start-stop-daemon avec l'option --retry pour l'action stop
util-vserver Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, corrigeant le PATH par défaut non sécurisé
vorbis-tools Correction de la fonction alloca large sur une entrée d'AIFF vers oggenc [CVE-2015-6749], validation du nombre de canaux dans l'en-tête [CVE-2014-9638 CVE-2014-9639], correction d'erreur de segmentation dans vcut
vtk Reconstruction pour corriger les chemins de Java [ppc64el]
wget Par défaut, dans les redirections de serveur vers une ressource FTP, utilisation de l'URL originale pour récupérer le nom de fichier local [CVE-2016-4971]
wpa Mise à jour de sécurité relative à des caractères invalides [CVE-2016-4476, CVE-2016-4477]
yaws Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108]
zabbix Correction d'injection de commande mysql.size dans zabbix-agent [CVE-2016-4338]

Le paquet mariadb-10.0 échoue lors de sa construction pour l’architecture powerpc, mais a été inclus dans cette publication intermédiaire pour permettre une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique au moment de cet envoi. Si une correction pour l’échec de construction est disponible avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée à l’aide de jessie-updates.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-3548 samba
DSA-3548 talloc
DSA-3548 tdb
DSA-3548 tevent
DSA-3548 ldb
DSA-3565 monotone
DSA-3588 symfony
DSA-3589 gdk-pixbuf
DSA-3590 chromium-browser
DSA-3591 imagemagick
DSA-3592 nginx
DSA-3593 libxml2
DSA-3594 chromium-browser
DSA-3596 spice
DSA-3597 expat
DSA-3598 vlc
DSA-3599 p7zip
DSA-3600 firefox-esr
DSA-3602 php5
DSA-3603 libav
DSA-3604 drupal7
DSA-3605 libxslt
DSA-3606 libpdfbox-java
DSA-3607 linux
DSA-3608 libreoffice
DSA-3609 tomcat8
DSA-3610 xerces-c
DSA-3611 libcommons-fileupload-java
DSA-3612 gimp
DSA-3613 libvirt
DSA-3614 tomcat7
DSA-3615 wireshark
DSA-3616 linux
DSA-3617 horizon
DSA-3618 php5
DSA-3619 libgd2
DSA-3620 pidgin
DSA-3621 mysql-connector-java
DSA-3622 python-django
DSA-3623 apache2
DSA-3624 mysql-5.5
DSA-3625 squid3
DSA-3626 openssh
DSA-3627 phpmyadmin
DSA-3628 libunicode-linebreak-perl
DSA-3628 debhelper
DSA-3628 libmime-encwords-perl
DSA-3628 perl
DSA-3628 libsys-syslog-perl
DSA-3628 libmodule-build-perl
DSA-3628 libnet-dns-perl
DSA-3628 libintl-perl
DSA-3628 cdbs
DSA-3628 libmime-charset-perl
DSA-3628 devscripts
DSA-3628 exim4
DSA-3629 ntp
DSA-3630 libgd2
DSA-3631 php5
DSA-3633 xen
DSA-3634 redis
DSA-3635 libdbd-mysql-perl
DSA-3637 chromium-browser
DSA-3638 curl
DSA-3639 wordpress
DSA-3640 firefox-esr
DSA-3641 openjdk-7
DSA-3642 lighttpd
DSA-3643 kde4libs
DSA-3644 fontconfig
DSA-3645 chromium-browser
DSA-3646 postgresql-9.4
DSA-3647 icedove
DSA-3648 wireshark
DSA-3649 gnupg
DSA-3650 libgcrypt20
DSA-3651 rails
DSA-3652 imagemagick
DSA-3653 flex
DSA-3653 bogofilter
DSA-3654 quagga
DSA-3655 mupdf
DSA-3656 tryton-server
DSA-3657 libarchive
DSA-3658 libidn
DSA-3659 linux
DSA-3660 chromium-browser
DSA-3661 charybdis
DSA-3662 inspircd
DSA-3663 xen
DSA-3664 pdns

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
minit Non maintenu et obsolète
trn Problèmes de sécurité ; remplacé par trn4

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.