Publication de la mise à jour de Debian 8.6
17 septembre 2016
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian 8 (nommée jessie
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
adblock-plus | Nouvelle version amont, compatible avec firefox-esr |
apache2 | Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à 15 s pour permettre les connexionx « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration manquant mods-available/proxy_html.conf |
audiofile | Correction de dépassement de tampon lors du changement simultané de format d'échantillonnage et de nombre de canaux [CVE-2015-7747] |
automake-1.14 | Évitement d'une utilisation non sûre de /tmp/ dans install-sh |
backintime | Ajout de dépendance manquante de python-dbus |
backuppc | Correction de régressions depuis la mise à jour de samba vers 4.2 |
base-files | Mise à jour pour cette version |
biber | Correction d'une casse déclenchée par une mise à jour intermédiaire de Perl |
cacti | Correction d'injection de code sql dans tree.php [CVE-2016-3172] et graph_view.php [CVE-2016-3659] ; correction de contournement d'authentification [CVE-2016-2313] |
ccache | Version amont de correction de bogues |
clamav | Pas d'échec si l'option AllowSupplementaryGroups est encore réglée dans le fichier de configuration |
cmake | Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t |
conkeror | Prise en charge de Firefox 44 et suivant |
debian-edu-config | Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP dédié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mise à niveaux à partir des vieilles installations de Wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante |
debian-edu-doc | Mise à jour des manuels de Debian Edu Jessie et Wheezy à partir du wiki |
debian-installer | Reconstruction avec proposed-updates |
debian-installer-netboot-images | Reconstruction pour cette version |
debian-security-support | Mise à jour des données d'assistance incluses ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir |
dietlibc | Correction de PATH par défaut non sécurisé |
dwarfutils | Corrections de sécurité [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042] |
e2fsprogs | Désactivation des messages d'erreurs de date qui est décalée dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs |
exim4 | Correction de bogue cutthroughavec des lignes de lettres avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd |
file | Correction d'un écrasement de tampon dans le fichier magique finfo_open malformé [CVE-2015-8865] |
firegestures | Nouvelle version amont, compatible avec firefox-esr |
flashplugin-nonfree | Update-flashplugin-nonfree : suppression de l'ancien get-upstream-version.pl du cache |
fusionforge | Retrait de la dépendance au greffon de Mediawiki du métapaquet fusionforge-full |
gdcm | Correction d'un dépassement d'entier [CVE-2015-8396] et de déni de service [CVE-2015-8397] |
glibc | Correction d'un échec d'assertion d'adresses de nom de serveur non connectable (régression introduite par la correction CVE-2015-7547) ; correction des fonctions *context de s390x ; correction d'un dépassement de tampon dans la fonction glob [CVE-2016-1234], d'un dépassement de pile dans nss_dns_getnetbyname_r [CVE-2016-3075], d'un dépassement de pile dans la fonction getaddrinfo [CVE-2016-3706], d'un dépassement de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ; mise à jour à partir de la branche stable amont ; correction des fonctions open et openat d'O_TMPFILE ; correction d'une suspension de trace sur armel/armhf, provoquant éventuellement une légère vulnérabilité de déni de service [CVE-2016-6323] ; correction de mtr sur les systèmes utilisant seulement des serveurs de noms IPv6 |
gnome-maps | Nouvelle version amont ; utilisation du serveur de tuiles Mapbox, à la place du serveur MapQuest plus pris en charge |
gnome-sudoku | Plus de génération de la même série de grilles chaque fois |
gnupg | gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature |
gnupg2 | gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature |
greasemonkey | Nouvelle version amont, compatible avec firefox-esr |
intel-microcode | Nouvelle version amont |
jakarta-jmeter | Installation réelle des modèles ; correction d'une erreur avec libxstream-java >= 1.4.9 lors du chargement des modèles |
javatools | Retour d'une chaîne correcte d'architecture pour ppc64el dans java-arch.sh |
kamailio | Correction de la vérification de version de libssl |
libbusiness-creditcard-perl | Ajustement pour des modifications dans la série des cartes de crédit et traitement de diverses sociétés |
libcss-dom-perl | Contournement de modifications d'Encode incluses dans les mises à jour stables de perl et libencode-perl |
libdatetime-timezone-perl | Mise à jour des données incluses à 2016e ; nouvelle version amont |
libdevel-declare-perl | Correction d'une casse déclenchée par une mise à jour de Perl stable |
libnet-ssleay-perl | Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1 |
libquota-perl | Adaptation de la détection de plateforme pour fonctionner avec Linux 4.x |
libtool | Correction de la capacité de co-installation multi-architecture [amd64 i386] |
libxml2 | Correction d'un problème de non analyse d'URI sans partie hôte telle que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres |
linux | Nouvelle version stable amont |
lxc | Assurance que les conteneurs Stretch ou Sid ont un système init, après l'abandon de l'en-tête Essential: yespar init 1.34 |
mariadb-10.0 | Nouvelle version amont, comprenant la correction de sécurité [CVE-2016-6662] |
mozilla-noscript | Nouvelle version amont, compatible avec firefox-esr |
nullmailer | Conservation des données relayhost dans la base de données de debconf seulement tant que cela est strictement nécessaire |
open-iscsi | Script init : léger délai après l'apparition des périphériques iSCSI, contournant une situation de concurrence dans laquelle les périphériques dépendants ne peuvent apparaître qu'après le retour de l'installation initiale d'udev ; open-iscsi-udeb : mise à jour d'initramfs après la copie de la configuration sur le système cible |
openssl | Correction de la vérification de longueur des CRL ; activation de l'optimisation d'asm pour s390x |
ovirt-guest-agent | Installation de l'exécutable ovirt-guest-agent.py ; modification du propriétaire du répertoire du journal vers ovirtagent dans postinst |
piuparts | Correction de l'échec de construction (pas de test de l'état de la version courante de Debian, suivant ce qui est le problème de distro-info-data) |
policykit-1 | Plusieurs corrections de bogue : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218] |
publicsuforrection | Nouvelle version amont |
pypdf2 | Correction de boucle infinie dans la fonction readObject() |
python-django | Mise à jour de correction de bogues vers la version 1.7.11 |
python2.7 | Traitement de l'attaque StartTLS stripping attackdans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699] |
quassel | Correction d'un déni de service distant dans le noyau quassel avec des données de connexion incorrectes [CVE-2016-4414] |
ruby-eventmachine | Correction de plantage déclenchable à distance dû à la manipulation de descripteurs de fichier |
ruby2.1 | Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque souillé en mode sans échec [CVE-2009-5147] ; Fiddle::handlene devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551] |
sendmail | Pas d'abandon avec une assertion si la connexion à un serveur LDAP est perdue ; assurance que sendmail {client_port} est réglé correctement sur les machines petit-boutistes |
sqlite3 | Correction d'une vulnérabilité de sélection de répertoire temporaire [CVE-2016-6153], d'une erreur de segmentation suite à l'utilisation intensive de SAVEPOINT |
systemd | Utilisation du délai correct pour arrêter un processus créé par un fork ; pas de réinitialisation du niveau de journalisation à NOTICE si on obtient quietsur la ligne de commande du noyau ; correction de la fonction prepare priority queue comparisondans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target |
tabmixplus | Nouvelle version amont, compatible avec firefox-esr |
tcpreplay | Gestion de trames d'une taille de 65535 octets, ajout de vérification de taille [CVE-2016-6160] |
tor | Mise à jour de l'ensemble des serveurs de répertoires d'autorité |
tzdata | Nouvelle version amont ; mise à jour vers 2016e |
unbound | Correction du script init : ajout du commentaire magique pidfile; appel de start-stop-daemon avec l'option --retry pour l'action stop |
util-vserver | Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, corrigeant le PATH par défaut non sécurisé |
vorbis-tools | Correction de la fonction alloca large sur une entrée d'AIFF vers oggenc [CVE-2015-6749], validation du nombre de canaux dans l'en-tête [CVE-2014-9638 CVE-2014-9639], correction d'erreur de segmentation dans vcut |
vtk | Reconstruction pour corriger les chemins de Java [ppc64el] |
wget | Par défaut, dans les redirections de serveur vers une ressource FTP, utilisation de l'URL originale pour récupérer le nom de fichier local [CVE-2016-4971] |
wpa | Mise à jour de sécurité relative à des caractères invalides [CVE-2016-4476, CVE-2016-4477] |
yaws | Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108] |
zabbix | Correction d'injection de commande mysql.size dans zabbix-agent [CVE-2016-4338] |
Le paquet mariadb-10.0
échoue lors de sa construction pour l’architecture
powerpc, mais a été inclus dans cette publication intermédiaire pour permettre
une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique
au moment de cet envoi. Si une correction pour l’échec de construction est disponible
avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée
à l’aide de jessie-updates
.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
minit | Non maintenu et obsolète |
trn | Problèmes de sécurité ; remplacé par trn4 |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.