Publication de la mise à jour de Debian 8.7

14 janvier 2017

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 8 (nommée jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
ark Arrêt du plantage en quittant lors d'une utilisation uniquement comme un KPart
asterisk Correction d'un problème de sécurité dû au traitement de caractères ASCII non imprimables, comme des espaces [CVE-2016-9938]
asused Utilisation de champs créés à la place de champs modifiés, conforme à la modification des données source
base-files Passage de /etc/debian_version à 8.7
bash Correction d'exécution de code arbitraire à travers un nom d'hôte malveillant [CVE-2016-0634] et de variables SHELLOPTS+PS4 contrefaites pour l'occasion qui permettent une substitution de commande [CVE-2016-7543]
ca-certificates Mise à jour du paquet de l'autorité de certification Mozilla vers la version 2.9 ; postinst : exécution de update-certificates sans connecteur pour remplir initialement /etc/ssl/certs
cairo Correction de déni de service par l'utilisation de SVG pour créer des pointeurs non valables [CVE-2016-9082]
ccache [amd64] Reconstruction dans un environnement propre
ceph Correction de problème de requête CORS courte [CVE-2016-9579], déni de service sur le moniteur DoS [CVE-2016-5009], lecture anomyne d'ACL [CVE-2016-7031], déni de service de RGW [CVE-2016-8626]
chirp Désactivation du rapport de télémétrie par défaut
cyrus-imapd-2.4 Correction de la prise en charge de LIST GROUP
darktable Correction de dépassement d'entier dans ljpeg_start() [CVE-2015-3885]
dbus Correction d'une vulnérabilité potentielle de format de chaîne ; dbus.prerm : assurance que dbus.socket est arrêté avant suppression
debian-edu-doc Mise à jour du manuel de Debian Edu Jessie à partir du wiki ; correction des fichiers PO du manuel (da|nl) de Jessie pour obtenir la construction des manuels au format PDF ; mises à jour des traductions
debian-edu-install Mise à jour du numéro de version vers 8+edu1
debian-installer Reconstruction pour cette version
debian-installer-netboot-images Reconstruction pour cette version
duck Correction de chargement de code à partir d'emplacements non fiables [CVE-2016-1239]
e2fsprogs Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, pour bénéficier des corrections de sécurité incluses
ebook-speaker Correction de suggestion d'installation de html2text pour lire les fichiers html
elog Correction d'envoi d'entrée sous un nom d'utilisateur arbitraire [CVE-2016-6342]
evolution-data-server Correction d'abandon de connexion prématuré avec des tailles de fenêtre TCP réduites et ayant pour conséquence la perte de données
exim4 Correction de fuite de mémoire de GnuTLS
file Correction de fuite de mémoire dans le chargeur magique
ganeti-instance-debootstrap Correction d'invocations de losetup en remplaçant -s par --show
glibc Pas d'utilisation inconditionnelle de l'instruction fsqrt sur les CPU PowerPC 64 bits ; correction d'une régression introduite par cvs-resolv-ipv6-nameservers.diff dans hesiod ; désactivation de l'omission de verrouillage (alias Intel TSX) sur les architectures x86
glusterfs Quota : la correction ne devrait pas générer de problème de montage supplémentaire
gnutls28 Correction de validation incorrecte de certificat lors de l'utilisation de réponses OCSP [GNUTLS-SA-2016-3 / CVE-2016-7444] ; compatibilité assurée avec nettle et la correction CVE-2016-6489
hplip Utilisation d'empreinte de clé gpg complète lors de la récupération de clé à partir des serveurs de clés [CVE-2015-0839]
ieee-data Désactivation de la tâche cron de mise à jour mensuelle
intel-microcode Mise à jour du micro-logiciel
irssi Correction d'un problème de fuite d'informations avec buf.pl et /upgrade [CVE-2016-7553] ; correction de déréférencement de pointeur NULL dans la fonction nickcmp [CVE-2017-5193], d'utilisation de mémoire après libération lors de la réception de message nick non valable [CVE-2017-5194] et de lecture hors limite dans certains codes de contrôle incomplets [CVE-2017-5195]
isenkram Téléchargement de micro-logiciel avec curl ; utilisation de HTTPS lors du téléchargement de modalias ; migration de miroir de http.debian.net à httpredir.debian.org
jq Correction de dépassement de tas [CVE-2015-8863] et d'épuisement de pile [CVE-2016-4074]
libclamunrar Correction d'accès hors bande
libdatetime-timezone-perl Mise à jour pour 2016h ; mise à jour des données incluses pour 2016i ; mise à jour pour 2016j ; mise à jour pour 2016g
libfcgi-perl Correction de numerous connections cause segfault DoS [CVE-2012-6687]
libio-socket-ssl-perl Correction d'un problème d'erreur unreadable SSL_key_file lors d'utilisation des ACL du système de fichiers
libmateweather Migration de weather.noaa.gov interrompu à aviationweather.gov
libphp-adodb Correction de vulnérabilité de script intersite [CVE-2016-4855] et de problème d'injection SQL [CVE-2016-7405]
libpng Correction d'un problème de déréférencement de pointeur NULL [CVE-2016-10087]
libwmf Correction d'allocation de grands blocs de mémoire [CVE-2016-9011]
linkchecker Correction de vérification HTTPS
linux Mise à jour vers stable 3.16.39 ; ajout du pilote chaoskey, rétroporté à partir de 4.8, prise en charge du périphérique flash SPI n25q256a11 ; sécurité, perf : désactivation permise de l'utilisation non privilégiée de perf_event_open ; plusieurs corrections de bogues et de sécurité
lxc Attach : pas d'envoi de procfd au processus attaché [CVE-2016-8649] ; remontage des montages bind si l'étiquette lecture seule est fournie ; correction de la création de conteneur d'Alpine Linux
mapserver Correction de FTBFS avec php >= 5.6.25 ; correction de fuite d'informations par les messages d'erreur [CVE-2016-9839]
mdadm Permission à « --grow --continue » de réorganiser avec succès un volume lors de l'utilisation d'un espace de sauvegarde sur un périphérique « de secours »
metar Mise à jour de l'URL du rapport
minissdpd Correction d'une vulnérabilité de validation incorrecte d'index de volume [CVE-2016-3178 CVE-2016-3179]
monotone Modification du test sigpipe pour écrire 1 Mo de données de test pour augmenter la possibilité de déborder le tampon de tube
most Correction d'attaque d'injection de commande lors de l'ouverture de fichiers compressés avec lzma [CVE-2016-1253]
mpg123 Correction d'un déni de service avec des étiquettes ID3v2 contrefaites
musl Correction de dépassement d'entier [CVE-2016-8859]
nbd Arrêt du mélange d'étiquettes globales dans le champ des étiquettes qui est envoyé au noyau, de manière à ce que la connexion à nbd-server >= 3.9 ne fasse pas que chaque exportation soit marquée en lecture seule, de façon incorrecte
nettle Protection contre les attaques potentielles par canal auxiliaire à l'encontre des opérations d'exponentiation [CVE-2016-6489]
nss-pam-ldapd Retour de l'action d'arrêt du script d'initialisation seulement quand nslcd s'est vraiment arrêté
nvidia-graphics-drivers Mise à jour vers la version du pilote comprenant les corrections de sécurité [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-drivers-legacy-304xx Mise à jour vers la version du pilote comprenant les corrections de sécurité [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-modules Reconstruction avec nvidia-kernel-source 340.101
openbox Ajout de la dépendance de construction libxcursor-dev pour corriger le chargement de notifications de démarrage ; remplacement de getgrent par getgroups pour ne pas énumérer tous les groupes au démarrage
opendkim Correction de la mise en forme canonique assouplie des en-têtes imbriqués qui casse les signatures
pam Correction de gestion de loginuid dans les conteneurs
pgpdump Correction de boucle infinie à l'analyse d'entrée falsifiée pour l'occasion dans read_binary [CVE-2016-4021] et de dépassement de tampon dans read_radix64
postgresql-9.4 Nouvelle version stable amont
postgresql-common Pg_upgradecluster : mise à niveau correcte des bases de données avec des propriétaires non autorisés à se connecter ; pg_ctlcluster : protection contre les liens symboliques dans /var/log/postgresql/ permettant la création de fichiers arbitraires ailleurs [CVE-2016-1255]
potrace Correction de sécurité [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703]
python-crypto Avertissement lancé quand un IV est utilisé avec ECB (« Electronic Code Book ») ou CTR (« CounTer Mode ») et ignore l'IV [CVE-2013-7459]
python-werkzeug Correction de script intersite dans le débogueur
qtbase-opensource-src Évitement de déréférencement bad-ptrs dans QNetworkConfigurationManagerPrivate ; correction des icônes de la zone de notification de X11 sur certains bureaux
rawtherapee Correction de dépassement de tampon dans dcraw [CVE-2015-8366]
redmine Gestion de l'échec de vérification de dépendance au déclenchement pour éviter de casser au milieu des dist-upgrades ; ouverture évitée de la configuration de bases de données qui ne sont pas lisibles
samba Correction de client side SMB2/3 required signing can be downgraded [CVE-2016-2119], de diverses régressions introduites dans les corrections de sécurité 4.2.10 et d'erreur de segmentation dans les grappes
sed Garantie de droits cohérents avec différents umasks
shutter Correction d'utilisation non sécurisée de system() [CVE-2015-0854]
sniffit Correction de sécurité [CVE-2014-5439]
suckless-tools Correction de SEGV dans slock quand le compte de l'utilisateur a été désactivé [CVE-2016-6866]
sympa Correction de la configuration de logrotate pour que sympa ne soit pas laissé dans un état confus quand systemd est utilisé
systemd Pas de retour d'erreur dans manager_dispatch_notify_fd() [CVE-2016-7796] ; core : réécriture logique pour déterminer quand décider d'ajouter des dépendances automatiques pour les montages ; diverses corrections d'ordonnancement pour ifupdown ; systemctl : correction de la gestion d'argument lorsqu'il est invoqué à l'extinction ; localed : absence tolérée de /etc/default/keyboard ; systemctl, loginctl, etc. : pas de démarrage de l'agent polkit lors d'une exécution en tant que root
tevent Nouvelle version amont, requise pour samba
tre Correction de dépassement d'entier regex dans les calculs de taille de tampon [CVE-2016-8859]
tzdata Mise à jour des données incluses pour 2016h ; mise à jour pour 2016g ; mise à jour pour 2016j ; mise à jour des données incluses pour 2016i
unrtf Correction de dépassement de tampon dans diverses fonctions cmd_ [CVE-2016-10091]
w3m Plusieurs corrections de sécurité [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633]
wireless-regdb Mise à jour des données incluses
wot Suppression de greffon à cause de problèmes de vie privée
xwax Remplacement de ffmpeg par avconv de libav-tools
zookeeper Correction de dépassement de tampon par la commande d'entrée lors de l'utilisation de la syntaxe de mode batch cmd: [CVE-2016-5017]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-3636 collectd
DSA-3665 openjpeg2
DSA-3666 mysql-5.5
DSA-3667 chromium-browser
DSA-3668 mailman
DSA-3669 tomcat7
DSA-3670 tomcat8
DSA-3671 wireshark
DSA-3672 irssi
DSA-3673 openssl
DSA-3674 firefox-esr
DSA-3675 imagemagick
DSA-3676 unadf
DSA-3677 libarchive
DSA-3678 python-django
DSA-3679 jackrabbit
DSA-3680 bind9
DSA-3681 wordpress
DSA-3682 c-ares
DSA-3683 chromium-browser
DSA-3684 libdbd-mysql-perl
DSA-3685 libav
DSA-3686 icedove
DSA-3687 nspr
DSA-3688 nss
DSA-3689 php5
DSA-3691 ghostscript
DSA-3692 freeimage
DSA-3693 libgd2
DSA-3694 tor
DSA-3695 quagga
DSA-3696 linux
DSA-3697 kdepimlibs
DSA-3698 php5
DSA-3700 asterisk
DSA-3701 nginx
DSA-3702 tar
DSA-3703 bind9
DSA-3704 memcached
DSA-3705 curl
DSA-3706 mysql-5.5
DSA-3709 libxslt
DSA-3710 pillow
DSA-3712 terminology
DSA-3713 gst-plugins-bad0.10
DSA-3714 akonadi
DSA-3715 moin
DSA-3716 firefox-esr
DSA-3717 gst-plugins-bad0.10
DSA-3717 gst-plugins-bad1.0
DSA-3718 drupal7
DSA-3719 wireshark
DSA-3720 tomcat8
DSA-3721 tomcat7
DSA-3722 vim
DSA-3723 gst-plugins-good1.0
DSA-3724 gst-plugins-good0.10
DSA-3725 icu
DSA-3726 imagemagick
DSA-3727 hdf5
DSA-3728 firefox-esr
DSA-3729 xen
DSA-3731 chromium-browser
DSA-3732 php-ssh2
DSA-3732 php5
DSA-3733 apt
DSA-3734 firefox-esr
DSA-3735 game-music-emu
DSA-3736 libupnp
DSA-3737 php5
DSA-3738 tomcat7
DSA-3739 tomcat8
DSA-3740 samba
DSA-3741 tor
DSA-3743 python-bottle
DSA-3744 libxml2
DSA-3745 squid3
DSA-3747 exim4
DSA-3748 libcrypto++
DSA-3749 dcmtk
DSA-3750 libphp-phpmailer
DSA-3751 libgd2
DSA-3752 pcsc-lite
DSA-3753 libvncserver
DSA-3754 tomcat7
DSA-3755 tomcat8

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
dotclear Problèmes de sécurité
sogo Problèmes de sécurité

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.