Publication de la mise à jour de Debian 7.3

14 décembre 2013

Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian 7 (nommée Wheezy). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 7 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 7 plus anciens mais simplement de faire une mise à jour à l'aide d'un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
apt Correction de la prise en charge de :any pour les systèmes à architecture unique et prise en charge des paquets .deb d'une taille supérieure à 2 Go
apt-listbugs Utilisation non sûre de fichiers temporaires
base-files Mise à jour pour cette version
bootchart Correction du processus de mise à jour pour des machines sur lesquelles la version de bootchart de Lenny a été installée
darktable Correction de CVE-2013-1438 et CVE-2013-1439
distro-info-data Ajout d'Ubuntu 14.04, Trusty Tahr
expat Ne pas installer de fichiers pkgconfig
fcitx-cloudpinyin Utilisation de Google par défaut, le choix par défaut précédent n'étant plus disponible
firebird2.5 Version 2.5.2 finale, correction de bogues
gnome-settings-daemon Retrait d'un correctif qui n'est plus nécessaire et qui rendait syndaemon presque inutile
gtk+3.0 Charger le fichier d'icône par une donnée URI, pour fonctionner avec la nouvelle politique d'origine de librsvg
iftop Correction d'une fuite de mémoire
intel-microcode Nouvelle version amont
kfreebsd-9 Retrait de 101_nullfs_vsock.diff
libdatetime-timezone-perl Nouvelle version amont
libguestfs Correction de CVE-2013-4419 : prise en charge de répertoire temporaire non sûre pour guestfish distant
libnet-server-perl Correction d'utilisation d'une valeur non initialisée dans une correspondance de motif
libnet-smtp-tls-butmaintained-perl Correction de la mauvaise utilisation d'IO::Socket::SSL dans le paramètre de SSL_version
librsvg Correction de CVE-2013-1881 : désactivation du chargement d'entités externes
lua-sql Restauration de la possibilité de co-installation multiarchitecture
meep-lam4 Déplacement de /usr/include/meep-lam4 vers /usr/include/meep, ce qui corrige la construction contre le paquet -dev
meep-mpi-default Déplacement de /usr/include/meep-mpi-default vers /usr/include/meep, ce qui corrige la construction contre le paquet -dev
meep-mpich2 Déplacement de /usr/include/meep-mpich2 vers /usr/include/meep, ce qui corrige la construction contre le paquet -dev
meep-openmpi Déplacement de /usr/include/meep-openmpi vers /usr/include/meep, ce qui corrige la construction contre le paquet -dev
multipath-tools Restauration du contournement dmsetup export, perdu lors du précédent envoi
nagios3 Interdiction pour status.cgi d'afficher la liste des hôtes et services non autorisés, correction de plusieurs bogues
nsd3 Ajout de $network à Required-Start
openttd Correction de CVE-2013-6411 (déni de service)
postgresql-8.4 Nouvelle micro version amont
postgresql-9.1 Nouvelle micro version amont
rtkit Correction du contournement de restriction d'accès par une situation de compétition avec polkit
ruby-passenger Correction de CVE-2013-2119 et CVE-2013-4136 : utilisation non sûre de fichiers temporaires
scikit-learn Déplacement de joblib depuis Recommends vers Depends
smplayer Ne pas ajouter -fontconfig aux options de ligne de commande pour Mplayer2 pour éviter un plantage au démarrage
starpu Retrait des exemples non libres
starpu-contrib Retrait des exemples non libres
tzdata Nouvelle version amont
usemod-wiki Mise à jour de la date d'expiration codée en dur des cookies de 2013 à 2025
xfce4-weather-plugin Mise à jour de l'URI de l'interface vers weather.com

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction
DSA-2738 ruby1.9.1Plusieurs vulnérabilités
DSA-2769 kfreebsd-9Plusieurs vulnérabilités
DSA-2770 torqueContournement d'authentification
DSA-2771 nasPlusieurs vulnérabilités
DSA-2772 typo3-srcScript intersite
DSA-2773 gnupgPlusieurs vulnérabilités
DSA-2774 gnupg2Plusieurs vulnérabilités
DSA-2775 ejabberdUtilisation non sûre de SSL
DSA-2777 systemdPlusieurs vulnérabilités
DSA-2778 libapache2-mod-fcgidDépassement de tampon
DSA-2779 libxml2Déni de service
DSA-2781 python-cryptoGraine aléatoire du générateur de nombres pseudo-aléatoires non correctement réinitialisée dans certains cas
DSA-2782 polarsslPlusieurs vulnérabilités
DSA-2784 xorg-serverUtilisation de mémoire après libération
DSA-2785 chromium-browserPlusieurs vulnérabilités
DSA-2786 icuPlusieurs vulnérabilités
DSA-2787 roundcubeErreur de conception
DSA-2788 iceweaselPlusieurs vulnérabilités
DSA-2789 strongswanDéni de service et contournement d'autorisation
DSA-2790 nssLecture de mémoire non initialisée
DSA-2791 tryton-clientAbsence de vérification des entrées
DSA-2792 wiresharkPlusieurs vulnérabilités
DSA-2794 spipPlusieurs vulnérabilités
DSA-2795 lighttpdPlusieurs vulnérabilités
DSA-2796 torqueExécution de code arbitraire
DSA-2798 curlAbsence de vérification du certificat SSL du nom d'hôte
DSA-2799 chromium-browserPlusieurs vulnérabilités
DSA-2800 nssDépassement de tampon
DSA-2801 libhttp-body-perlErreur de conception
DSA-2802 nginxContournement de restrictions
DSA-2803 quaggaPlusieurs vulnérabilités
DSA-2804 drupal7Plusieurs vulnérabilités
DSA-2805 sup-mailInjection de commande à distance
DSA-2806 nbdAugmentation de droits
DSA-2807 links2Dépassement d'entier
DSA-2808 openjpegPlusieurs vulnérabilités
DSA-2809 ruby1.8Plusieurs vulnérabilités
DSA-2810 ruby1.9.1Dépassement de zone de mémoire du système
DSA-2811 chromium-browserPlusieurs vulnérabilités

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
linky Problèmes de licence
iceweasel-linky Problèmes de licence

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés à la version stable par cette mise à jour.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/wheezy/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.