Publication de la mise à jour de Debian 8.7
14 janvier 2017
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa
distribution stable Debian 8 (nommée jessie
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
ark | Arrêt du plantage en quittant lors d'une utilisation uniquement comme un KPart |
asterisk | Correction d'un problème de sécurité dû au traitement de caractères ASCII non imprimables, comme des espaces [CVE-2016-9938] |
asused | Utilisation de champs créés à la place de champs modifiés, conforme à la modification des données source |
base-files | Passage de /etc/debian_version à 8.7 |
bash | Correction d'exécution de code arbitraire à travers un nom d'hôte malveillant [CVE-2016-0634] et de variables SHELLOPTS+PS4 contrefaites pour l'occasion qui permettent une substitution de commande [CVE-2016-7543] |
ca-certificates | Mise à jour du paquet de l'autorité de certification Mozilla vers la version 2.9 ; postinst : exécution de update-certificates sans connecteur pour remplir initialement /etc/ssl/certs |
cairo | Correction de déni de service par l'utilisation de SVG pour créer des pointeurs non valables [CVE-2016-9082] |
ccache | [amd64] Reconstruction dans un environnement propre |
ceph | Correction de problème de requête CORS courte [CVE-2016-9579], déni de service sur le moniteur DoS [CVE-2016-5009], lecture anomyne d'ACL [CVE-2016-7031], déni de service de RGW [CVE-2016-8626] |
chirp | Désactivation du rapport de télémétrie par défaut |
cyrus-imapd-2.4 | Correction de la prise en charge de LIST GROUP |
darktable | Correction de dépassement d'entier dans ljpeg_start() [CVE-2015-3885] |
dbus | Correction d'une vulnérabilité potentielle de format de chaîne ; dbus.prerm : assurance que dbus.socket est arrêté avant suppression |
debian-edu-doc | Mise à jour du manuel de Debian Edu Jessie à partir du wiki ; correction des fichiers PO du manuel (da|nl) de Jessie pour obtenir la construction des manuels au format PDF ; mises à jour des traductions |
debian-edu-install | Mise à jour du numéro de version vers 8+edu1 |
debian-installer | Reconstruction pour cette version |
debian-installer-netboot-images | Reconstruction pour cette version |
duck | Correction de chargement de code à partir d'emplacements non fiables [CVE-2016-1239] |
e2fsprogs | Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, pour bénéficier des corrections de sécurité incluses |
ebook-speaker | Correction de suggestion d'installation de html2text pour lire les fichiers html |
elog | Correction d'envoi d'entrée sous un nom d'utilisateur arbitraire [CVE-2016-6342] |
evolution-data-server | Correction d'abandon de connexion prématuré avec des tailles de fenêtre TCP réduites et ayant pour conséquence la perte de données |
exim4 | Correction de fuite de mémoire de GnuTLS |
file | Correction de fuite de mémoire dans le chargeur magique |
ganeti-instance-debootstrap | Correction d'invocations de losetup en remplaçant -s par --show |
glibc | Pas d'utilisation inconditionnelle de l'instruction fsqrt sur les CPU PowerPC 64 bits ; correction d'une régression introduite par cvs-resolv-ipv6-nameservers.diff dans hesiod ; désactivation de l'omission de verrouillage (alias Intel TSX) sur les architectures x86 |
glusterfs | Quota : la correction ne devrait pas générer de problème de montage supplémentaire |
gnutls28 | Correction de validation incorrecte de certificat lors de l'utilisation de réponses OCSP [GNUTLS-SA-2016-3 / CVE-2016-7444] ; compatibilité assurée avec nettle et la correction CVE-2016-6489 |
hplip | Utilisation d'empreinte de clé gpg complète lors de la récupération de clé à partir des serveurs de clés [CVE-2015-0839] |
ieee-data | Désactivation de la tâche cron de mise à jour mensuelle |
intel-microcode | Mise à jour du micro-logiciel |
irssi | Correction d'un problème de fuite d'informations avec buf.pl et /upgrade [CVE-2016-7553] ; correction de déréférencement de pointeur NULL dans la fonction nickcmp [CVE-2017-5193], d'utilisation de mémoire après libération lors de la réception de message nick non valable [CVE-2017-5194] et de lecture hors limite dans certains codes de contrôle incomplets [CVE-2017-5195] |
isenkram | Téléchargement de micro-logiciel avec curl ; utilisation de HTTPS lors du téléchargement de modalias ; migration de miroir de http.debian.net à httpredir.debian.org |
jq | Correction de dépassement de tas [CVE-2015-8863] et d'épuisement de pile [CVE-2016-4074] |
libclamunrar | Correction d'accès hors bande |
libdatetime-timezone-perl | Mise à jour pour 2016h ; mise à jour des données incluses pour 2016i ; mise à jour pour 2016j ; mise à jour pour 2016g |
libfcgi-perl | Correction de numerous connections cause segfault DoS[CVE-2012-6687] |
libio-socket-ssl-perl | Correction d'un problème d'erreur unreadable SSL_key_filelors d'utilisation des ACL du système de fichiers |
libmateweather | Migration de weather.noaa.gov interrompu à aviationweather.gov |
libphp-adodb | Correction de vulnérabilité de script intersite [CVE-2016-4855] et de problème d'injection SQL [CVE-2016-7405] |
libpng | Correction d'un problème de déréférencement de pointeur NULL [CVE-2016-10087] |
libwmf | Correction d'allocation de grands blocs de mémoire [CVE-2016-9011] |
linkchecker | Correction de vérification HTTPS |
linux | Mise à jour vers stable 3.16.39 ; ajout du pilote chaoskey, rétroporté à partir de 4.8, prise en charge du périphérique flash SPI n25q256a11 ; sécurité, perf : désactivation permise de l'utilisation non privilégiée de perf_event_open ; plusieurs corrections de bogues et de sécurité |
lxc | Attach : pas d'envoi de procfd au processus attaché [CVE-2016-8649] ; remontage des montages bind si l'étiquette lecture seule est fournie ; correction de la création de conteneur d'Alpine Linux |
mapserver | Correction de FTBFS avec php >= 5.6.25 ; correction de fuite d'informations par les messages d'erreur [CVE-2016-9839] |
mdadm | Permission à « --grow --continue » de réorganiser avec succès un volume lors de l'utilisation d'un espace de sauvegarde sur un périphérique « de secours » |
metar | Mise à jour de l'URL du rapport |
minissdpd | Correction d'une vulnérabilité de validation incorrecte d'index de volume [CVE-2016-3178 CVE-2016-3179] |
monotone | Modification du test sigpipe pour écrire 1 Mo de données de test pour augmenter la possibilité de déborder le tampon de tube |
most | Correction d'attaque d'injection de commande lors de l'ouverture de fichiers compressés avec lzma [CVE-2016-1253] |
mpg123 | Correction d'un déni de service avec des étiquettes ID3v2 contrefaites |
musl | Correction de dépassement d'entier [CVE-2016-8859] |
nbd | Arrêt du mélange d'étiquettes globales dans le champ des étiquettes qui est envoyé au noyau, de manière à ce que la connexion à nbd-server >= 3.9 ne fasse pas que chaque exportation soit marquée en lecture seule, de façon incorrecte |
nettle | Protection contre les attaques potentielles par canal auxiliaire à l'encontre des opérations d'exponentiation [CVE-2016-6489] |
nss-pam-ldapd | Retour de l'action d'arrêt du script d'initialisation seulement quand nslcd s'est vraiment arrêté |
nvidia-graphics-drivers | Mise à jour vers la version du pilote comprenant les corrections de sécurité [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-drivers-legacy-304xx | Mise à jour vers la version du pilote comprenant les corrections de sécurité [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-modules | Reconstruction avec nvidia-kernel-source 340.101 |
openbox | Ajout de la dépendance de construction libxcursor-dev pour corriger le chargement de notifications de démarrage ; remplacement de getgrent par getgroups pour ne pas énumérer tous les groupes au démarrage |
opendkim | Correction de la mise en forme canonique assouplie des en-têtes imbriqués qui casse les signatures |
pam | Correction de gestion de loginuid dans les conteneurs |
pgpdump | Correction de boucle infinie à l'analyse d'entrée falsifiée pour l'occasion dans read_binary [CVE-2016-4021] et de dépassement de tampon dans read_radix64 |
postgresql-9.4 | Nouvelle version stable amont |
postgresql-common | Pg_upgradecluster : mise à niveau correcte des bases de données avec des propriétaires non autorisés à se connecter ; pg_ctlcluster : protection contre les liens symboliques dans /var/log/postgresql/ permettant la création de fichiers arbitraires ailleurs [CVE-2016-1255] |
potrace | Correction de sécurité [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
python-crypto | Avertissement lancé quand un IV est utilisé avec ECB (« Electronic Code Book ») ou CTR (« CounTer Mode ») et ignore l'IV [CVE-2013-7459] |
python-werkzeug | Correction de script intersite dans le débogueur |
qtbase-opensource-src | Évitement de déréférencement bad-ptrs dans QNetworkConfigurationManagerPrivate ; correction des icônes de la zone de notification de X11 sur certains bureaux |
rawtherapee | Correction de dépassement de tampon dans dcraw [CVE-2015-8366] |
redmine | Gestion de l'échec de vérification de dépendance au déclenchement pour éviter de casser au milieu des dist-upgrades ; ouverture évitée de la configuration de bases de données qui ne sont pas lisibles |
samba | Correction de client side SMB2/3 required signing can be downgraded[CVE-2016-2119], de diverses régressions introduites dans les corrections de sécurité 4.2.10 et d'erreur de segmentation dans les grappes |
sed | Garantie de droits cohérents avec différents umasks |
shutter | Correction d'utilisation non sécurisée de system() [CVE-2015-0854] |
sniffit | Correction de sécurité [CVE-2014-5439] |
suckless-tools | Correction de SEGV dans slock quand le compte de l'utilisateur a été désactivé [CVE-2016-6866] |
sympa | Correction de la configuration de logrotate pour que sympa ne soit pas laissé dans un état confus quand systemd est utilisé |
systemd | Pas de retour d'erreur dans manager_dispatch_notify_fd() [CVE-2016-7796] ; core : réécriture logique pour déterminer quand décider d'ajouter des dépendances automatiques pour les montages ; diverses corrections d'ordonnancement pour ifupdown ; systemctl : correction de la gestion d'argument lorsqu'il est invoqué à l'extinction ; localed : absence tolérée de /etc/default/keyboard ; systemctl, loginctl, etc. : pas de démarrage de l'agent polkit lors d'une exécution en tant que root |
tevent | Nouvelle version amont, requise pour samba |
tre | Correction de dépassement d'entier regex dans les calculs de taille de tampon [CVE-2016-8859] |
tzdata | Mise à jour des données incluses pour 2016h ; mise à jour pour 2016g ; mise à jour pour 2016j ; mise à jour des données incluses pour 2016i |
unrtf | Correction de dépassement de tampon dans diverses fonctions cmd_ [CVE-2016-10091] |
w3m | Plusieurs corrections de sécurité [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
wireless-regdb | Mise à jour des données incluses |
wot | Suppression de greffon à cause de problèmes de vie privée |
xwax | Remplacement de ffmpeg par avconv de libav-tools |
zookeeper | Correction de dépassement de tampon par la commande d'entrée lors de l'utilisation de la syntaxe de mode batch cmd:[CVE-2016-5017] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
dotclear | Problèmes de sécurité |
sogo | Problèmes de sécurité |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.