Publication de la mise à jour de Debian 8.8
6 mai 2017
Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa
distribution stable Debian 8 (nommée Jessie
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
activemq | Correction de déni de service dans activemq-core avec la commande shutdown [CVE-2015-7559] |
apf-firewall | Ajout de la compatibilité avec les noyaux >= 3.X |
apt-xapian-index | Retrait de l'appel à update-python-modules |
base-files | Mise à jour pour cette version |
binutils | Application du correctif amont pour corriger gold sur arm64 |
ca-certificates | Update-ca-certificates : mise à jour du répertoire local de certificats lors de l'appel --fresh ; prise en charge de l'exécution sans connecteur |
commons-daemon | Correction de la prise en charge de ppc64el |
crafty | Pas de génération de code spécifique au processeur |
debian-edu-doc | Mise à jour des traductions |
debian-installer | Reconstruction pour cette version |
debian-installer-netboot-images | Reconstruction pour cette version |
dropbear | Correction de problèmes de contournement de restriction de commande dans authorized_keys [CVE-2016-3116], d'injection de chaîne de formatage [CVE-2016-7406] et d'exécution de code arbitraire [CVE-2016-7407 CVE-2016-7408] |
erlang | Correction d'un vulnérabilité de dépassement de tas dans l'analyse des expressions rationnelles [CVE-2016-10253] |
glibc | Correction de racines carrées inexactes sur PowerPC |
gnome-media | Ajout de « Breaks » manquants : gnome-media-common, libgnome-media-dev, libgnome-media0 pour s'accorder avec Replaces |
gnome-screenshot | Utilisation du tiret comme séparateur du format de l'heure |
gnome-settings-daemon | Utilisation du tiret comme séparateur du format de l'heure |
gnutls28 | Correction d'un problème de troncature dans l'encodage des mots de passe PKCS#12 ; correction de double libération dans l'affichage de l'information sur les certificats [CVE-2017-5334] ; correction de fuite de mémoire dans une erreur de chemin côté serveur ; correction de fuites de mémoire et d'une boucle infinie dans l'analyse de certificats OpenPGP [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337] ; correction de dépassement d'entier dans l'analyse de certificats OpenPGP [CVE-2017-7869] ; correction de lecture au-delà de la fin du tampon dans l'analyse de certificats OpenPGP ; correction de plantages dans l'analyse de certificats OpenPGP, liés à l'analyse de clés privées [GNUTLS-SA-2017-3B] ; correction de possible exécution « Out of Memory » dans l'analyse de certificats OpenPGP [GNUTLS-SA-2017-3C] |
groovy | Correction d'une vulnérabilité d'exécution de code à distance grâce à un objet sérialisé contrefait [CVE-2016-6814] |
groovy2 | Correction d'une vulnérabilité d'exécution de code à distance grâce à un objet sérialisé contrefait [CVE-2016-6814] |
guile-2.0 | Correction d'une vulnérabilité de serveur REPL [CVE-2016-8606] et d'une vulnérabilité de mkdir liée à umask [CVE-2016-8605] |
initramfs-tools | Inclusion des pilotes pour tous les claviers quand MODULES=dep ; inclusion de davantage de pilotes d'hôte USB et de tous les modules de pilote de bus ; retrait de code qui supprime les liens symboliques cassés et parfois /etc/mtab ; ajout de tous les pilotes de bus et de multiplexeur I2C quand MODULES=most ; arrêt du chargement forcé des pilotes trouvés avec sysfs quand MODULES=dep |
installation-guide | Correction des instructions pour que la création de syslinux.cfg fonctionne avec syslinux 5 |
irqbalance | Avertissement unique pour les IRQ de sous-ensembles vides d’indices d'affinité |
kup | Rétroportage des modifications nécessaires pour fonctionner avec kernel.org à l'avenir |
libdatetime-timezone-perl | Mise à jour des données incluses dans 2017b |
libindicate | libindicate-gtk3-dev : dépendance à libindicate-gtk3-3 plutôt qu'à libindicate-gtk3 |
libmateweather | Renommage de la zone horaire de Rangoun en Yangon (conformément à la modification de tzdata 2016g) |
libvirt | Amélioration de la compatibilité avec qemu v2.6+ |
libvorbisidec | Ajout de la dépendance de libogg-dev à libvorbisidec-dev |
libxslt | Vérification de dépassement d'entier dans xsltAddTextString [CVE-2017-5029] |
linux | Mise à jour vers la nouvelle version stable 3.16.43 ; mm/huge_memory.c : correction de mm/huge_memory.c : respect de FOLL_FORCE/FOLL_COW pour le rétroportage de thp |
logback | Pas de désérialisation de données à partir de sockets non fiables [CVE-2017-5929] |
lxc | Assurance que la cible netns est propriété de l'appelant [CVE-2017-5985] |
minicom | Correction d'écriture hors limites dans vt100.c [CVE-2017-7467] |
modsecurity-crs | Correction d'une faute de frappe dans modsecurity_crs_16_session_hijacking.conf |
mongodb | Correction des droits dans .dbshell [CVE-2016-6494] ; retrait des clés et des noms occasionnels des journaux de tentative d'authentification |
ndisc6 | Utilisation du connecteur de fusion amont par défaut lorsque resolvconf n'est pas disponible |
ndoutils | Purge postrm : vérification d'ucf avant de l'appeler |
nvidia-graphics-drivers | Nouvelle version amont (340.102) contenant des corrections de sécurité [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321] ; correction de construction de module sur les noyaux Linux 4.10 et plus récents |
nvidia-graphics-drivers-legacy-304xx | Nouvelle version amont (304.135) contenant des corrections de sécurité [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321] ; correction de construction de module sur les noyaux Linux 4.10 et plus récents |
nvidia-graphics-modules | Reconstruction avec nvidia-kernel-source 340.102 |
openchange | Correction d'échec de construction avec samba 4.2 |
openmpi | libopenmpi1.6 : correction de deux liens « soname » incorrects, utilisation d'une version pour Conflicts : libopenmpi2 (<< 1.6) pour ne pas interférer avec les mises à niveau vers Stretch |
plv8 | Vérification des droits pour l'appel des fonctions |
postfix | Correction d'échec de construction avec les noyaux Linux 4.x ; ajout de delmap à .prerm pour tous les paquets qui contiennent des types de données d'association exposés par des fichiers .so externes de telle sorte que les mises à niveau vers Stretch (où les fichiers associés sont déplacés) seront fonctionnelles |
postgresql-9.4 | Nouvelle version amont |
python-cryptography | Correction de problème de HKDF avec des clés de petite taille [CVE-2016-9243] ; correction d'échec de construction dû à la détection de méthode SSL2 |
radare2 | Correction d'une vulnérabilité de déni de service [CVE-2017-6197] |
sane-backends | Correction de problème de sécurité [CVE-2017-6318] |
sendmail | Création de fichiers en tant que smmsp:smmsp uniquement dans /var/run/sendmail/stampdir pour éviter une possible augmentation de droits ; utilisation de lockfile-create (à partir de lockfile-progs) à la place de touch pour gérer les fichiers de verrouillage de cronjob ; sendmail-base : ajout de Depends: netbase pour /etc/services |
sitesummary | Correction du script de pré-retrait de paquet |
smemstat | Correction d'un déréférencement de pointeur NULL lorsque l'UID ne peut être lu |
spip | Correction de plusieurs problèmes de script intersite, d'attaques par contrefaçon de requête côté serveur [CVE-2016-7999], de traversée de répertoires [CVE-2016-7982], d'exécution de code arbitraire [CVE-2016-7998], de contrefaçon de requête intersite [CVE-2016-7980], de vulnérabilités de script intersite [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152] |
sus | Mise à jour pour SUSv4 TC2 |
synergy | Correction d'un plantage lors du démarrage de synergyc |
systemd | Correction des propriétés booléennes récupérées par sd-bus sur les architectures gros-boutistes ; systemctl : ajout de la prise en charge de is-enabled dans les scripts init de SysV ; si la commande start disparaît à l'exécution, pas d'assertion lancée ; si une unité à montage automatique est masquée, pas de réaction à l'activation |
transmissionrpc | Ajout de dépendance manquante de modules Python pour python-six |
tzdata | Mise à jour de données incluses pour 2017b ; activation de traductions partielles des écrans debconf |
unzip | Correction de dépassements de tampon dans unzip [CVE-2014-9913] et zipinfo [CVE-2016-9844] |
uwsgi | Correction d'échec de construction avec les versions récentes de glibc |
vim | Correction de dépassements de tampon lors de la lecture de fichiers undo corrompus [CVE-2017-6349 CVE-2017-6350] |
vlc | Nouvelle version amont |
webissues-server | Purge postrm : vérification de ucf avant de l'appeler |
wget | Correction d'injection de fin de ligne (CRLF) dans la partie hôte des URL [CVE-2017-6508] |
xmobar | Mise à jour de l'URL de flux météo |
xshisen | Correction d'erreurs de segmentation fréquentes au démarrage |
yara | Correction de plusieurs problèmes de sécurité [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924] |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
cgiemail | Bogues critiques, non maintenu |
grive | Cassé à cause de modifications de l'API de Google |
libapache2-authenntlm-perl | Cassé avec Apache 2.4 |
libwww-dict-leo-org-perl | Cassé à cause de modifications amont |
live-f1 | Cassé à cause de modifications de tiers |
owncloud | Non pris en charge |
owncloud-apps | Non pris en charge |
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.