Publication de la mise à jour de Debian 8.10

9 décembre 2017

Le projet Debian a l'honneur d'annoncer la dixième mise à jour de sa distribution oldstable Debian 8 (nommée jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette révision ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens médias de jessie. Après l'installation, les paquets peuvent être mis à niveau vers les versions actuelles à l'aide d'un miroir Debian à jour.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette révision.

De nouvelles images d'installation seront prochainement disponibles à leurs emplacements habituels.

Mettre à jour une installation vers cette révision peut se faire en faisant pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette révision d'oldstable ajoute quelques importantes corrections aux paquets suivants :

Paquet	Raison
bareos	Correction des droits de la configuration de logrotate bareos-dir ; correction de corruption de fichier lors de l'utilisation d'une signature SHA1
base-files	Mise à jour pour cette version
bind9	Importation de DNSSEC KSK-2017
cups	Désactivation de SSLv3 et de RC4 par défaut pour corriger la vulnérabilité POODLE
db	Pas d'accès à DB_CONFIG si db_home n'est pas configuré [CVE-2017-10140]
db5.3	Pas d'accès à DB_CONFIG si db_home n'est pas configuré [CVE-2017-10140]
debian-installer	Reconstruction pour cette version
debian-installer-netboot-images	Reconstruction pour cette version
debmirror	Acceptation de lignes inconnues dans *.diff/Index ; mise en miroir des fichiers de métadonnées DEP-11 ; préférence de xz à gz, et solution si l'un ou l'autre manque ; mise en miroir et validation des fichiers InRelease
dns-root-data	Mise à jour de root.hints vers la version 2017072601 ; ajout de KSK-2017 au fichier root.key
dput	dput.cf : remplacement de security-master.debian.org par ftp.upload.security.debian.org
dwww	Correction du nom d'en-tête Last-Modified
elog	Mise à jour du correctif 0005_elogd_CVE-2016-6342_fix pour accorder un accès en tant qu'utilisateur ordinaire
flightgear	Correction d'une vulnérabilité d'écrasement de fichier arbitraire [CVE-2017-13709]
gsoap	Correction d'un dépassement d'entier à l'aide d'un grand document XML [CVE-2017-9765]
hexchat	Correction d'erreur de segmentation à la suite de la commande /server
icu	Correction de double libération dans createMetazoneMappings() [CVE-2017-14952]
kdepim	Correction de send Later with Delay bypasses OpenPGP [CVE-2017-9604]
kedpm	Correction d'une fuite d'informations du fichier history à l’aide d’une commande [CVE-2017-8296]
keyringer	Gestion des sous-clés sans date d'expiration et des clés publiques listées plusieurs fois
krb5	Corrections de sécurité – des attaquants distants authentifiés peuvent planter KDC [CVE-2017-11368] ; KDC plante avec restrict_anon_to_tgt [CVE-2016-3120] ; déni de service distant avec ldap pour des attaquants authentifiés [CVE-2016-3119] ; contournement évité de l'exigence de pré-authentification [CVE-2015-2694]
libdatetime-timezone-perl	Mise à jour des données incluses
libdbi	Réactivation de l'appel à _error_handler_call dans dbi_result_next_row()
libembperl-perl	Passage à Recommends des dépendances dures à mod_perl dans zembperl.load, corrigeant un échec d'installation quand libapache2-mod-perl2 n'est pas installé
libio-socket-ssl-perl	Correction d'erreur de segmentation avec des certificats client mal formés
liblouis	Correction de plusieurs dépassements de tampon de pile [CVE-2014-8184]
libofx	Corrections de sécurité [CVE-2017-2816 CVE-2017-14731]
libwnckmm	Renforcement des dépendances entre paquets ; utilisation de jquery.js issu de libjs-jquery
libwpd	Correction de sécurité [CVE-2017-14226]
libx11	Correction de insufficient validation of data from the X server can cause out of boundary memory read (XGetImage()) or write (XListFonts()) [CVE-2016-7942 CVE-2016-7943]
libxfixes	Correction de dépassement d'entier sur des réponses de serveur illégales [CVE-2016-7944]
libxi	Correction de insufficient validation of data from the X server can cause out of boundary memory access or endless loops [CVE-2016-7945 CVE-2016-7946]
libxrandr	Accès hors limites évités sur des réponses illégales [CVE-2016-7947 CVE-2016-7948]
libxtst	Correction de insufficient validation of data from the X server can cause out of boundary memory access or endless loops [CVE-2016-7951 CVE-2016-7952]
libxv	Correction de problèmes de gestion de protocole dans libXv [CVE-2016-5407]
libxvmc	Dépassement de tampon par le bas avec des chaînes vides évité [CVE-2016-7953]
linux	Nouvelle version stable du noyau 3.16.51
ncurses	Correction de divers bogues de plantage dans la bibliothèque et l'exécutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
openssh	Test de la configuration avant le démarrage ou le rechargement de sshd sous systemd ; faire que -- avant le nom d'hôte arrête le traitement d'argument et également après le nom d'hôte
pdns	Ajout de vérifications manquantes sur les opérations de l'API [CVE-2017-15091]
pdns-recursor	Correction d'injection de fichier de configuration dans l'API [CVE-2017-15093]
postgresql-9.4	Nouvelle version amont de correction de bogues
python-tablib	Chargement sûr de YAML [CVE-2017-2810]
request-tracker4	Correction d'une régression dans une précédente version de sécurité où des mots de passe SHA256 incorrects pourraient déclencher une erreur
ruby-ox	Plantage évité avec du code XML non valable passé à Oj.parse_obj() [CVE-2017-15928]
sam2p	Correction de plusieurs problèmes de dépassement d'entier ou de débordement de tampon de tas [CVE-2017-14628 CVE-2017-14629 CVE-2017-14630 CVE-2017-14631 CVE-2017-14636 CVE-2017-14637 CVE-2017-16663]
slurm-llnl	Correction du problème de sécurité provoqué par un traitement non sécurisé de chemin de fichier déclenché par l'échec d'un script Prolog [CVE-2016-10030]
sudo	Correction d'un accès arbitraire à un terminal [CVE-2017-1000368]
syslinux	Correction de problème de démarrage pour les micrologiciels anciens du BIOS en corrigeant l'ordre C/H/S
tor	Ajout du répertoire de tiers de confiance Bastet ; mise à jour de geoip et geoip6 vers la base de données de pays Maxmind GeoLite2 du 4 octobre 2017 ; correction d'un memset() à la fin d'un tableau lors du remplissage de cellules
transfig	Ajout de vérification des entrées dans les fichiers FIG [CVE-2017-16899] ; vérification des entrées des motifs de remplissage
tzdata	Nouvelle version amont
unbound	Correction de l'installation de l'ancre de confiance quand deux ancres sont présentes ; inclusion de l'ancre de confiance racine id 20326
weechat	logger : appel de strftime avant le remplacement des variables du tampon local [CVE-2017-14727]

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-3904	bind9
DSA-3908	nginx
DSA-3909	samba
DSA-3913	apache2
DSA-3914	imagemagick
DSA-3916	atril
DSA-3917	catdoc
DSA-3921	enigmail
DSA-3922	mysql-5.5
DSA-3924	varnish
DSA-3928	firefox-esr
DSA-3929	libsoup2.4
DSA-3930	freeradius
DSA-3932	subversion
DSA-3933	pjproject
DSA-3934	git
DSA-3935	postgresql-9.4
DSA-3937	zabbix
DSA-3938	libgd2
DSA-3939	botan1.10
DSA-3940	cvs
DSA-3942	supervisor
DSA-3943	gajim
DSA-3945	linux
DSA-3946	libmspack
DSA-3947	newsbeuter
DSA-3948	ioquake3
DSA-3949	augeas
DSA-3950	libraw
DSA-3951	smb4k
DSA-3952	libxml2
DSA-3956	connman
DSA-3958	fontforge
DSA-3960	gnupg
DSA-3961	libgd2
DSA-3962	strongswan
DSA-3963	mercurial
DSA-3964	asterisk
DSA-3969	xen
DSA-3970	emacs24
DSA-3971	tcpdump
DSA-3972	bluez
DSA-3973	wordpress-shibboleth
DSA-3974	tomcat8
DSA-3976	freexl
DSA-3977	newsbeuter
DSA-3978	gdk-pixbuf
DSA-3979	pyjwt
DSA-3980	apache2
DSA-3981	linux
DSA-3982	perl
DSA-3983	samba
DSA-3984	git
DSA-3986	ghostscript
DSA-3987	firefox-esr
DSA-3988	libidn2-0
DSA-3989	dnsmasq
DSA-3990	asterisk
DSA-3992	curl
DSA-3995	libxfont
DSA-3997	wordpress
DSA-3998	nss
DSA-3999	wpa
DSA-4000	xorg-server
DSA-4002	mysql-5.5
DSA-4004	jackson-databind
DSA-4006	mupdf
DSA-4007	curl
DSA-4008	wget
DSA-4011	quagga
DSA-4012	libav
DSA-4013	openjpeg2
DSA-4016	irssi
DSA-4018	openssl
DSA-4021	otrs2
DSA-4022	libreoffice
DSA-4025	libpam4j
DSA-4026	bchunk
DSA-4027	postgresql-9.4
DSA-4029	postgresql-common
DSA-4033	konversation
DSA-4035	firefox-esr
DSA-4037	jackson-databind
DSA-4038	shibboleth-sp2
DSA-4039	opensaml2
DSA-4040	imagemagick
DSA-4041	procmail
DSA-4042	libxml-libxml-perl
DSA-4043	samba
DSA-4045	vlc
DSA-4046	libspring-ldap-java
DSA-4047	otrs2
DSA-4051	curl
DSA-4052	bzr

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
libnet-ping-external-perl	non maintenu, problèmes de sécurité
aiccu	inutile depuis l'arrêt de SixXS

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version de oldstable.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.