Publication de la mise à jour de Debian 8.6

17 septembre 2016

Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian 8 (nommée jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet	Raison
adblock-plus	Nouvelle version amont, compatible avec firefox-esr
apache2	Correction d'une situation de compétition et d'une erreur logique dans le script init ; retrait de liens vers manpages.debian.org dans l'index.html par défaut ; mod_socache_memcache : augmentation du délai de pause à 15 s pour permettre les connexionx « keep-alive » ; mod_proxy_fcgi : correction d'un mauvais comportement avec les réponses 304 ; correction du comportement de systemd-sysv-generator ; mod_proxy_html : ajout du fichier de configuration manquant mods-available/proxy_html.conf
audiofile	Correction de dépassement de tampon lors du changement simultané de format d'échantillonnage et de nombre de canaux [CVE-2015-7747]
automake-1.14	Évitement d'une utilisation non sûre de /tmp/ dans install-sh
backintime	Ajout de dépendance manquante de python-dbus
backuppc	Correction de régressions depuis la mise à jour de samba vers 4.2
base-files	Mise à jour pour cette version
biber	Correction d'une casse déclenchée par une mise à jour intermédiaire de Perl
cacti	Correction d'injection de code sql dans tree.php [CVE-2016-3172] et graph_view.php [CVE-2016-3659] ; correction de contournement d'authentification [CVE-2016-2313]
ccache	Version amont de correction de bogues
clamav	Pas d'échec si l'option AllowSupplementaryGroups est encore réglée dans le fichier de configuration
cmake	Correction du module FindOpenSSL pour qu'il détecte OpenSSL 1.0.1t
conkeror	Prise en charge de Firefox 44 et suivant
debian-edu-config	Migration d'Iceweasel à Firefox ESR ; ajustement de ldap-tools/ldap-debian-edu-install pour être conforme à systemd maintenant que l'unité samba.service est masquée ; dhclient-exit-hooks.d/hostname : ajustement pour le cas d'un serveur LTSP dédié ; ajustement de cf.krb5client pour assurer que les exécutions de cfengine sont idempotentes ; migration du code pour nettoyer le détournement de /usr/share/pam-configs/krb5 de postinst à preinst pour faciliter les mise à niveaux à partir des vieilles installations de Wheezy ; pas de purge de libnss-mdns puisque cups a besoin de mdns pour la détection automatique de l'imprimante
debian-edu-doc	Mise à jour des manuels de Debian Edu Jessie et Wheezy à partir du wiki
debian-installer	Reconstruction avec proposed-updates
debian-installer-netboot-images	Reconstruction pour cette version
debian-security-support	Mise à jour des données d'assistance incluses ; ajout de la prise en charge du marquage des paquets comme devant ne plus être pris en charge à une date à venir
dietlibc	Correction de PATH par défaut non sécurisé
dwarfutils	Corrections de sécurité [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogs	Désactivation des messages d'erreurs de date qui est décalée dans e2fsck ; correction d'une corruption potentielle des systèmes de fichiers de Hurd par e2fsck et de bogues de pointeur qui pourraient provoquer des plantages dans e2fsck et resize2fs
exim4	Correction de bogue cutthrough avec des lignes de lettres avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd
file	Correction d'un écrasement de tampon dans le fichier magique finfo_open malformé [CVE-2015-8865]
firegestures	Nouvelle version amont, compatible avec firefox-esr
flashplugin-nonfree	Update-flashplugin-nonfree : suppression de l'ancien get-upstream-version.pl du cache
fusionforge	Retrait de la dépendance au greffon de Mediawiki du métapaquet fusionforge-full
gdcm	Correction d'un dépassement d'entier [CVE-2015-8396] et de déni de service [CVE-2015-8397]
glibc	Correction d'un échec d'assertion d'adresses de nom de serveur non connectable (régression introduite par la correction CVE-2015-7547) ; correction des fonctions *context de s390x ; correction d'un dépassement de tampon dans la fonction glob [CVE-2016-1234], d'un dépassement de pile dans nss_dns_getnetbyname_r [CVE-2016-3075], d'un dépassement de pile dans la fonction getaddrinfo [CVE-2016-3706], d'un dépassement de pile dans Sun RPC clntudp_call() [CVE-2016-4429] ; mise à jour à partir de la branche stable amont ; correction des fonctions open et openat d'O_TMPFILE ; correction d'une suspension de trace sur armel/armhf, provoquant éventuellement une légère vulnérabilité de déni de service [CVE-2016-6323] ; correction de mtr sur les systèmes utilisant seulement des serveurs de noms IPv6
gnome-maps	Nouvelle version amont ; utilisation du serveur de tuiles Mapbox, à la place du serveur MapQuest plus pris en charge
gnome-sudoku	Plus de génération de la même série de grilles chaque fois
gnupg	gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature
gnupg2	gpgv : adaptation des options par défaut pour davantage de sécurité ; g10 : correction de vérification de clé pour la validation de signature
greasemonkey	Nouvelle version amont, compatible avec firefox-esr
intel-microcode	Nouvelle version amont
jakarta-jmeter	Installation réelle des modèles ; correction d'une erreur avec libxstream-java >= 1.4.9 lors du chargement des modèles
javatools	Retour d'une chaîne correcte d'architecture pour ppc64el dans java-arch.sh
kamailio	Correction de la vérification de version de libssl
libbusiness-creditcard-perl	Ajustement pour des modifications dans la série des cartes de crédit et traitement de diverses sociétés
libcss-dom-perl	Contournement de modifications d'Encode incluses dans les mises à jour stables de perl et libencode-perl
libdatetime-timezone-perl	Mise à jour des données incluses à 2016e ; nouvelle version amont
libdevel-declare-perl	Correction d'une casse déclenchée par une mise à jour de Perl stable
libnet-ssleay-perl	Correction d'échec de construction avec openssl 1.0.1t-1+deb8u1
libquota-perl	Adaptation de la détection de plateforme pour fonctionner avec Linux 4.x
libtool	Correction de la capacité de co-installation multi-architecture [amd64 i386]
libxml2	Correction d'un problème de non analyse d'URI sans partie hôte telle que qemu:///system ; cela répare libvirt, libsys-virt-perl et d'autres
linux	Nouvelle version stable amont
lxc	Assurance que les conteneurs Stretch ou Sid ont un système init, après l'abandon de l'en-tête Essential: yes par init 1.34
mariadb-10.0	Nouvelle version amont, comprenant la correction de sécurité [CVE-2016-6662]
mozilla-noscript	Nouvelle version amont, compatible avec firefox-esr
nullmailer	Conservation des données relayhost dans la base de données de debconf seulement tant que cela est strictement nécessaire
open-iscsi	Script init : léger délai après l'apparition des périphériques iSCSI, contournant une situation de concurrence dans laquelle les périphériques dépendants ne peuvent apparaître qu'après le retour de l'installation initiale d'udev ; open-iscsi-udeb : mise à jour d'initramfs après la copie de la configuration sur le système cible
openssl	Correction de la vérification de longueur des CRL ; activation de l'optimisation d'asm pour s390x
ovirt-guest-agent	Installation de l'exécutable ovirt-guest-agent.py ; modification du propriétaire du répertoire du journal vers ovirtagent dans postinst
piuparts	Correction de l'échec de construction (pas de test de l'état de la version courante de Debian, suivant ce qui est le problème de distro-info-data)
policykit-1	Plusieurs corrections de bogue : correction de corruption de tas [CVE-2015-3255], déni de service local authentifié [CVE-2015-4625] et problème de chemins d'objet incorrects dans RegisterAuthenticationAgent [CVE-2015-3218]
publicsuforrection	Nouvelle version amont
pypdf2	Correction de boucle infinie dans la fonction readObject()
python-django	Mise à jour de correction de bogues vers la version 1.7.11
python2.7	Traitement de l'attaque StartTLS stripping attack dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699]
quassel	Correction d'un déni de service distant dans le noyau quassel avec des données de connexion incorrectes [CVE-2016-4414]
ruby-eventmachine	Correction de plantage déclenchable à distance dû à la manipulation de descripteurs de fichier
ruby2.1	Pas d'ouverture par dl::dlopen d'une bibliothèque avec un nom de bibliothèque souillé en mode sans échec [CVE-2009-5147] ; Fiddle::handle ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551]
sendmail	Pas d'abandon avec une assertion si la connexion à un serveur LDAP est perdue ; assurance que sendmail {client_port} est réglé correctement sur les machines petit-boutistes
sqlite3	Correction d'une vulnérabilité de sélection de répertoire temporaire [CVE-2016-6153], d'une erreur de segmentation suite à l'utilisation intensive de SAVEPOINT
systemd	Utilisation du délai correct pour arrêter un processus créé par un fork ; pas de réinitialisation du niveau de journalisation à NOTICE si on obtient quiet sur la ligne de commande du noyau ; correction de la fonction prepare priority queue comparison dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target
tabmixplus	Nouvelle version amont, compatible avec firefox-esr
tcpreplay	Gestion de trames d'une taille de 65535 octets, ajout de vérification de taille [CVE-2016-6160]
tor	Mise à jour de l'ensemble des serveurs de répertoires d'autorité
tzdata	Nouvelle version amont ; mise à jour vers 2016e
unbound	Correction du script init : ajout du commentaire magique pidfile ; appel de start-stop-daemon avec l'option --retry pour l'action stop
util-vserver	Reconstruction avec dietlibc 0.33~cvs20120325-6+deb8u1, corrigeant le PATH par défaut non sécurisé
vorbis-tools	Correction de la fonction alloca large sur une entrée d'AIFF vers oggenc [CVE-2015-6749], validation du nombre de canaux dans l'en-tête [CVE-2014-9638 CVE-2014-9639], correction d'erreur de segmentation dans vcut
vtk	Reconstruction pour corriger les chemins de Java [ppc64el]
wget	Par défaut, dans les redirections de serveur vers une ressource FTP, utilisation de l'URL originale pour récupérer le nom de fichier local [CVE-2016-4971]
wpa	Mise à jour de sécurité relative à des caractères invalides [CVE-2016-4476, CVE-2016-4477]
yaws	Correction d'injection d'environnement CGI de HTTP_PROXY [CVE-2016-1000108]
zabbix	Correction d'injection de commande mysql.size dans zabbix-agent [CVE-2016-4338]

Le paquet mariadb-10.0 échoue lors de sa construction pour l’architecture powerpc, mais a été inclus dans cette publication intermédiaire pour permettre une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique au moment de cet envoi. Si une correction pour l’échec de construction est disponible avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée à l’aide de jessie-updates.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant	Paquet
DSA-3548	samba
DSA-3548	talloc
DSA-3548	tdb
DSA-3548	tevent
DSA-3548	ldb
DSA-3565	monotone
DSA-3588	symfony
DSA-3589	gdk-pixbuf
DSA-3590	chromium-browser
DSA-3591	imagemagick
DSA-3592	nginx
DSA-3593	libxml2
DSA-3594	chromium-browser
DSA-3596	spice
DSA-3597	expat
DSA-3598	vlc
DSA-3599	p7zip
DSA-3600	firefox-esr
DSA-3602	php5
DSA-3603	libav
DSA-3604	drupal7
DSA-3605	libxslt
DSA-3606	libpdfbox-java
DSA-3607	linux
DSA-3608	libreoffice
DSA-3609	tomcat8
DSA-3610	xerces-c
DSA-3611	libcommons-fileupload-java
DSA-3612	gimp
DSA-3613	libvirt
DSA-3614	tomcat7
DSA-3615	wireshark
DSA-3616	linux
DSA-3617	horizon
DSA-3618	php5
DSA-3619	libgd2
DSA-3620	pidgin
DSA-3621	mysql-connector-java
DSA-3622	python-django
DSA-3623	apache2
DSA-3624	mysql-5.5
DSA-3625	squid3
DSA-3626	openssh
DSA-3627	phpmyadmin
DSA-3628	libunicode-linebreak-perl
DSA-3628	debhelper
DSA-3628	libmime-encwords-perl
DSA-3628	perl
DSA-3628	libsys-syslog-perl
DSA-3628	libmodule-build-perl
DSA-3628	libnet-dns-perl
DSA-3628	libintl-perl
DSA-3628	cdbs
DSA-3628	libmime-charset-perl
DSA-3628	devscripts
DSA-3628	exim4
DSA-3629	ntp
DSA-3630	libgd2
DSA-3631	php5
DSA-3633	xen
DSA-3634	redis
DSA-3635	libdbd-mysql-perl
DSA-3637	chromium-browser
DSA-3638	curl
DSA-3639	wordpress
DSA-3640	firefox-esr
DSA-3641	openjdk-7
DSA-3642	lighttpd
DSA-3643	kde4libs
DSA-3644	fontconfig
DSA-3645	chromium-browser
DSA-3646	postgresql-9.4
DSA-3647	icedove
DSA-3648	wireshark
DSA-3649	gnupg
DSA-3650	libgcrypt20
DSA-3651	rails
DSA-3652	imagemagick
DSA-3653	flex
DSA-3653	bogofilter
DSA-3654	quagga
DSA-3655	mupdf
DSA-3656	tryton-server
DSA-3657	libarchive
DSA-3658	libidn
DSA-3659	linux
DSA-3660	chromium-browser
DSA-3661	charybdis
DSA-3662	inspircd
DSA-3663	xen
DSA-3664	pdns

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet	Raison
minit	Non maintenu et obsolète
trn	Problèmes de sécurité ; remplacé par trn4

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.