Publication de la mise à jour de Debian 8.3

Le projet Debian a l’honneur d’annoncer la troisième mise à jour de sa
distribution stable Debian 8 (nommée « Jessie »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de la version stable. Les annonces de sécurité
ont déjà été publiées séparément et sont simplement référencées dans ce
document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version Debian 8 mais seulement une mise à jour de certains des paquets
qu’elle contient. Il n’est pas nécessaire de jeter les anciens CD et DVD
de la version Jessie mais simplement de faire une mise à jour à l’aide
d’un miroir Debian après une installation, pour déclencher la mise à
jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n’auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.

De nouveaux supports d’installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer
l’outil de gestion des paquets aptitude (ou apt) (consultez la page de
manuel sources.list(5)) sur l’un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l’adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers
—————————-

Cette mise à jour de la version stable apporte quelques corrections
importantes aux paquets suivants :
Paquet                        Raison

android-platform-frameworks-base
[i386] nouvelle version pour corriger la dépendance à
android-libhost
apache2          Correction d’asplit-logfile pour qu’il fonctionne avec
la version actuelle de perl, de secondary-init-script
pour qu’il ne source pas le script principal d’init
avec l’option ‘set -e’, tests sur la migration différée
de MPM ; ajout d’une version à « Replaces / Breaks »
pour libapache2-mod-macro
apt              Dissimulation du premier message de débogage d’échec de
fusion de pdiff ; correction du marquage des
dépendances de paquet dans APT::Never-MarkAuto-Sections
comme dans le manuel ; arrêt de l’analyse des champs
Status des sources distantes
apt-dater-host   Correction de la détection de la version du noyau
apt-offline      Ajout de dépendances manquantes à python-apt
arb              Omission de la vérification de la version du compilateur
augeas           Programmes « lense » HTTPD : inclusion du répertoire
/etc/apache2/conf-available, autorisation de
commentaires EOL après les étiquettes de section
base-files       Mise à jour pour la version 8.3 ; os-release :
suppression de la barre oblique à la fin de la variable
SUPPORT_URL
bcfg2            Prise en charge de Django 1.7
ben              Correction des liens compacts buildd.debian.org ;
erreurs potentielles lors de la suppression d’un fichier
de verrouillage ignorées ; appel de dose-debcheck avec
–deb-native-arch
ca-certificates  Mise à jour du paquet de l’autorité de certification
Mozilla vers la version 2.6
ceph             Codage d’adresse des noms de« bucket » [CVE-2015-5245]
charybdis        Correction de sécurité [CVE-2015-5290] ; initialisation
correcte de gnutls
chrony           Construction dépendante de libcap-dev, pour permettre
l’abandon de droits
commons-httpclient
Assurance que les appels HTTPS utilisent
http.socket.timeout pendant l’initialisation de
connexion SSL [CVE-2015-5262]
cpuset           Mise à jour du correctif du préfixe de l’espace de nom
du système de fichiers
curlftpfs        Évitement des forçages non sécurisés pour getpass() sur
les architectures 64 bits
dbconfig-common  Correction des droits des fichiers de sauvegarde de
PostgreSQL
debian-handbook  Mise à jour pour Jessie
debian-installer Réintroductions des images de l’installateur pour QNAP
TS-x09 ; fourniture d’images u-boot pour les mini-PC ;
ajout du module part_gpt dans l’image principale de
grub ; ajout de bips au menu d’amorçage UEFI x86 ;
ajout du raccourci « s » pour la synthèse vocale  au
menu d’amorçage UEFI x86 ; exclusion
d’usb-serial-modules de l’image network-console d’armel
et explicitement d’usb-modules dans armel/orion5x
network-console ; abandon de l’extension file dans
l’initrd pour les périphériques QNAP ; ajustement de
la prise en charge de p-u pour gérer file:// au lieu
de seulement (f|ht)tp://
debian-installer-netboot-images
Reconstruction pour cette version
docbook2x        Suppression de l’installation des fichiers info/dir.gz
doctrine         Correction des problèmes de droits des répertoires
[CVE-2015-5723]
drbd-utils       Correction de l’ajustement de drbdadm aux adresses
de connexion IPv6
ejabberd         Correction de requêtes LDAP cassées
exfat-utils      Correction de dépassement de tampon et de boucle
infinie
exim4            Correction de quelques plantages liés à MIME ACL ;
correction d’un bogue provoquant des doubles
distributions, surtout avec les connexions TLS
fglrx-driver     Nouvelle version amont ; correction de problème de
sécurité [CVE-2015-7724]
file             Correction de la gestion de –parameter
flash-kernel     Évitement de l’attente de Ctrl-C si une interface
debconf est utilisée
fuse-exfat       Correction de dépassement de tampon et de boucle infinie
ganglia-modules-linux
Redémarrage du service ganglia après installation
seulement s’il était exécuté précédemment
getmail4         Réglage poplib._MAXLINE=1MB
glance           Modification directe interdite du statut de l’image
par l’API v1 [CVE-2015-5251]
glibc            Correction du renvoi parfois par getaddrinfo de données
non initialisées avec nscd ; correction de données
lors de la lecture de la base de données de fichiers
de NSS [CVE-2015-5277] ; correction de dépassement de
tampon (lecture au-delà de la fin du tampon)  dans
internal_fnmatch ; correction de dépassement d’entier de
_IO_wstr_overflow ; correction de la fermeture
inattendue de la base de données nss_files après
recherche, provoquant un déni de service
[CVE-2014-8121] ; correction du cache netgroup de
NSCD ; désactivation inconditionnelle de
LD_POINTER_GUARD ; détournement de  pointeurs de
fonction  dans tls_dtor_list ; correction de problèmes
d’allocation de mémoire qui mènent à des dépassements
de tampon sur la pile ; mise à jour de la liste noire
de TSX pour ajouter certains processeurs Broadwell
gnome-orca       Assurance de viser la bonne cible à l’entrée du mot de
passe, afin que les caractères ne soient pas affichés
gnome-shell-extension-weather
Affichage d’un avertissement si la clé de l’API n’a pas
été fournie par l’utilisateur, dans la mesure où les
requêtes à openweathermap.org nefonctionnent plus
sans cette clé
gummi            Évitement de noms prédictibles pour les fichiers
temporaires [CVE 2015-7758]
human-icon-theme debian/clean-up.sh : pas d’exécution de processus en
arrière-plan
ieee-data        mise à jour des fichiers de données inclus, ajoutant
mam.txt et oui36.txt ; arrêt des téléchargement par
HTTPS, parce que ni wget ni curl ne gèrent TLS AIA,
tel qu’utilisé maintenant par standards.ieee.org
intel-microcode  Mise à jour des micrologiciels inclus
iptables-persistent
Arrêt des fichiers de règles lisibles par tout le
monde ; réécriture du README
isc-dhcp         Correction d’erreur quand le temps d’attribution est
dépassé avec les systèmes 64 bits
keepassx         Correction du stockage des mots de passe en clair
[CVE-2015-8378]
libapache-mod-fastcgi
Passage de B-D de libtool à libtool-bin pour corriger
un échec de compilation
libapache2-mod-perl2
Correction de plantages dans
modperl_interp_unselect()
libcgi-session-perl
Retrait de la teinte de données brutesvenant de dorsaux
de stockage de session, corrigeant une régression
provoquée par les corrections de CVE-2015-8607 dans
Perl
libdatetime-timezone-perl
Nouvelle version amont
libencode-perl   Gestion correcte de l’absence de BOM lors du décodage
libhtml-scrubber-perl
Correction d’une vulnérabilité de script inter-site
dans les commentaires [CVE-2015-5667]
libinfinity      Correction de plantages potentiels lorsqu’une entrée
est retirée du navigateur de documents alors que les
listes de contrôle d’accès sont actives
libiptables-parse-perl
Correction de l’utilisation de noms prédictibles pour
les fichiers temporaires [CVE-2015-8326]
libraw           Correction de dépassement d’index dans
smal_decode_segment [CVE-2015-8366] ; correction
d’objets mémoire non initialisés correctement
[CVE-2015-8367]
libssh           Correction de « null pointer dereference due to a
logical error in the handling of a SSH_MSG_NEWKEYS
and KEXDH_REPLY packets » (déréférencement de pointeur
null lié à une erreur logique dans la gestion des
paquets SSH_MSG_NEWKEYS et KEXDH_REPLY)
[CVE-2015-3146]
linux            Mise à jour vers la version amont 3.16.7-ctk20 ; nbd :
restauration de la  détection de délai de requête ;
[x86] activation de PINCTRL_BAYTRAIL ; [mips* octeon] /
activation de CAVIUM_CN63XXP1 ; firmware_class
correction de condition  dans la boucle de recherche de
répertoire ; [x86] KVM : svm : interception
inconditionnelle de #DB [CVE-2015-8104]
linux-tools      Ajout du nouveau paquet hyperv-daemons
lldpd            Correction d’une erreur de segmentation et d’une
erreur d’assertion lors de la réception d’adresses
de gestion LLDP incorrectement formées
madfuload        Utilisation d’autoreconf -fi pour corriger un échec
de compilation avec automake 1.14
mdadm            Désactivation de l’assembleur incrémental parce qu’il
provoque des problèmes en démarrant un RAID dégradé
mkvmlinuz        Direction des sorties de run-parts sur l’erreur
standard
monit            Correction d’une régression concernant umask
depuis 5.8.1
mpm-itk          Correction d’un problème de tentative de fermeture de
connexions dans le parent. Cela pourrait aboutir à
ce que « Connection: close » ne soit pas honoré et
divers effets étranges avec la persistance de SSL
dans certains navigateurs
multipath-tools  Correction de la découverte de périphériques avec
un attribut sysfs  vide ; ajout de  documentation
pour traiter des scénarios de noms supplémentaires
adaptés ; init : correction de l’échec d’arrêt quand
aucun périphérique racine n’est trouvé ; utilisation
de « SCSI_IDENT_.* » comme propriété par défaut de liste
blanche
netcfg           Correction d’is_layer3_qeth sur s390x pour éviter
d’abandonner si le pilote de réseau n’est pas qeth
nvidia-graphics-drivers
Nouvelle version amont [CVE-2015-5950] ; correction de
problème d’entrée du mode utilisateur non nettoyée
[CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx
Nouvelle version amont ; correction de problème d’entrée
du mode utilisateur non nettoyée [CVE-2015-7869]
nvidia-graphics-modules
Reconstruction avec nvidia-kernel-source 340.96
openldap         Correction d’un plantage lors de l’ajout d’une grande
valeur d’attribut avec la surcouche auditlog activée
openvpn          Ajout de –no-block au script if-up.d pour éviter un
blocage au démarrage surles interfaces avec des
instances openvpn
owncloud         Correction de l’inclusion de fichier local avec
Microsoft Windows Platform [CVE-2015-4716], de
l’épuisement de ressource lors de la vérification de
noms de fichier [CVE-2015-4717], de l’injection de
commande lors de l’utilisation de stockage externe SMB
[CVE-2015-4718], exportation d’agenda : contournement
d’autorisation par des clés contrôlées par l’utilisateur
[CVE-2015-6670] ; correction de script intersite (XSS)
réfléchi dans la découverte de fournisseur OCS
[oc-sa-2016-001] [CVE-2016-1498], divulgation de
fichiers qui commencent par « .v » due à une valeur de
retour non vérifiée [oc-sa-2016-003] [CVE-2016-1500],
fuite d’informations à travers les listes de répertoires
dans le scanner de fichiers [oc-sa-2016-002]
[CVE-2016-1499], divulgation de chemin d’installation
par les messages d’erreur [oc-sa-2016-004]
[CVE-2016-1501]
pam              Correction de déni de service et d’énumération
d’utilisateurs due au blocage de tube dans pam_unix
[CVE-2015-3238]
pcre3            Correction de problèmes de sécurité [CVE-2015-2325
CVE-2015-2326 CVE-2015-3210 CVE-2015-5073
CVE-2015-8384 CVE-2015-8388]
pdns             Correction mise à niveau avec la configuration par
défaut
perl             Gestion correcte de l’absence de BOM lors du décodage
php-auth-sasl    Reconstruction avec pkg-php-tools 1.28 pour corriger
les dépendances de PHP
php-doctrine-annotations
Correction d’un problème de droits de répertoire
[CVE-2015-5723]
php-doctrine-cache
Correction d’un problème de droits de fichier et de
répertoire [CVE-2015-5723]
php-doctrine-common
Correction d’un problème de droits de fichier
[CVE-2015-5723]
php-dropbox      Refus de gestion des fichiers contenant une @
[CVE-2015-4715]
php-mail-mimedecode
Reconstruction avec pkg-php-tools 1.28 pour corriger les
dépendances de PHP
php5             Nouvelle version amont
plowshare4       Désactivation de la prise en charge de Javascript
postgresql-9.1   Nouvelle version amont
pykerberos       Ajout de la prise en charge de la vérification
d’authenticité de KDC [CVE-2015-3206]
python-yaql      Retrait du paquet cassé python3-yaql
qpsmtpd          Correction de problème de compatibilité avec les
nouvelles versions de Net::DNS
quassel          Correction d’un déni de service distant dans quassel
core, à l’utilisation de la commande /op *
[CVE-2015-8547]
redis            Assurance qu’un répertoire d’exécution valable est créé
lors de l’exécution sous systemd
redmine          Correction des mises à niveau lorsqu’il y a des greffons
installés localement ; correction de problèmes de
déplacement  dans les projets
rsyslog          Correction de plantage dans le module imfile lors de
l’utilisation du mode inotify ; évitement d’une erreur
de segmentation dans la création de dynafile
ruby-bson        Correction d’un déni de service et d’une possible
injection [CVE-2015-4410]
s390-dasd        Sortie propre si aucun canal n’est trouvé. Cela
permet à s390-dasd de franchir l’étape dans les
machines virtuelles avec les disques virtio
shadow           Correction de gestion d’erreur dans la détection
d’utilisateur occupé
sparse           Correction d’échec de compilation avec llvm-3.5
spip             Correction d’un problème de script intersite
stk              Installation des fichiers include SKINI.{msg,tbl}
absents
sus              Mise à jour des sommes de contrôle pour l’archive amont
swift            Correction de la destruction non autorisée de versions
d’objet Swift [CVE-2015-1856] ; correction de fuite
d’informations à travers les tempurls de Swift
[CVE-2015-5223] ; correction de nom de service
d’object-expirer dans le script d’initiation ; ajout du
script d’initiation container-sync ; ajout de
l’utilisateur « standardise »
systemd          Correction du bris de l’espace de nom dû à un tri de
chemin incorrect ; suppression du délai de 90 secondes
en l’absence de mot de passe pour les périphériques
cryptsetup ; réglage du fuseau horaire du noyau
seulement si RTC S’exécute en heure locale, évitant de
possibles sauts dans le passé ; correction de la
gestion incorrecte des virgules de séparation dans
systemd-delta ; configuration possible du comportement
de diffusion de DHCP dans systemd-networkd
tangerine-icon-theme
debian/clean-up.sh : pas d’exécution de processus en
arrière-plan
torbrowser-launcher
Application réelle des correctifs de 0.1.9-1+deb8u1 ;
arrêt du confinement du script start-tor-browser avec
AppArmor ; réglage des profils
usr.bin.torbrowser-launcher d’AppArmor au mode
complain (réclamation)
ttylog           Correction de la troncature du nom d’un périphérique
lors de la sélection d’un périphérique
tzdata           Nouvelle version amont
uqm              Ajout de l’option manquante -lm, corrigeant un échec
de compilation
vlc              Nouvelle version amont stable
webkitgtk        Nouvelle version amont stable ; correction de « late
TLS certificate verification » (vérification des
certificats TLS tardive) [CVE-2015-2330]
wxmaxima         Évitement de plantage lors de la rencontre de
parenthèses dans dialogues
zendframework    Correction d’un problème d’entropie avec captcha
[ZF2015-09]

Mises à jour de sécurité
————————

Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L’équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant           Paquet

DSA-3208              freexl
DSA-3235             openjdk-7
DSA-3280               php5
DSA-3311            mariadb-10.0
DSA-3316             openjdk-7
DSA-3324              icedove
DSA-3327              squid3
DSA-3332             wordpress
DSA-3337             gdk-pixbuf
DSA-3344               php5
DSA-3346              drupal7
DSA-3347               pdns
DSA-3348               qemu
DSA-3350               bind9
DSA-3351         chromium-browser
DSA-3352              screen
DSA-3353           openslp-dfsg
DSA-3354               spice
DSA-3355             libvdpau
DSA-3356             openldap
DSA-3357               vzctl
DSA-3358               php5
DSA-3359            virtualbox
DSA-3360                icu
DSA-3361               qemu
DSA-3363          owncloud-client
DSA-3364               linux
DSA-3365             iceweasel
DSA-3366              rpcbind
DSA-3367             wireshark
DSA-3368            cyrus-sasl2
DSA-3369           zendframework
DSA-3370             freetype
DSA-3371              spice
DSA-3373             owncloud
DSA-3374           postgresql-9.4
DSA-3375            wordpress
DSA-3376          chromium-browser
DSA-3377            mysql-5.5
DSA-3378            gdk-pixbuf
DSA-3379             miniupnpc
DSA-3380               php5
DSA-3381             openjdk-7
DSA-3382             phpmyadmin
DSA-3384             virtualbox
DSA-3385            mariadb-10.0
DSA-3386               unzip
DSA-3387              openafs
DSA-3388                ntp
DSA-3390                xen
DSA-3391             php-horde
DSA-3392             freeimage
DSA-3393             iceweasel
DSA-3394            libreoffice
DSA-3395               krb5
DSA-3397                wpa
DSA-3398            strongswan
DSA-3399              libpng
DSA-3400                lxc
DSA-3401             openjdk-7
DSA-3402              symfony
DSA-3403   libcommons-collections3-java
DSA-3404          python-django
DSA-3405            smokeping
DSA-3406               nspr
DSA-3407               dpkg
DSA-3409               putty
DSA-3411           cups-filters
DSA-3412               redis
DSA-3413              openssl
DSA-3414                xen
DSA-3415         chromium-browser
DSA-3416         libphp-phpmailer
DSA-3417           bouncycastle
DSA-3418          chromium-browser
DSA-3419            cups-filters
DSA-3420               bind9
DSA-3421               grub2
DSA-3422             iceweasel
DSA-3423               cacti
DSA-3424             subversion
DSA-3425            tryton-server
DSA-3426               linux
DSA-3427              blueman
DSA-3428              tomcat8
DSA-3429          foomatic-filters
DSA-3430              libxml2
DSA-3431              ganeti
DSA-3433                ldb
DSA-3433              samba
DSA-3434              linux
DSA-3435                git
DSA-3438            xscreensaver
DSA-3439              prosody
DSA-3440               sudo
DSA-3441               perl
DSA-3442             isc-dhcp
DSA-3443              libpng
DSA-3444             wordpress
DSA-3446             openssh

Paquets supprimés
—————–

Les paquets suivants ont été supprimés à cause de circonstances hors
de notre contrôle :

Paquet                    Raison
core-network         Problèmes de sécurité
elasticsearch        Plus pris en charge
googlecl             Problèmes de sécurité, non maintenu
libnsgif             Problèmes de sécurité, non maintenu
vimperator           Incompatible avec les versions récentes d’Iceweasel

Installateur Debian
——————-

URL
—

  Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog
  Adresse de l’actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/
  Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates
  Informations sur la distribution stable (notes de publication,
errata, etc.) :

https://www.debian.org/releases/stable/

  Annonces et informations de sécurité :

https://security.debian.org/

À propos de Debian
——————

Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d’exploitation complètement libre Debian.

Contacts
——–

Pour de plus amples informations, veuillez consulter le site Internet
de Debian https://www.debian.org/ ou envoyez un courrier
électronique à <press@debian.org> ou contactez l’équipe de publication
de la version stable à <debian-release@lists.debian.org>.