Mise à jour de Debian GNU/Linux 5.0

5 septembre 2009

Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
avelsieve permission de supprimer le dernier filtre ajouté et interopérabilité avec dovecot
base-files mise à jour du fichier /etc/debian_version
burn échappe proprement les noms de fichier et gestion plus sécurisée des paramètres des sous-processus
ffmpeg-debian gestion de la lecture de grandes metadonnées dans le décodeur flac
firmware-nonfree ajout du paquet firmware-bnx2x
freedoom suppression des éléments violant la licence
ganeti correction du chemin de hvmloader pour correspondre au xen-utils-3.2-1 de Lenny
geoip ajout de « Replaces » versionnés pour éviter les problèmes lors des mises à niveau à partir d'Etch
gthumb correction du traitement du contenu des répertoires en liens symboliques comme dupliqués
heartbeat erreur de syntaxe, préfixes IPv6 /64 et mise à niveau d'Etch à Lenny
irssi accès hors limites
kernel-wedge ajout du pilote bnx2x driver si disponible
libcompress-raw-bzip2-perl CVE-2009-1884 : erreur de décalage d'entier dans bzinflate()
libcompress-raw-zlib-perl CVE-2009-1391 : dépassement de tampon dans inflate()
libio-socket-ssl-perl vulnérabilité dans la comparaison d'un nom d'hôte
libpam-ssh problème d'énumération utilisateur
linux-2.6 plusieurs correctifs et meilleure prise en charge du matériel
linux-kernel-di-alpha-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-amd64-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-arm-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-armel-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-hppa-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-i386-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-ia64-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-mips-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-mipsel-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-powerpc-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-s390-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
linux-kernel-di-sparc-2.6 reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19
mod-wsgi ajout de versions amont corrigeant des bogues (notamment plusieurs bogues d'arrêt potentiel ou de fuite de mémoire)
multipath-tools arrêt inopiné à l'extinction
nexuiz-data désactivation du message signalant les nouvelles versions en amont
openafs ne crée plus de pointeurs invalides vers la mémoire du noyau lors de la gestion des erreurs
openssl plusieurs vulnérabilités
perl fuite mémoire, dépassement de tampon (CVE-2009-1391) et coquille dans les champs « Replaces » et « Conflicts »
pidgin activation correcte de l'option 'requiert SSL/TLS' sur les serveurs XMPP plus anciens
postgrey mise à jour de la liste blanche ; ajout d'une entrée Google plus large
python-django accès arbitraire au système de fichiers via des URLs forgées
python-numpy lien symbolique incorrect pour l'inclusion de fichier
python-support ignore les lignes commençant par 'import' lors du parsing de fichiers .pth
request-tracker3.6 n'autoriser que les utilisateurs du groupe SuperUsers à modifier la configuration globale de la vue d'ensemble
spamassassin arrêt de l'utilisation de la liste noire RBL open-whois.org, au domaine squatté
stardict désactivation du greffon de dictionnaire sur le réseau (CVE-2009-2260)
subversion formatage de l'entête des mails dans le hook commit-email.pl
texlive-base échoue lorsque LaTeX a cinq ans ; mise sur liste noire de lamsarrow.sty et correction des métriques de police
texlive-bin erreur lors de la configuration lorsque les fichiers inclus ont cinq ans
texlive-extra échoue lorsque LaTeX a cinq ans
texlive-lang échoue lorsque LaTeX a cinq ans
tor déni de service (DoS) et autre problème potentiel de sécurité
transmission erreur de segmentation et génération de noms de fichier invalides
tzdata mise à jour des données d'heure d'été pour Le Caire à l'occasion du Ramadan
udev mise à jour de plusieurs règles et ajout de correctifs rétroportés
user-mode-linux reconstruction avec la mise à jour de linux-source-2.6.26 (2.6.26-19)
wordpress procédure de réinitialisation du mot de passe
xcftools arrêt inopiné avec des fichiers contenant des coordonnées négatives
xfce4-dict ne crée plus de processus zombie
xfce4-weather-plugin utilise la clé de l'API de weather.com de sorte que les résultats soient à nouveau renvoyés
xorg bogue grave dans le script de maintenance postinst qui peut conduire à des fichiers de configuration de xorg vides
znc arrêt inopiné si un utilisateur est supprimé lors de la connexion à un serveur

Nouvelle version de l'installateur Debian

L'installateur a été mis à jour pour contenir les nouveaux noyaux publiés avec cette version intermédiaire, avec l'ajout de la prise en charge de nouveaux matériels réseau et la correction d'une erreur de segmentation au début du processus de démarrage des installations pour l'architecture S/390.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-1813 evolution-data-serverrégressions introduites dans la mise à jour de sécurité précédente
DSA-1816 apache2augmentation de privilèges
DSA-1816 apache2-mpm-itkaugmentation de privilèges
DSA-1826 eggdropplusieurs vulnérabilités
DSA-1827 ipplanscript intersite
DSA-1828 ocsinventory-agentexécution de code arbitraire
DSA-1829 sork-passwd-h3script intersite
DSA-1830 icedoveplusieurs vulnérabilités
DSA-1831 djbdnsaugmentation de privilèges
DSA-1832 camlimagesexécution de code arbitraire
DSA-1833 dhcp3exécution de code arbitraire
DSA-1834 apache2déni de service
DSA-1834 apache2-mpm-itkdéni de service
DSA-1838 pulseaudioaugmentation de privilèges
DSA-1840 xulrunnerplusieurs vulnérabilités
DSA-1842 openexrplusieurs vulnérabilités
DSA-1843 squid3déni de service
DSA-1845 user-mode-linuxplusieurs vulnérabilités
DSA-1846 kvmdéni de service
DSA-1847 bind9déni de service
DSA-1848 zncexécution de code à distance
DSA-1851 gst-plugins-bad0.10exécution de code arbitraire
DSA-1852 fetchmailfaiblesse dans la vérification du certificat SSL
DSA-1853 memcachedexécution de code arbitraire
DSA-1854 aprexécution de code arbitraire
DSA-1854 apr-utilexécution de code arbitraire
DSA-1855 subversionexécution de code arbitraire
DSA-1856 mantisfuite d'information
DSA-1857 camlimagesexécution de code arbitraire
DSA-1858 imagemagickplusieurs vulnérabilités
DSA-1859 libxml2plusieurs problèmes
DSA-1860 ruby1.8plusieurs problèmes
DSA-1865 user-mode-linuxplusieurs vulnérabilités
DSA-1867 kdelibsplusieurs vulnérabilités
DSA-1869 curlfaiblesse dans la vérification du certificat SSL
DSA-1870 pidginnettoyage insuffisant des entrées
DSA-1871 wordpressplusieurs vulnérabilités
DSA-1873 xulrunnervulnérabilité d'usurpation
DSA-1874 nssplusieurs vulnérabilités
DSA-1875 ikiwikirévélation d'informations
DSA-1876 dnsmasqexécution de code à distance
DSA-1877 mysql-dfsg-5.0exécution de code arbitraire

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
sabayon rempli de bogues ; ne convient pas à une version stable

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

http://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.