Mise à jour de Debian GNU/Linux 4.0

22 mai 2010

Le projet Debian a l'honneur d'annoncer la neuvième et dernière mise à jour de sa distribution oldstable Debian GNU/Linux 4.0 (nommée Etch).

Tout en réglant quelques problèmes importants, cette mise à jour contient toutes les mises à jour de sécurité qui ont été publiées depuis la dernière mise à jour mineure, à une exception qu'il n'a malheureusement pas été possible d'intégrer.

Veuillez remarquer que le suivi en sécurité de la distribution oldstable s'est terminé en février 2010 et qu'aucune mise à jour n'a été publiée depuis ce moment-là.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour, et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/distrib/ftplist

Veuillez remarquer que la distribution oldstable sera déplacée de l'archive principale vers le dépôt archive.debian.org après le 6 juin 2010. Après ce déplacement, elle ne sera plus disponible sur le réseau des miroirs principaux. De plus amples renseignements sur l'archive de distribution ainsi qu'une liste des miroirs sont disponibles à l'adresse :

http://www.debian.org/distrib/archive

Corrections de bogues divers

Cette mise à jour de la distribution oldstable ajoute quelques corrections importantes aux paquets suivants :

Paquet Raison
backup-manager Correction de dévoilement de mots de passe MySQL aux utilisateurs locaux
binutils Ajout de prise en charge de mips pour la syntaxe GAS « .set symbol,value »
fam Correction d'utilisation de l'intégralité du processeur dans famd
fetchmail Correction d'éventuelle attaque en homme au milieu contre APOP, et possible déni de service
freedoom Retrait de matériel violant le droit d'auteur
glibc Correction de dépendance incorrecte sur libc6-amd64
gnupg Correction de fuite de mémoire et effacement du terminal en cas d'interruption
irssi Correction d'accès hors limites
kazehakase Empêcher l'ajout de marque-pages pour les URI data:/javascript:
linux-2.6 Plusieurs vulnérabilités
linux-2.6.24 Plusieurs vulnérabilités
mksh Correction d'augmentation de droit local sans authentification
mt-daapd Mise à jour du prototype.js embarqué pour corriger des problèmes de sécurité
openafs Pas de création de pointeurs non valables vers la mémoire du noyau lors du traitement d'erreurs
openssl Signatures par hachage MD2 obsolète et correction de plusieurs vulnérabilités de déni de service
serveez Correction de dépassement de tampon distant
tetex-bin Pas d'échec si LaTeX a plus de cinq ans
texlive-bin Pas d'échec si LaTeX a plus de cinq ans
texlive-extra Pas d'échec si LaTeX a plus de cinq ans
texlive-lang Pas d'échec si LaTeX a plus de cinq ans
wordpress Correction de déni de service en utilisant un titre long et un paramètre de jeu de caractères construit spécialement
xcftools Correction de plantage avec des fichiers contenant des coordonnées négatives

Installateur Debian

L'installateur Debian a été mis à jour pour permettre une meilleure prise en charge de l'installation de la distribution oldstable et à partir d'archive.debian.org, et pour résoudre des problème de vérification de signatures GPG avec certains fichiers sur les serveurs de miroir.

L'image du noyau utilisée par l'installateur a été mise à jour pour inclure un grand nombre de corrections importantes et relatives à la sécurité.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-1617 refpolicyRègles incompatibles avec une DSA précédente
DSA-1622 newsxExécution de code arbitraire
DSA-1748 libsoupExécution de code arbitraire
DSA-1754 roundupAugmentation de droits
DSA-1761 moodleDévoilement de fichier
DSA-1762 icuScript intersite
DSA-1763 opensslDéni de service
DSA-1763 openssl097Déni de service
DSA-1765 horde3Plusieurs vulnérabilités
DSA-1766 krb5Plusieurs vulnérabilités
DSA-1767 multipath-toolsDéni de service
DSA-1768 openafsExécution de code arbitraire
DSA-1770 imp4Script intersite
DSA-1771 clamavPlusieurs vulnérabilités
DSA-1772 udevAugmentation de droits
DSA-1773 cupsysExécution de code arbitraire
DSA-1775 php-json-extDéni de service
DSA-1777 git-coreAugmentation de droits
DSA-1779 aptPlusieurs vulnérabilités
DSA-1780 libdbd-pg-perlExécution de code arbitraire
DSA-1781 ffmpegExécution de code arbitraire
DSA-1782 mplayerExécution de code arbitraire
DSA-1783 mysql-dfsg-5.0Plusieurs vulnérabilités
DSA-1784 freetypeExécution de code arbitraire
DSA-1786 acpidDéni de service
DSA-1787 linux-2.6.24Plusieurs vulnérabilités
DSA-1789 php5Plusieurs vulnérabilités
DSA-1790 xpdfPlusieurs vulnérabilités
DSA-1793 kdegraphicsPlusieurs vulnérabilités
DSA-1794 user-mode-linuxPlusieurs vulnérabilités
DSA-1794 fai-kernelsPlusieurs vulnérabilités
DSA-1794 linux-2.6Plusieurs vulnérabilités
DSA-1796 libwmfDéni de service
DSA-1798 pango1.0Exécution de code arbitraire
DSA-1799 qemuPlusieurs vulnérabilités
DSA-1801 ntpDébordement de tampons permettant un déni de service ou l'exécution de code
DSA-1802 squirrelmailVulnérabilité d'exécution de code dans la fonction map_yp_alias
DSA-1803 nsdDéni de service
DSA-1804 ipsec-toolsDéni de service
DSA-1805 gaimPlusieurs vulnérabilités
DSA-1806 cscopeExécution de code arbitraire
DSA-1807 cyrus-sasl2Exécution de code arbitraire
DSA-1810 cupsysDéni de service
DSA-1810 libapache-mod-jkDivulgation d'informations
DSA-1812 apr-utilPlusieurs vulnérabilités
DSA-1813 evolution-data-serverRégressions dans la mise à jour de sécurité précédente
DSA-1814 libsndfileExécution de code arbitraire
DSA-1816 apache2Augmentation de droits
DSA-1816 apache2-mpm-itkReconstruit en cohérence avec apache2 2.2.3-4+etch8
DSA-1818 gforgeValidation d'entrées manquante
DSA-1819 vlcPlusieurs vulnérabilités
DSA-1824 phpmyadminPlusieurs vulnérabilités
DSA-1825 nagios2Exécution de code arbitraire
DSA-1826 eggdropPlusieurs vulnérabilités
DSA-1829 sork-passwd-h3Régression dans la mise à jour de sécurité précédente
DSA-1832 camlimagesExécution de code arbitraire
DSA-1833 dhcp3Exécution de code arbitraire
DSA-1834 apache2Déni de service
DSA-1834 apache2-mpm-itkDéni de service
DSA-1835 tiffPlusieurs vulnérabilités
DSA-1837 dbusDéni de service
DSA-1839 gst-plugins-good0.10Exécution de code arbitraire
DSA-1841 git-coreDéni de service
DSA-1842 openexrPlusieurs vulnérabilités
DSA-1847 bind9Déni de service
DSA-1848 zncExécution de code à distance
DSA-1849 xml-security-cContrefaçon de signature
DSA-1850 libmodplugExécution de code arbitraire
DSA-1851 gst-plugins-bad0.10Exécution de code arbitraire
DSA-1852 fetchmailFaiblesse de vérification de certificats SSL
DSA-1853 memcachedExécution de code arbitraire
DSA-1854 apr-utilExécution de code arbitraire
DSA-1854 aprExécution de code arbitraire
DSA-1855 subversionExécution de code arbitraire
DSA-1857 camlimagesExécution de code arbitraire
DSA-1858 imagemagickPlusieurs vulnérabilités
DSA-1859 libxml2Plusieurs problèmes
DSA-1860 ruby1.8Plusieurs problèmes
DSA-1860 ruby1.9Plusieurs problèmes
DSA-1861 libxmlPlusieurs problèmes
DSA-1863 zope2.9Exécution de code arbitraire
DSA-1865 fai-kernelsPlusieurs vulnérabilités
DSA-1865 user-mode-linuxPlusieurs vulnérabilités
DSA-1866 kdegraphicsPlusieurs vulnérabilités
DSA-1867 kdelibsPlusieurs vulnérabilités
DSA-1869 curlFaiblesse de vérification de certificats SSL
DSA-1871 wordpressCorrection de régression
DSA-1872 fai-kernelsPlusieurs vulnérabilités
DSA-1872 user-mode-linuxPlusieurs vulnérabilités
DSA-1877 mysql-dfsg-5.0Exécution de code arbitraire
DSA-1878 devscriptsExécution de code à distance
DSA-1880 openoffice.orgExécution de code arbitraire
DSA-1882 xapian-omegaScript intersite
DSA-1883 nagios2Plusieurs script intersite
DSA-1884 nginxExécution de code arbitraire
DSA-1888 opensslSignatures par hachage MD2 obsolète et correction de plusieurs vulnérabilités de déni de service
DSA-1888 openssl097Signatures par hachage MD2 obsolète
DSA-1889 icuContournement de sécurité à cause de l'analyse de séquence multioctet
DSA-1890 wxwindows2.4Exécution de code arbitraire
DSA-1890 wxwidgets2.6Exécution de code arbitraire
DSA-1891 changetrackExécution de code arbitraire
DSA-1892 dovecotExécution de code arbitraire
DSA-1893 cyrus-imapd-2.2Exécution de code arbitraire
DSA-1893 kolab-cyrus-imapdExécution de code arbitraire
DSA-1894 newtExécution de code arbitraire
DSA-1896 opensamlExécution de code possible
DSA-1896 shibboleth-spExécution de code possible
DSA-1897 horde3Exécution de code arbitraire
DSA-1898 openswanDéni de service
DSA-1899 strongswanDéni de service
DSA-1900 postgresql-7.4Plusieurs problèmes
DSA-1900 postgresql-8.1Plusieurs problèmes
DSA-1901 mediawiki1.7Plusieurs vulnérabilités
DSA-1902 elinksExécution de code arbitraire
DSA-1903 graphicsmagickPlusieurs vulnérabilités
DSA-1904 wgetFaiblesse de vérification de certificats SSL
DSA-1909 postgresql-ocamlFonction d'échappement manquante
DSA-1910 mysql-ocamlFonction d'échappement manquante
DSA-1911 pygresqlFonction d'échappement manquante
DSA-1912 camlimagesExécution de code arbitraire
DSA-1912 adviExécution de code arbitraire
DSA-1914 mapserverPlusieurs vulnérabilités
DSA-1916 kdelibsFaiblesse de vérification de certificats SSL
DSA-1917 mimetexPlusieurs vulnérabilités
DSA-1918 phpmyadminPlusieurs vulnérabilités
DSA-1919 smartyPlusieurs vulnérabilités
DSA-1920 nginxDéni de service
DSA-1921 expatDéni de service
DSA-1923 libhtml-parser-perlDéni de service
DSA-1925 proftpd-dfsgFaiblesse de vérification de certificats SSL
DSA-1926 typo3-srcPlusieurs vulnérabilités
DSA-1928 linux-2.6.24Plusieurs vulnérabilités
DSA-1929 linux-2.6Plusieurs vulnérabilités
DSA-1933 cupsysScript intersite
DSA-1934 apache2Plusieurs problèmes
DSA-1934 apache2-mpm-itkPlusieurs problèmes
DSA-1935 gnutls13Faiblesse de vérification de certificats SSL
DSA-1936 libgd2Plusieurs vulnérabilités
DSA-1937 gforgeScript intersite
DSA-1938 php-mailValidation d'entrées manquante
DSA-1939 libvorbisPlusieurs vulnérabilités
DSA-1940 php5Plusieurs problèmes
DSA-1942 wiresharkPlusieurs vulnérabilités
DSA-1943 openldap2.3Faiblesse de vérification de certificats SSL
DSA-1944 request-tracker3.6Détournement de session
DSA-1944 request-tracker3.4Détournement de session
DSA-1945 gforgeDéni de service
DSA-1946 belpicFaiblesse cryptographique
DSA-1947 shibboleth-spScript intersite
DSA-1948 ntpDéni de service
DSA-1951 firefox-sageValidation d'entrées manquante
DSA-1953 expatCorrection de régression
DSA-1954 cactiValidation d'entrées manquante
DSA-1955 network-managerDivulgation d'informations
DSA-1958 libtoolAugmentation de droits
DSA-1960 acpidPermissions de ficher faible
DSA-1961 bind9Empoisonnement de cache
DSA-1964 postgresql-8.1Plusieurs vulnérabilités
DSA-1964 postgresql-7.4Plusieurs vulnérabilités
DSA-1966 horde3Script intersite
DSA-1968 pdns-recursorEmpoisonnement de cache
DSA-1969 krb5Déni de service
DSA-1971 libthaiExécution de code arbitraire
DSA-1972 audiofileDébordement de tampon
DSA-1973 glibcDivulgation d'informations
DSA-1974 gzipExécution de code arbitraire
DSA-1977 python2.4Plusieurs vulnérabilités
DSA-1977 python2.5Plusieurs vulnérabilités
DSA-1979 lintianPlusieurs vulnérabilités
DSA-1980 ircd-hybridExécution de code arbitraire
DSA-1981 maildropAugmentation de droits
DSA-1982 hybservDéni de service
DSA-1984 libxerces2-javaDéni de service
DSA-1985 sendmailValidation des entrées insuffisante
DSA-1987 lighttpdDéni de service
DSA-1989 fuseDéni de service
DSA-1991 squid3Déni de service
DSA-1991 squidDéni de service
DSA-1992 chronyDéni de service
DSA-1994 ajaxtermDétournement de session
DSA-1995 openoffice.orgPlusieurs vulnérabilités
DSA-1997 mysql-dfsg-5.0Plusieurs vulnérabilités
DSA-2003 fai-kernelsPlusieurs vulnérabilités
DSA-2003 user-mode-linuxPlusieurs vulnérabilités
DSA-2003 linux-2.6Plusieurs vulnérabilités
DSA-2004 linux-2.6.24Plusieurs vulnérabilités

Malheureusement, la mise à jour de sécurité du paquet lcms n'a pas pu être intégrée à cette mise à jour à cause d'une différence entre l'archive amont utilisée pour la mise à jour de sécurité et celle déjà présente dans la distribution oldstable.

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
destar Problèmes de sécurité
libclass-dbi-loader-relationship-perl Problèmes de licence
libhdate-pascal [source:hdate] Problèmes de licence
loop-aes-modules-2.6-sparc32 [source:loop-aes] Source correspondant au noyau qui n'est plus dans l'archive
loop-aes-modules-2.6-sparc64 [source:loop-aes] Source correspondant au noyau qui n'est plus dans l'archive
loop-aes-modules-2.6-sparc64-smp [source:loop-aes] Source correspondant au noyau qui n'est plus dans l'archive
loop-aes-modules-2.6-vserver-sparc64 [source:loop-aes] Source correspondant au noyau qui n'est plus dans l'archive
rails Problèmes de sécurité et d'utilisation

Quelques autres paquets ont été retirés par conséquent, car ils dépendent de libclass-dbi-loader-relationship-perl ; ces paquets sont :

De plus, les paquets libwww-search-perl et libperl4caml-ocaml-dev qui dépendent de l'interface de programmation (API) de recherche SOAP de Google (fournie par libnet-google-perl) ne fonctionnent plus complètement car l'interface de programmation a été retirée par Google. Les parties restantes des paquets fonctionneront toujours comme avant.

À propos de Debian

Le projet Debian est une organisation de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts en collaborant sur Internet. Leur tâche comprend notamment le maintien et la mise à jour de Debian GNU/Linux, qui est une distribution libre basée sur le système d'exploitation GNU/Linux. Le dévouement de Debian au logiciel libre, sa nature non lucrative et son modèle de développement ouvert la rendent unique parmi les distributions GNU/Linux.

Contacts

Pour de plus amples informations, veuillez visiter les pages de Debian à http://www.debian.org/ ou envoyez un courriel à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.