Mise à jour de Debian GNU/Linux 5.0

26 juin 2010

Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
alien-arena dépassement de tampon et déni de service
apache2 ajout de dépendance sur psmisc ; fuite mémoire dans le nettoyage de tampon
apache2-mpm-itk processus fils correctement tués lors d'un rechargement
apr FD_CLOEXEC configuré sur les descripteurs de fichier pour éviter les fuites
apt permission de contenir plus de 999 caractères en sections Files
base-files mise à jour du fichier /etc/debian_version
cpio dépassement de tampon dans rmt_read__
dia2code erreur de segmentation lors de l'analyse de gros fichier
gtk+2.0 gel lors de l'impression de gros documents
libapache-dbi-perl chargement de module depuis le fichier de démarrage d'Apache
libapache2-mod-perl2 XSS dans Apache2::Status
libjavascript-perl erreur de segmentation lors de l'appel d'une fonction inexistante
libjson-ruby analyseur de déni de service et utilisation de libjs-prototype plutôt que la bibliothèque embarquée
liblog-handler-perl ajout de dépendance sur libuniversal-require-perl
libmediawiki-perl mise à jour en cohérence avec les modification de mediawiki
libnamespace-clean-perl ajout de dépendance sur libscope-guard-perl
libnet-smtp-server-perl ajout de dépendance sur libnet-dns-perl
libxext verrouillage de l'affichage avant l'appel de XAllocID
linux-2.6 plusieurs corrections et mises à jour de pilotes
mailman pas d'ajout de plusieurs en-têtes Mime-Version
mpg123 modules autorisés à être de nouveau localisés (cassé par la mise à jour de sécurité de libltdl)
nano attaque de lien symbolique et problème de modification arbitraire de propriétaire de fichier
nfs-utils test de la prise en charge du serveur NFS par le noyau mis à jour dans le script d'initialisation pour permettre les mises à niveau partielles
nut bibliothèques déplacées vers /lib pour permettre l'extinction avec une partition /usr à part
open-iscsi vulnérabilité de fichier temporaire
openssl vérification de la valeur de retour de bn_wexpand() (CVE-2009-3245)
openttd plusieurs dénis de service et vulnérabilités au plantage
php5 dépassements, ajout d'alias Sybase et validation de courrier électronique améliorée
poppler exécution de code à distance avec fichiers PDF trafiqué
postgresql-8.3 plusieurs vulnérabilités
pyftpd sécurité - utilisateurs par défaut désactivés, accès anonyme et connexion vers /tmp
python-support umask par défaut sain dans update-python-modules
request-tracker3.6 problème de connexion introduit par la mise à jour de sécurité
samba fuites de mémoire avec les mots de passe de domaines de confiance ; confiance inter-domaine avec les serveurs Windows 2008 r2
slim cookie magique moins prévisible ; copies d'écran non sauvegardées dans /tmp
sun-java5 mise à jour vers la nouvelle version amont pour corriger un problème de sécurité
sun-java6 mise à jour vers la nouvelle version amont pour corriger un problème de sécurité
tar sécurité dans rmt
texlive-bin sécurité dans dvips
tla déni de service dans la bibliothèque Expat embarquée
tzdata mise à jour de données de fuseau horaire
usbutils liste d'identifiants USB mise à jour
user-mode-linux reconstruit en cohérence avec linux-2.6 2.6.26-24
wordpress déni de service
xerces-c2 attaque par déni de service avec DTD imbriquées
xmonad-contrib installation sur architectures 64 bits
xserver-xorg-input-elographics gel du serveur X lors de l'utilisation de l'écran tactile
xserver-xorg-video-intel prise en charge de l'affichage LVDS des ASUS Eee Top

À cause de problèmes avec le processus de construction, les paquets sun-java5 et sun-java6 pour l'architecture ia64 ne font pas partie de cette version intermédiaire. Ils seront fournis dans proposed-updates dès qu'ils seront disponibles et ajoutés lors d'une prochaine version intermédiaire.

Mises à jour du noyau

Les images du noyau inclus dans cette version intermédiaire intègrent plusieurs corrections importantes et relatives à la sécurité en plus de la prise en charge de nouveaux matériels.

Pour les architectures amd64 et i386, la prise en charge de l'exécution du chargeur d'amorçage LILO lorsqu'une image du noyau est ajoutée, mise à jour ou supprimée a été réintroduite pour s'assurer que cette information soit correctement enregistrée avec le chargeur d'amorçage.

Installateur Debian

L'installateur Debian a été mis à jour pour corriger un problème d'affichage de l'option « chargeur d'amorçage BIOS » de l'outil de partitionnement avec des partition GPT et pour mettre à jour la liste des serveurs miroirs disponibles pour l'installation de paquets.

L'image du noyau utilisée par l'installateur a été mise à jour pour inclure plusieurs corrections importantes et relatives à la sécurité en plus de la prise en charge de nouveaux matériels.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-1841 git-coredéni de service
DSA-1955 network-manager-appletrévélation d'informations
DSA-1973 glibcrévélation d'informations
DSA-1977 python2.4plusieurs vulnérabilités
DSA-1977 python2.5plusieurs vulnérabilités
DSA-1980 ircd-ratboxexécution de code arbitraire
DSA-1981 maildropaugmentation de privilèges
DSA-1982 hybservdéni de service
DSA-1983 wiresharkplusieurs vulnérabilités
DSA-1984 libxerces2-javadéni de service
DSA-1985 sendmailnettoyage insuffisant des entrées
DSA-1986 moodleplusieurs vulnérabilités
DSA-1987 lighttpddéni de service
DSA-1988 qt4-x11plusieurs vulnérabilités
DSA-1989 fusedéni de service
DSA-1990 trac-gitexécution de code
DSA-1991 squid3déni de service
DSA-1992 chronydéni de service
DSA-1993 otrs2injection SQL
DSA-1994 ajaxtermdétournement de session
DSA-1995 openoffice.orgplusieurs vulnérabilités
DSA-1996 linux-2.6plusieurs vulnérabilités
DSA-1997 mysql-dfsg-5.0plusieurs vulnérabilités
DSA-1998 kdelibsexécution de code arbitraire
DSA-1999 xulrunnerplusieurs vulnérabilités
DSA-2000 ffmpeg-debianplusieurs vulnérabilités
DSA-2001 php5multiples vulnérabilités
DSA-2002 polipodéni de service
DSA-2004 sambaplusieurs vulnérabilités
DSA-2006 sudoplusieurs vulnérabilités
DSA-2007 cupsexécution de code arbitraire
DSA-2008 typo3-srcplusieurs vulnérabilités
DSA-2009 tdiaryscript intersite
DSA-2010 kvmplusieurs vulnérabilités
DSA-2011 dpkgtraversée de répertoires
DSA-2012 user-mode-linuxplusieurs vulnérabilités
DSA-2012 linux-2.6plusieurs vulnérabilités
DSA-2013 egroupwareplusieurs vulnérabilités
DSA-2014 moinplusieurs vulnérabilités
DSA-2015 drbd8augmentation de privilèges
DSA-2015 linux-modules-extra-2.6augmentation de privilèges
DSA-2016 drupal6plusieurs vulnérabilités
DSA-2017 pulseaudiorépertoire temporaire non sécurisé
DSA-2018 php5déréférencement de pointeur nul
DSA-2019 pango1.0déni de service
DSA-2020 ikiwikiscript intersite
DSA-2021 spamass-milterabsence de vérification des entrées
DSA-2022 mediawikiplusieurs vulnérabilités
DSA-2023 curlexécution de code arbitraire
DSA-2024 moinscript intersite
DSA-2025 icedoveplusieurs vulnérabilités
DSA-2026 netpbm-freedéni de service
DSA-2027 xulrunnerplusieurs vulnérabilités
DSA-2028 xpdfplusieurs vulnérabilités
DSA-2029 imlib2exécution de code arbitraire
DSA-2030 maharainjection SQL
DSA-2031 krb5déni de service
DSA-2032 libpngplusieurs vulnérabilités
DSA-2033 ejabberddéni de service
DSA-2034 phpmyadminplusieurs vulnérabilités
DSA-2035 apache2plusieurs vulnérabilités
DSA-2036 jasperdéni de service
DSA-2037 kdebaseaugmentation de privilèges
DSA-2038 pidgindéni de service
DSA-2039 cactiabsence de vérification des entrées
DSA-2040 squidguardplusieurs vulnérabilités
DSA-2041 mediawikivulnérabilité de script intersites
DSA-2042 iscsitargetexécution de code arbitraire
DSA-2044 mplayerexécution de code arbitraire
DSA-2045 libtheoraexécution de code arbitraire
DSA-2046 phpgroupwareplusieurs vulnérabilités
DSA-2047 aria2traversée de répertoires
DSA-2048 dvipngexécution de code arbitraire
DSA-2049 barnowlexécution de code arbitraire
DSA-2050 postgresql-8.3plusieurs vulnérabilités
DSA-2052 krb5déni de service
DSA-2053 linux-2.6plusieurs problèmes
DSA-2054 bind9empoisonnement du cache
DSA-2055 openoffice.orgexécution de code arbitraire
DSA-2056 zonecheckscript intersite
DSA-2057 mysql-dfsg-5.0plusieurs vulnérabilités
DSA-2058 pcsc-liteaugmentation de privilèges
DSA-2058 glibcplusieurs vulnérabilités
DSA-2060 cactiinjection SQL
DSA-2062 sudoabsence de vérification des entrées
DSA-2063 pmountdéni de service

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
eclipse incompatible avec xulrunner de stable ; pas de solution simple
eclipse-cdt dépend d'eclipse supprimé
eclipse-nls-sdk dépend d'eclipse supprimé

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

http://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.