Mise à jour de Debian GNU/Linux 5.0
26 juin 2010
Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| alien-arena | dépassement de tampon et déni de service |
| apache2 | ajout de dépendance sur psmisc ; fuite mémoire dans le nettoyage de tampon |
| apache2-mpm-itk | processus fils correctement tués lors d'un rechargement |
| apr | FD_CLOEXEC configuré sur les descripteurs de fichier pour éviter les fuites |
| apt | permission de contenir plus de 999 caractères en sections Files |
| base-files | mise à jour du fichier /etc/debian_version |
| cpio | dépassement de tampon dans rmt_read__ |
| dia2code | erreur de segmentation lors de l'analyse de gros fichier |
| gtk+2.0 | gel lors de l'impression de gros documents |
| libapache-dbi-perl | chargement de module depuis le fichier de démarrage d'Apache |
| libapache2-mod-perl2 | XSS dans Apache2::Status |
| libjavascript-perl | erreur de segmentation lors de l'appel d'une fonction inexistante |
| libjson-ruby | analyseur de déni de service et utilisation de libjs-prototype plutôt que la bibliothèque embarquée |
| liblog-handler-perl | ajout de dépendance sur libuniversal-require-perl |
| libmediawiki-perl | mise à jour en cohérence avec les modification de mediawiki |
| libnamespace-clean-perl | ajout de dépendance sur libscope-guard-perl |
| libnet-smtp-server-perl | ajout de dépendance sur libnet-dns-perl |
| libxext | verrouillage de l'affichage avant l'appel de XAllocID |
| linux-2.6 | plusieurs corrections et mises à jour de pilotes |
| mailman | pas d'ajout de plusieurs en-têtes Mime-Version |
| mpg123 | modules autorisés à être de nouveau localisés (cassé par la mise à jour de sécurité de libltdl) |
| nano | attaque de lien symbolique et problème de modification arbitraire de propriétaire de fichier |
| nfs-utils | test de la prise en charge du serveur NFS par le noyau mis à jour dans le script d'initialisation pour permettre les mises à niveau partielles |
| nut | bibliothèques déplacées vers /lib pour permettre l'extinction avec une partition /usr à part |
| open-iscsi | vulnérabilité de fichier temporaire |
| openssl | vérification de la valeur de retour de bn_wexpand() (CVE-2009-3245) |
| openttd | plusieurs dénis de service et vulnérabilités au plantage |
| php5 | dépassements, ajout d'alias Sybase et validation de courrier électronique améliorée |
| poppler | exécution de code à distance avec fichiers PDF trafiqué |
| postgresql-8.3 | plusieurs vulnérabilités |
| pyftpd | sécurité - utilisateurs par défaut désactivés, accès anonyme et connexion vers /tmp |
| python-support | umask par défaut sain dans update-python-modules |
| request-tracker3.6 | problème de connexion introduit par la mise à jour de sécurité |
| samba | fuites de mémoire avec les mots de passe de domaines de confiance ; confiance inter-domaine avec les serveurs Windows 2008 r2 |
| slim | cookie magique moins prévisible ; copies d'écran non sauvegardées dans /tmp |
| sun-java5 | mise à jour vers la nouvelle version amont pour corriger un problème de sécurité |
| sun-java6 | mise à jour vers la nouvelle version amont pour corriger un problème de sécurité |
| tar | sécurité dans rmt |
| texlive-bin | sécurité dans dvips |
| tla | déni de service dans la bibliothèque Expat embarquée |
| tzdata | mise à jour de données de fuseau horaire |
| usbutils | liste d'identifiants USB mise à jour |
| user-mode-linux | reconstruit en cohérence avec linux-2.6 2.6.26-24 |
| wordpress | déni de service |
| xerces-c2 | attaque par déni de service avec DTD imbriquées |
| xmonad-contrib | installation sur architectures 64 bits |
| xserver-xorg-input-elographics | gel du serveur X lors de l'utilisation de l'écran tactile |
| xserver-xorg-video-intel | prise en charge de l'affichage LVDS des ASUS Eee Top |
À cause de problèmes avec le processus de construction, les paquets sun-java5 et sun-java6 pour l'architecture ia64 ne font pas partie de cette version intermédiaire. Ils seront fournis dans proposed-updates dès qu'ils seront disponibles et ajoutés lors d'une prochaine version intermédiaire.
Mises à jour du noyau
Les images du noyau inclus dans cette version intermédiaire intègrent plusieurs corrections importantes et relatives à la sécurité en plus de la prise en charge de nouveaux matériels.
Pour les architectures amd64 et i386, la prise en charge de l'exécution du chargeur d'amorçage LILO lorsqu'une image du noyau est ajoutée, mise à jour ou supprimée a été réintroduite pour s'assurer que cette information soit correctement enregistrée avec le chargeur d'amorçage.
Installateur Debian
L'installateur Debian a été mis à jour pour corriger un problème d'affichage de l'option « chargeur d'amorçage BIOS » de l'outil de partitionnement avec des partition GPT et pour mettre à jour la liste des serveurs miroirs disponibles pour l'installation de paquets.
L'image du noyau utilisée par l'installateur a été mise à jour pour inclure plusieurs corrections importantes et relatives à la sécurité en plus de la prise en charge de nouveaux matériels.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction(s) |
|---|---|---|
| DSA-1841 | git-core | déni de service |
| DSA-1955 | network-manager-applet | révélation d'informations |
| DSA-1973 | glibc | révélation d'informations |
| DSA-1977 | python2.4 | plusieurs vulnérabilités |
| DSA-1977 | python2.5 | plusieurs vulnérabilités |
| DSA-1980 | ircd-ratbox | exécution de code arbitraire |
| DSA-1981 | maildrop | augmentation de privilèges |
| DSA-1982 | hybserv | déni de service |
| DSA-1983 | wireshark | plusieurs vulnérabilités |
| DSA-1984 | libxerces2-java | déni de service |
| DSA-1985 | sendmail | nettoyage insuffisant des entrées |
| DSA-1986 | moodle | plusieurs vulnérabilités |
| DSA-1987 | lighttpd | déni de service |
| DSA-1988 | qt4-x11 | plusieurs vulnérabilités |
| DSA-1989 | fuse | déni de service |
| DSA-1990 | trac-git | exécution de code |
| DSA-1991 | squid3 | déni de service |
| DSA-1992 | chrony | déni de service |
| DSA-1993 | otrs2 | injection SQL |
| DSA-1994 | ajaxterm | détournement de session |
| DSA-1995 | openoffice.org | plusieurs vulnérabilités |
| DSA-1996 | linux-2.6 | plusieurs vulnérabilités |
| DSA-1997 | mysql-dfsg-5.0 | plusieurs vulnérabilités |
| DSA-1998 | kdelibs | exécution de code arbitraire |
| DSA-1999 | xulrunner | plusieurs vulnérabilités |
| DSA-2000 | ffmpeg-debian | plusieurs vulnérabilités |
| DSA-2001 | php5 | multiples vulnérabilités |
| DSA-2002 | polipo | déni de service |
| DSA-2004 | samba | plusieurs vulnérabilités |
| DSA-2006 | sudo | plusieurs vulnérabilités |
| DSA-2007 | cups | exécution de code arbitraire |
| DSA-2008 | typo3-src | plusieurs vulnérabilités |
| DSA-2009 | tdiary | script intersite |
| DSA-2010 | kvm | plusieurs vulnérabilités |
| DSA-2011 | dpkg | traversée de répertoires |
| DSA-2012 | user-mode-linux | plusieurs vulnérabilités |
| DSA-2012 | linux-2.6 | plusieurs vulnérabilités |
| DSA-2013 | egroupware | plusieurs vulnérabilités |
| DSA-2014 | moin | plusieurs vulnérabilités |
| DSA-2015 | drbd8 | augmentation de privilèges |
| DSA-2015 | linux-modules-extra-2.6 | augmentation de privilèges |
| DSA-2016 | drupal6 | plusieurs vulnérabilités |
| DSA-2017 | pulseaudio | répertoire temporaire non sécurisé |
| DSA-2018 | php5 | déréférencement de pointeur nul |
| DSA-2019 | pango1.0 | déni de service |
| DSA-2020 | ikiwiki | script intersite |
| DSA-2021 | spamass-milter | absence de vérification des entrées |
| DSA-2022 | mediawiki | plusieurs vulnérabilités |
| DSA-2023 | curl | exécution de code arbitraire |
| DSA-2024 | moin | script intersite |
| DSA-2025 | icedove | plusieurs vulnérabilités |
| DSA-2026 | netpbm-free | déni de service |
| DSA-2027 | xulrunner | plusieurs vulnérabilités |
| DSA-2028 | xpdf | plusieurs vulnérabilités |
| DSA-2029 | imlib2 | exécution de code arbitraire |
| DSA-2030 | mahara | injection SQL |
| DSA-2031 | krb5 | déni de service |
| DSA-2032 | libpng | plusieurs vulnérabilités |
| DSA-2033 | ejabberd | déni de service |
| DSA-2034 | phpmyadmin | plusieurs vulnérabilités |
| DSA-2035 | apache2 | plusieurs vulnérabilités |
| DSA-2036 | jasper | déni de service |
| DSA-2037 | kdebase | augmentation de privilèges |
| DSA-2038 | pidgin | déni de service |
| DSA-2039 | cacti | absence de vérification des entrées |
| DSA-2040 | squidguard | plusieurs vulnérabilités |
| DSA-2041 | mediawiki | vulnérabilité de script intersites |
| DSA-2042 | iscsitarget | exécution de code arbitraire |
| DSA-2044 | mplayer | exécution de code arbitraire |
| DSA-2045 | libtheora | exécution de code arbitraire |
| DSA-2046 | phpgroupware | plusieurs vulnérabilités |
| DSA-2047 | aria2 | traversée de répertoires |
| DSA-2048 | dvipng | exécution de code arbitraire |
| DSA-2049 | barnowl | exécution de code arbitraire |
| DSA-2050 | postgresql-8.3 | plusieurs vulnérabilités |
| DSA-2052 | krb5 | déni de service |
| DSA-2053 | linux-2.6 | plusieurs problèmes |
| DSA-2054 | bind9 | empoisonnement du cache |
| DSA-2055 | openoffice.org | exécution de code arbitraire |
| DSA-2056 | zonecheck | script intersite |
| DSA-2057 | mysql-dfsg-5.0 | plusieurs vulnérabilités |
| DSA-2058 | pcsc-lite | augmentation de privilèges |
| DSA-2058 | glibc | plusieurs vulnérabilités |
| DSA-2060 | cacti | injection SQL |
| DSA-2062 | sudo | absence de vérification des entrées |
| DSA-2063 | pmount | déni de service |
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| eclipse | incompatible avec xulrunner de stable ; pas de solution simple |
| eclipse-cdt | dépend d'eclipse supprimé |
| eclipse-nls-sdk | dépend d'eclipse supprimé |
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.