Publication de la mise à jour de Debian GNU/Linux 5.0.6

4 septembre 2010

Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute plusieurs mises à jour binaires de paquets dans certaines architectures où les versions n'étaient pas synchronisées entre les architectures. Elle ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
base-files mise à jour du fichier /etc/debian_version
bgoffice pas d'effacement des fichiers de /var/lib/aspell lors des mises à niveau
debian-archive-keyring ajout des clefs de Squeeze ; retrait des clefs de Etch
git-core dépassement de tampon basé sur la pile manipulant les chemins de gitdir
ia32-libs lien symbolique ld-linux.so.2 pour ia64 et ajout du fragment ld.so.conf
imp4 préchargement DNS désactivé lors de la désactivation des contenus non fiables ; problème d'échappement avec l'affichage d'URL
iputils consommation de ressource avec réponses intentionnellement trafiquées
libapache-dbi-perl correctif de sécurité appliqué correctement lors de la construction
libnet-sftp-foreign-perl ajout des recommandations manquantes envers lib{expect,io-pty}-perl
libnss-lwres reconstruit suite à la mise à jour de liblwres50 (introduite dans la mise à jour de sécurité de bind9)
libpoe-component-irc-perl filtrage des commandes contenant de nouvelles lignes pour éviter une attaque par injection
libtk-filedialog-perl erreur « can't make ".filedialog" its own master »
libwww-perl utilisation incorrecte de redo ; lwp-download - pas d'utilisation de noms de fichier fournis par le serveur commençant par « . »
linux-2.6 plusieurs corrections et prise en charge de nouveaux matériels
makepasswd évite la création de mots de passe prévisibles
okular corruption de mémoire
pango1.0 plantage avec suites Unicode non valables
paste correction XSS
pastebinit mise à jour de la définition de pastebin.com ; rafb.net enlevé
pdf2djvu plantage avec l'option -i ou --indirect
quik FTBFS (échec de construction depuis les sources) et invite indésirable avec l'utilisation de debconf
slim répertoire actuel non ajouté au chemin par défaut
ttf-dzongkha conseils de fichier pour indiquer le bon fichier de police
ttf-inconsolata police marquée à chasse fixe et correction du nom dans la liste des fichiers conseils de defoma
w3m vérification de caractères absents dans les noms de certificats
xserver-xorg-video-intel écriture sur GEN3 possible en rendu basse consommation

De plus, les paquets sun-java5 et sun-java6 pour l'architecture ia64 qui n'étaient pas disponibles lors de la précédente version intermédiaire sont ajoutés à cette mise à jour.

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-1919 smartyrégression lors de la précédente mise à jour
DSA-2054 bind9empoisonnement du cache
DSA-2059 pcsc-literégression lors de la précédente mise à jour
DSA-2064 xulrunnerplusieurs vulnérabilités
DSA-2065 kvircplusieurs vulnérabilités
DSA-2066 wiresharkplusieurs vulnérabilités
DSA-2067 maharaplusieurs vulnérabilités
DSA-2068 python-cjsondéni de service
DSA-2069 zncdéni de service
DSA-2070 freetypeplusieurs vulnérabilités
DSA-2071 libmikmodplusieurs vulnérabilités
DSA-2072 libpngplusieurs vulnérabilités
DSA-2073 mlmmjtraversée de répertoires
DSA-2074 ncompressexécution de code arbitraire
DSA-2075 xulrunnerplusieurs vulnérabilités
DSA-2076 gnupg2exécution de code arbitraire
DSA-2078 kvircexécution de commande IRC arbitraire
DSA-2078 mapserverexécution de code arbitraire
DSA-2080 ghostscriptplusieurs vulnérabilités
DSA-2081 libmikmodexécution de code arbitraire
DSA-2082 gmime2.2exécution de code arbitraire
DSA-2083 moinscript intersite
DSA-2084 tiffexécution de code arbitraire
DSA-2085 lftpvulnérabilité à l'écrasement de fichier
DSA-2086 avahidéni de service
DSA-2087 cabextractexécution de code arbitraire
DSA-2088 wgetpossibilité d'exécution de code
DSA-2089 php5plusieurs vulnérabilités
DSA-2090 socatexécution de code arbitraire
DSA-2091 squirrelmailforgeage de requête intersite
DSA-2092 lxr-cvsscript intersite
DSA-2093 ghostscriptplusieurs vulnérabilités
DSA-2094 linux-2.6plusieurs problèmes
DSA-2094 user-mode-linuxplusieurs problèmes
DSA-2095 lvm2déni de service
DSA-2096 zope-ldapuserfolderauthentification
DSA-2097 phpmyadminplusieurs vulnérabilités
DSA-2098 typo3-srcplusieurs vulnérabilités
DSA-2099 openoffice.orgexécution de code arbitraire
DSA-2100 openssldouble libération de mémoire
DSA-2101 wiresharkplusieurs vulnérabilités

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
libconfig-inetd-perl paquet vide cassé, pas de dépendance inverse

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.