Publication de la mise à jour de Debian GNU/Linux 5.0.7
27 novembre 2010
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| base-files | mise à jour du fichier /etc/debian_version |
| bogofilter | corruption de tas possible lors de décodage de base64 |
| dar | reconstruit suite à la mise à jour de libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1 CVE-2010-0405) |
| dpkg | perte de méta-données si readdir() renvoie des fichiers récemment ajoutés |
| imagemagick | lecture des fichiers de configuration dans le répertoire en cours |
| kvm | erreur de segmentation dans le code de traitement de sous-page MMIO |
| lastfm | configuration de LD_LIBRARY_PATH sécurisée |
| libapache-authenhook-perl | retrait des mots de passe des messages du journal |
| libgdiplus | dépassements d'entier dans le traitement de BMP, JPEG et TIFF |
| libvirt | masquerade des ports source pour les échanges sur réseau virtuel (CVE-2010-2242) |
| linux-2.6 | plusieurs corrections |
| mantis | problèmes de script intersite |
| mt-daapd | traitement d'étiquettes aeMK, nécessaires pour iTunes 10 |
| openscenegraph | déni de service dans la copie de lib3ds embarquée |
| perdition | problèmes en 64 bits ; re-négociation SSL ; appel à make dans le script postrm |
| ser2net | déréférencement de pointeur nul |
| sun-java6 | plusieurs corrections de sécurité |
| tor | nouvelle version amont importée de volatile ; compatibilité avec la mise à jour de sécurité d'openssl ; ajout d'une nouvelle autorité de répertoire |
| ttf-beteckna | mise à jour du fichier hints pour correspondre aux polices embarquées |
| ttf-okolaks | mise à jour du fichier hints pour correspondre aux polices embarquées |
| tzdata | mise à jour de données de fuseau horaire et de traductions |
| user-mode-linux | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-26 |
| xen-tools | création d'images de disque non accessible en lecture à tous |
| xorg-server | création de journal non accessible en lecture à tous ; (xfvb-run) pas de transmission de cookie magique xauth par la ligne de commande |
Veuillez noter que suite à un problème de préparation, les paquets linux-2.6 de cette mise à jour ne contiennent pas les corrections de sécurité de la DSA 2110-1. La DSA 2126-1 qui vient d'être publiée, contient à la fois les corrections de la DSA 2110-1 et celles du paquet linux-2.6 de cette mise à jour de la distribution stable.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction(s) |
|---|---|---|
| DSA-1943 | openldap | vulnérabilité de certificat SSL vide |
| DSA-1991 | squid | déni de service |
| DSA-2038 | pidgin | réactivation des protocoles SILC, SIMPLE et Yahoo! Messenger |
| DSA-2050 | kdegraphics | plusieurs vulnérabilités |
| DSA-2077 | openldap | exécution de code possible |
| DSA-2097 | phpmyadmin | plusieurs vulnérabilités |
| DSA-2098 | typo3-src | régression |
| DSA-2102 | barnowl | exécution de code arbitraire |
| DSA-2103 | smbind | injection SQL |
| DSA-2104 | quagga | déni de service |
| DSA-2105 | freetype | plusieurs vulnérabilités |
| DSA-2106 | xulrunner | plusieurs vulnérabilités |
| DSA-2107 | couchdb | exécution de code arbitraire |
| DSA-2108 | cvsnt | exécution de code arbitraire |
| DSA-2109 | samba | dépassement de tampon |
| DSA-2110 | user-mode-linux | plusieurs problèmes |
| DSA-2111 | squid3 | déni de service |
| DSA-2112 | dpkg | dépassement d'entier |
| DSA-2112 | bzip2 | dépassement d'entier |
| DSA-2113 | drupal6 | plusieurs vulnérabilités |
| DSA-2114 | git-core | régression |
| DSA-2115 | moodle | plusieurs vulnérabilités |
| DSA-2116 | freetype | dépassement d'entier |
| DSA-2117 | apr-util | déni de service |
| DSA-2118 | subversion | contournement d'authentification |
| DSA-2119 | poppler | plusieurs vulnérabilités |
| DSA-2120 | postgresql-8.3 | élévation des privilèges |
| DSA-2121 | typo3-src | plusieurs vulnérabilités |
| DSA-2122 | glibc | élévation locale des privilèges |
| DSA-2123 | nss | faiblesse cryptographique |
| DSA-2124 | xulrunner | plusieurs vulnérabilités |
| DSA-2125 | openssl | dépassement de tampon |
Installateur Debian
L'installateur Debian a été mis à jour pour inclure un nouveau noyau intégrant plusieurs corrections importantes.
Veuillez noter que suite à un problème de préparation, les paquets linux-2.6 de cette mise à jour ne contiennent pas les corrections de sécurité de la DSA 2110-1. La DSA 2126-1 qui vient d'être publiée, contient à la fois les corrections de la DSA 2110-1 et celles du paquet linux-2.6 de cette mise à jour de la distribution stable, et seront installés sur le système si les dépôts de sécurité sont sélectionnés lors de l'installation.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire les systèmes d'exploitation complètement libres Debian GNU/Linux.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.