Publication de la mise à jour de Debian GNU/Linux 5.0.8
22 janvier 2011
Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| awstats | traversée de répertoires à l'aide d'un répertoire LoadPlugin trafiqué |
| base-files | mise à jour du fichier /etc/debian_version |
| boxbackup | réduction de la date d'expiration du certificat racine pour éviter un dépassement en 2038 |
| git-core | vulnérabilité de script intersite |
| gquilt | configuration non sécurisée de PYTHONPATH |
| hamlib | utilisation de libltdl du système plutôt qu'une copie interne vulnérable à CVE-2009-3736 |
| ia32-libs | rafraîchi avec les nouveaux paquets de lenny et lenny-security |
| ia32-libs-gtk | rafraîchi avec les nouveaux paquets de lenny et lenny-security |
| ldap-account-manager | mises à niveau depuis Lenny sans question debconf pour le mot de passe maître |
| libcgi-pm-perl | problèmes de sécurité liés à l'analyse d'en-tête |
| libcgi-simple-perl | problèmes de sécurité liés à l'analyse d'en-tête |
| libgadu | corruption de mémoire lors du retrait des sessions dcc7 |
| man-db | suppression des avertissements de locale lors d'une exécution depuis un script de responsable de dpkg |
| mediawiki | déni de cadrage sur la plupart des pages pour minimiser le risque de détournement de clic (« clickjacking ») |
| movabletype-opensource | plusieurs problèmes de sécurité XSS et SQL |
| mumble | ne pas rendre le fichier de configuration lisible à tous ; effacement de /var/lib/mumble-server lors de la purge |
| opensc | protection contre le débordement de tampon depuis des cartes véreuses |
| perl | problèmes de sécurité liés à l'analyse d'en-tête ; mise à jour vers Safe-2.25 |
| postgresql-8.3 | nouvelle publication amont corrigeant des bogues |
| spamassassin | mise à jour de la liste des délégations de blocs d'adresse de l'ARIN pour éviter les faux positifs de RelayEval |
| splashy | modification de lsb-base-logging.sh pour éviter les problèmes si splashy est enlevé mais pas purgé |
| surfraw | mise à jour de l'URL du système de suivi de la sécurité |
| user-mode-linux | reconstruction suite à la mise à jour de linux-source-2.6.26 (2.6.26-26lenny1) |
| xdigger | problèmes de débordement de tampon |
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction(s) |
|---|---|---|
| DSA-2110 | linux-2.6 | plusieurs problèmes |
| DSA-2122 | glibc | augmentation de privilèges |
| DSA-2126 | linux-2.6 | plusieurs problèmes |
| DSA-2127 | wireshark | déni de service |
| DSA-2128 | libxml2 | accès mémoire non valable |
| DSA-2129 | krb5 | faiblesse dans la vérification de somme de contrôle |
| DSA-2130 | bind9 | déni de service |
| DSA-2131 | exim4 | exécution de code arbitraire à distance |
| DSA-2132 | xulrunner | plusieurs vulnérabilités |
| DSA-2133 | collectd | déni de service |
| DSA-2135 | xpdf | plusieurs vulnérabilités |
| DSA-2136 | tor | débordement de tampon |
| DSA-2137 | libxml2 | plusieurs vulnérabilités |
| DSA-2138 | wordpress | injection SQL |
| DSA-2139 | phpmyadmin | plusieurs vulnérabilités |
| DSA-2140 | libapache2-mod-fcgid | débordement de pile |
| DSA-2141 | apache2 | ajout d'options de compatibilité ascendante lors d'une utilisation avec le nouvel openssl |
| DSA-2141 | nss | défaut de conception du protocole |
| DSA-2141 | apache2-mpm-itk | reconstruction avec apache2-src 2.2.9-10+lenny9 |
| DSA-2141 | openssl | défaut de conception du protocole |
| DSA-2141 | lighttpd | problème de compatibilité avec openssl mis à jour |
| DSA-2142 | dpkg | traversée de répertoires |
| DSA-2143 | mysql-dfsg-5.0 | plusieurs vulnérabilités |
| DSA-2144 | wireshark | débordement de tampon |
| DSA-2145 | libsmi | débordement de tampon |
| DSA-2146 | mydms | traversée de répertoires |
| DSA-2147 | pimd | fichiers temporaires non sécurisés |
| DSA-2148 | tor | plusieurs vulnérabilités |
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| pytris | problèmes de sécurité ; abandonné en amont |
| python-gendoc | cassé avec python>= 2.5 |
| clive | complètement cassé |
| gmailfs | cassé à cause de modification de Gmail ; abandonné en amont |
| python-libgmail | cassé à cause de modification de Gmail ; abandonné en amont |
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.