Publication de la mise à jour de Debian GNU/Linux 5.0.8

22 janvier 2011

Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
awstats traversée de répertoires à l'aide d'un répertoire LoadPlugin trafiqué
base-files mise à jour du fichier /etc/debian_version
boxbackup réduction de la date d'expiration du certificat racine pour éviter un dépassement en 2038
git-core vulnérabilité de script intersite
gquilt configuration non sécurisée de PYTHONPATH
hamlib utilisation de libltdl du système plutôt qu'une copie interne vulnérable à CVE-2009-3736
ia32-libs rafraîchi avec les nouveaux paquets de lenny et lenny-security
ia32-libs-gtk rafraîchi avec les nouveaux paquets de lenny et lenny-security
ldap-account-manager mises à niveau depuis Lenny sans question debconf pour le mot de passe maître
libcgi-pm-perl problèmes de sécurité liés à l'analyse d'en-tête
libcgi-simple-perl problèmes de sécurité liés à l'analyse d'en-tête
libgadu corruption de mémoire lors du retrait des sessions dcc7
man-db suppression des avertissements de locale lors d'une exécution depuis un script de responsable de dpkg
mediawiki déni de cadrage sur la plupart des pages pour minimiser le risque de détournement de clic (« clickjacking »)
movabletype-opensource plusieurs problèmes de sécurité XSS et SQL
mumble ne pas rendre le fichier de configuration lisible à tous ; effacement de /var/lib/mumble-server lors de la purge
opensc protection contre le débordement de tampon depuis des cartes véreuses
perl problèmes de sécurité liés à l'analyse d'en-tête ; mise à jour vers Safe-2.25
postgresql-8.3 nouvelle publication amont corrigeant des bogues
spamassassin mise à jour de la liste des délégations de blocs d'adresse de l'ARIN pour éviter les faux positifs de RelayEval
splashy modification de lsb-base-logging.sh pour éviter les problèmes si splashy est enlevé mais pas purgé
surfraw mise à jour de l'URL du système de suivi de la sécurité
user-mode-linux reconstruction suite à la mise à jour de linux-source-2.6.26 (2.6.26-26lenny1)
xdigger problèmes de débordement de tampon

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-2110 linux-2.6plusieurs problèmes
DSA-2122 glibcaugmentation de privilèges
DSA-2126 linux-2.6plusieurs problèmes
DSA-2127 wiresharkdéni de service
DSA-2128 libxml2accès mémoire non valable
DSA-2129 krb5faiblesse dans la vérification de somme de contrôle
DSA-2130 bind9déni de service
DSA-2131 exim4exécution de code arbitraire à distance
DSA-2132 xulrunnerplusieurs vulnérabilités
DSA-2133 collectddéni de service
DSA-2135 xpdfplusieurs vulnérabilités
DSA-2136 tordébordement de tampon
DSA-2137 libxml2plusieurs vulnérabilités
DSA-2138 wordpressinjection SQL
DSA-2139 phpmyadminplusieurs vulnérabilités
DSA-2140 libapache2-mod-fcgiddébordement de pile
DSA-2141 apache2ajout d'options de compatibilité ascendante lors d'une utilisation avec le nouvel openssl
DSA-2141 nssdéfaut de conception du protocole
DSA-2141 apache2-mpm-itkreconstruction avec apache2-src 2.2.9-10+lenny9
DSA-2141 openssldéfaut de conception du protocole
DSA-2141 lighttpdproblème de compatibilité avec openssl mis à jour
DSA-2142 dpkgtraversée de répertoires
DSA-2143 mysql-dfsg-5.0plusieurs vulnérabilités
DSA-2144 wiresharkdébordement de tampon
DSA-2145 libsmidébordement de tampon
DSA-2146 mydmstraversée de répertoires
DSA-2147 pimdfichiers temporaires non sécurisés
DSA-2148 torplusieurs vulnérabilités

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
pytris problèmes de sécurité ; abandonné en amont
python-gendoc cassé avec python>= 2.5
clive complètement cassé
gmailfs cassé à cause de modification de Gmail ; abandonné en amont
python-libgmail cassé à cause de modification de Gmail ; abandonné en amont

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

http://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.