Publication de la mise à jour de Debian GNU/Linux 5.0.9

1er octobre 2011

Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa distribution oldstable Debian GNU/Linux 5.0 (nommée Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution oldstable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
aptitude Correction d'une attaque par lien symbolique dans l'éditeur de hiérarchie
atop Utilisation non sécurisée de fichiers temporaires
base-files Mise à jour du fichier /etc/debian_version
conky Correction d'une vulnérabilité d'écrasement de fichier
dokuwiki Correction de script intersite de RSS
klibc Échappement des options DHCP d'ipconfig
linux-2.6 Plusieurs mises à jour de sécurité et sélection de correctifs de la version amont 2.6.27.58/9
magpierss Correction de vulnérabilité au script intersite (CVE-2011-0740)
mediawiki Protection contre une vulnérabilité d'injection de CSS
openldap Correctifs de sécurité
openssl Correction de CVE-2011-3210 : manipulation de mémoire pour les chiffrements (EC)DH
pmake Correction d'une attaque par lien symbolique par fichiers temporaires
sun-java6 Nouvelle mise à jour de sécurité amont
tesseract Désactivation des fenêtres de débogage basées sur xterm pour éviter une vulnérabilité d'écrasement de fichier
tzdata Nouvelle version amont
user-mode-linux Reconstruction en cohérence avec linux-2.6 2.6.26-27
v86d Correction de CVE-2011-1070 : échec de validation d'expéditeur de message netlink ; pas d'inclusion d'en-têtes aléatoires dans CFLAGS
vftool Correction d'un dépassement de tampon dans linetoken() de parseAFM.c
xorg-server GLX : pas de plantage dans SwapBuffers en absence de contexte

À cause de l'enchaînement entre cette mise à jour et celle de la version stable (Debian 6.0 Squeeze), la version des paquets atop et tzdata inclus dans cette mise à jour est plus grande que celle des paquets correspondants actuellement dans stable. La prochaine mise à jour de stable est prévue pour la semaine prochaine, après laquelle la version des paquets de stable sera de nouveau plus grande, comme il se doit.

Nous estimons que cette situation ne posera pas de problème lors des mises à niveau depuis la version oldstable vers stable pendant cette courte période, mais veuillez signaler tout problème que vous rencontreriez (consultez la section Contact ci dessous).

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-2043 vlcexécution de code arbitraire
DSA-2149 dbusdéni de service
DSA-2150 request-tracker3.6hachage de mot de passe sans sel
DSA-2151 openoffice.orgplusieurs problèmes
DSA-2152 hplipdébordement de tampon
DSA-2153 user-mode-linuxplusieurs problèmes
DSA-2153 linux-2.6plusieurs problèmes
DSA-2154 exim4augmentation de privilèges
DSA-2155 freetypeplusieurs problèmes
DSA-2156 pcsc-litedébordement de tampon
DSA-2157 postgresql-8.3débordement de tampon
DSA-2158 cgiircdéfaut de script intersite
DSA-2165 ffmpeg-debiandébordement de tampon
DSA-2167 phpmyadmininjection SQL
DSA-2168 openafsplusieurs problèmes
DSA-2169 telepathy-gabblevalidation des entrées insuffisante
DSA-2170 mailmanplusieurs problèmes
DSA-2171 asteriskdébordement de tampon
DSA-2172 moodleplusieurs problèmes
DSA-2173 pam-pgsqldébordement de tampon
DSA-2174 avahidéni de service
DSA-2175 sambaabsence de vérification des entrées
DSA-2176 cupsplusieurs problèmes
DSA-2179 dtcinjection SQL
DSA-2181 subversiondéni de service
DSA-2182 logwatchexécution de code à distance
DSA-2183 nbdexécution de code arbitraire
DSA-2186 xulrunnerplusieurs problèmes
DSA-2191 proftpd-dfsgplusieurs problèmes
DSA-2195 php5plusieurs problèmes
DSA-2196 maradnsdébordement de tampon
DSA-2197 quaggadéni de service
DSA-2200 xulrunnermise à jour de la liste noire des certificats
DSA-2200 nssautorité de certification compromise
DSA-2201 wiresharkplusieurs problèmes
DSA-2203 nssmise à jour de la liste noire des certificats
DSA-2204 imp4vérification d'entrée manquante
DSA-2206 maharaplusieurs problèmes
DSA-2207 tomcat5.5plusieurs problèmes
DSA-2208 bind9problème de traitement de nouveaux enregistrements DS DNSSEC
DSA-2210 tiffplusieurs problèmes
DSA-2211 vlcabsence de vérification des entrées
DSA-2213 x11-xserver-utilsabsence de vérification des entrées
DSA-2214 ikiwikivalidation des entrées insuffisante
DSA-2217 dhcp3absence de vérification des entrées
DSA-2219 xmlsec1écrasement de fichier
DSA-2220 request-tracker3.6plusieurs problèmes
DSA-2225 asteriskplusieurs problèmes
DSA-2226 libmodplugdébordement de tampon
DSA-2228 xulrunnerplusieurs problèmes
DSA-2233 postfixplusieurs problèmes
DSA-2234 zodbplusieurs problèmes
DSA-2242 cyrus-imapd-2.2erreur d'implémentation
DSA-2243 unbounddéfaut de conception
DSA-2244 bind9condition limite incorrecte
DSA-2246 maharaplusieurs problèmes
DSA-2247 railsplusieurs problèmes
DSA-2248 ejabberddéni de service
DSA-2250 citadeldéni de service
DSA-2253 fontforgedébordement de tampon
DSA-2254 oprofileinjection de commande
DSA-2255 libxml2débordement de tampon
DSA-2260 railsplusieurs problèmes
DSA-2264 user-mode-linuxplusieurs problèmes
DSA-2264 linux-2.6plusieurs problèmes
DSA-2266 php5plusieurs problèmes
DSA-2268 xulrunnerplusieurs problèmes
DSA-2272 bind9déni de service
DSA-2274 wiresharkplusieurs problèmes
DSA-2276 asteriskplusieurs problèmes
DSA-2277 xml-security-cdébordement de tampon
DSA-2278 horde3plusieurs problèmes
DSA-2280 libvirtplusieurs problèmes
DSA-2286 phpmyadminplusieurs problèmes
DSA-2288 libsndfiledébordement d'entier
DSA-2289 typo3-srcplusieurs problèmes
DSA-2290 sambascript intersite
DSA-2291 squirrelmailplusieurs problèmes
DSA-2292 dhcp3déni de service
DSA-2293 libxfontdébordement de tampon
DSA-2294 freetypeabsence de vérification des entrées
DSA-2296 xulrunnerplusieurs problèmes
DSA-2298 apache2déni de service
DSA-2298 apache2-mpm-itkdéni de service
DSA-2300 nssautorité de certification compromise
DSA-2301 railsplusieurs problèmes
DSA-2302 bcfg2exécution de code arbitraire
DSA-2304 squid3débordement de tampon
DSA-2308 mantisplusieurs problèmes
DSA-2309 opensslautorité de certification compromise
DSA-2310 linux-2.6plusieurs problèmes

Installateur Debian

L'installateur Debian a été mis à jour pour intégrer un nouveau noyau contenant plusieurs correctifs importants et liés à la sécurité.

Paquet supprimé

Le paquet suivant a été supprimé à cause de circonstances hors de notre contrôle :

Paquet Raison
pixelpost non maintenu, nombreux problèmes de sécurité

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Adresse de l'actuelle distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable-proposed-updates/

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.