Publication de la mise à jour de Debian 6.0.5

12 mai 2012

Le projet Debian a l'honneur d'annoncer la cinquième mise à jour de sa distribution stable Debian GNU/Linux 6.0 (nommée squeeze). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
acpid Correction réelle de CVE-2011-1159
apr Correction d'un bogue avec pr_file_trunc() qui pourrait permettre de corrompre un dépôt Subversion dans de rares occasions
at Création de liens directs en tant qu'utilisateur privilégié par compatibilité avec les derniers noyaux
base-files Mise à jour du fichier /etc/debian_version
brltty Correction de prise en charge des affichages esys/iris de grande taille
clive Adaptation aux modifications de youtube.com
ecl Suppression du script postrm cassé
eglibc Correction de problèmes de résolution avec des serveurs cassés renvoyant NOTIMP ou FORMERR aux requêtes AAAA ; correction de dépassement d'entier dans les codes de fuseau horaire ; local/manpages/gai.conf.5 : mise à jour par rapport à la dernière version de RedHat
evolution-data-server Correction de e_book_get_changes() pour vraiment renvoyer des modifications
fail2ban Verrouillage de executeCmd du serveur pour empêcher une situation de compétition entre les appels iptables ; correction de création non sécurisée de fichiers temporaires
foomatic-filters Correction d'utilisation non sécurisée de fichiers temporaires dans la ligne de commandes du moteur de rendu
giplet Utilisation de checkip.dyndns.org au lieu de www.whatismyip.org qui ne convient plus
gnusound Correction d'un problème de sécurité de chaîne de formatage
gosa Correction de la suppression d'hôte DHCP et de la translitération de caractères Unicode du générateur d'utilisateur
highlight Suppression du script postrm cassé
json-glib Correction de sérialisation des doubles
kdeutils Correction de traversée de répertoire dans Ark
keepalived Définition correcte des droits du fichier pid
laptop-mode-tools Prise en charge des noyaux 3.x
libcgicc Installation du fichier pkg-config au bon endroit
libxi Correction des acquisitions passives ; traitement des classes de périphériques inconnues ; remplissage de mods/group->effective dans XIQueryPointer
linux-2.6 Ajout des publications à long terme 2.6.32.5[5-9]
linux-kernel-di-amd64-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-armel-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-i386-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-ia64-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-mips-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-mipsel-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-powerpc-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-s390-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
linux-kernel-di-sparc-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-45
netselect Correction de robustesse et de documentation ; traitement des listes de miroirs avec des attributs embarqués
openssh Correction de dévoilement de renseignements par rapport aux commandes forcées à l'aide des messages de débogage
openvpn Correction des appels /sbin/route sur kFreeBSD
php-memcache Correction d'un bogue d'effacement de cache lors d'effacement d'objets de memcached 1.4.4+
php-memcached Correction de double libération de zone de mémoire dans getServerByKey()
phppgadmin Correction de script intersite dans function.php
policykit-1 Correction de situation de compétition lors de la lecture depuis /proc qui permet aux utilisateurs locaux d'obtenir les droits du superutilisateur en exécutant un programme setuid à partir de pkexec
procps Prise en charge des noyaux 3.x
pyspf Traitement correct des CNAME dans les enregistrements SPF
python-defaults Suppression correcte de /var/lib/python/python2.6_already_installed
python-virtualenv Correction du traitement non sécurisé de fichier temporaire
rott Solution de repli pour le téléchargement de fichiers de données de shareware, depuis pkg-games.alioth.debian.org
sks Utilisation de POST conformes aux normes
sysvinit Activation de l'utilisation de rpcbind ou portmap pour NFS
texlive-base Ne pas essayer de réparer un pdftexconfig.tex manquant en preinst
tremulous Limitation de taux des paquets getstatus et rcon sans connexion, pour éviter leur utilisation pour l'amplification de trafic ; correction de plusieurs bogues de sécurité ; désactivation de téléchargement automatique
tzdata Nouvelle version amont
wicd Correction d'augmentation de droits, CVE-2012-2095
xfce4-weather-plugin Mise à jour de la clef de service pour restaurer l'accès au serveur
yapra Ajout de ruby1.8 aux dépendances de constructions pour corriger la construction cassée dans un environnement propre

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction
DSA-2321 moinScript intersite
DSA-2352 puppetErreur de programmation
DSA-2359 mojarraInjection d'EL
DSA-2394 libxml2Plusieurs vulnérabilités
DSA-2395 wiresharkDépassement de tampon par le bas
DSA-2396 qemu-kvmDépassement de tampon par le bas
DSA-2397 icuDépassement de tampon par le bas
DSA-2398 curlPlusieurs vulnérabilités
DSA-2399 php5Plusieurs vulnérabilités
DSA-2400 iceweaselPlusieurs vulnérabilités
DSA-2401 tomcat6Plusieurs vulnérabilités
DSA-2402 iceapePlusieurs vulnérabilités
DSA-2403 php5Injection de code
DSA-2404 xen-qemu-dm-4.0Dépassement de tampon
DSA-2405 apache2Plusieurs vulnérabilités
DSA-2406 icedovePlusieurs vulnérabilités
DSA-2407 cvsDépassement de tas
DSA-2408 php5Plusieurs vulnérabilités
DSA-2409 devscriptsPlusieurs vulnérabilités
DSA-2410 libpngDépassement d'entier
DSA-2411 mumbleDivulgation d'informations
DSA-2412 libvorbisDépassement de tampon
DSA-2413 libarchiveDépassements de tampon
DSA-2414 fexVérification d'entrées manquante
DSA-2415 libmodplugPlusieurs vulnérabilités
DSA-2416 notmuchDivulgation d'informations
DSA-2417 libxml2Déni de service
DSA-2418 postgresql-8.4Plusieurs vulnérabilités
DSA-2419 puppetPlusieurs vulnérabilités
DSA-2420 openjdk-6Plusieurs vulnérabilités
DSA-2421 moodlePlusieurs vulnérabilités
DSA-2422 fileVérifications de limites manquantes
DSA-2423 movabletype-opensourcePlusieurs vulnérabilités
DSA-2424 libxml-atom-perlExpansion d'entité XML
DSA-2425 plibDépassement de tampon
DSA-2426 gimpPlusieurs vulnérabilités
DSA-2427 imagemagickPlusieurs vulnérabilités
DSA-2428 freetypePlusieurs vulnérabilités
DSA-2430 python-pamDouble libération de zone de mémoire
DSA-2431 libdbd-pg-perlVulnérabilités de chaîne de formatage
DSA-2432 libyaml-libyaml-perlVulnérabilité de chaîne de formatage
DSA-2433 iceweaselPlusieurs vulnérabilités
DSA-2434 nginxFuite d'informations sensibles
DSA-2435 gnashPlusieurs vulnérabilités
DSA-2436 libapache2-mod-fcgidLimites de ressource inactives
DSA-2437 icedovePlusieurs vulnérabilités
DSA-2438 raptorErreur de programmation
DSA-2439 libpngDépassement de tampon
DSA-2440 libtasn1-3Dépassement d'entier
DSA-2441 gnutls26Vérification de limites manquante
DSA-2442 openarenaAmplification de trafic UDP
DSA-2443 linux-2.6Plusieurs vulnérabilités
DSA-2443 user-mode-linuxPlusieurs vulnérabilités
DSA-2444 tryton-serverAugmentation de droits
DSA-2445 typo3-srcPlusieurs vulnérabilités
DSA-2446 libpngTraitement incorrect de mémoire
DSA-2447 tiffDépassement d'entier
DSA-2448 inspircdDépassement de tampon
DSA-2449 sqlalchemyAbsence de vérification des entrées
DSA-2450 sambaAugmentation de droits
DSA-2451 puppetPlusieurs vulnérabilités
DSA-2452 apache2Configuration par défaut non sécurisée
DSA-2453 gajimPlusieurs vulnérabilités
DSA-2454 opensslPlusieurs vulnérabilités
DSA-2455 typo3-srcScript intersite
DSA-2456 dropbearUtilisation de mémoire après libération
DSA-2457 iceweaselPlusieurs vulnérabilités
DSA-2458 iceapePlusieurs vulnérabilités
DSA-2459 quaggaPlusieurs vulnérabilités
DSA-2460 asteriskPlusieurs vulnérabilités
DSA-2461 spipPlusieurs vulnérabilités
DSA-2462 imagemagickPlusieurs vulnérabilités
DSA-2463 sambaVérifications de droits manquantes
DSA-2464 icedovePlusieurs vulnérabilités

Installateur Debian

L'installateur a été reconstruit pour intégrer les correctifs incorporés à stable par cette mise à jour.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

http://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.