Publication de la mise à jour de Debian 6.0.7

23 février 2013

Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 6.0 (nommée Squeeze). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
apt-show-versions Correction de la détection de squeeze-updates et squeeze ; mise à jour de la liste officielle de distribution
base-files Mise à jour pour cette version
bcron Ne pas permettre aux tâches d'accéder aux fichiers temporaires d'autres tâches
bind9 Mise à jour de l'IP pour le serveur racine D
bugzilla Ajout d'une dépendance à liburi-perl, utilisé lors de la configuration du paquet
choose-mirror Mise à jour de l'URL pour la liste des miroirs maîtres
clamav Nouvelle version amont
claws-mail Correction d'un déréférencement de pointeur NULL
clive Adaptation aux changements de youtube.com
cups Distribution de la page de manuel de cups-files.conf
dbus Évitement de l'exécution de code dans les binaires setuid/setgid
dbus-glib Correction d'un contournement d'authentification permis par des vérifications insuffisantes (CVE-2013-0292)
debian-installer Reconstruction pour la version 6.0.7
debian-installer-netboot-images Reconstruction pour la version 20110106+squeeze4+b3 de l'installateur
dtach Gestion correcte des demandes de fermeture (CVE-2012-3368)
ettercap Correction du traitement de la liste des hôtes (CVE-2013-0722)
fglrx-driver Correction de problèmes relatifs à la diversion lors de la mise à niveau depuis Lenny
flashplugin-nonfree Utilisation de gpg --verify
fusionforge Correction de la mise à jour de Lenny vers Squeeze
gmime2.2 Ajout de Conflicts: libgmime2.2-cil pour corriger les mises à niveau depuis Lenny
gzip Évitement de l'utilisation de memcpy sur les régions qui se recouvrent
ia32-libs Mise à jour des paquets inclus dans stable et security.d.o
ia32-libs-core Mise à jour des paquets inclus dans stable et security.d.o
kfreebsd-8 Correction de CVE-2012-4576 : accès mémoire sans validation correcte dans le système de compatibilité Linux
libbusiness-onlinepayment-ippay-perl Rétroportage pour le nom de serveur et le chemin de la passerelle IPPay
libproc-processtable-perl Correction d'utilisation non sécurisée de fichier temporaire (CVE-2011-4363)
libzorpll Ajout des Breaks et Replaces manquants : libzorp2-dev pour libzorpll-dev
linux-2.6 Mise à jour vers la version stable 2.6.32.60. Rétroportage des mises à jour de pilotes hpsa, isci et megaraid_sas. Corrections des blocages de r8169
linux-kernel-di-amd64-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-armel-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-i386-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-ia64-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-mips-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-mipsel-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-powerpc-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-s390-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
linux-kernel-di-sparc-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48
magpierss Correction d'un problème de mise à niveau
maradns Correction de CVE-2012-1570 (défaut de persistance du cache d'enregistrement de domaine effacé)
mediawiki Évitement de la fixation de session dans Special:UserLogin (CVE-2012-5391) ; évitement du dépassement de limite de trace arrière par les expressions rationnelles d'édition de lien
moodle Plusieurs corrections de sécurité
nautilus Ajout de Breaks: samba-common (<< 2:3.5) pour corriger un problème avec la mise à jour de Lenny vers Squeeze
openldap Copie de la base de données en prerm lors des mises à niveau pour faciliter les mises à niveau vers des versions avec libdb plus récente
openssh Amélioration de la résistance aux attaques par déni de service (CVE-2010-5107)
pam-pgsql Correction d'un problème avec des mots de passe NULL
pam-shield Blocage correct d'IP lorsqu'allow_missing_dns est no
perl Correction d'erreur d'analyse des chaînes maketext (CVE-2012-6329)
poppler Corrections de sécurité ; CVE-2010-0206, CVE-2010-0207, CVE-2012-4653 ; correction de GooString::insert, initialisation correcte de variables
portmidi Correction de plantage
postgresql-8.4 Nouvelle micro-version amont
sdic Modification de la suggestion de bzip2 en dépendance puisqu'il est utilisé lors de l'installation
snack Correction de dépassement de tampon (CVE-2012-6303)
sphinx Correction d'incompatibilité avec jQuery>= 1.4
swath Correction de la possibilité de dépassement de tampon en mode Mule
swi-prolog Correction de dépassements de tampon
ttf-ipafont Correction de la suppression des alternatives
tzdata Nouvelle version amont ; correction du changement d'heure pour Amérique/Bahia (Brésil)
unbound Mise à jour des indications d'adresse IP pour D.ROOT-SERVERS.NET
xen Correction de l'horloge cassée
xnecview Correction d'impossibilité de construction à partir des sources sur armel

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction
DSA-2550 asteriskPlusieurs vulnérabilités
DSA-2551 isc-dhcpDéni de service
DSA-2552 tiffPlusieurs vulnérabilités
DSA-2553 iceweaselPlusieurs vulnérabilités
DSA-2554 iceapePlusieurs vulnérabilités
DSA-2555 libxsltPlusieurs vulnérabilités
DSA-2556 icedovePlusieurs vulnérabilités
DSA-2557 hostapdDéni de service
DSA-2558 baculaDivulgation d'informations
DSA-2559 libexifPlusieurs vulnérabilités
DSA-2560 bind9Déni de service
DSA-2561 tiffDépassement de tampon
DSA-2562 cups-pk-helperAugmentation de droits
DSA-2563 viewvcPlusieurs vulnérabilités
DSA-2564 tinyproxyDéni de service
DSA-2565 iceweaselPlusieurs vulnérabilités
DSA-2566 exim4Dépassement de tampon de tas
DSA-2567 request-tracker3.8Plusieurs vulnérabilités
DSA-2568 rtfmAugmentation de droits
DSA-2569 icedovePlusieurs vulnérabilités
DSA-2570 openoffice.orgPlusieurs vulnérabilités
DSA-2571 libproxyDépassement de tampon
DSA-2572 iceapePlusieurs vulnérabilités
DSA-2573 radsecproxyFaiblesse de vérification de certificat SSL
DSA-2574 typo3-srcPlusieurs vulnérabilités
DSA-2575 tiffDépassement de tampon de tas
DSA-2576 trousersDéni de service
DSA-2577 libsshPlusieurs vulnérabilités
DSA-2578 rsshPlusieurs vulnérabilités
DSA-2579 apache2Plusieurs vulnérabilités
DSA-2580 libxml2Dépassement de tampon
DSA-2582 xenDéni de service
DSA-2583 iceweaselPlusieurs vulnérabilités
DSA-2584 iceapePlusieurs vulnérabilités
DSA-2585 bogofilterDépassement de tampon de tas
DSA-2586 perlPlusieurs vulnérabilités
DSA-2587 libcgi-pm-perlInjection d'en-tête HTTP
DSA-2588 icedovePlusieurs vulnérabilités
DSA-2589 tiffDépassement de tampon
DSA-2590 wiresharkPlusieurs vulnérabilités
DSA-2591 maharaPlusieurs vulnérabilités
DSA-2592 elinksErreur de programmation
DSA-2593 moinPlusieurs vulnérabilités
DSA-2594 virtualbox-oseErreur de programmation
DSA-2595 ghostscriptDépassement de tampon
DSA-2596 mediawiki-extensionsScript intersite dans l'extension RSSReader
DSA-2597 railsErreur de validation d'entrée
DSA-2598 weechatPlusieurs vulnérabilités
DSA-2599 nssIntermédiaires usurpés
DSA-2600 cupsAugmentation de droits
DSA-2601 gnupg2Absence de vérification des entrées
DSA-2601 gnupgAbsence de vérification des entrées
DSA-2602 zendframeworkInclusion d'entités XML externes
DSA-2603 emacs23Erreur de programmation
DSA-2604 railsValidation d'entrées insuffisante
DSA-2605 asteriskPlusieurs vulnérabilités
DSA-2606 proftpd-dfsgCompétition de liens symboliques
DSA-2607 qemu-kvmDépassement de tampon
DSA-2608 qemuDépassement de tampon
DSA-2609 railsManipulation de requête SQL
DSA-2610 gangliaExécution de code à distance
DSA-2611 movabletype-opensourcePlusieurs vulnérabilités
DSA-2612 ircd-ratboxCrash à distance
DSA-2613 railsValidation d'entrées insuffisante
DSA-2614 libupnpPlusieurs vulnérabilités
DSA-2615 libupnp4Plusieurs vulnérabilités
DSA-2616 nagios3Dépassement de tampon
DSA-2617 sambaPlusieurs vulnérabilités
DSA-2618 ircd-hybridDéni de service
DSA-2619 xen-qemu-dm-4.0Dépassement de tampon
DSA-2620 railsPlusieurs vulnérabilités
DSA-2621 opensslPlusieurs vulnérabilités
DSA-2622 polarsslPlusieurs vulnérabilités
DSA-2623 openconnectDépassement de tampon
DSA-2624 ffmpegPlusieurs vulnérabilités
DSA-2625 wiresharkPlusieurs vulnérabilités
DSA-2626 lighttpdPlusieurs vulnérabilités
DSA-2627 nginxFuite d'informations

Installateur Debian

L'installateur a été reconstruit pour intégrer les correctifs incorporés à stable par cette mise à jour.

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances en dehors de notre contrôle :

Paquet Raison
elmerfem Problèmes de licence (GPL et non GPL)

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates/

Informations sur la distribution stable (notes de publication, errata, etc.) :

http://www.debian.org/releases/stable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.