Publication de la mise à jour de Debian 6.0.8

20 octobre 2013

Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa distribution oldstable Debian 6.0 (nommée Squeeze). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0, mais simplement de faire une mise à jour via un miroir Debian, après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

http://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution oldstable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
base-files Mise à jour pour cette version
clamav Nouvelle version amont ; corrections de sécurité
dpkg-ruby Fermeture des fichiers une fois analysés, afin d'éviter les problèmes lors des mises à niveau
gdm3 Correction d'un problème de sécurité potentiel avec les mises à niveau partielles vers Wheezy
graphviz Utilisation de la version système de ltdl
grep Correction de CVE-2012-5667
ia32-libs Mise à jour des paquets inclus depuis oldstable/security.d.o
ia32-libs-gtk Mise à jour des paquets inclus depuis oldstable/security.d.o
inform Suppression des appels cassés à update-alternatives
ldap2dns Ne pas inclure /usr/share/debconf/confmodule en postinst quand ce n'est pas nécessaire
libapache-mod-security Correction de déréférencement de pointeur NULL. CVE-2013-2765
libmodule-signature-perl CVE-2013-2145 : corrections d'exécution de code arbitraire lors de la vérification de SIGNATURE
libopenid-ruby Correction CVE-2013-1812
libspf2 Corrections d'IPv6
lm-sensors-3 Sondage des EDID et cartes graphiques évité, car il pourrait causer des problèmes matériels
moin Ne pas créer de pagedir vide (avec un edit-log vide)
net-snmp Correction de CVE-2012-2141
openssh Correction d'un potentiel dépassement d'entier lorsque l'authentification gssapi-with-mac est utilisée (CVE-2011-5000)
openvpn Correction de l'utilisation de memcmp de durée non constante pour la comparaison d'HMAC. CVE-2013-2061
pcp Correction de la gestion non sûre de tempfile
pigz Utilisation de permissions plus restrictives pour les fichiers in-progress
policyd-weight Suppression de shut-down njabl DNSBL
pyopencl Suppression d'un fichier d'exemple non libre
pyrad Utilisation d'un meilleur générateur de nombres aléatoires pour éviter le hashage de mot de passe et les identifiants de paquets prévisibles (CVE-2013-0294)
python-qt4 Correction d'un plantage dans le fichier uic avec les boutons radio
request-tracker3.8 Déplacement des données qui ne sont pas en cache vers /var/lib
samba Correction de CVE-2013-4124 : déni de service − boucle CPU et allocation mémoire
smarty Correction de CVE-2012-4437
spamassassin Suppression de shut-down njabl DNSBL ; correction de RCVD_ILLEGAL_IP pour ne pas considérer 5.0.0.0/8 comme étant invalide
sympa Correction d'une boucle infinie dans wwsympa lors du chargement de données de session incluant des métacaractères
texlive-extra Correction de noms de fichiers temporaires prévisibles dans latex2man
tntnet Correction de fichier tntnet.conf par défaut non sûr
tzdata Nouvelle version amont
wv2 Suppression effective de src/generator/generator_wword{6,8}.htm
xorg-server Lien avec -lbsd sur kfreebsd pour faire fonctionner MIT-SHM avec des segments mémoire non accessibles à tous
xview Correction de la gestion des alternatives
zabbix Corrections d'injection SQL, déni de service de zabbix_agentd, potentielle divulgation de chemin, contournement de vérification de paramètre de nom de champ, capacité de surcharger la configuration LDAP lors de l'appel de user.login par l'API

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-2628 nss-pam-ldapdDébordement de tampon
DSA-2629 openjpegPlusieurs problèmes
DSA-2630 postgresql-8.4Erreur d'implémentation
DSA-2631 squid3Déni de service
DSA-2632 user-mode-linuxPlusieurs problèmes
DSA-2632 linux-2.6Plusieurs problèmes
DSA-2633 fusionforgeAugmentation de privilèges
DSA-2634 python-djangoPlusieurs problèmes
DSA-2635 cfingerdDébordement de tampon
DSA-2636 xenPlusieurs problèmes
DSA-2637 apache2Plusieurs problèmes
DSA-2638 openafsDébordement de tampon
DSA-2639 php5Plusieurs problèmes
DSA-2640 zoneminderPlusieurs problèmes
DSA-2641 perlDéfaut de re-hashage
DSA-2641 libapache2-mod-perl2Échec de compilation avec la version à jour de perl
DSA-2642 sudoPlusieurs problèmes
DSA-2643 puppetPlusieurs problèmes
DSA-2644 wiresharkPlusieurs problèmes
DSA-2645 inetutilsDéni de service
DSA-2646 typo3-srcPlusieurs problèmes
DSA-2647 firebird2.1Débordement de tampon
DSA-2648 firebird2.5Plusieurs problèmes
DSA-2649 lighttpdCorrection de nom de socket dans le répertoire accessible en écriture à tous
DSA-2650 libvirtModification de propriété de fichiers et nœuds de périphérique pour le groupe kvm
DSA-2651 smokepingDéfaut de script intersite
DSA-2652 libxml2Extension d'entité externe
DSA-2653 icingaDébordement de tampon
DSA-2654 libxsltDéni de service
DSA-2655 railsPlusieurs problèmes
DSA-2656 bind9Déni de service
DSA-2657 postgresql-8.4Nombres aléatoires devinables
DSA-2659 libapache-mod-securityVulnérabilité de traitement d'entité externe XML
DSA-2660 curlVulnérabilité de fuite de cookie
DSA-2661 xorg-serverDivulgation d'information
DSA-2662 xenPlusieurs problèmes
DSA-2663 tincDépassement de tampon basé sur la pile
DSA-2664 stunnel4Débordement de tampon
DSA-2665 strongswanContournement d'authentification
DSA-2666 xenPlusieurs problèmes
DSA-2668 linux-2.6Plusieurs problèmes
DSA-2668 user-mode-linuxPlusieurs problèmes
DSA-2670 request-tracker3.8Plusieurs problèmes
DSA-2673 libdmxPlusieurs problèmes
DSA-2674 libxvPlusieurs problèmes
DSA-2675 libxvmcPlusieurs problèmes
DSA-2676 libxfixesPlusieurs problèmes
DSA-2677 libxrenderPlusieurs problèmes
DSA-2678 mesaPlusieurs problèmes
DSA-2679 xserver-xorg-video-openchromePlusieurs problèmes
DSA-2680 libxtPlusieurs problèmes
DSA-2681 libxcursorPlusieurs problèmes
DSA-2682 libxextPlusieurs problèmes
DSA-2683 libxiPlusieurs problèmes
DSA-2684 libxrandrPlusieurs problèmes
DSA-2685 libxpPlusieurs problèmes
DSA-2686 libxcbPlusieurs problèmes
DSA-2687 libfsPlusieurs problèmes
DSA-2688 libxresPlusieurs problèmes
DSA-2689 libxtstPlusieurs problèmes
DSA-2690 libxxf86dgaPlusieurs problèmes
DSA-2691 libxineramaPlusieurs problèmes
DSA-2692 libxxf86vmPlusieurs problèmes
DSA-2693 libx11Plusieurs problèmes
DSA-2694 spipAugmentation de privilèges
DSA-2698 tiffDébordement de tampon
DSA-2701 krb5Déni de service
DSA-2702 telepathy-gabbleContournement de vérification TLS
DSA-2703 subversionPlusieurs problèmes
DSA-2708 fail2banDéni de service
DSA-2710 xml-security-cPlusieurs problèmes
DSA-2711 haproxyPlusieurs problèmes
DSA-2713 curlDépassement de zone de mémoire du système
DSA-2715 puppetExécution de code
DSA-2717 xml-security-cDépassement de zone de mémoire du système
DSA-2718 wordpressPlusieurs problèmes
DSA-2719 popplerPlusieurs problèmes
DSA-2723 php5Corruption de tas
DSA-2725 tomcat6Plusieurs problèmes
DSA-2726 php-radiusDébordement de tampon
DSA-2727 openjdk-6Plusieurs problèmes
DSA-2728 bind9Déni de service
DSA-2729 openafsPlusieurs problèmes
DSA-2730 gnupgFuite d'informations
DSA-2731 libgcrypt11Fuite d'informations
DSA-2733 otrs2Injection SQL
DSA-2734 wiresharkPlusieurs problèmes
DSA-2736 puttyPlusieurs problèmes
DSA-2739 cactiPlusieurs problèmes
DSA-2740 python-djangoDéfaut de script intersite
DSA-2742 php5Conflit d'interprétation
DSA-2744 tiffPlusieurs problèmes
DSA-2747 cactiPlusieurs problèmes
DSA-2748 exactimageDéni de service
DSA-2749 asteriskPlusieurs problèmes
DSA-2751 libmodplugPlusieurs problèmes
DSA-2752 phpbb3Permissions trop larges
DSA-2753 mediawikiDivulgation de jeton suite à la falsification de requête de script intersite
DSA-2754 exactimageDéni de service
DSA-2755 python-djangoTraversée de répertoire
DSA-2756 wiresharkPlusieurs problèmes
DSA-2758 python-djangoDéni de service
DSA-2760 chronyPlusieurs problèmes
DSA-2763 pyopensslContournement de vérification de nom
DSA-2766 user-mode-linuxPlusieurs problèmes
DSA-2766 linux-2.6Plusieurs problèmes
DSA-2767 proftpd-dfsgDéni de service
DSA-2770 torqueContournement d'authentification
DSA-2773 gnupgPlusieurs problèmes
DSA-2775 ejabberdUtilisation non sûre de SSL
DSA-2776 drupal6Plusieurs problèmes
DSA-2778 libapache2-mod-fcgidDépassement de tampon basé sur le tas

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
irssi-plugin-otr Problèmes de sécurité
libpam-rsa Cassé, source de problèmes de sécurité

Installateur Debian

L'installateur Debian a été mis à jour pour intégrer un nouveau noyau contenant plusieurs correctifs importants et liés à la sécurité.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Adresse de l'actuelle distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable/

Mises à jour proposées pour la distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata,  etc.) :

http://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.