Publication de la mise à jour de Debian 6.0.9

15 février 2014

Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa distribution oldstable Debian 6.0 (nommée Squeeze). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version oldstable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la distribution oldstable ajoute également quelques corrections importantes aux paquets suivants :

Paquet Raison
apache2 Correction de CVE-2013-1862 (protection de RewriteLog), de CVE-2013-1896 (mod_dav : déni de service au moyen d'une requête MERGE) et d'erreurs de segmentation dans certaines conditions d'erreur
base-files Mise à jour pour cette version
chrony Reconstruction dans un environnement propre
debian-installer Reconstruction pour cette version
debian-installer-netboot-images Reconstruction pour cette version
ia32-libs Mise à jour des paquets inclus depuis oldstable et security.d.o
ia32-libs-gtk Mise à jour des paquets inclus depuis oldstable et security.d.o
librsvg Correction de la vérification des sources non-URI ; correction de CVE-2013-1881 : désactivation du chargement d'entités externes
localepurge Correction de CVE-2014-1638 : utilisation non sûre de fichiers temporaires
mapserver Correction de CVE-2013-7262 : vulnérabilité à l'injection SQL dans la fonction msPostGISLayerSetTimeFilter
openttd Correction de CVE-2013-6411 : déni de service
postgresql-8.4 Nouvelle microversion amont
spip Correction de script intersite pour la signature de l'auteur [CVE-2013-7303]
suds Correction de CVE-2013-2217
tzdata Nouvelle version amont
usemod-wiki Mise à jour de la date d'expiration des cookies codée en dur de 2013 à 2025
xfce4-weather-plugin Mise à jour de l'URI de l'interface de programmation de weather.com

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet Correction(s)
DSA-2496 mysql-5.1Plusieurs problèmes
DSA-2581 mysql-5.1Plusieurs problèmes
DSA-2757 wordpressPlusieurs problèmes
DSA-2771 nasPlusieurs problèmes
DSA-2774 gnupg2Plusieurs problèmes
DSA-2779 libxml2Déni de service
DSA-2780 mysql-5.1Plusieurs problèmes
DSA-2781 python-cryptoInitialisation incorrecte du générateur de nombres pseudoaléatoires dans certains cas
DSA-2783 librack-rubyPlusieurs problèmes
DSA-2784 xorg-serverUtilisation après libération
DSA-2786 icuPlusieurs problèmes
DSA-2789 strongswanDéni de service et contournement d'autorisation
DSA-2791 tryton-clientAbsence de vérification des entrées
DSA-2792 wiresharkPlusieurs problèmes
DSA-2794 spipPlusieurs problèmes
DSA-2795 lighttpdPlusieurs problèmes
DSA-2796 torqueExécution de code arbitraire
DSA-2798 curlAbsence de vérification du certificat SSL du nom d'hôte
DSA-2800 nssDépassement de tampon
DSA-2803 quaggaPlusieurs problèmes
DSA-2805 sup-mailInjection de commande
DSA-2806 nbdAugmentation de droits
DSA-2807 links2Dépassement d'entier
DSA-2808 openjpegPlusieurs problèmes
DSA-2812 sambaPlusieurs problèmes
DSA-2813 gimpPlusieurs problèmes
DSA-2814 varnishDéni de servicee
DSA-2817 libtarPlusieurs dépassements d'entier
DSA-2820 nsprDépassement d'entier
DSA-2821 gnupgAttaque par canal auxiliaire
DSA-2822 xorg-serverDépassement d'entier par le bas
DSA-2823 pixmanDépassement d'entier par le bas
DSA-2826 denyhostsDéni de service distant de SSH
DSA-2827 libcommons-fileupload-javaChargement arbitraire de fichier à cause d’une désérialisation
DSA-2828 drupal6Plusieurs problèmes
DSA-2829 hplipPlusieurs problèmes
DSA-2831 puppetFichiers temporaires non sûrs
DSA-2832 memcachedPlusieurs problèmes
DSA-2834 typo3-srcPlusieurs problèmes
DSA-2835 asteriskDépassement de tampon
DSA-2838 libxfontDépassement de tampon
DSA-2840 srtpDépassement de tampon
DSA-2841 movabletype-opensourceScript intersite
DSA-2843 graphvizDépassement de tampon
DSA-2844 djvulibreExécution de code arbitraire
DSA-2845 mysql-5.1Plusieurs problèmes
DSA-2849 curlDivulgation d'informations
DSA-2851 drupal6Usurpation d'identité
DSA-2852 libgaduDépassement de tampon
DSA-2853 horde3Exécution de code à distance
DSA-2856 libcommons-fileupload-javaDéni de service

Paquets supprimés

Le paquet suivant a été supprimé à cause de circonstances hors de notre contrôle :

Paquet Raison
iceape Suppression de la prise en charge de la sécurité

Installateur Debian

L'installateur Debian a été mis à jour pour intégrer les corrections introduites dans oldstable par cette version.

URL

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Adresse de l'actuelle distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable/

Mises à jour proposées à la distribution oldstable :

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informations sur la distribution oldstable (notes de publication, errata, etc.) :

https://www.debian.org/releases/oldstable/

Annonces et informations de sécurité :

http://security.debian.org/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.