Mise à jour de Debian GNU/Linux 5.0
5 septembre 2009
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| avelsieve | permission de supprimer le dernier filtre ajouté et interopérabilité avec dovecot |
| base-files | mise à jour du fichier /etc/debian_version |
| burn | échappe proprement les noms de fichier et gestion plus sécurisée des paramètres des sous-processus |
| ffmpeg-debian | gestion de la lecture de grandes metadonnées dans le décodeur flac |
| firmware-nonfree | ajout du paquet firmware-bnx2x |
| freedoom | suppression des éléments violant la licence |
| ganeti | correction du chemin de hvmloader pour correspondre au xen-utils-3.2-1 de Lenny |
| geoip | ajout de « Replaces » versionnés pour éviter les problèmes lors des mises à niveau à partir d'Etch |
| gthumb | correction du traitement du contenu des répertoires en liens symboliques comme dupliqués |
| heartbeat | erreur de syntaxe, préfixes IPv6 /64 et mise à niveau d'Etch à Lenny |
| irssi | accès hors limites |
| kernel-wedge | ajout du pilote bnx2x driver si disponible |
| libcompress-raw-bzip2-perl | CVE-2009-1884 : erreur de décalage d'entier dans bzinflate() |
| libcompress-raw-zlib-perl | CVE-2009-1391 : dépassement de tampon dans inflate() |
| libio-socket-ssl-perl | vulnérabilité dans la comparaison d'un nom d'hôte |
| libpam-ssh | problème d'énumération utilisateur |
| linux-2.6 | plusieurs correctifs et meilleure prise en charge du matériel |
| linux-kernel-di-alpha-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-amd64-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-arm-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-armel-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-hppa-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-i386-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-ia64-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-mips-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-mipsel-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-powerpc-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-s390-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| linux-kernel-di-sparc-2.6 | reconstruction suite à la mise à jour du noyau linux-2.6 2.6.26-19 |
| mod-wsgi | ajout de versions amont corrigeant des bogues (notamment plusieurs bogues d'arrêt potentiel ou de fuite de mémoire) |
| multipath-tools | arrêt inopiné à l'extinction |
| nexuiz-data | désactivation du message signalant les nouvelles versions en amont |
| openafs | ne crée plus de pointeurs invalides vers la mémoire du noyau lors de la gestion des erreurs |
| openssl | plusieurs vulnérabilités |
| perl | fuite mémoire, dépassement de tampon (CVE-2009-1391) et coquille dans les champs « Replaces » et « Conflicts » |
| pidgin | activation correcte de l'option 'requiert SSL/TLS' sur les serveurs XMPP plus anciens |
| postgrey | mise à jour de la liste blanche ; ajout d'une entrée Google plus large |
| python-django | accès arbitraire au système de fichiers via des URLs forgées |
| python-numpy | lien symbolique incorrect pour l'inclusion de fichier |
| python-support | ignore les lignes commençant par 'import' lors du parsing de fichiers .pth |
| request-tracker3.6 | n'autoriser que les utilisateurs du groupe SuperUsers à modifier la configuration globale de la vue d'ensemble |
| spamassassin | arrêt de l'utilisation de la liste noire RBL open-whois.org, au domaine squatté |
| stardict | désactivation du greffon de dictionnaire sur le réseau (CVE-2009-2260) |
| subversion | formatage de l'entête des mails dans le hook commit-email.pl |
| texlive-base | échoue lorsque LaTeX a cinq ans ; mise sur liste noire de lamsarrow.sty et correction des métriques de police |
| texlive-bin | erreur lors de la configuration lorsque les fichiers inclus ont cinq ans |
| texlive-extra | échoue lorsque LaTeX a cinq ans |
| texlive-lang | échoue lorsque LaTeX a cinq ans |
| tor | déni de service (DoS) et autre problème potentiel de sécurité |
| transmission | erreur de segmentation et génération de noms de fichier invalides |
| tzdata | mise à jour des données d'heure d'été pour Le Caire à l'occasion du Ramadan |
| udev | mise à jour de plusieurs règles et ajout de correctifs rétroportés |
| user-mode-linux | reconstruction avec la mise à jour de linux-source-2.6.26 (2.6.26-19) |
| wordpress | procédure de réinitialisation du mot de passe |
| xcftools | arrêt inopiné avec des fichiers contenant des coordonnées négatives |
| xfce4-dict | ne crée plus de processus zombie |
| xfce4-weather-plugin | utilise la clé de l'API de weather.com de sorte que les résultats soient à nouveau renvoyés |
| xorg | bogue grave dans le script de maintenance postinst qui peut conduire à des fichiers de configuration de xorg vides |
| znc | arrêt inopiné si un utilisateur est supprimé lors de la connexion à un serveur |
Nouvelle version de l'installateur Debian
L'installateur a été mis à jour pour contenir les nouveaux noyaux publiés avec cette version intermédiaire, avec l'ajout de la prise en charge de nouveaux matériels réseau et la correction d'une erreur de segmentation au début du processus de démarrage des installations pour l'architecture S/390.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction(s) |
|---|---|---|
| DSA-1813 | evolution-data-server | régressions introduites dans la mise à jour de sécurité précédente |
| DSA-1816 | apache2 | augmentation de privilèges |
| DSA-1816 | apache2-mpm-itk | augmentation de privilèges |
| DSA-1826 | eggdrop | plusieurs vulnérabilités |
| DSA-1827 | ipplan | script intersite |
| DSA-1828 | ocsinventory-agent | exécution de code arbitraire |
| DSA-1829 | sork-passwd-h3 | script intersite |
| DSA-1830 | icedove | plusieurs vulnérabilités |
| DSA-1831 | djbdns | augmentation de privilèges |
| DSA-1832 | camlimages | exécution de code arbitraire |
| DSA-1833 | dhcp3 | exécution de code arbitraire |
| DSA-1834 | apache2 | déni de service |
| DSA-1834 | apache2-mpm-itk | déni de service |
| DSA-1838 | pulseaudio | augmentation de privilèges |
| DSA-1840 | xulrunner | plusieurs vulnérabilités |
| DSA-1842 | openexr | plusieurs vulnérabilités |
| DSA-1843 | squid3 | déni de service |
| DSA-1845 | user-mode-linux | plusieurs vulnérabilités |
| DSA-1846 | kvm | déni de service |
| DSA-1847 | bind9 | déni de service |
| DSA-1848 | znc | exécution de code à distance |
| DSA-1851 | gst-plugins-bad0.10 | exécution de code arbitraire |
| DSA-1852 | fetchmail | faiblesse dans la vérification du certificat SSL |
| DSA-1853 | memcached | exécution de code arbitraire |
| DSA-1854 | apr | exécution de code arbitraire |
| DSA-1854 | apr-util | exécution de code arbitraire |
| DSA-1855 | subversion | exécution de code arbitraire |
| DSA-1856 | mantis | fuite d'information |
| DSA-1857 | camlimages | exécution de code arbitraire |
| DSA-1858 | imagemagick | plusieurs vulnérabilités |
| DSA-1859 | libxml2 | plusieurs problèmes |
| DSA-1860 | ruby1.8 | plusieurs problèmes |
| DSA-1865 | user-mode-linux | plusieurs vulnérabilités |
| DSA-1867 | kdelibs | plusieurs vulnérabilités |
| DSA-1869 | curl | faiblesse dans la vérification du certificat SSL |
| DSA-1870 | pidgin | nettoyage insuffisant des entrées |
| DSA-1871 | wordpress | plusieurs vulnérabilités |
| DSA-1873 | xulrunner | vulnérabilité d'usurpation |
| DSA-1874 | nss | plusieurs vulnérabilités |
| DSA-1875 | ikiwiki | révélation d'informations |
| DSA-1876 | dnsmasq | exécution de code à distance |
| DSA-1877 | mysql-dfsg-5.0 | exécution de code arbitraire |
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
| Paquet | Raison |
|---|---|
| sabayon | rempli de bogues ; ne convient pas à une version stable |
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.