Publication de la mise à jour de Debian GNU/Linux 5.0.6
4 septembre 2010
Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa distribution stable Debian GNU/Linux 5.0 (nom de code Lenny). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images de CD et de DVD contenant les paquets mis à jour et les média d'installation habituels ainsi que les archives des paquets seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute plusieurs mises à jour binaires de paquets dans certaines architectures où les versions n'étaient pas synchronisées entre les architectures. Elle ajoute également quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
base-files | mise à jour du fichier /etc/debian_version |
bgoffice | pas d'effacement des fichiers de /var/lib/aspell lors des mises à niveau |
debian-archive-keyring | ajout des clefs de Squeeze ; retrait des clefs de Etch |
git-core | dépassement de tampon basé sur la pile manipulant les chemins de gitdir |
ia32-libs | lien symbolique ld-linux.so.2 pour ia64 et ajout du fragment ld.so.conf |
imp4 | préchargement DNS désactivé lors de la désactivation des contenus non fiables ; problème d'échappement avec l'affichage d'URL |
iputils | consommation de ressource avec réponses intentionnellement trafiquées |
libapache-dbi-perl | correctif de sécurité appliqué correctement lors de la construction |
libnet-sftp-foreign-perl | ajout des recommandations manquantes envers lib{expect,io-pty}-perl |
libnss-lwres | reconstruit suite à la mise à jour de liblwres50 (introduite dans la mise à jour de sécurité de bind9) |
libpoe-component-irc-perl | filtrage des commandes contenant de nouvelles lignes pour éviter une attaque par injection |
libtk-filedialog-perl | erreur « can't make ".filedialog" its own master » |
libwww-perl | utilisation incorrecte de redo ; lwp-download - pas d'utilisation de noms de fichier fournis par le serveur commençant par « . » |
linux-2.6 | plusieurs corrections et prise en charge de nouveaux matériels |
makepasswd | évite la création de mots de passe prévisibles |
okular | corruption de mémoire |
pango1.0 | plantage avec suites Unicode non valables |
paste | correction XSS |
pastebinit | mise à jour de la définition de pastebin.com ; rafb.net enlevé |
pdf2djvu | plantage avec l'option -i ou --indirect |
quik | FTBFS (échec de construction depuis les sources) et invite indésirable avec l'utilisation de debconf |
slim | répertoire actuel non ajouté au chemin par défaut |
ttf-dzongkha | conseils de fichier pour indiquer le bon fichier de police |
ttf-inconsolata | police marquée à chasse fixe et correction du nom dans la liste des fichiers conseils de defoma |
w3m | vérification de caractères absents dans les noms de certificats |
xserver-xorg-video-intel | écriture sur GEN3 possible en rendu basse consommation |
De plus, les paquets sun-java5 et sun-java6 pour l'architecture ia64 qui n'étaient pas disponibles lors de la précédente version intermédiaire sont ajoutés à cette mise à jour.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant | Paquet | Correction(s) |
---|---|---|
DSA-1919 | smarty | régression lors de la précédente mise à jour |
DSA-2054 | bind9 | empoisonnement du cache |
DSA-2059 | pcsc-lite | régression lors de la précédente mise à jour |
DSA-2064 | xulrunner | plusieurs vulnérabilités |
DSA-2065 | kvirc | plusieurs vulnérabilités |
DSA-2066 | wireshark | plusieurs vulnérabilités |
DSA-2067 | mahara | plusieurs vulnérabilités |
DSA-2068 | python-cjson | déni de service |
DSA-2069 | znc | déni de service |
DSA-2070 | freetype | plusieurs vulnérabilités |
DSA-2071 | libmikmod | plusieurs vulnérabilités |
DSA-2072 | libpng | plusieurs vulnérabilités |
DSA-2073 | mlmmj | traversée de répertoires |
DSA-2074 | ncompress | exécution de code arbitraire |
DSA-2075 | xulrunner | plusieurs vulnérabilités |
DSA-2076 | gnupg2 | exécution de code arbitraire |
DSA-2078 | kvirc | exécution de commande IRC arbitraire |
DSA-2078 | mapserver | exécution de code arbitraire |
DSA-2080 | ghostscript | plusieurs vulnérabilités |
DSA-2081 | libmikmod | exécution de code arbitraire |
DSA-2082 | gmime2.2 | exécution de code arbitraire |
DSA-2083 | moin | script intersite |
DSA-2084 | tiff | exécution de code arbitraire |
DSA-2085 | lftp | vulnérabilité à l'écrasement de fichier |
DSA-2086 | avahi | déni de service |
DSA-2087 | cabextract | exécution de code arbitraire |
DSA-2088 | wget | possibilité d'exécution de code |
DSA-2089 | php5 | plusieurs vulnérabilités |
DSA-2090 | socat | exécution de code arbitraire |
DSA-2091 | squirrelmail | forgeage de requête intersite |
DSA-2092 | lxr-cvs | script intersite |
DSA-2093 | ghostscript | plusieurs vulnérabilités |
DSA-2094 | linux-2.6 | plusieurs problèmes |
DSA-2094 | user-mode-linux | plusieurs problèmes |
DSA-2095 | lvm2 | déni de service |
DSA-2096 | zope-ldapuserfolder | authentification |
DSA-2097 | phpmyadmin | plusieurs vulnérabilités |
DSA-2098 | typo3-src | plusieurs vulnérabilités |
DSA-2099 | openoffice.org | exécution de code arbitraire |
DSA-2100 | openssl | double libération de mémoire |
DSA-2101 | wireshark | plusieurs vulnérabilités |
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
libconfig-inetd-perl | paquet vide cassé, pas de dépendance inverse |
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian GNU/Linux.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.