Publication de la mise à jour de Debian GNU/Linux 5.0.9
1er octobre 2011
Le projet Debian a l'honneur d'annoncer la neuvième mise à jour de sa
distribution oldstable Debian GNU/Linux 5.0 (nommée Lenny
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version oldstable.
Les annonces de sécurité ont déjà été publiées séparément
et sont simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian GNU/Linux 5.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 5.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (voir la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution oldstable ajoute également quelques corrections importantes aux paquets suivants :
Paquet | Raison |
---|---|
aptitude | Correction d'une attaque par lien symbolique dans l'éditeur de hiérarchie |
atop | Utilisation non sécurisée de fichiers temporaires |
base-files | Mise à jour du fichier /etc/debian_version |
conky | Correction d'une vulnérabilité d'écrasement de fichier |
dokuwiki | Correction de script intersite de RSS |
klibc | Échappement des options DHCP d'ipconfig |
linux-2.6 | Plusieurs mises à jour de sécurité et sélection de correctifs de la version amont 2.6.27.58/9 |
magpierss | Correction de vulnérabilité au script intersite (CVE-2011-0740) |
mediawiki | Protection contre une vulnérabilité d'injection de CSS |
openldap | Correctifs de sécurité |
openssl | Correction de CVE-2011-3210 : manipulation de mémoire pour les chiffrements (EC)DH |
pmake | Correction d'une attaque par lien symbolique par fichiers temporaires |
sun-java6 | Nouvelle mise à jour de sécurité amont |
tesseract | Désactivation des fenêtres de débogage basées sur xterm pour éviter une vulnérabilité d'écrasement de fichier |
tzdata | Nouvelle version amont |
user-mode-linux | Reconstruction en cohérence avec linux-2.6 2.6.26-27 |
v86d | Correction de CVE-2011-1070 : échec de validation d'expéditeur de message netlink ; pas d'inclusion d'en-têtes aléatoires dans CFLAGS |
vftool | Correction d'un dépassement de tampon dans linetoken() de parseAFM.c |
xorg-server | GLX : pas de plantage dans SwapBuffers en absence de contexte |
À cause de l'enchaînement entre cette mise à jour et celle de la
version stable (Debian 6.0 Squeeze
), la version des paquets atop
et tzdata inclus dans cette mise à jour est plus grande que
celle des paquets correspondants actuellement dans stable.
La prochaine mise à jour de stable est prévue pour la
semaine prochaine, après laquelle la version des paquets
de stable sera de nouveau plus grande, comme il se doit.
Nous estimons que cette situation ne posera pas de problème lors
des mises à niveau depuis la version oldstable vers stable pendant
cette courte période, mais veuillez signaler tout problème que vous
rencontreriez (consultez la section Contact
ci dessous).
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
Identifiant | Paquet | Correction(s) |
---|---|---|
DSA-2043 | vlc | exécution de code arbitraire |
DSA-2149 | dbus | déni de service |
DSA-2150 | request-tracker3.6 | hachage de mot de passe sans sel |
DSA-2151 | openoffice.org | plusieurs problèmes |
DSA-2152 | hplip | débordement de tampon |
DSA-2153 | user-mode-linux | plusieurs problèmes |
DSA-2153 | linux-2.6 | plusieurs problèmes |
DSA-2154 | exim4 | augmentation de privilèges |
DSA-2155 | freetype | plusieurs problèmes |
DSA-2156 | pcsc-lite | débordement de tampon |
DSA-2157 | postgresql-8.3 | débordement de tampon |
DSA-2158 | cgiirc | défaut de script intersite |
DSA-2165 | ffmpeg-debian | débordement de tampon |
DSA-2167 | phpmyadmin | injection SQL |
DSA-2168 | openafs | plusieurs problèmes |
DSA-2169 | telepathy-gabble | validation des entrées insuffisante |
DSA-2170 | mailman | plusieurs problèmes |
DSA-2171 | asterisk | débordement de tampon |
DSA-2172 | moodle | plusieurs problèmes |
DSA-2173 | pam-pgsql | débordement de tampon |
DSA-2174 | avahi | déni de service |
DSA-2175 | samba | absence de vérification des entrées |
DSA-2176 | cups | plusieurs problèmes |
DSA-2179 | dtc | injection SQL |
DSA-2181 | subversion | déni de service |
DSA-2182 | logwatch | exécution de code à distance |
DSA-2183 | nbd | exécution de code arbitraire |
DSA-2186 | xulrunner | plusieurs problèmes |
DSA-2191 | proftpd-dfsg | plusieurs problèmes |
DSA-2195 | php5 | plusieurs problèmes |
DSA-2196 | maradns | débordement de tampon |
DSA-2197 | quagga | déni de service |
DSA-2200 | xulrunner | mise à jour de la liste noire des certificats |
DSA-2200 | nss | autorité de certification compromise |
DSA-2201 | wireshark | plusieurs problèmes |
DSA-2203 | nss | mise à jour de la liste noire des certificats |
DSA-2204 | imp4 | vérification d'entrée manquante |
DSA-2206 | mahara | plusieurs problèmes |
DSA-2207 | tomcat5.5 | plusieurs problèmes |
DSA-2208 | bind9 | problème de traitement de nouveaux enregistrements DS DNSSEC |
DSA-2210 | tiff | plusieurs problèmes |
DSA-2211 | vlc | absence de vérification des entrées |
DSA-2213 | x11-xserver-utils | absence de vérification des entrées |
DSA-2214 | ikiwiki | validation des entrées insuffisante |
DSA-2217 | dhcp3 | absence de vérification des entrées |
DSA-2219 | xmlsec1 | écrasement de fichier |
DSA-2220 | request-tracker3.6 | plusieurs problèmes |
DSA-2225 | asterisk | plusieurs problèmes |
DSA-2226 | libmodplug | débordement de tampon |
DSA-2228 | xulrunner | plusieurs problèmes |
DSA-2233 | postfix | plusieurs problèmes |
DSA-2234 | zodb | plusieurs problèmes |
DSA-2242 | cyrus-imapd-2.2 | erreur d'implémentation |
DSA-2243 | unbound | défaut de conception |
DSA-2244 | bind9 | condition limite incorrecte |
DSA-2246 | mahara | plusieurs problèmes |
DSA-2247 | rails | plusieurs problèmes |
DSA-2248 | ejabberd | déni de service |
DSA-2250 | citadel | déni de service |
DSA-2253 | fontforge | débordement de tampon |
DSA-2254 | oprofile | injection de commande |
DSA-2255 | libxml2 | débordement de tampon |
DSA-2260 | rails | plusieurs problèmes |
DSA-2264 | user-mode-linux | plusieurs problèmes |
DSA-2264 | linux-2.6 | plusieurs problèmes |
DSA-2266 | php5 | plusieurs problèmes |
DSA-2268 | xulrunner | plusieurs problèmes |
DSA-2272 | bind9 | déni de service |
DSA-2274 | wireshark | plusieurs problèmes |
DSA-2276 | asterisk | plusieurs problèmes |
DSA-2277 | xml-security-c | débordement de tampon |
DSA-2278 | horde3 | plusieurs problèmes |
DSA-2280 | libvirt | plusieurs problèmes |
DSA-2286 | phpmyadmin | plusieurs problèmes |
DSA-2288 | libsndfile | débordement d'entier |
DSA-2289 | typo3-src | plusieurs problèmes |
DSA-2290 | samba | script intersite |
DSA-2291 | squirrelmail | plusieurs problèmes |
DSA-2292 | dhcp3 | déni de service |
DSA-2293 | libxfont | débordement de tampon |
DSA-2294 | freetype | absence de vérification des entrées |
DSA-2296 | xulrunner | plusieurs problèmes |
DSA-2298 | apache2 | déni de service |
DSA-2298 | apache2-mpm-itk | déni de service |
DSA-2300 | nss | autorité de certification compromise |
DSA-2301 | rails | plusieurs problèmes |
DSA-2302 | bcfg2 | exécution de code arbitraire |
DSA-2304 | squid3 | débordement de tampon |
DSA-2308 | mantis | plusieurs problèmes |
DSA-2309 | openssl | autorité de certification compromise |
DSA-2310 | linux-2.6 | plusieurs problèmes |
Installateur Debian
L'installateur Debian a été mis à jour pour intégrer un nouveau noyau contenant plusieurs correctifs importants et liés à la sécurité.
Paquet supprimé
Le paquet suivant a été supprimé à cause de circonstances hors de notre contrôle :
Paquet | Raison |
---|---|
pixelpost | non maintenu, nombreux problèmes de sécurité |
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution oldstable :
Mises à jour proposées à la distribution oldstable :
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.