Publication de la mise à jour de Debian 6.0.3
8 octobre 2011
Le projet Debian a l'honneur d'annoncer la troisième mise à jour de sa
distribution stable Debian GNU/Linux 6.0 (nommée Squeeze
).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :
Corrections de bogues divers
Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants :
| Paquet | Raison |
|---|---|
| ace | Reconstruction pour supprimer des fichiers non distribuables |
| akonadi | Prise en charge de $HOME monté par le réseau |
| amispammer | Mise à jour du service utilisé pour découvrir l'adresse IP locale |
| apache2 | Correction de CVE-2011-3348 : éventuel déni de service dans mod_proxy_ajp ; plusieurs corrections de documentation et script d'initialisation |
| aptitude | Correction d'une attaque par lien symbolique dans l'éditeur de hiérarchie |
| arcboot | Correction de l'installation par le réseau pour IP22 et IP32 |
| atop | Utilisation non sécurisée de fichiers temporaires |
| base-files | Mise à jour du fichier /etc/debian_version |
| brltty | Correction de l'analyse de brltty= quand tous les paramètres ne sont pas fournis : configuration de gconf même si aucune table n'a été indiquée |
| clamav | Nouvelle publication amont ; corrections d'erreurs de condition limite et d'opcode 20 not implemented |
| clive | Adaptation aux modifications de youtube.com |
| conky | Correction d'une vulnérabilité d'écrasement de fichier |
| ctdb | Correction de chemin vers ethtool et activation de service httpd |
| debian-installer-utils | Définition de SUDO_FORCE_REMOVE=yes pour permettre à sudo-ldap d'être installé par l'installateur Debian |
| deja-dup | Passage explicite de l'environnement aux sous-processus pour s'assurer d'une opération GPG correcte à la restauration |
| dokuwiki | Correction de script intersite de RSS |
| dput | Mise à jour de la configuration des rétroportages pour utiliser les nouveaux hôtes de .d.o |
| drupal6 | Correction de sécurité pour script intersite dans le module color |
| firmware-nonfree | Ajout des microprogrammes VIA VT6656, Realtek RTL8105E-1 et RTL8168E-1/2/3 |
| foo2zjs | Correction d'une utilisation non sécurisée de fichiers temporaires |
| freebsd-libs | Déplacement de libsbuf.so.0 et libipx.so.2 vers /lib |
| freebsd-utils | Ajout de fichiers de configuration et d'un script d'initialisation pour devd ; activation de ieee80211 (sans fil) dans ifconfig |
| gajim | Correction de charge microprocesseur importante lors d'une connexion |
| gdebi | Tentative de déterminer l'équivalent localisé correct de « Y » |
| gdm3 | Ne montrer les options d'extinction que quand elles sont demandées ; correction d'une double libération de mémoire ; ne définir WINDOWPATH que si elle n'est pas NULL ; retrait du bip dans le correctif de boîte de dialogue PAM |
| git | Correction d'une condition limite lors de l'analyse des sujets de commit ; évitement d'impasse lors de clonage superficiel ; mises à jour de documentation |
| grub-installer | Permettre l'utilisation de grub-legacy en préconfiguration (si elle convient) |
| grub2 | Gestion des périphériques d'image disque avec partition séparée Xen ; assurer l'unicité des numéros de regroupement RAID ; correction de la détection de grub-probe pour les périphériques ATA utilisant le pilote atasous kFreeBSD 9 |
| heimdal | Permettre l'utilisation de DES avec NFS |
| httpcomponents-client | Correction d'un bogue forçant la transmission de l'en-tête Proxy-Authorization aux hôtes cible |
| ia32-libs | Rafraîchi avec les paquets de stable et security |
| ia32-libs-gtk | Rafraîchi avec les paquets de stable et security |
| ibid | Correction de plusieurs problèmes de sécurité ; faire fonctionner de nouveau la source HTTP |
| ipmitool | Correction d'erreur de segmentation |
| kde4libs | Éviter au texte marqué d'être coupé lors du basculement de documents dans kate |
| kernel-wedge | Ne plus considérer acpi.ko comme faisant partie de kFreeBSD |
| kfreebsd-8 | Correction de la fuite de mémoire du noyau de la pile net802.11 (CVE-2011-2480) ; fusion du pilote if_msk rétroporté de 8-STABLE ; réactivation de la construction de quelques modules |
| kfreebsd-kernel-di-amd64 | Reconstruction en cohérence avec kfreebsd-8 8.1+dfsg-8+squeeze1 |
| kfreebsd-kernel-di-i386 | Reconstruction en cohérence avec kfreebsd-8 8.1+dfsg-8+squeeze1 |
| krb5 | Permettre à gss_set_allowable_enctypes de restreindre l'accepteur enctypes, permettant aux nouveaux clients d'utiliser un serveur NFS de Squeeze sans dégrader la sécurité pour les applications non NFS |
| kupfer | Ne pas planter si le carnet d'adresses d'Evolution n'est pas présent |
| libpcap | Correction de la corruption de longueur d'instantané des captures en direct ; correction de la détection de matériel lors de l'utilisation du bonding |
| lintian | Correction de problèmes de fuite de renseignements |
| linux-2.6 | Mise à jour vers la publication à long terme 2.6.32.46 ; rétroportage de modifications de pilote réseau |
| linux-kernel-di-amd64-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-armel-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-i386-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-ia64-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-mips-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-mipsel-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-powerpc-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-s390-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| linux-kernel-di-sparc-2.6 | Reconstruction en cohérence avec linux-2.6 2.6.32-38 |
| mesa | GLX : suppression de BadRequest depuis DRI2Connect (attendu pour les clients non locaux) |
| mod-gnutls | Correction d'erreurs de segmentation |
| nagvis | Installation de documentation ; application correcte de FollowSymlinks ; appel d'ucf seulement s'il est disponible |
| nss-pam-ldapd | Correction du problème de mémoire non initialisée lors de l'analyse de tls_ciphers ; correction du problème de la correspondance partielle des noms d'attribut dans DN ; tampons de chaînes de caractères modifiés pour représenter des nombres sur 64 bits ; traitement de la valeur hardpour tls_reqcert comme un synonyme de demand |
| openarena | Correction de l'exécution de code arbitraire par du code binaire malveillant |
| opencv | Correction du chemin d'installation d'opencv-doc ; optimisation du paquet i386 pour l'architecture i486 |
| openssh | Journaux rendus plus silencieux lorsque plusieurs restrictions from= sont utilisées pour la même clef dans différentes lignes du fichier authorized_keys |
| openssl | Correction de CVE-2011-3210 : manipulation de mémoire pour les chiffrements (EC)DH |
| pianobar | Prise en charge de la version 31 de l'API de XMLRPC |
| pmake | Correction d'une attaque par lien symbolique par fichiers temporaires |
| postgresql-8.4 | Correction d'une régression due à la correction des problèmes dans plpgsql de colonnes perdues en type ligne dans la branche 8.4 |
| python-recaptcha | Mise à jour des URL pour les services web déplacés vers google.com |
| quassel | Correction du déni de service par CTCP |
| red5 | Ajout de la dépendance manquante de glassfish-javaee |
| sbcl | Correction de la réference à asdf::split non définie dans le module asdf-install |
| shelldap | Terminer avec un message d'erreur plus agréable si IO::Socket::SSL n'est pas installé, mais que SSL/TLS était requis |
| system-tools-backends | Prise en charge correcte du renommage du fichier de configuration |
| tesseract | Désactivation des fenêtres de débogage basées sur xterm pour éviter une vulnérabilité d'écrasement de fichier |
| typo3-src | Correction du débordement du cache causé par une gestion incorrecte des erreurs |
| tzdata | Nouvelle version amont |
| update-inetd | Correction du non fonctionnement avec les paquets inetd autres que celui par défaut |
| usbutils | Mise à jour de la liste des identifiants USB ; dépendance de libusb2-dev pour la construction sur kFreeBSD |
| user-mode-linux | Reconstruction en cohérence avec linux-2.6 2.6.32-37 |
| v86d | Correction de CVE-2011-1070 : échec de validation d'expéditeur de message netlink ; pas d'inclusion d'en-têtes aléatoires dans CFLAGS |
| vftool | Correction d'un dépassement de tampon dans linetoken() de parseAFM.c |
| vte | Correction de déni de service |
| widelands | Correction des parties en réseau sur les cartes officielles (régression introduite par de précédentes mises à jour) |
| win32-loader | Ajout de l'entête Built-Using ; autorisation de versions spécifiques à une suite ; documentation des versions des logiciels embarqués |
| xapian-omega | Correction de problèmes de protection dans les fichiers modèles |
| zfsutils | Mise à jour des en-têtes LSB init pour assurer un démarrage et un arrêt corrects ; ajout d'un script de complément de commandes pour bash |
Remarquez que la modification de krb5 signalée ci-dessus nécessite ensuite
une mise à jour du paquet nfs-common
avant qu'elle ne soit effective.
Cette mise à jour devrait faire partie de la prochaine mise à jour de stable.
Lors des dernières étapes de cette mise à jour, l'absence des
fichiers de traduction du paquet quassel
a été remarquée.
Nous espérons proposer rapidement une mise à jour
restaurant les traductions dans squeeze-updates
et l'inclure dans la prochaine mise à jour de stable.
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :
| Identifiant | Paquet | Correction |
|---|---|---|
| DSA-2188 | webkit | plusieurs problèmes |
| DSA-2210 | tiff | plusieurs problèmes |
| DSA-2228 | iceweasel | plusieurs problèmes |
| DSA-2248 | ejabberd | déni de service |
| DSA-2252 | dovecot | erreur de programmation |
| DSA-2254 | oprofile | injection de commande |
| DSA-2256 | tiff | débordement de tampon |
| DSA-2258 | kolab-cyrus-imapd | erreur d'implémentation |
| DSA-2266 | php5 | plusieurs problèmes |
| DSA-2267 | perl | contournement de restriction |
| DSA-2268 | iceweasel | plusieurs problèmes |
| DSA-2269 | iceape | plusieurs problèmes |
| DSA-2270 | qemu-kvm | erreur de programmation |
| DSA-2271 | curl | délégation incorrecte d'accréditations clientes |
| DSA-2272 | bind9 | déni de service |
| DSA-2273 | icedove | plusieurs problèmes |
| DSA-2274 | wireshark | plusieurs problèmes |
| DSA-2276 | asterisk | plusieurs problèmes |
| DSA-2277 | xml-security-c | débordement de tampon |
| DSA-2279 | libapache2-mod-authnz-external | injection SQL |
| DSA-2280 | libvirt | plusieurs problèmes |
| DSA-2281 | opie | plusieurs problèmes |
| DSA-2282 | qemu-kvm | plusieurs problèmes |
| DSA-2285 | mapserver | plusieurs problèmes |
| DSA-2287 | libpng | plusieurs problèmes |
| DSA-2288 | libsndfile | débordement d'entier |
| DSA-2289 | typo3-src | plusieurs problèmes |
| DSA-2291 | squirrelmail | plusieurs problèmes |
| DSA-2292 | isc-dhcp | déni de service |
| DSA-2293 | libxfont | débordement de tampon |
| DSA-2294 | freetype | absence de vérification des entrées |
| DSA-2295 | iceape | plusieurs problèmes |
| DSA-2296 | iceweasel | plusieurs problèmes |
| DSA-2297 | icedove | plusieurs problèmes |
| DSA-2298 | apache2 | déni de service |
| DSA-2299 | ca-certificates | autorité de certification compromise |
| DSA-2300 | nss | autorité de certification compromise |
| DSA-2301 | rails | plusieurs problèmes |
| DSA-2302 | bcfg2 | exécution de code arbitraire |
| DSA-2303 | user-mode-linux | plusieurs problèmes |
| DSA-2303 | linux-2.6 | plusieurs problèmes |
| DSA-2304 | squid3 | débordement de tampon |
| DSA-2305 | vsftpd | déni de service |
| DSA-2306 | ffmpeg | plusieurs problèmes |
| DSA-2307 | chromium-browser | plusieurs problèmes |
| DSA-2308 | mantis | plusieurs problèmes |
| DSA-2309 | openssl | autorité de certification compromise |
| DSA-2312 | iceape | plusieurs problèmes |
| DSA-2313 | iceweasel | plusieurs problèmes |
| DSA-2314 | puppet | plusieurs problèmes |
| DSA-2316 | quagga | plusieurs problèmes |
| DSA-2317 | icedove | plusieurs problèmes |
Installateur Debian
L'installateur Debian a été mis à jour pour corriger les problème suivants (entre autres) :
- correction de l'installation par le réseau pour IP22 et IP32 (mips) ;
- permettre l'utilisation de grub-legacy en préconfiguration (si elle convient).
L'image du noyau utilisée par l'installateur a été mise à jour pour intégrer plusieurs correctifs importants et liés à la sécurité, ainsi que les mises à jour des pilotes de réseau e1000e, igb, igbvf, r8169, tg3 et broadcom pour prendre en charge de nouveaux matériels.
L'installateur GNU/kFreeBSD incorpore également une image du noyau comprenant un pilote Gigabit Ethernet if_msk mis à jour.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
Adresse de l'actuelle distribution stable :
Mises à jour proposées à la distribution stable :
Informations sur la distribution stable (notes de publication, errata, etc.) :
Annonces et informations de sécurité :
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.
Contacts
Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.