Publication de la mise à jour de Debian GNU/Linux 5.0.9
------------------------------------------------------------------------
Le Projet Debian http://www.debian.org/
Publication de la mise à jour de Debian GNU/Linux 5.0.9 press@debian.org
1er octobre 2011 http://www.debian.org/News/2011/20111001
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa
distribution oldstable Debian GNU/Linux 5.0 (nommée « Lenny »). Tout en
réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version oldstable. Les
annonces de sécurité ont déjà été publiées séparément et sont
simplement référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian GNU/Linux 5.0 mais seulement une mise à jour de
certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter
les CD et DVD de la version 5.0 mais simplement de faire une mise à
jour via un miroir Debian après une installation, pour déclencher la
mise à jour de tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer
l'outil de gestion des paquets aptitude (ou apt) (voir la page de
manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :
<http://www.debian.org/mirror/list>
Corrections de bogues divers
----------------------------
Cette mise à jour de la distribution oldstable ajoute également
quelques corrections importantes aux paquets suivants :
Paquet Raison
aptitude Correction d'une attaque par lien symbolique dans
l'éditeur de hiérarchie
atop Utilisation non sécurisée de fichiers temporaires
base-files Mise à jour du fichier /etc/debian_version
conky Correction d'une vulnérabilité d'écrasement de fichier
dokuwiki Correction de script intersite de RSS
klibc Échappement des options DHCP d'ipconfig
linux-2.6 Plusieurs mises à jour de sécurité et sélection de
correctifs de la version amont 2.6.27.58/9
magpierss Correction de vulnérabilité au script intersite
(CVE-2011-0740)
mediawiki Protection contre une vulnérabilité d'injection de CSS
openldap Correctifs de sécurité
openssl Correction de CVE-2011-3210 : manipulation de mémoire
pour les chiffrements (EC)DH
pmake Correction d'une attaque par lien symbolique par
fichiers temporaires
sun-java6 Nouvelle mise à jour de sécurité amont
tesseract Désactivation des fenêtres de débogage basées sur xterm
pour éviter une vulnérabilité d'écrasement de fichier
tzdata Nouvelle version amont
user-mode-linux Reconstruction en cohérence avec linux-2.6 2.6.26-27
v86d Correction de CVE-2011-1070 : échec de validation
d'expéditeur de message netlink ; pas d'inclusion
d'en-têtes aléatoires dans CFLAGS
vftool Correction d'un dépassement de tampon dans linetoken()
de parseAFM.c
xorg-server GLX : pas de plantage dans SwapBuffers en absence de
contexte
À cause de l'enchaînement entre cette mise à jour et celle de la
version stable (Debian 6.0 « Squeeze »), la version des paquets atop et
tzdata inclus dans cette mise à jour est plus grande que celle des
paquets correspondants actuellement dans stable. La prochaine mise à
jour de stable est prévue pour la semaine prochaine, après laquelle la
version des paquets de stable sera de nouveau plus grande, comme il se
doit.
Nous estimons que cette situation ne posera pas de problème lors des
mises à niveau depuis la version oldstable vers stable pendant cette
courte période, mais veuillez signaler tout problème que vous
rencontreriez (consultez la section « Contact » ci-dessous).
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version oldstable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet Correction(s)
DSA-2043 vlc exécution de code arbitraire
DSA-2149 dbus déni de service
DSA-2150 request-tracker3.6 hachage de mot de passe sans sel
DSA-2151 openoffice.org plusieurs problèmes
DSA-2152 hplip débordement de tampon
DSA-2153 user-mode-linux plusieurs problèmes
DSA-2153 linux-2.6 plusieurs problèmes
DSA-2154 exim4 augmentation de privilèges
DSA-2155 freetype plusieurs problèmes
DSA-2156 pcsc-lite débordement de tampon
DSA-2157 postgresql-8.3 débordement de tampon
DSA-2158 cgiirc défaut de script intersite
DSA-2165 ffmpeg-debian débordement de tampon
DSA-2167 phpmyadmin injection SQL
DSA-2168 openafs plusieurs problèmes
DSA-2169 telepathy-gabble validation des entrées insuffisante
DSA-2170 mailman plusieurs problèmes
DSA-2171 asterisk débordement de tampon
DSA-2172 moodle plusieurs problèmes
DSA-2173 pam-pgsql débordement de tampon
DSA-2174 avahi déni de service
DSA-2175 samba absence de vérification des entrées
DSA-2176 cups plusieurs problèmes
DSA-2179 dtc injection SQL
DSA-2181 subversion déni de service
DSA-2182 logwatch exécution de code à distance
DSA-2183 nbd exécution de code arbitraire
DSA-2186 xulrunner plusieurs problèmes
DSA-2191 proftpd-dfsg plusieurs problèmes
DSA-2195 php5 plusieurs problèmes
DSA-2196 maradns débordement de tampon
DSA-2197 quagga déni de service
DSA-2200 xulrunner mise à jour de la liste noire des
certificats
DSA-2200 nss autorité de certification compromise
DSA-2201 wireshark plusieurs problèmes
DSA-2203 nss mise à jour de la liste noire des
certificats
DSA-2204 imp4 vérification d'entrée manquante
DSA-2206 mahara plusieurs problèmes
DSA-2207 tomcat5.5 plusieurs problèmes
DSA-2208 bind9 problème de traitement de nouveaux
enregistrements DS DNSSEC
DSA-2210 tiff plusieurs problèmes
DSA-2211 vlc absence de vérification des entrées
DSA-2213 x11-xserver-utils absence de vérification des entrées
DSA-2214 ikiwiki validation des entrées insuffisante
DSA-2217 dhcp3 absence de vérification des entrées
DSA-2219 xmlsec1 écrasement de fichier
DSA-2220 request-tracker3.6 plusieurs problèmes
DSA-2225 asterisk plusieurs problèmes
DSA-2226 libmodplug débordement de tampon
DSA-2228 xulrunner plusieurs problèmes
DSA-2233 postfix plusieurs problèmes
DSA-2234 zodb plusieurs problèmes
DSA-2242 cyrus-imapd-2.2 erreur d'implémentation
DSA-2243 unbound défaut de conception
DSA-2244 bind9 condition limite incorrecte
DSA-2246 mahara plusieurs problèmes
DSA-2247 rails plusieurs problèmes
DSA-2248 ejabberd déni de service
DSA-2250 citadel déni de service
DSA-2253 fontforge débordement de tampon
DSA-2254 oprofile injection de commande
DSA-2255 libxml2 débordement de tampon
DSA-2260 rails plusieurs problèmes
DSA-2264 user-mode-linux plusieurs problèmes
DSA-2264 linux-2.6 plusieurs problèmes
DSA-2266 php5 plusieurs problèmes
DSA-2268 xulrunner plusieurs problèmes
DSA-2272 bind9 déni de service
DSA-2274 wireshark plusieurs problèmes
DSA-2276 asterisk plusieurs problèmes
DSA-2277 xml-security-c débordement de tampon
DSA-2278 horde3 plusieurs problèmes
DSA-2280 libvirt plusieurs problèmes
DSA-2286 phpmyadmin plusieurs problèmes
DSA-2288 libsndfile débordement d'entier
DSA-2289 typo3-src plusieurs problèmes
DSA-2290 samba script intersite
DSA-2291 squirrelmail plusieurs problèmes
DSA-2292 dhcp3 déni de service
DSA-2293 libxfont débordement de tampon
DSA-2294 freetype absence de vérification des entrées
DSA-2296 xulrunner plusieurs problèmes
DSA-2298 apache2 déni de service
DSA-2298 apache2-mpm-itk déni de service
DSA-2300 nss autorité de certification compromise
DSA-2301 rails plusieurs problèmes
DSA-2302 bcfg2 exécution de code arbitraire
DSA-2304 squid3 débordement de tampon
DSA-2308 mantis plusieurs problèmes
DSA-2309 openssl autorité de certification compromise
DSA-2310 linux-2.6 plusieurs problèmes
Installateur Debian
-------------------
L'installateur Debian a été mis à jour pour intégrer un nouveau noyau
contenant plusieurs correctifs importants et liés à la sécurité.
Paquet supprimé
---------------
Le paquet suivant a été supprimé à cause de circonstances hors de
notre contrôle :
Paquet Raison
pixelpost non maintenu, nombreux problèmes de sécurité
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
<http://ftp.debian.org/debian/dists/lenny/ChangeLog>
Adresse de l'actuelle distribution oldstable :
<http://ftp.debian.org/debian/dists/oldstable/>
Mises à jour proposées à la distribution oldstable :
<http://ftp.debian.org/debian/dists/oldstable-proposed-updates/>
Informations sur la distribution oldstable (notes de publication,
errata, etc.) :
<http://www.debian.org/releases/oldstable/>
Annonces et informations de sécurité :
<http://security.debian.org/>
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian http://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Reply to: