------------------------------------------------------------------------
Projet Debian http://www.debian.org/
Publication de la mise à jour de Debian 6.0.7 press@debian.org
23 février 2013 http://www.debian.org/News/2012/20130223
------------------------------------------------------------------------
Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa
distribution stable Debian 6.0 (nommée « Squeeze »). Tout en réglant
quelques problèmes importants, cette mise à jour corrige principalement
des problèmes de sécurité de l'ancienne version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement
référencées dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle
version de Debian 6.0 mais seulement une mise à jour de certains des
paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et
DVD de la version 6.0 mais simplement de faire une mise à jour via un
miroir Debian après une installation, pour déclencher la mise à jour de
tout paquet obsolète.
Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et
la plupart des mises à jour de security.debian.org sont comprises dans
cette mise à jour.
De nouveaux supports d'installation et des images de CD et de DVD
contenant les paquets mis à jour seront prochainement disponibles à
leurs emplacements habituels.
La mise à jour en ligne vers cette version se fait en faisant pointer
l'outil de gestion des paquets aptitude (ou apt) (consultez la page de
manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :
<http://www.debian.org/mirror/list>
Corrections de bogues divers
----------------------------
Cette mise à jour de la distribution stable ajoute également quelques
corrections importantes aux paquets suivants :
Paquet Raison
apt-show-versions
Correction de la détection de squeeze-updates et
squeeze ; mise à jour de la liste officielle de
distribution
base-files Mise à jour pour cette version
bcron Ne pas permettre aux tâches d'accéder aux fichiers
temporaires d'autres tâches
bind9 Mise à jour de l'IP pour le serveur racine « D »
bugzilla Ajout d'une dépendance à liburi-perl, utilisé lors de la
configuration du paquet
choose-mirror Mise à jour de l'URL pour la liste des miroirs maîtres
clamav Nouvelle version amont
claws-mail Correction d'un déréférencement de pointeur NULL
clive Adaptation aux changements de youtube.com
cups Distribution de la page de manuel de cups-files.conf
dbus Évitement de l'exécution de code dans les binaires
setuid ou setgid
dbus-glib Correction d'un contournement d'authentification permis
par des vérifications insuffisantes (CVE-2013-0292)
debian-installer
Reconstruction pour la version 6.0.7
debian-installer-netboot-images
Reconstruction pour la version 20110106+squeeze4+b3 de
l'installateur
dtach Gestion correcte des demandes de fermeture
(CVE-2012-3368)
ettercap Correction du traitement de la liste des hôtes
(CVE-2013-0722)
fglrx-driver Correction de problèmes relatifs à la diversion lors de
la mise à niveau depuis Lenny
flashplugin-nonfree
Utilisation de gpg --verify
fusionforge Correction de la mise à jour de Lenny vers Squeeze
gmime2.2 Ajout de Conflicts: libgmime2.2-cil pour corriger les
mises à niveau depuis Lenny
gzip Évitement de l'utilisation de memcpy sur les régions
qui se recouvrent
ia32-libs
ia32-libs-core Mise à jour des paquets inclus dans stable et
security.d.o
kfreebsd-8 Correction de CVE-2012-4576 : accès mémoire sans
validation correcte dans le système de compatibilité
Linux
libbusiness-onlinepayment-ippay-perl
Rétroportage pour le nom de serveur et le chemin de la
passerelle IPPay
libproc-processtable-perl
Correction d'utilisation non sécurisée de fichier
temporaire (CVE-2011-4363)
libzorpll Ajout des Breaks et Replaces manquants : libzorp2-dev
pour libzorpll-dev
linux-2.6 Mise à jour vers la version stable 2.6.32.60.
Rétroportage des mises à jour de pilotes hpsa, isci et
megaraid_sas. Corrections des blocages de r8169
linux-kernel-di-amd64-2.6
linux-kernel-di-armel-2.6
linux-kernel-di-i386-2.6
linux-kernel-di-ia64-2.6
linux-kernel-di-mips-2.6
linux-kernel-di-mipsel-2.6
linux-kernel-di-powerpc-2.6
linux-kernel-di-s390-2.6
linux-kernel-di-sparc-2.6
Reconstruction en cohérence avec le noyau
linux-2.6 2.6.32-48
magpierss Correction d'un problème de mise à niveau
maradns Correction de CVE-2012-1570 (défaut de persistance du
cache d'enregistrement de domaine effacé)
mediawiki Évitement de la fixation de session dans
Special:UserLogin (CVE-2012-5391) ; évitement du
dépassement de limite de trace arrière par les
expressions rationnelles d'édition de lien
moodle Plusieurs corrections de sécurité
nautilus Ajout de Breaks: samba-common (<< 2:3.5) pour corriger
un problème avec la mise à jour de Lenny vers Squeeze
openldap Copie de la base de données en prerm lors des mises à
niveau pour faciliter les mises à niveau vers des
versions avec libdb plus récente
openssh Amélioration de la résistance aux attaques par déni de
service (CVE-2010-5107)
pam-pgsql Correction d'un problème avec des mots de passe NULL
pam-shield Blocage correct d'IP lorsqu'allow_missing_dns est « no »
perl Correction d'erreur d'analyse des chaînes maketext
(CVE-2012-6329)
poppler Corrections de sécurité ; CVE-2010-0206, CVE-2010-0207,
CVE-2012-4653 ; correction de GooString::insert,
initialisation correcte de variables
portmidi Correction de plantage
postgresql-8.4 Nouvelle micro-version amont
sdic Modification de la suggestion de bzip2 en dépendance
puisqu'il est utilisé lors de l'installation
snack Correction de dépassement de tampon (CVE-2012-6303)
sphinx Correction d'incompatibilité avec jQuery>= 1.4
swath Correction de la possibilité de dépassement de tampon en
mode Mule
swi-prolog Correction de dépassements de tampon
ttf-ipafont Correction de la suppression des alternatives
tzdata Nouvelle version amont ; correction du changement
d'heure pour Amérique/Bahia (Brésil)
unbound Mise à jour des indications d'adresse IP pour
D.ROOT-SERVERS.NET
xen Correction de l'horloge cassée
xnecview Correction d'impossibilité de construction à partir des
sources sur armel
Mises à jour de sécurité
------------------------
Cette révision ajoute les mises à jour de sécurité suivantes à la
version stable. L'équipe de sécurité a déjà publié une annonce pour
chacune de ces mises à jour :
Identifiant Paquet Correction
DSA-2550 asterisk Plusieurs vulnérabilités
DSA-2551 isc-dhcp Déni de service
DSA-2552 tiff Plusieurs vulnérabilités
DSA-2553 iceweasel Plusieurs vulnérabilités
DSA-2554 iceape Plusieurs vulnérabilités
DSA-2555 libxslt Plusieurs vulnérabilités
DSA-2556 icedove Plusieurs vulnérabilités
DSA-2557 hostapd Déni de service
DSA-2558 bacula Divulgation d'informations
DSA-2559 libexif Plusieurs vulnérabilités
DSA-2560 bind9 Déni de service
DSA-2561 tiff Dépassement de tampon
DSA-2562 cups-pk-helper Augmentation de droits
DSA-2563 viewvc Plusieurs vulnérabilités
DSA-2564 tinyproxy Déni de service
DSA-2565 iceweasel Plusieurs vulnérabilités
DSA-2566 exim4 Dépassement de tampon de tas
DSA-2567 request-tracker3.8 Plusieurs vulnérabilités
DSA-2568 rtfm Augmentation de droits
DSA-2569 icedove Plusieurs vulnérabilités
DSA-2570 openoffice.org Plusieurs vulnérabilités
DSA-2571 libproxy Dépassement de tampon
DSA-2572 iceape Plusieurs vulnérabilités
DSA-2573 radsecproxy Faiblesse de vérification de
certificat SSL
DSA-2574 typo3-src Plusieurs vulnérabilités
DSA-2575 tiff Dépassement de tampon de tas
DSA-2576 trousers Déni de service
DSA-2577 libssh Plusieurs vulnérabilités
DSA-2578 rssh Plusieurs vulnérabilités
DSA-2579 apache2 Plusieurs vulnérabilités
DSA-2580 libxml2 Dépassement de tampon
DSA-2582 xen Déni de service
DSA-2583 iceweasel Plusieurs vulnérabilités
DSA-2584 iceape Plusieurs vulnérabilités
DSA-2585 bogofilter Dépassement de tampon de tas
DSA-2586 perl Plusieurs vulnérabilités
DSA-2587 libcgi-pm-perl Injection d'en-tête HTTP
DSA-2588 icedove Plusieurs vulnérabilités
DSA-2589 tiff Dépassement de tampon
DSA-2590 wireshark Plusieurs vulnérabilités
DSA-2591 mahara Plusieurs vulnérabilités
DSA-2592 elinks Erreur de programmation
DSA-2593 moin Plusieurs vulnérabilités
DSA-2594 virtualbox-ose Erreur de programmation
DSA-2595 ghostscript Dépassement de tampon
DSA-2596 mediawiki-extensions Script intersite dans l'extension
RSSReader
DSA-2597 rails Erreur de validation d'entrée
DSA-2598 weechat Plusieurs vulnérabilités
DSA-2599 nss Intermédiaires usurpés
DSA-2600 cups Augmentation de droits
DSA-2601 gnupg2 Absence de vérification des entrées
DSA-2601 gnupg Absence de vérification des entrées
DSA-2602 zendframework Inclusion d'entités XML externes
DSA-2603 emacs23 Erreur de programmation
DSA-2604 rails Validation d'entrées insuffisante
DSA-2605 asterisk Plusieurs vulnérabilités
DSA-2606 proftpd-dfsg Compétition de liens symboliques
DSA-2607 qemu-kvm Dépassement de tampon
DSA-2608 qemu Dépassement de tampon
DSA-2609 rails Manipulation de requête SQL
DSA-2610 ganglia Exécution de code à distance
DSA-2611 movabletype-opensource Plusieurs vulnérabilités
DSA-2612 ircd-ratbox Crash à distance
DSA-2613 rails Validation d'entrées insuffisante
DSA-2614 libupnp Plusieurs vulnérabilités
DSA-2615 libupnp4 Plusieurs vulnérabilités
DSA-2616 nagios3 Dépassement de tampon
DSA-2617 samba Plusieurs vulnérabilités
DSA-2618 ircd-hybrid Déni de service
DSA-2619 xen-qemu-dm-4.0 Dépassement de tampon
DSA-2620 rails Plusieurs vulnérabilités
DSA-2621 openssl Plusieurs vulnérabilités
DSA-2622 polarssl Plusieurs vulnérabilités
DSA-2623 openconnect Dépassement de tampon
DSA-2624 ffmpeg Plusieurs vulnérabilités
DSA-2625 wireshark Plusieurs vulnérabilités
DSA-2626 lighttpd Plusieurs vulnérabilités
DSA-2627 nginx Fuite d'informations
Installateur Debian
-------------------
L'installateur a été reconstruit pour intégrer les correctifs
incorporés à stable par cette mise à jour.
Paquets supprimés
-----------------
Les paquets suivants ont été supprimés à cause de circonstances en
dehors de notre contrôle :
Paquet Raison
elmerfem Problèmes de licence (GPL et non GPL)
URL
---
Liste complète des paquets qui ont été modifiés dans cette version :
<http://ftp.debian.org/debian/dists/squeeze/ChangeLog>
Adresse de l'actuelle distribution stable :
<http://ftp.debian.org/debian/dists/stable/>
Mises à jour proposées à la distribution stable :
<http://ftp.debian.org/debian/dists/proposed-updates/>
Informations sur la distribution stable (notes de publication,
errata, etc.) :
<http://www.debian.org/releases/stable/>
Annonces et informations de sécurité :
<http://security.debian.org/>
À propos de Debian
------------------
Le projet Debian est une association de développeurs de logiciels
libres qui offrent volontairement leur temps et leurs efforts pour
produire le système d'exploitation complètement libre Debian.
Contacts
--------
Pour de plus amples informations, veuillez consulter le site Internet
de Debian http://www.debian.org/ ou envoyez un courrier électronique à
<press@debian.org> ou contactez l'équipe de publication de la version
stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: OpenPGP digital signature