------------------------------------------------------------------------ Projet Debian http://www.debian.org/ Publication de la mise à jour de Debian 6.0.7 press@debian.org 23 février 2013 http://www.debian.org/News/2012/20130223 ------------------------------------------------------------------------ Le projet Debian a l'honneur d'annoncer la septième mise à jour de sa distribution stable Debian 6.0 (nommée « Squeeze »). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de l'ancienne version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document. Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de Debian 6.0 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les CD et DVD de la version 6.0 mais simplement de faire une mise à jour via un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète. Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour. De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels. La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse : <http://www.debian.org/mirror/list> Corrections de bogues divers ---------------------------- Cette mise à jour de la distribution stable ajoute également quelques corrections importantes aux paquets suivants : Paquet Raison apt-show-versions Correction de la détection de squeeze-updates et squeeze ; mise à jour de la liste officielle de distribution base-files Mise à jour pour cette version bcron Ne pas permettre aux tâches d'accéder aux fichiers temporaires d'autres tâches bind9 Mise à jour de l'IP pour le serveur racine « D » bugzilla Ajout d'une dépendance à liburi-perl, utilisé lors de la configuration du paquet choose-mirror Mise à jour de l'URL pour la liste des miroirs maîtres clamav Nouvelle version amont claws-mail Correction d'un déréférencement de pointeur NULL clive Adaptation aux changements de youtube.com cups Distribution de la page de manuel de cups-files.conf dbus Évitement de l'exécution de code dans les binaires setuid ou setgid dbus-glib Correction d'un contournement d'authentification permis par des vérifications insuffisantes (CVE-2013-0292) debian-installer Reconstruction pour la version 6.0.7 debian-installer-netboot-images Reconstruction pour la version 20110106+squeeze4+b3 de l'installateur dtach Gestion correcte des demandes de fermeture (CVE-2012-3368) ettercap Correction du traitement de la liste des hôtes (CVE-2013-0722) fglrx-driver Correction de problèmes relatifs à la diversion lors de la mise à niveau depuis Lenny flashplugin-nonfree Utilisation de gpg --verify fusionforge Correction de la mise à jour de Lenny vers Squeeze gmime2.2 Ajout de Conflicts: libgmime2.2-cil pour corriger les mises à niveau depuis Lenny gzip Évitement de l'utilisation de memcpy sur les régions qui se recouvrent ia32-libs ia32-libs-core Mise à jour des paquets inclus dans stable et security.d.o kfreebsd-8 Correction de CVE-2012-4576 : accès mémoire sans validation correcte dans le système de compatibilité Linux libbusiness-onlinepayment-ippay-perl Rétroportage pour le nom de serveur et le chemin de la passerelle IPPay libproc-processtable-perl Correction d'utilisation non sécurisée de fichier temporaire (CVE-2011-4363) libzorpll Ajout des Breaks et Replaces manquants : libzorp2-dev pour libzorpll-dev linux-2.6 Mise à jour vers la version stable 2.6.32.60. Rétroportage des mises à jour de pilotes hpsa, isci et megaraid_sas. Corrections des blocages de r8169 linux-kernel-di-amd64-2.6 linux-kernel-di-armel-2.6 linux-kernel-di-i386-2.6 linux-kernel-di-ia64-2.6 linux-kernel-di-mips-2.6 linux-kernel-di-mipsel-2.6 linux-kernel-di-powerpc-2.6 linux-kernel-di-s390-2.6 linux-kernel-di-sparc-2.6 Reconstruction en cohérence avec le noyau linux-2.6 2.6.32-48 magpierss Correction d'un problème de mise à niveau maradns Correction de CVE-2012-1570 (défaut de persistance du cache d'enregistrement de domaine effacé) mediawiki Évitement de la fixation de session dans Special:UserLogin (CVE-2012-5391) ; évitement du dépassement de limite de trace arrière par les expressions rationnelles d'édition de lien moodle Plusieurs corrections de sécurité nautilus Ajout de Breaks: samba-common (<< 2:3.5) pour corriger un problème avec la mise à jour de Lenny vers Squeeze openldap Copie de la base de données en prerm lors des mises à niveau pour faciliter les mises à niveau vers des versions avec libdb plus récente openssh Amélioration de la résistance aux attaques par déni de service (CVE-2010-5107) pam-pgsql Correction d'un problème avec des mots de passe NULL pam-shield Blocage correct d'IP lorsqu'allow_missing_dns est « no » perl Correction d'erreur d'analyse des chaînes maketext (CVE-2012-6329) poppler Corrections de sécurité ; CVE-2010-0206, CVE-2010-0207, CVE-2012-4653 ; correction de GooString::insert, initialisation correcte de variables portmidi Correction de plantage postgresql-8.4 Nouvelle micro-version amont sdic Modification de la suggestion de bzip2 en dépendance puisqu'il est utilisé lors de l'installation snack Correction de dépassement de tampon (CVE-2012-6303) sphinx Correction d'incompatibilité avec jQuery>= 1.4 swath Correction de la possibilité de dépassement de tampon en mode Mule swi-prolog Correction de dépassements de tampon ttf-ipafont Correction de la suppression des alternatives tzdata Nouvelle version amont ; correction du changement d'heure pour Amérique/Bahia (Brésil) unbound Mise à jour des indications d'adresse IP pour D.ROOT-SERVERS.NET xen Correction de l'horloge cassée xnecview Correction d'impossibilité de construction à partir des sources sur armel Mises à jour de sécurité ------------------------ Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour : Identifiant Paquet Correction DSA-2550 asterisk Plusieurs vulnérabilités DSA-2551 isc-dhcp Déni de service DSA-2552 tiff Plusieurs vulnérabilités DSA-2553 iceweasel Plusieurs vulnérabilités DSA-2554 iceape Plusieurs vulnérabilités DSA-2555 libxslt Plusieurs vulnérabilités DSA-2556 icedove Plusieurs vulnérabilités DSA-2557 hostapd Déni de service DSA-2558 bacula Divulgation d'informations DSA-2559 libexif Plusieurs vulnérabilités DSA-2560 bind9 Déni de service DSA-2561 tiff Dépassement de tampon DSA-2562 cups-pk-helper Augmentation de droits DSA-2563 viewvc Plusieurs vulnérabilités DSA-2564 tinyproxy Déni de service DSA-2565 iceweasel Plusieurs vulnérabilités DSA-2566 exim4 Dépassement de tampon de tas DSA-2567 request-tracker3.8 Plusieurs vulnérabilités DSA-2568 rtfm Augmentation de droits DSA-2569 icedove Plusieurs vulnérabilités DSA-2570 openoffice.org Plusieurs vulnérabilités DSA-2571 libproxy Dépassement de tampon DSA-2572 iceape Plusieurs vulnérabilités DSA-2573 radsecproxy Faiblesse de vérification de certificat SSL DSA-2574 typo3-src Plusieurs vulnérabilités DSA-2575 tiff Dépassement de tampon de tas DSA-2576 trousers Déni de service DSA-2577 libssh Plusieurs vulnérabilités DSA-2578 rssh Plusieurs vulnérabilités DSA-2579 apache2 Plusieurs vulnérabilités DSA-2580 libxml2 Dépassement de tampon DSA-2582 xen Déni de service DSA-2583 iceweasel Plusieurs vulnérabilités DSA-2584 iceape Plusieurs vulnérabilités DSA-2585 bogofilter Dépassement de tampon de tas DSA-2586 perl Plusieurs vulnérabilités DSA-2587 libcgi-pm-perl Injection d'en-tête HTTP DSA-2588 icedove Plusieurs vulnérabilités DSA-2589 tiff Dépassement de tampon DSA-2590 wireshark Plusieurs vulnérabilités DSA-2591 mahara Plusieurs vulnérabilités DSA-2592 elinks Erreur de programmation DSA-2593 moin Plusieurs vulnérabilités DSA-2594 virtualbox-ose Erreur de programmation DSA-2595 ghostscript Dépassement de tampon DSA-2596 mediawiki-extensions Script intersite dans l'extension RSSReader DSA-2597 rails Erreur de validation d'entrée DSA-2598 weechat Plusieurs vulnérabilités DSA-2599 nss Intermédiaires usurpés DSA-2600 cups Augmentation de droits DSA-2601 gnupg2 Absence de vérification des entrées DSA-2601 gnupg Absence de vérification des entrées DSA-2602 zendframework Inclusion d'entités XML externes DSA-2603 emacs23 Erreur de programmation DSA-2604 rails Validation d'entrées insuffisante DSA-2605 asterisk Plusieurs vulnérabilités DSA-2606 proftpd-dfsg Compétition de liens symboliques DSA-2607 qemu-kvm Dépassement de tampon DSA-2608 qemu Dépassement de tampon DSA-2609 rails Manipulation de requête SQL DSA-2610 ganglia Exécution de code à distance DSA-2611 movabletype-opensource Plusieurs vulnérabilités DSA-2612 ircd-ratbox Crash à distance DSA-2613 rails Validation d'entrées insuffisante DSA-2614 libupnp Plusieurs vulnérabilités DSA-2615 libupnp4 Plusieurs vulnérabilités DSA-2616 nagios3 Dépassement de tampon DSA-2617 samba Plusieurs vulnérabilités DSA-2618 ircd-hybrid Déni de service DSA-2619 xen-qemu-dm-4.0 Dépassement de tampon DSA-2620 rails Plusieurs vulnérabilités DSA-2621 openssl Plusieurs vulnérabilités DSA-2622 polarssl Plusieurs vulnérabilités DSA-2623 openconnect Dépassement de tampon DSA-2624 ffmpeg Plusieurs vulnérabilités DSA-2625 wireshark Plusieurs vulnérabilités DSA-2626 lighttpd Plusieurs vulnérabilités DSA-2627 nginx Fuite d'informations Installateur Debian ------------------- L'installateur a été reconstruit pour intégrer les correctifs incorporés à stable par cette mise à jour. Paquets supprimés ----------------- Les paquets suivants ont été supprimés à cause de circonstances en dehors de notre contrôle : Paquet Raison elmerfem Problèmes de licence (GPL et non GPL) URL --- Liste complète des paquets qui ont été modifiés dans cette version : <http://ftp.debian.org/debian/dists/squeeze/ChangeLog> Adresse de l'actuelle distribution stable : <http://ftp.debian.org/debian/dists/stable/> Mises à jour proposées à la distribution stable : <http://ftp.debian.org/debian/dists/proposed-updates/> Informations sur la distribution stable (notes de publication, errata, etc.) : <http://www.debian.org/releases/stable/> Annonces et informations de sécurité : <http://security.debian.org/> À propos de Debian ------------------ Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian. Contacts -------- Pour de plus amples informations, veuillez consulter le site Internet de Debian http://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.
Attachment:
signature.asc
Description: OpenPGP digital signature