Debian GNU/Linux 5.0 opdateret

26. juni 2010

Debian-projektet er stolt over at kunne annoncere den femte opdatering af dets stabile distribution, Debian GNU/Linux 5.0 (kodenavn lenny). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den stabile udgave, sammen med nogle få rettelser af alvorlige problemer.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 5.0, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide 5.0-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye cd- og dvd-aftryk indeholdende opdaterede pakker henholdsvis de sædvanlige installeringsmedier til brug samme med pakkearkivet, vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringsværktøjet aptitude (eller apt, se manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller http-filspejle. En omfattende liste over filspejle er tilgængelig på:

https://www.debian.org/mirror/list

Forskellige fejlrettelser

Denne opdatering til den stabile udgave, indeholder nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
alien-arena Retter et bufferoverløb og lammelsesangreb (denial of service)
apache2 Tilføjer manglende psmisc-afhængighed; retter hukommelseslækage i brigade-oprydning
apache2-mpm-itk Sikrer at child-processer bliver høstet på rette vis ved reload
apr Sæt FD_CLOEXEC på fildescriptorer for at undgå potentielle lækager
apt Allow Files-afsnit kan indeholde mere end 999 tegn
base-files Opdater /etc/debian_version i forbindelse med punktopdateringen
cpio Retter bufferoverløb i rmt_read__
dia2code Retter segmenteringsfejl ved fortolkning af store filer
gtk+2.0 Retter hang ved udskrivning af store dokumenter
libapache-dbi-perl Retter indlæsning af moduler fra Apaches startupfiler
libapache2-mod-perl2 Retter XSS i Apache2::Status
libjavascript-perl Retter segmenteringsfejl når en ikke-eksisterende funktion kaldes
libjson-ruby Retter DoS i fortolker og anvender libjs-prototype frem for indlejring af biblioteket
liblog-handler-perl Tilføjer manglende afhængighed af libuniversal-require-perl
libmediawiki-perl Opdatering svarende til ændringer i mediawiki
libnamespace-clean-perl Tilføjer manglende afhængighed af libscope-guard-perl
libnet-smtp-server-perl Tilføjer manglende afhængighed af libnet-dns-perl
libxext Sikrer at display-lock'en holdes før XAllocID kaldes
linux-2.6 Flere rettelser og driveropdateringer
mailman Tilføj ikke flere Mime-Version-headere
mpg123 Gør det igen muligt at finde moduler (holdt op med at virke pga. sikkerhedsrettelse i libltdl)
nano Retter symlinkangreb og problem i forbindelse med vilkårlig ændring af filejerskab
nfs-utils Opdaterer test af understøttelse af NFS-kerneserver i initskript til at understøtte delvise opgraderinger
nut Flytter bibliotek til /lib for at muliggøre power-down med separat /usr
open-iscsi Retter sårbarhed i forbindelse med midlertidig fil
openssl Kontrollerer returværdi fra bn_wexpand() (CVE-2009-3245)
openttd Retter flere DoS- og nedbrudssårbarheder
php5 Retter overløb, tilføjer manglende sybase-aliaser, forbedrer validering af e-mail
poppler Retter fjernudførelse af kode via fabrikerede PDF-filer
postgresql-8.3 Flere sårbarheder
pyftpd Sikkerhedsrettelser - deaktiverer defaultbrugere, anonym adgang og logning til /tmp
python-support Anvender fornuftig umask i update-python-modules
request-tracker3.6 Retter loginproblem opstået i forbindelse med sikkerhedsopdatering
samba Retter hukommelseslækager med domain-trust-adgangskoder; retter interdomain-trust med Windows 2008 r2-servere
slim Gør magic-cookie mindre forudsigelig; gem ikke screenshots i /tmp
sun-java5 Opdaterer til ny opstrømsudgave for at rette sikkerhedsproblemer
sun-java6 Opdaterer til ny opstrømsudgave for at rette sikkerhedsproblemer
tar Sikkerhedsrettelse i rmt
texlive-bin Sikkerhedsrettelser i dvips
tla Retter DoS i indlejret expat-bibliotek
tzdata Opdaterer tidszonedata
usbutils Opdaterer USB ID-liste
user-mode-linux Genopbygget mod linux-2.6 2.6.26-24
wordpress Retter DoS
xerces-c2 Retter DoS-angreb med nestede DTD'er
xmonad-contrib Retter installerbarhed på 64 bit-arkitekturer
xserver-xorg-input-elographics Forhindrer at X-serveren hænger når touchscreen anvendes
xserver-xorg-video-intel Tilføjer understøttelse af ASUS eeetop LVDS-uddata

På grund af problemer med pakkeopbygningsprocessen, er opdaterede sun-java5- og sun-java6-pakker til ia64-arkitekturen ikke indeholdt i denne punktopdatering. Pakkerne vil blive stillet til rådighed i proposed-updates så snart de er tilgængelige, samt indeholdt i en fremtidig punktopdatering.

Kerneopdateringer

Kerneaftrykket indeholdt i denne punktopdatering, omfatter en række vigtige og sikkerhedsrelaterede rettelser, sammen med understøttelse af yderligere hardware.

På amd64- og i386-arkitekturerne er der genindført understøttelse af automatisk kørsel af bootloaderen lilo, når et kerneaftryk tilføjes, opdateres eller fjernes, for at sikre at det er korrekt registreret i bootloaderen.

Debians installeringsprogram

Debians installeringsprogram er blevet opdateret i denne punktopdateringer for at rette et problem med visning af partitioneringsprogrammets valgmulighed BIOS boot area, når der anvendes GPT-partitioner, samt for at opdatere listen over tilgængelige filspejlsservere til pakkeinstallering.

Kerneaftrykket anvendt af installeringsprogrammet er opdateret til at omfatte en række vigtige og sikkerhedsrelaterede rettelser, sammen med understøttelse af yderligere hardware.

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r) Rettelse(r)
DSA-1841 git-coreLammelsesangreb
DSA-1955 network-manager-appletInformationsafsløring
DSA-1973 glibcInformationsafsløring
DSA-1977 python2.4Flere sårbarheder
DSA-1977 python2.5Flere sårbarheder
DSA-1980 ircd-ratboxVilkårlig udførelse af kode
DSA-1981 maildropRettighedsforøgelse
DSA-1982 hybservLammelsesangreb
DSA-1983 wiresharkFlere sårbarheder
DSA-1984 libxerces2-javaLammelsesangreb
DSA-1985 sendmailUtilstrækkelig kontrol af inddata
DSA-1986 moodleFlere sårbarheder
DSA-1987 lighttpdLammelsesangreb
DSA-1988 qt4-x11Flere sårbarheder
DSA-1989 fuseLammelsesangreb
DSA-1990 trac-gitUdførelse af kode
DSA-1991 squid3Lammelsesangreb
DSA-1992 chronyLammelsesangreb
DSA-1993 otrs2SQL-indsprøjtning
DSA-1994 ajaxtermSessionkapring
DSA-1995 openoffice.orgFlere sårbarheder
DSA-1996 linux-2.6Flere sårbarheder
DSA-1997 mysql-dfsg-5.0Flere sårbarheder
DSA-1998 kdelibsVilkårlig udførelse af kode
DSA-1999 xulrunnerFlere sårbarheder
DSA-2000 ffmpeg-debianFlere sårbarheder
DSA-2001 php5Flere sårbarheder
DSA-2002 polipoLammelsesangreb
DSA-2004 sambaFlere sårbarheder
DSA-2006 sudoFlere sårbarheder
DSA-2007 cupsVilkårlig udførelse af kode
DSA-2008 typo3-srcFlere sårbarheder
DSA-2009 tdiaryUdførelse af skripter på tværs af websteder
DSA-2010 kvmFlere sårbarheder
DSA-2011 dpkgStigennemløb
DSA-2012 user-mode-linuxFlere sårbarheder
DSA-2012 linux-2.6Flere sårbarheder
DSA-2013 egroupwareFlere sårbarheder
DSA-2014 moinFlere sårbarheder
DSA-2015 drbd8Rettighedsforøgelse
DSA-2015 linux-modules-extra-2.6Rettighedsforøgelse
DSA-2016 drupal6Flere sårbarheder
DSA-2017 pulseaudioUsikker midlertidig mappe
DSA-2018 php5Nullpointer-dereference
DSA-2019 pango1.0Lammelsesangreb
DSA-2020 ikiwikiUdførelse af skripter på tværs af websteder
DSA-2021 spamass-milterManglende fornuftighedskontrol af inddata
DSA-2022 mediawikiFlere sårbarheder
DSA-2023 curlVilkårlig udførelse af kode
DSA-2024 moinUdførelse af skripter på tværs af websteder
DSA-2025 icedoveFlere sårbarheder
DSA-2026 netpbm-freeLammelsesangreb
DSA-2027 xulrunnerFlere sårbarheder
DSA-2028 xpdfFlere sårbarheder
DSA-2029 imlib2Vilkårlig udførelse af kode
DSA-2030 maharaSQL-indsprøjtning
DSA-2031 krb5Lammelsesangreb
DSA-2032 libpngFlere sårbarheder
DSA-2033 ejabberdLammelsesangreb
DSA-2034 phpmyadminFlere sårbarheder
DSA-2035 apache2Flere sårbarheder
DSA-2036 jasperLammelsesangreb
DSA-2037 kdebaseRettighedsforøgelse
DSA-2038 pidginLammelsesangreb
DSA-2039 cactiManglende fornuftighedskontrol af inddata
DSA-2040 squidguardFlere sårbarheder
DSA-2041 mediawikiForfalskning af forespørgsler på tværs af websteder
DSA-2042 iscsitargetVilkårlig udførelse af kode
DSA-2044 mplayerVilkårlig udførelse af kode
DSA-2045 libtheoraVilkårlig udførelse af kode
DSA-2046 phpgroupwareFlere sårbarheder
DSA-2047 aria2Mappegennemløb
DSA-2048 dvipngVilkårlig udførelse af kode
DSA-2049 barnowlVilkårlig udførelse af kode
DSA-2050 postgresql-8.3Flere sårbarheder
DSA-2052 krb5Lammelsesangreb
DSA-2053 linux-2.6Flere problemer
DSA-2054 bind9Cacheforgiftning
DSA-2055 openoffice.orgVilkårlig udførelse af kode
DSA-2056 zonecheckUdførelse af skripter på tværs af websteder
DSA-2057 mysql-dfsg-5.0Flere sårbarheder
DSA-2058 pcsc-liteRettighedsforøgelse
DSA-2058 glibcFlere sårbarheder
DSA-2060 cactiSQL-indsprøjtning
DSA-2062 sudoManglende fornuftighedskontrol af inddata
DSA-2063 pmountLammelsesangreb

Fjernede pakker

Følgende pakker blev fjernet på grund af omstændigheder uden for vores kontrol:

Pakke Årsag
eclipse inkompatible med xulrunner i stable; svært at rette
eclipse-cdt afhængig af fjernet eclipse
eclipse-nls-sdk afhængig af fjernet eclipse

URL'er

Den komplette liste over pakker der er ændret i forbindelse med denne udgivelse:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Den aktuelle stabile distribution:

http://ftp.debian.org/debian/dists/stable/

Foreslåede opdateringer til den stabile distribution:

http://ftp.debian.org/debian/dists/proposed-updates/

Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):

https://www.debian.org/releases/stable/

Sikkerhedsannonceringer og -oplysninger:

http://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.