Debian GNU/Linux 5.0 aktualisiert

26. Juni 2010

Das Debian-Projekt freut sich, die fünfte Aktualisierung seiner Stable- Distribution Debian GNU/Linux 5.0 (Codename Lenny) verkünden zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitsprobleme im Stable-Release und bringt zusätzlich Lösungen für einige ernste Probleme.

Bitte beachten Sie, dass diese Aktualisierung keine komplett neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige enthaltene Pakete aktualisiert. Es gibt keinen Grund, Debian-5.0-CDs oder -DVDs zu entsorgen, wohl aber für die Aktualisierung neuer Installationen über einen aktuellen Debian-Spiegelserver, um sämtliche veralteten Pakete aufzufrischen.

Diejenigen, die häufig Aktualisierungen von security.debian.org laden, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.

Neue CD- und DVD-Images mit den aktualisierten Paketen und die üblichen mit Paketarchiven ausgestatteten Installationsmedien werden bald an den gewohnten Orten verfügbar sein.

Für Online-Upgrades zu dieser Revision wird normalerweise die aptitude- (oder apt-) Paketverwaltung auf einen der vielen Debian-eigenen FTP- oder HTTP-Spiegelserver verwiesen (siehe die sources.list(5)-Handbuchseite). Eine umfassende Liste der Spiegel ist verfügbar unter:

http://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Aktualisierung von Stable nimmt einige wichtige Korrekturen an den folgenden Paketen vor:

Paket Grund
alien-arena Pufferüberlauf und Diensteverweigerung behoben
apache2 Fehlende psmisc-Abhängigkeit hinzugefügt; Speicherleck im Bridge-Cleanup behoben
apache2-mpm-itk Sichergestellt, dass Kindprozesse beim Neustart korrekt abgeschossen werden
apr FD_CLOEXEC in den Dateibeschreibungen gesetzt, um potenzielle Lecks zu vermeiden
apt Erlaubt den Dateienbereichen, mehr als 999 Zeichen zu enthalten
base-files /etc/debian_version für die Zwischenveröffentlichung aktualisiert
cpio Pufferüberlauf in rmt_read__ behoben
dia2code Speicherzugriffsfehler beim Einlesen großer Dateien behoben
gtk+2.0 Hänger beim Einlesen großer Dokumente behoben
libapache-dbi-perl Laden eines Modules aus den Apache-Startdateien behoben
libapache2-mod-perl2 XSS in Apache2::Status behoben
libjavascript-perl Speicherzugriffsfehler beim Aufrufen nicht existierender Funktionen behoben
libjson-ruby Parser-DoS behoben; vorzugsweise libjs-Prototyp verwenden, statt die Bibliothek einzubetten
liblog-handler-perl Fehlende Abhängigkeit von libuniversal-require-perl hinzugefügt
libmediawiki-perl Aktualisierung, um auf die mediawiki-Änderungen zu passen
libnamespace-clean-perl Fehlende Abhängigkeit von libscope-guard-perl behoben
libnet-smtp-server-perl Fehlende Abhängigkeit von libnet-dns-perl behoben
libxext Sicherstellen, dass Displaysperre gehalten wird, bevor XAllocID aufgerufen wird
linux-2.6 Mehrere Korrekturen und frische Treiber
mailman Mehrfache Mime-Version-Header nicht addieren
mpg123 Erlaubt Modulen, wieder lokalisiert zu werden (beschädigt von libltdl-Sicherheitskorrektur)
nano Symlink-Angriff und eigenmächtige Änderungen beim Dateibesitzer behoben
nfs-utils Testaktualisierung für den NFS-Kernelserver-Support im init-Script, um teilweise Upgrades zu unterstützen
nut Bibliothek nach /lib bewegen, um eine Abschaltung mit getrenntem /usr zu ermöglichen
open-iscsi Vorübergehende Dateischwachstelle behoben
openssl Rückgabewert von bn_wexpand() überprüfen (CVE-2009-3245)
openttd Einige DoS- und Absturzprobleme behoben
php5 Überläufe behoben, fehlende sybase-Aliases nachgerüstet, E-Mail-Überprüfung verbessert
poppler Entfernte Codeausführung über per Hand erstellte PDF-Dateien behoben
postgresql-8.3 Einige Schwachstellen
pyftpd Sicherheitskorrekturen - Vorgabebenutzer, anonymen Zugriff und Anmeldung an /tmp abgeschaltet
python-support sane-Vorgabe-umask in update-python-Modulen verwenden
request-tracker3.6 Anmeldungsproblem seit Sicherheitsaktualisierung behoben
samba Speicherlecks bei Domänenpasswort (domain trust passwords) und interdomänes Vertrauen mit Windows-2008-R2-Servern behoben
slim Magisches Cookie weniger vorhersagbar machen, keine Bildschirmfotos in /tmp speichern
sun-java5 Aktualisierung auf neues Upstream-Release, um Sicherheitslücken zu beheben
sun-java6 Aktualisierung auf neues Upstream-Release, um Sicherheitslücken zu beheben
tar Sicherheitskorrektur in rmt
texlive-bin Sicherheitskorrekturen in dvips
tla DoS in eingebetteter expat-Bibliothek behoben
tzdata Zeitzonendaten aktualisieren
usbutils USB-ID-Liste aktualisieren
user-mode-linux Neubau gegen linux-2.6 2.6.26-24
wordpress DoS behoben
xerces-c2 DoS-Angriff mit verschachtelten DTDs behoben
xmonad-contrib Installierbarkeit auf 64-Bit-Architekturen repariert
xserver-xorg-input-elographics Bei Benutzung des Touchscreen Xserver vor Hängern schützen
xserver-xorg-video-intel Unterstützung für die LVDS-Ausgabe des ASUS eeetop hinzugefügt

Wir bitten zu beachten, dass wegen Problemen beim Paketbau die neuen sun-java-5- und sun-java-6-Pakete für die ia64-Architektur noch nicht in dieser Zwischenveröffentlichung enthalten sind. Sie werden so bald wie möglich in proposed-updates angeboten und einer späteren Zwischenveröffentlichung hinzugefügt.

Kernel-Aktualisierungen

Die in dieser Zwischenveröffentlichung enthaltenen Kernelabbilder enthalten eine Anzahl wichtiger und sicherheitsrelevanter Korrekturen zusammen mit Unterstützung für zusätzliche Hardware.

Auf den amd64- und i386-Architekturen gibt es wieder Unterstützung für das automatische Ausführen des LILO-Bootloaders, wenn ein Kernelabbild hinzugefügt, aktualisiert oder entfernt wurde. Dies soll sicherstellen, dass es korrekt im Bootloader registriert wird.

Debian-Installer

Der Debian-Installer wurde auf diese Zwischenveröffentlichung aktualisiert, um ein Problem zu beheben, das beim Anzeigen der Partitioniereroption BIOS boot area auftritt, wenn GPT-Partitionen verwendet werden. Außerdem wurde die Liste der verfügbaren Spiegelserver für die Paketinstallation auf den neuesten Stand gebracht.

Das vom Installer verwendete Kernelabbild wurde aktualisiert, um eine Anzahl wichtiger und sicherheitsrelevanter Korrekturen zusammen mit Unterstützung für zusätzliche Hardware zu enthalten.

Sicherheitsaktualisierungen

Diese Revision fügt die folgenden Sicherheitsaktualisierungen zum Stable-Release hinzu. Das Sicherheitsteam hat bereits Ankündigungen für jede dieser Aktualisierungen veröffentlicht:

Ankündigungs-ID Paket Korrektur(en)
DSA-1841 git-coreDiensteverweigerung
DSA-1955 network-manager-appletInformationsoffenlegung
DSA-1973 glibcInformationsoffenlegung
DSA-1977 python2.4Einige Schwachstellen
DSA-1977 python2.5Einige Schwachstellen
DSA-1980 ircd-ratboxEigenmächtige Codeausführung
DSA-1981 maildropPrivilegeskalation
DSA-1982 hybservDiensteverweigerung
DSA-1983 wiresharkEinige Schwachstellen
DSA-1984 libxerces2-javaDiensteverweigerung
DSA-1985 sendmailUnzureichende Eingabeprüfung
DSA-1986 moodleEinige Schwachstellen
DSA-1987 lighttpdDiensteverweigerung
DSA-1988 qt4-x11Einige Schwachstellen
DSA-1989 fuseDiensteverweigerung
DSA-1990 trac-gitCodeausführung
DSA-1991 squid3Diensteverweigerung
DSA-1992 chronyDiensteverweigerung
DSA-1993 otrs2SQL-Injektion
DSA-1994 ajaxtermSitzungsentführung
DSA-1995 openoffice.orgEinige Schwachstellen
DSA-1996 linux-2.6Einige Schwachstellen
DSA-1997 mysql-dfsg-5.0Einige Schwachstellen
DSA-1998 kdelibsEigenmächtige Codeausführung
DSA-1999 xulrunnerEinige Schwachstellen
DSA-2000 ffmpeg-debianEinige Schwachstellen
DSA-2001 php5Mehrere Schwachstellen
DSA-2002 polipoDiensteverweigerung
DSA-2004 sambaEinige Schwachstellen
DSA-2006 sudoEinige Schwachstellen
DSA-2007 cupsEigenmächtige Codeausführung
DSA-2008 typo3-srcEinige Schwachstellen
DSA-2009 tdiarySite-übergreifendes Skripting
DSA-2010 kvmEinige Schwachstellen
DSA-2011 dpkgPfadüberschreitung
DSA-2012 user-mode-linuxEinige Schwachstellen
DSA-2012 linux-2.6Einige Schwachstellen
DSA-2013 egroupwareEinige Schwachstellen
DSA-2014 moinEinige Schwachstellen
DSA-2015 drbd8Privilegeskalation
DSA-2015 linux-modules-extra-2.6Privilegeskalation
DSA-2016 drupal6Einige Schwachstellen
DSA-2017 pulseaudioUnsicheres Temporärverzeichnis
DSA-2018 php5Nullzeigerdeferenzierung
DSA-2019 pango1.0Diensteverweigerung
DSA-2020 ikiwikiSite-übergreifendes Skripting
DSA-2021 spamass-milterFehlende Eingabelöschung
DSA-2022 mediawikiEinige Schwachstellen
DSA-2023 curlEigenmächtige Codeausführung
DSA-2024 moinSite-übergreifendes Skripting
DSA-2025 icedoveEinige Schwachstellen
DSA-2026 netpbm-freeDiensteverweigerung
DSA-2027 xulrunnerEinige Schwachstellen
DSA-2028 xpdfEinige Schwachstellen
DSA-2029 imlib2Eigenmächtige Codeausführung
DSA-2030 maharaSQL-Injektion
DSA-2031 krb5Diensteverweigerung
DSA-2032 libpngEinige Schwachstellen
DSA-2033 ejabberdDiensteverweigerung
DSA-2034 phpmyadminEinige Schwachstellen
DSA-2035 apache2Einige Schwachstellen
DSA-2036 jasperDiensteverweigerung
DSA-2037 kdebasePrivilegeskalation
DSA-2038 pidginDiensteverweigerung
DSA-2039 cactiFehlende Eingabelöschung
DSA-2040 squidguardEinige Schwachstellen
DSA-2041 mediawikiCross-site-Anfragenfälschung
DSA-2042 iscsitargetEigenmächtige Codeausführung
DSA-2044 mplayerEigenmächtige Codeausführung
DSA-2045 libtheoraEigenmächtige Codeausführung
DSA-2046 phpgroupwareEinige Schwachstellen
DSA-2047 aria2Verzeichnisüberschreitung
DSA-2048 dvipngEigenmächtige Codeausführung
DSA-2049 barnowlEigenmächtige Codeausführung
DSA-2050 postgresql-8.3Einige Schwachstellen
DSA-2052 krb5Diensteverweigerung
DSA-2053 linux-2.6Mehrere Probleme
DSA-2054 bind9Cache-Vergiftung
DSA-2055 openoffice.orgEigenmächtige Codeausführung
DSA-2056 zonecheckSite-übergreifendes Skripting
DSA-2057 mysql-dfsg-5.0Einige Schwachstellen
DSA-2058 pcsc-litePrivilegeskalation
DSA-2058 glibcEinige Schwachstellen
DSA-2060 cactiSQL-Injektion
DSA-2062 sudoFehlende Eingabelöschung
DSA-2063 pmountDiensteverweigerung

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen außerhalb unserer Kontrolle entfernt:

Paket Grund
eclipse inkompatibel mit dem xulrunner aus Stable; nicht leicht zu beheben
eclipse-cdt hängt vom entfernten eclipse ab
eclipse-nls-sdk hängt vom entfernten eclipse ab

URLs

Die kompletten Listen der Pakete, die sich mit diesem Release geändert haben:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Beabsichtigte Aktualisierung für die Stable-Distribution

http://ftp.debian.org/debian/dists/proposed-updates/

Informationen zur Stable-Distribution (Veröffentlichungsanmerkungen, Fehlerliste, usw.):

http://www.debian.org/releases/stable/

Sicherheitsbekanntgaben und Informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern für Freie Software, die ihre Zeit und ihre Bemühungen anbieten, um das vollständig freie Betriebssystem Debian GNU/Linux herzustellen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten http://www.debian.org/, senden eine E-Mail auf Englisch an <press@debian.org> oder kontaktieren das Release-Team auf Englisch über <debian-release@lists.debian.org>.