Debian GNU/Linux 5.0 更新

2010 年 6 月 26 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux 5.0 (コード名 "lenny") の 5 回目の更新を発表出来ることを嬉しく思います。この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。

この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、収録されているパッケージの一部を更新するだけであることに注意してください。 5.0 の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規の CD/DVD イメージは更新されたパッケージを含んでおり、パッケージアーカイブが含まれた通常の各種インストールメディアは、いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ	理由
alien-arena	バッファオーバフローとサービス拒否の修正
apache2	psmisc への依存が抜けていたのを追加、brigade の後処理でのメモリリーク修正
apache2-mpm-itk	リロード時に子プロセスを正常に確保できるように
apr	ファイルデスクリプタに FD_CLOEXEC をセットして漏洩の可能性を摘み取る
apt	Files セクションに 999 文字以上を許容
base-files	/etc/debian_version をポイントリリース向けに更新
cpio	rmt_read__ でのバッファオーバフローを修正
dia2code	巨大ファイルの解析時の segfault を修正
gtk+2.0	巨大な文書の印刷時のハングを修正
libapache-dbi-perl	Apache 起動ファイルからのモジュールの読み込みを修正
libapache2-mod-perl2	Apache2::Status での XSS を修正
libjavascript-perl	存在しない関数を呼び出したときに segfault するのを修正
libjson-ruby	パーサの DoS 修正、ライブラリを組み込むのをやめて libjs-prototype を使用
liblog-handler-perl	libuniversal-require-perl への依存が抜けていたのを追加
libmediawiki-perl	mediawiki の変更に合わせた更新
libnamespace-clean-perl	libscope-guard-perl への依存が抜けていたのを追加
libnet-smtp-server-perl	libnet-dns-perl への依存が抜けていたのを追加
libxext	XAllocID を呼び出す時には必ずディスプレイをロックするように
linux-2.6	複数の修正とドライバ更新
mailman	Mime-Version ヘッダを複数追加しないように
mpg123	再びモジュールを見つけられるように (libltdl のセキュリティ修正による不具合)
nano	symlink 攻撃と任意のファイル所有者変更問題を修正
nfs-utils	init スクリプトの NFS カーネルサーバのサポート検査を更新して部分的なアップグレードに対応
nut	/usr が分離したシステムで電源断が出来るよう、ライブラリを /lib に移動
open-iscsi	一時ファイルの脆弱性を修正
openssl	bn_wexpand() の戻り値をチェック (CVE-2009-3245)
openttd	複数の DoS およびクラッシュする脆弱性
php5	オーバフローの修正、sybase のエイリアスが欠けていたのを追加、メール検証の改善
poppler	細工された PDF ファイルによるリモートからのコードの実行を修正
postgresql-8.3	複数の脆弱性
pyftpd	セキュリティ修正 - デフォルトユーザ、匿名アクセス、/tmp へのログ書き込みを無効に
python-support	update-python-modules のデフォルト umask を健全に
request-tracker3.6	セキュリティ更新により発生していたログインの問題を修正
samba	ドメイン信頼パスワードにおけるメモリ漏洩; Windows 2008 r2 サーバでのドメイン間の信頼を修正
slim	magic クッキーを読みにくく; スクリーンショットを /tmp に保存しないように
sun-java5	新しい上流リリースへの更新によるセキュリティ問題の修正
sun-java6	新しい上流リリースへの更新によるセキュリティ問題の修正
tar	rmt のセキュリティ修正
texlive-bin	dvips のセキュリティ修正
tla	組み込み expat ライブラリの DoS を修正
tzdata	タイムゾーンデータ更新
usbutils	USB ID リスト更新
user-mode-linux	linux-2.6 2.6.26-24 に対して再ビルド
wordpress	DoS の修正
xerces-c2	入れ子になった DTD での DoS 攻撃を修正
xmonad-contrib	64 ビットアーキテクチャにインストール出来るように修正
xserver-xorg-input-elographics	タッチスクリーン使用時に X サーバがハングしないように
xserver-xorg-video-intel	ASUS eeetop の LVDS 出力への対応を追加

パッケージのビルドプロセスにおける問題のため、更新された ia64 アーキテクチャ用の sun-java5 および sun-java6 パッケージはこのポイントリリースには含まれないことに注意してください。このパッケージは利用可能になり次第 proposed-updates で提供され、将来のポイントリリースに入ります。

カーネル更新

このポイントリリースに含まれるカーネルイメージには、ハードウェアのサポート追加とともにいくつもの重要なセキュリティ関連の修正が盛り込まれています。

amd64 および i386 アーキテクチャでは、カーネルイメージが追加、更新、あるいは削除される際の lilo ブートローダの自動実行のサポートが再び導入され、ブートローダに正常な登録が確実に行われるようになっています。

Debian インストーラ

このポイントリリースでは Debian インストーラが更新され、 GPT パーティションを使用している場合のパーティション操作時の "BIOS boot area" オプション表示の問題が修正され、パッケージのインストールに利用できるミラーサーバの一覧が更新されています。

インストーラで使用されるカーネルイメージが更新され、ハードウェアのサポート追加とともにいくつもの重要なセキュリティ関連の修正が盛り込まれています。

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 ID	パッケージ	修正内容
DSA-1841	git-core	サービス拒否
DSA-1955	network-manager-applet	情報漏洩
DSA-1973	glibc	情報漏洩
DSA-1977	python2.4	複数の脆弱性
DSA-1977	python2.5	複数の脆弱性
DSA-1980	ircd-ratbox	任意のコードの実行
DSA-1981	maildrop	特権の昇格
DSA-1982	hybserv	サービス拒否
DSA-1983	wireshark	複数の脆弱性
DSA-1984	libxerces2-java	サービス拒否
DSA-1985	sendmail	入力の不十分な検証
DSA-1986	moodle	複数の脆弱性
DSA-1987	lighttpd	サービス拒否
DSA-1988	qt4-x11	複数の脆弱性
DSA-1989	fuse	サービス拒否
DSA-1990	trac-git	コードの実行
DSA-1991	squid3	サービス拒否
DSA-1992	chrony	サービス拒否
DSA-1993	otrs2	SQL インジェクション
DSA-1994	ajaxterm	セッションハイジャック
DSA-1995	openoffice.org	複数の脆弱性
DSA-1996	linux-2.6	複数の脆弱性
DSA-1997	mysql-dfsg-5.0	複数の脆弱性
DSA-1998	kdelibs	任意のコードの実行
DSA-1999	xulrunner	複数の脆弱性
DSA-2000	ffmpeg-Debian	複数の脆弱性
DSA-2001	php5	複数の脆弱性
DSA-2002	polipo	サービス拒否
DSA-2004	samba	複数の脆弱性
DSA-2006	sudo	複数の脆弱性
DSA-2007	cups	任意のコードの実行
DSA-2008	typo3-src	複数の脆弱性
DSA-2009	tdiary	クロスサイトスクリプティング
DSA-2010	kvm	複数の脆弱性
DSA-2011	dpkg	パストラバーサル
DSA-2012	user-mode-linux	複数の脆弱性
DSA-2012	linux-2.6	複数の脆弱性
DSA-2013	egroupware	複数の脆弱性
DSA-2014	moin	複数の脆弱性
DSA-2015	drbd8	特権の昇格
DSA-2015	linux-modules-extra-2.6	特権の昇格
DSA-2016	drupal6	複数の脆弱性
DSA-2017	pulseaudio	不安全な一時ディレクトリ
DSA-2018	php5	Null ポインタ参照
DSA-2019	pango1.0	サービス拒否
DSA-2020	ikiwiki	クロスサイトスクリプティング
DSA-2021	spamass-milter	入力のサニタイジング欠落
DSA-2022	mediawiki	複数の脆弱性
DSA-2023	curl	任意のコードの実行
DSA-2024	moin	クロスサイトスクリプティング
DSA-2025	icedove	複数の脆弱性
DSA-2026	netpbm-free	サービス拒否
DSA-2027	xulrunner	複数の脆弱性
DSA-2028	xpdf	複数の脆弱性
DSA-2029	imlib2	任意のコードの実行
DSA-2030	mahara	SQL インジェクション
DSA-2031	krb5	サービス拒否
DSA-2032	libpng	複数の脆弱性
DSA-2033	ejabberd	サービス拒否
DSA-2034	phpmyadmin	複数の脆弱性
DSA-2035	apache2	複数の脆弱性
DSA-2036	jasper	サービス拒否
DSA-2037	kdebase	特権の昇格
DSA-2038	pidgin	サービス拒否
DSA-2039	cacti	入力のサニタイジング欠落
DSA-2040	squidguard	複数の脆弱性
DSA-2041	mediawiki	クロスサイトリクエストフォージェリ
DSA-2042	iscsitarget	任意のコードの実行
DSA-2044	mplayer	任意のコードの実行
DSA-2045	libtheora	任意のコードの実行
DSA-2046	phpgroupware	複数の脆弱性
DSA-2047	aria2	ディレクトリトラバーサル
DSA-2048	dvipng	任意のコードの実行
DSA-2049	barnowl	任意のコードの実行
DSA-2050	postgresql-8.3	複数の脆弱性
DSA-2052	krb5	サービス拒否
DSA-2053	linux-2.6	複数の問題
DSA-2054	bind9	キャッシュ汚染
DSA-2055	openoffice.org	任意のコードの実行
DSA-2056	zonecheck	クロスサイトスクリプティング
DSA-2057	mysql-dfsg-5.0	複数の脆弱性
DSA-2058	pcsc-lite	特権の昇格
DSA-2058	glibc	複数の脆弱性
DSA-2060	cacti	SQL インジェクション
DSA-2062	sudo	入力のサニタイジング欠落
DSA-2063	pmount	サービス拒否

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ	理由
eclipse	安定版の xulrunner と互換性がない; 簡単には修正できない
eclipse-cdt	削除された eclipse に依存
eclipse-nls-sdk	削除された eclipse に依存

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates/

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトは、完全にフリーなオペレーティングシステム Debian GNU/Linux をボランティアで時間と労力を割いて開発しているフリーソフトウェア開発者の団体です。

連絡先について

より詳細な情報については、Debian のウェブページ https://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。