Debian GNU/Linux 5.0 更新

2010 年 6 月 26 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux 5.0 (コード名 "lenny") の 5 回目の更新を発表出来ることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、 重大な問題に対する若干の調整への対応を追加しています。

この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 5.0 の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規の CD/DVD イメージは更新されたパッケージを含んでおり、 パッケージアーカイブが含まれた通常の各種インストールメディアは、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

http://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
alien-arena バッファオーバフローとサービス拒否の修正
apache2 psmisc への依存が抜けていたのを追加、brigade の後処理でのメモリリーク修正
apache2-mpm-itk リロード時に子プロセスを正常に確保できるように
apr ファイルデスクリプタに FD_CLOEXEC をセットして漏洩の可能性を摘み取る
apt Files セクションに 999 文字以上を許容
base-files /etc/debian_version をポイントリリース向けに更新
cpio rmt_read__ でのバッファオーバフローを修正
dia2code 巨大ファイルの解析時の segfault を修正
gtk+2.0 巨大な文書の印刷時のハングを修正
libapache-dbi-perl Apache 起動ファイルからのモジュールの読み込みを修正
libapache2-mod-perl2 Apache2::Status での XSS を修正
libjavascript-perl 存在しない関数を呼び出したときに segfault するのを修正
libjson-ruby パーサの DoS 修正、ライブラリを組み込むのをやめて libjs-prototype を使用
liblog-handler-perl libuniversal-require-perl への依存が抜けていたのを追加
libmediawiki-perl mediawiki の変更に合わせた更新
libnamespace-clean-perl libscope-guard-perl への依存が抜けていたのを追加
libnet-smtp-server-perl libnet-dns-perl への依存が抜けていたのを追加
libxext XAllocID を呼び出す時には必ずディスプレイをロックするように
linux-2.6 複数の修正とドライバ更新
mailman Mime-Version ヘッダを複数追加しないように
mpg123 再びモジュールを見つけられるように (libltdl のセキュリティ修正による不具合)
nano symlink 攻撃と任意のファイル所有者変更問題を修正
nfs-utils init スクリプトの NFS カーネルサーバのサポート検査を更新して部分的なアップグレードに対応
nut /usr が分離したシステムで電源断が出来るよう、ライブラリを /lib に移動
open-iscsi 一時ファイルの脆弱性を修正
openssl bn_wexpand() の戻り値をチェック (CVE-2009-3245)
openttd 複数の DoS およびクラッシュする脆弱性
php5 オーバフローの修正、sybase のエイリアスが欠けていたのを追加、メール検証の改善
poppler 細工された PDF ファイルによるリモートからのコードの実行を修正
postgresql-8.3 複数の脆弱性
pyftpd セキュリティ修正 - デフォルトユーザ、匿名アクセス、/tmp へのログ書き込みを無効に
python-support update-python-modules のデフォルト umask を健全に
request-tracker3.6 セキュリティ更新により発生していたログインの問題を修正
samba ドメイン信頼パスワードにおけるメモリ漏洩; Windows 2008 r2 サーバでのドメイン間の信頼を修正
slim magic クッキーを読みにくく; スクリーンショットを /tmp に保存しないように
sun-java5 新しい上流リリースへの更新によるセキュリティ問題の修正
sun-java6 新しい上流リリースへの更新によるセキュリティ問題の修正
tar rmt のセキュリティ修正
texlive-bin dvips のセキュリティ修正
tla 組み込み expat ライブラリの DoS を修正
tzdata タイムゾーンデータ更新
usbutils USB ID リスト更新
user-mode-linux linux-2.6 2.6.26-24 に対して再ビルド
wordpress DoS の修正
xerces-c2 入れ子になった DTD での DoS 攻撃を修正
xmonad-contrib 64 ビット アーキテクチャにインストール出来るように修正
xserver-xorg-input-elographics タッチスクリーン使用時に X サーバがハングしないように
xserver-xorg-video-intel ASUS eeetop の LVDS 出力への対応を追加

パッケージのビルドプロセスにおける問題のため、更新された ia64 アーキテクチャ用の sun-java5 および sun-java6 パッケージはこのポイントリリースには含まれないことに注意してください。 このパッケージは利用可能になり次第 proposed-updates で提供され、将来のポイントリリースに入ります。

カーネル更新

このポイントリリースに含まれるカーネルイメージには、 ハードウェアのサポート追加とともにいくつもの重要なセキュリティ関連の修正が盛り込まれています。

amd64 および i386 アーキテクチャでは、カーネルイメージが追加、更新、 あるいは削除される際の lilo ブートローダの自動実行のサポートが再び導入され、 ブートローダに正常な登録が確実に行われるようになっています。

Debian インストーラ

このポイントリリースでは Debian インストーラが更新され、 GPT パーティションを使用している場合のパーティション操作時の "BIOS boot area" オプション表示の問題が修正され、 パッケージのインストールに利用できるミラーサーバの一覧が更新されています。

インストーラで使用されるカーネルイメージが更新され、 ハードウェアのサポート追加とともにいくつもの重要なセキュリティ関連の修正が盛り込まれています。

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 ID パッケージ 修正内容
DSA-1841 git-coreサービス拒否
DSA-1955 network-manager-applet情報漏洩
DSA-1973 glibc情報漏洩
DSA-1977 python2.4複数の脆弱性
DSA-1977 python2.5複数の脆弱性
DSA-1980 ircd-ratbox任意のコードの実行
DSA-1981 maildrop特権の昇格
DSA-1982 hybservサービス拒否
DSA-1983 wireshark複数の脆弱性
DSA-1984 libxerces2-javaサービス拒否
DSA-1985 sendmail入力の不十分な検証
DSA-1986 moodle複数の脆弱性
DSA-1987 lighttpdサービス拒否
DSA-1988 qt4-x11複数の脆弱性
DSA-1989 fuseサービス拒否
DSA-1990 trac-gitコードの実行
DSA-1991 squid3サービス拒否
DSA-1992 chronyサービス拒否
DSA-1993 otrs2SQL インジェクション
DSA-1994 ajaxtermセッションハイジャック
DSA-1995 openoffice.org複数の脆弱性
DSA-1996 linux-2.6複数の脆弱性
DSA-1997 mysql-dfsg-5.0複数の脆弱性
DSA-1998 kdelibs任意のコードの実行
DSA-1999 xulrunner複数の脆弱性
DSA-2000 ffmpeg-Debian複数の脆弱性
DSA-2001 php5複数の脆弱性
DSA-2002 polipoサービス拒否
DSA-2004 samba複数の脆弱性
DSA-2006 sudo複数の脆弱性
DSA-2007 cups任意のコードの実行
DSA-2008 typo3-src複数の脆弱性
DSA-2009 tdiaryクロスサイトスクリプティング
DSA-2010 kvm複数の脆弱性
DSA-2011 dpkgパストラバーサル
DSA-2012 user-mode-linux複数の脆弱性
DSA-2012 linux-2.6複数の脆弱性
DSA-2013 egroupware複数の脆弱性
DSA-2014 moin複数の脆弱性
DSA-2015 drbd8特権の昇格
DSA-2015 linux-modules-extra-2.6特権の昇格
DSA-2016 drupal6複数の脆弱性
DSA-2017 pulseaudio不安全な一時ディレクトリ
DSA-2018 php5Null ポインタ参照
DSA-2019 pango1.0サービス拒否
DSA-2020 ikiwikiクロスサイトスクリプティング
DSA-2021 spamass-milter入力のサニタイジング欠落
DSA-2022 mediawiki複数の脆弱性
DSA-2023 curl任意のコードの実行
DSA-2024 moinクロスサイトスクリプティング
DSA-2025 icedove複数の脆弱性
DSA-2026 netpbm-freeサービス拒否
DSA-2027 xulrunner複数の脆弱性
DSA-2028 xpdf複数の脆弱性
DSA-2029 imlib2任意のコードの実行
DSA-2030 maharaSQL インジェクション
DSA-2031 krb5サービス拒否
DSA-2032 libpng複数の脆弱性
DSA-2033 ejabberdサービス拒否
DSA-2034 phpmyadmin複数の脆弱性
DSA-2035 apache2複数の脆弱性
DSA-2036 jasperサービス拒否
DSA-2037 kdebase特権の昇格
DSA-2038 pidginサービス拒否
DSA-2039 cacti入力のサニタイジング欠落
DSA-2040 squidguard複数の脆弱性
DSA-2041 mediawikiクロスサイトリクエストフォージェリ
DSA-2042 iscsitarget任意のコードの実行
DSA-2044 mplayer任意のコードの実行
DSA-2045 libtheora任意のコードの実行
DSA-2046 phpgroupware複数の脆弱性
DSA-2047 aria2ディレクトリトラバーサル
DSA-2048 dvipng任意のコードの実行
DSA-2049 barnowl任意のコードの実行
DSA-2050 postgresql-8.3複数の脆弱性
DSA-2052 krb5サービス拒否
DSA-2053 linux-2.6複数の問題
DSA-2054 bind9キャッシュ汚染
DSA-2055 openoffice.org任意のコードの実行
DSA-2056 zonecheckクロスサイトスクリプティング
DSA-2057 mysql-dfsg-5.0複数の脆弱性
DSA-2058 pcsc-lite特権の昇格
DSA-2058 glibc複数の脆弱性
DSA-2060 cactiSQL インジェクション
DSA-2062 sudo入力のサニタイジング欠落
DSA-2063 pmountサービス拒否

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ 理由
eclipse 安定版の xulrunner と互換性がない; 簡単には修正できない
eclipse-cdt 削除された eclipse に依存
eclipse-nls-sdk 削除された eclipse に依存

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates/

安定版 (stable) ディストリビューション 情報 (リリースノート、正誤表など):

http://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトは、完全にフリーなオペレーティングシステム Debian GNU/Linux をボランティアで時間と労力を割いて開発しているフリーソフトウェア開発者の団体です。

連絡先について

より詳細な情報については、Debian のウェブページ http://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。