Opdateret Debian GNU/Linux: 5.0.7 udgivet

27. november 2010

Debian-projektet er stolt over at kunne annoncere den syvende opdatering af dets stabile distribution, Debian GNU/Linux 5.0 (kodenavn lenny). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den stabile udgave, sammen med nogle få rettelser af alvorlige problemer.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 5.0, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide 5.0-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye cd- og dvd-aftryk indeholdende opdaterede pakker henholdsvis de sædvanlige installeringsmedier til brug samme med pakkearkivet, vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringsværktøjet aptitude (eller apt, se manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller http-filspejle. En omfattende liste over filspejle er tilgængelig på:

http://www.debian.org/mirror/list

Forskellige fejlrettelser

Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
base-files Opdaterer /etc/debian_version
bogofilter Retter mulig heapkorruptio ved decodning af base64
dar Genopbygget mod libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1/CVE-2010-0405)
dpkg Mist ikke metadata hvis readdir() returnerer nyligt tilføjede filer
imagemagick Læs ikke opsætningsfiler fra den aktuelle mappe
kvm Retter segmenteringsfejl i håndteringskoden af MMIO-undersider
lastfm Retter usikker opsætning af LD_LIBRARY_PATH
libapache-authenhook-perl Fjerner adgangskoder fra logninger
libgdiplus Retter heltalsoverløb i håndtering af BMP, JPEG og TIFF
libvirt Masker kildeporte til virtuel netværkstrafik (CVE-2010-2242)
linux-2.6 Flere rettelser
mantis Retter problemer i forbindelse med udførelse af skripter på tværs af websteder
mt-daapd Håndter aeMK-tag, krævet af iTunes 10
openscenegraph Retter DoS i indlejret kopi af lib3ds
perdition Retter 64 bit-problemer; retter SSL-genforhandling; kald ikke make fra postrm
ser2net Retter NULL-pointer-dereference
sun-java6 Forskellige sikkerhedsrettelser
tor Importerer ny opstrømsversion fra volatile; tilføjer kompabilitet med openssl-sikkerhedsopdatering; tilføjer ny mappemyndighed
ttf-beteckna Opdaterer hints-fil til at svare til de medfølgende skrifttyper
ttf-okolaks Opdaterer hints-fil til at svare til de medfølgende skrifttyper
tzdata Opdaterede tidszonedata og oversættelser
user-mode-linux Genopbygget mod linux-2.6_2.6.26-26
xen-tools Opret ikke diskaftryk som er skrivbare for alle
xorg-server Opret ikke log som skrivbar for alle; (xfvb-run) overfør ikke magisk xauth-cookies på kommandolinjen

På grund af et problem med forberedelsen af pakken, indeholder de opdaterede linux-2.6-pakker i denne punktopdatering ikke fejlrettelserne udgivet i forbindelse med DSA 2110-1. DSA 2126-1, der lige er blevet udgivet, indeholder opdateringerne fra både DSA 2110-1 og linux-2.6-pakkerne fra denne punktopdatering.

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r) Rettelse(r)
DSA-1943 openldapSSL-certifikat-NUL-byte-sårbarhed
DSA-1991 squidLammelsesangreb
DSA-2038 pidginGenaktiver protokollerne SILC, SIMPLE og Yahoo! Messenger
DSA-2050 kdegraphicsFlere sårbarheder
DSA-2077 openldapPotentiel udførelse af kode
DSA-2097 phpmyadminFlere sårbarheder
DSA-2098 typo3-srcRegression
DSA-2102 barnowlUdførelse af vilkårlig kode
DSA-2103 smbindSQL-indsprøjtning
DSA-2104 quaggaLammelsesangreb
DSA-2105 freetypeFlere sårbarheder
DSA-2106 xulrunnerFlere sårbarheder
DSA-2107 couchdbUdførelse af vilkårlig kode
DSA-2108 cvsntUdførelse af vilkårlig kode
DSA-2109 sambaBufferoverløb
DSA-2110 user-mode-linuxFlere problemer
DSA-2111 squid3Lammelsesangreb
DSA-2112 dpkgHeltalsoverløb
DSA-2112 bzip2Heltalsoverløb
DSA-2113 drupal6Flere sårbarheder
DSA-2114 git-coreRegression
DSA-2115 moodleFlere sårbarheder
DSA-2116 freetypeHeltalsoverløb
DSA-2117 apr-utilLammelsesangreb
DSA-2118 subversionAutentifikationsomgåelse
DSA-2119 popplerFlere sårbarheder
DSA-2120 postgresql-8.3Rettighedsforøgelse
DSA-2121 typo3-srcFlere sårbarheder
DSA-2122 glibcLokal rettighedsforøgelse
DSA-2123 nssKryptografisk svaghed
DSA-2124 xulrunnerFlere sårbarheder
DSA-2125 opensslBufferoverløb

Debian Installer

Debian Installer er blevet opdateret med en ny kerne, indeholdende en række vigtige rettelser.

På grund af et problem med forberedelsen af pakken, indeholder den opdaterede kerne i denne udgave af Debian Installer ikke sikkerhedsrettelserne udgivet i forbindelse med DSA 2110-1. DSA 2126-1, der lige er blevet udgivet, indeholder opdateringerne fra både DSA 2110-1 og linux-2.6-pakkerne fra denne punktopdatering og vil blive kopieret til det installerede system såfremt opdateringer fra sikkerhedsarkiverne vælges under installeringen.

URL'er

Den komplette liste over pakker der er ændret i forbindelse med denne udgivelse:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Den aktuelle stabile distribution:

http://ftp.debian.org/debian/dists/stable/

Foreslåede opdateringer til den stabile distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):

http://www.debian.org/releases/stable/

Sikkerhedsannonceringer og -oplysninger:

http://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på http://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.