Debian GNU/Linux aktualisiert: 5.0.7 veröffentlicht
27. November 2010
Das Debian-Projekt freut sich, die Veröffentlichung der siebten Aktualisierung für
Debian GNU/Linux 5.0 (Codename Lenny
) verkünden zu dürfen. Diese Aktualisierung
enthält vor allem Korrekturen von Sicherheitsproblemen des Stable-Releases, dazu
Nachbesserung für einige ernste Probleme.
Bitte beachten Sie, dass diese Aktualisierung keine komplett neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige enthaltene Pakete aktualisiert. Es gibt keinen Grund, Debian-5.0-CDs oder -DVDs zu entsorgen, wohl aber für die Aktualisierung neuer Installationen über einen aktuellen Debian-Spiegelserver, um sämtliche veralteten Pakete aufzufrischen.
Diejenigen, die häufig Aktualisierungen von security.debian.org laden, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.
Neue CD- und DVD-Images mit den aktualisierten Paketen und die üblichen mit Paketarchiven ausgestatteten Installationsmedien werden bald an den gewohnten Orten verfügbar sein.
Für Online-Upgrades zu dieser Revision wird normalerweise die aptitude- (oder apt-) Paketverwaltung auf einen der vielen Debian-eigenen FTP- oder HTTP-Spiegelserver verwiesen (siehe die sources.list(5)-Handbuchseite). Eine umfassende Liste der Spiegel ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Aktualisierung von Stable nimmt einige wichtige Korrekturen an den folgenden Paketen vor:
| Paket | Grund |
|---|---|
| base-files | Aktualisierung für /etc/debian_version |
| bogofilter | Mögliche Heap-Verfälschung beim Dekodieren von base64 behoben |
| dar | Neubau gegen libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1/CVE-2010-0405) |
| dpkg | Verliert keine Metadaten, wenn readdir() neu hinzugekommene Dateien zurückgibt |
| imagemagick | Liest keine Konfigurationsdateien aus dem aktuellen Verzeichnis |
| kvm | Behobener Speicherzugriffsfehler im MMIO-Subpage-Handling-Code |
| lastfm | Unsichere Einstellung in LD_LIBRARY_PATH behoben |
| libapache-authenhook-perl | Passwörter aus den Protokollnachrichten entfernt |
| libgdiplus | Integer-Überläufe in der BMP-, JPEG- und TIFF-Handhabung behoben |
| libvirt | Quellports für virtuellen Netzwerkverkehr maskiert (CVE-2010-2242) |
| linux-2.6 | Mehrere Korrekturen |
| mantis | Probleme mit Site-übergreifendem Skripting behoben |
| mt-daapd | Handle aeMK-Tag, benötigt für iTunes 10 |
| openscenegraph | DoS in eingebetter Kopie von lib3ds behoben |
| perdition | 64-Bit-Probleme behoben; SSL-Neuverhandlung behoben; make wird nicht aus postrm heraus aufgerufen |
| ser2net | NULL-Zeiger-Dereferenzierung behoben |
| sun-java6 | Verschiedene Sicherheitskorrekturen |
| tor | Neue Version der Originalautoren aus Volatile importiert; Kompatibilität mit OpenSSL-Sicherheitsaktualisierung hinzugefügt; neue Verzeichnisautorität hinzugefügt |
| ttf-beteckna | Hints-Datei aktualisiert, um auf die mitgelieferten Schriftarten zu passen |
| ttf-okolaks | Hints-Datei aktualisiert, um auf die mitgelieferten Schriftarten zu passen |
| tzdata | Zeitzondendaten und Übersetzungen aktualisiert |
| user-mode-linux | Neubau gegen linux-2.6_2.6.26-26 |
| xen-tools | Erstellt keine für die Welt lesbaren Platten-Images |
| xorg-server | Erstellt kein für die Welt beschreibbares Protokoll; (xfvb-run) lässt keine magischen xauth-Cookies an der Kommandozeile durch |
Wir bitten zu beachten, dass die aktualisierten linux-2.6-Pakete dieser Zwischenveröffentlichung wegen eines Problems bei der Vorbereitung des Paketes nicht die in DSA 2110-1 veröffentlichten Sicherheitskorrekturen enthält. DSA 2126-1, das kürzlich veröffentlicht wurde, enthält die Aktualisierungen sowohl von DSA 2110-1 als auch vom linux-2.6-Paket dieser Zwischenveröffentlichung.
Sicherheitsaktualisierungen
Diese Revision fügt die folgenden Sicherheitsaktualisierung zum Stable-Release hinzu. Das Sicherheitsteam hat bereits Ankündigungen für jedes dieser Aktualisierungen veröffentlicht:
| Ankündigungens-ID | Paket | Korrektur(en) |
|---|---|---|
| DSA-1943 | openldap | NUL-Byte-Schwachstelle im SSL-Zertifikat |
| DSA-1991 | squid | Diensteverweigerung |
| DSA-2038 | pidgin | Wiedereinschalten der SILC-, SIMPLE- und Yahoo!-Messenger-Protokolle |
| DSA-2050 | kdegraphics | Mehrere Schwachstellen |
| DSA-2077 | openldap | Potenzielle Codeausführung |
| DSA-2097 | phpmyadmin | Mehrere Schwachstellen |
| DSA-2098 | typo3-src | Regression |
| DSA-2102 | barnowl | Ausführung beliebigen Codes |
| DSA-2103 | smbind | SQL-Injection |
| DSA-2104 | quagga | Diensteverweigerung |
| DSA-2105 | freetype | Mehrere Schwachstellen |
| DSA-2106 | xulrunner | Mehrere Schwachstellen |
| DSA-2107 | couchdb | Ausführung beliebigen Codes |
| DSA-2108 | cvsnt | Ausführung beliebigen Codes |
| DSA-2109 | samba | Pufferüberlauf |
| DSA-2110 | user-mode-linux | Mehrere Probleme |
| DSA-2111 | squid3 | Diensteverweigerung |
| DSA-2112 | dpkg | Integer-Überlauf |
| DSA-2112 | bzip2 | Integer-Überlauf |
| DSA-2113 | drupal6 | Mehrere Schwachstellen |
| DSA-2114 | git-core | Regression |
| DSA-2115 | moodle | Mehrere Schwachstellen |
| DSA-2116 | freetype | Integer-Überlauf |
| DSA-2117 | apr-util | Diensteverweigerung |
| DSA-2118 | subversion | Umgehung der Authenzifizierung |
| DSA-2119 | poppler | Mehrere Schwachstellen |
| DSA-2120 | postgresql-8.3 | Privilegeskalation |
| DSA-2121 | typo3-src | Mehrere Schwachstellen |
| DSA-2122 | glibc | Lokale Privilegeskalation |
| DSA-2123 | nss | Kryptografische Schwächen |
| DSA-2124 | xulrunner | Mehrere Schwachstellen |
| DSA-2125 | openssl | Puffer-Überlauf |
Debian Installer
Der Debian-Installer ist mit einem neuen Kernel mit mehreren wichtigen Korrekturen aktualisiert worden.
Wir bitten um Beachtung, dass das aktualisierte Kernelpaket, das in diesem Release enthalten ist, wegen eines Problems bei der Paketvorbereitung die Sicherheitskorrekturen in DSA 2110-1 nicht enthält. DSA 2126-1, das kürzlich veröffentlicht wurde, enthält die Aktualisierungen sowohl von DSA 2110-1 als auch den linux-2.6-Paketen dieser Zwischenveröffentlichung und wird im installierten System vorhanden sein, unter der Annahme, dass während der Installation Aktualisierungen von den Sicherheits-Paketquellen geladen werden.
URLs
Die kompletten Listen der Pakete, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Beabsichtigte Aktualisierung für die Stable-Distribution:
Informationen zur Stable-Distribution (Release-Informationen, Fehler usw.):
Sicherheitsbekanntgaben und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern für Freie Software, die ihre Zeit und ihre Bemühungen anbieten, um das vollständig freie Betriebssystem Debian GNU/Linux herzustellen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten https://www.debian.org/, senden eine E-Mail an <press@debian.org> oder kontaktieren das Release-Team über <debian-release@lists.debian.org>.