Debian GNU/Linux aktualisiert: 5.0.7 veröffentlicht

27. November 2010

Das Debian-Projekt freut sich, die Veröffentlichung der siebten Aktualisierung für Debian GNU/Linux 5.0 (Codename Lenny) verkünden zu dürfen. Diese Aktualisierung enthält vor allem Korrekturen von Sicherheitsproblemen des Stable-Releases, dazu Nachbesserung für einige ernste Probleme.

Bitte beachten Sie, dass diese Aktualisierung keine komplett neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige enthaltene Pakete aktualisiert. Es gibt keinen Grund, Debian-5.0-CDs oder -DVDs zu entsorgen, wohl aber für die Aktualisierung neuer Installationen über einen aktuellen Debian-Spiegelserver, um sämtliche veralteten Pakete aufzufrischen.

Diejenigen, die häufig Aktualisierungen von security.debian.org laden, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.

Neue CD- und DVD-Images mit den aktualisierten Paketen und die üblichen mit Paketarchiven ausgestatteten Installationsmedien werden bald an den gewohnten Orten verfügbar sein.

Für Online-Upgrades zu dieser Revision wird normalerweise die aptitude- (oder apt-) Paketverwaltung auf einen der vielen Debian-eigenen FTP- oder HTTP-Spiegelserver verwiesen (siehe die sources.list(5)-Handbuchseite). Eine umfassende Liste der Spiegel ist verfügbar unter:

http://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Aktualisierung von Stable nimmt einige wichtige Korrekturen an den folgenden Paketen vor:

Paket Grund
base-files Aktualisierung für /etc/debian_version
bogofilter Mögliche Heap-Verfälschung beim Dekodieren von base64 behoben
dar Neubau gegen libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1/CVE-2010-0405)
dpkg Verliert keine Metadaten, wenn readdir() neu hinzugekommene Dateien zurückgibt
imagemagick Liest keine Konfigurationsdateien aus dem aktuellen Verzeichnis
kvm Behobener Speicherzugriffsfehler im MMIO-Subpage-Handling-Code
lastfm Unsichere Einstellung in LD_LIBRARY_PATH behoben
libapache-authenhook-perl Passwörter aus den Protokollnachrichten entfernt
libgdiplus Integer-Überläufe in der BMP-, JPEG- und TIFF-Handhabung behoben
libvirt Quellports für virtuellen Netzwerkverkehr maskiert (CVE-2010-2242)
linux-2.6 Mehrere Korrekturen
mantis Probleme mit Site-übergreifendem Skripting behoben
mt-daapd Handle aeMK-Tag, benötigt für iTunes 10
openscenegraph DoS in eingebetter Kopie von lib3ds behoben
perdition 64-Bit-Probleme behoben; SSL-Neuverhandlung behoben; make wird nicht aus postrm heraus aufgerufen
ser2net NULL-Zeiger-Dereferenzierung behoben
sun-java6 Verschiedene Sicherheitskorrekturen
tor Neue Version der Originalautoren aus Volatile importiert; Kompatibilität mit OpenSSL-Sicherheitsaktualisierung hinzugefügt; neue Verzeichnisautorität hinzugefügt
ttf-beteckna Hints-Datei aktualisiert, um auf die mitgelieferten Schriftarten zu passen
ttf-okolaks Hints-Datei aktualisiert, um auf die mitgelieferten Schriftarten zu passen
tzdata Zeitzondendaten und Übersetzungen aktualisiert
user-mode-linux Neubau gegen linux-2.6_2.6.26-26
xen-tools Erstellt keine für die Welt lesbaren Platten-Images
xorg-server Erstellt kein für die Welt beschreibbares Protokoll; (xfvb-run) lässt keine magischen xauth-Cookies an der Kommandozeile durch

Wir bitten zu beachten, dass die aktualisierten linux-2.6-Pakete dieser Zwischenveröffentlichung wegen eines Problems bei der Vorbereitung des Paketes nicht die in DSA 2110-1 veröffentlichten Sicherheitskorrekturen enthält. DSA 2126-1, das kürzlich veröffentlicht wurde, enthält die Aktualisierungen sowohl von DSA 2110-1 als auch vom linux-2.6-Paket dieser Zwischenveröffentlichung.

Sicherheitsaktualisierungen

Diese Revision fügt die folgenden Sicherheitsaktualisierung zum Stable-Release hinzu. Das Sicherheitsteam hat bereits Ankündigungen für jedes dieser Aktualisierungen veröffentlicht:

Ankündigungens-ID Paket Korrektur(en)
DSA-1943 openldapNUL-Byte-Schwachstelle im SSL-Zertifikat
DSA-1991 squidDiensteverweigerung
DSA-2038 pidginWiedereinschalten der SILC-, SIMPLE- und Yahoo!-Messenger-Protokolle
DSA-2050 kdegraphicsMehrere Schwachstellen
DSA-2077 openldapPotenzielle Codeausführung
DSA-2097 phpmyadminMehrere Schwachstellen
DSA-2098 typo3-srcRegression
DSA-2102 barnowlAusführung beliebigen Codes
DSA-2103 smbindSQL-Injection
DSA-2104 quaggaDiensteverweigerung
DSA-2105 freetypeMehrere Schwachstellen
DSA-2106 xulrunnerMehrere Schwachstellen
DSA-2107 couchdbAusführung beliebigen Codes
DSA-2108 cvsntAusführung beliebigen Codes
DSA-2109 sambaPufferüberlauf
DSA-2110 user-mode-linuxMehrere Probleme
DSA-2111 squid3Diensteverweigerung
DSA-2112 dpkgInteger-Überlauf
DSA-2112 bzip2Integer-Überlauf
DSA-2113 drupal6Mehrere Schwachstellen
DSA-2114 git-coreRegression
DSA-2115 moodleMehrere Schwachstellen
DSA-2116 freetypeInteger-Überlauf
DSA-2117 apr-utilDiensteverweigerung
DSA-2118 subversionUmgehung der Authenzifizierung
DSA-2119 popplerMehrere Schwachstellen
DSA-2120 postgresql-8.3Privilegeskalation
DSA-2121 typo3-srcMehrere Schwachstellen
DSA-2122 glibcLokale Privilegeskalation
DSA-2123 nssKryptografische Schwächen
DSA-2124 xulrunnerMehrere Schwachstellen
DSA-2125 opensslPuffer-Überlauf

Debian Installer

Der Debian-Installer ist mit einem neuen Kernel mit mehreren wichtigen Korrekturen aktualisiert worden.

Wir bitten um Beachtung, dass das aktualisierte Kernelpaket, das in diesem Release enthalten ist, wegen eines Problems bei der Paketvorbereitung die Sicherheitskorrekturen in DSA 2110-1 nicht enthält. DSA 2126-1, das kürzlich veröffentlicht wurde, enthält die Aktualisierungen sowohl von DSA 2110-1 als auch den linux-2.6-Paketen dieser Zwischenveröffentlichung und wird im installierten System vorhanden sein, unter der Annahme, dass während der Installation Aktualisierungen von den Sicherheits-Paketquellen geladen werden.

URLs

Die kompletten Listen der Pakete, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Beabsichtigte Aktualisierung für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Release-Informationen, Fehler usw.):

http://www.debian.org/releases/stable/

Sicherheitsbekanntgaben und -informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern für Freie Software, die ihre Zeit und ihre Bemühungen anbieten, um das vollständig freie Betriebssystem Debian GNU/Linux herzustellen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten http://www.debian.org/, senden eine E-Mail an <press@debian.org> oder kontaktieren das Release-Team über <debian-release@lists.debian.org>.