Aggiornamento di Debian GNU/Linux: 5.0.7 rilasciata

27 Novembre 2010

Il progetto Debian è felice di annunciare il settimo aggiornamento della sua versione stabile Debian GNU/Linux 5.0 (nome in codice lenny). Questo aggiornamento aggiunge principalmente correzioni a problemi relativi alla sicurezza della versione stabile, nonché pochi aggiustamenti dovuti a problemi seri.

Ricordiamo che questo aggiornamento non costituisce una nuova versione di Debian GNU/Linux 5.0 ma aggiorna solo alcuni dei pacchetti che ne fanno parte. Non è necessario gettare via i CD o DVD della versione 5.0, ma è sufficiente aggiornare i sistemi appena installati tramite un mirror aggiornato per far sì che i pacchetti in questione siano automaticamente aggiornati.

Coloro che aggiornano regolarmente tramite security.debian.org non dovranno aggiornare molti pacchetti in quanto la maggior parte di quelli inclusi in questo aggiornamento provengono da security.debian.org.

Nuove immagini CD e DVD con i pacchetti aggiornati e i vari media di installazione nonché l'archivio dei pacchetti verranno resi disponibili molto presto ai soliti indirizzi.

Aggiornare in linea a questa revisione viene normalmente fatto tramite il programma per la gestione dei pacchetti aptitude (o apt) impostandolo per accedere ai pacchetti presenti nei mirror Debian HTTP o FTP (vedi la pagina di manuale sources.list(5)). Un elenco completo dei mirror è disponibile a:

http://www.debian.org/mirror/list

Correzioni varie

L'aggiornamento della versione stabile aggiunge alcune importanti correzioni ai seguenti pacchetti:

Pacchetto Ragione
base-files Update /etc/debian_version
bogofilter Fix possible heap corruption decoding base64
dar Rebuild against libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1/CVE-2010-0405)
dpkg Don't lose metadata if readdir() returns newly added files
imagemagick Don't read configuration files from the current directory
kvm Fix segfault in MMIO subpage handling code
lastfm Fix insecure setting of LD_LIBRARY_PATH
libapache-authenhook-perl Remove passwords from log messages
libgdiplus Fix integer overflows in BMP, JPEG and TIFF handling
libvirt Masquerade source ports for virtual network traffic (CVE-2010-2242)
linux-2.6 Several fixes
mantis Fix cross-site scripting issues
mt-daapd Handle aeMK tag, required for iTunes 10
openscenegraph Fix DoS in embedded copy of lib3ds
perdition Fix 64-bit issues; fix SSL re-negotiation; don't call make from postrm
ser2net Fix NULL pointer dereference
sun-java6 Various security fixes
tor Import new upstream version from volatile; add compatibility with openssl security update; add new directory authority
ttf-beteckna Update hints file to match the shipped fonts
ttf-okolaks Update hints file to match the shipped fonts
tzdata Updated timezone data and translations
user-mode-linux Rebuild against linux-2.6_2.6.26-26
xen-tools Don't create world-readable disk images
xorg-server Don't create log world-writable; (xfvb-run) don't pass magic xauth cookies on the command line

Notare che per un problema nella preparazione del pacchetto linux-2.6 incluso in questo aggiornamento, non è compresa la risoluzione di DSA 2110-1. Il bollettino DSA 2126-1, che è già stato emesso, include un aggiornamento del pacchetto linux-2.6 compreso in questo aggiornamento nonché di quello compreso nel DSA 2110-1.

Aggiornamenti della sicurezza

Questa revisione comprende gli aggiornamenti di sicurezza per la versione stabile. Il team della sicurezza ha già rilasciato un bollettino per ciascuno di questi aggiornamenti:

ID bollettino Pacchetto Correzione
DSA-1943 openldapSSL certificate NUL byte vulnerability
DSA-1991 squidDenial of service
DSA-2038 pidginRe-enable SILC, SIMPLE and Yahoo! Messenger protocols
DSA-2050 kdegraphicsSeveral vulnerabilities
DSA-2077 openldapPotential code execution
DSA-2097 phpmyadminSeveral vulnerabilities
DSA-2098 typo3-srcRegression
DSA-2102 barnowlArbitrary code execution
DSA-2103 smbindSQL injection
DSA-2104 quaggaDenial of service
DSA-2105 freetypeSeveral vulnerabilities
DSA-2106 xulrunnerSeveral vulnerabilities
DSA-2107 couchdbArbitrary code execution
DSA-2108 cvsntArbitrary code execution
DSA-2109 sambaBuffer overflow
DSA-2110 user-mode-linuxSeveral issues
DSA-2111 squid3Denial of service
DSA-2112 dpkgInteger overflow
DSA-2112 bzip2Integer overflow
DSA-2113 drupal6Several vulnerabilities
DSA-2114 git-coreRegression
DSA-2115 moodleSeveral vulnerabilities
DSA-2116 freetypeInteger overflow
DSA-2117 apr-utilDenial of service
DSA-2118 subversionAuthentication bypass
DSA-2119 popplerSeveral vulnerabilities
DSA-2120 postgresql-8.3Privilege escalation
DSA-2121 typo3-srcSeveral vulnerabilities
DSA-2122 glibcLocal privilege escalation
DSA-2123 nssCryptographic weaknesses
DSA-2124 xulrunnerSeveral vulnerabilities
DSA-2125 opensslBuffer overflow

Installatore Debian

L'installatore Debian è stato aggiornato per incorporare il nuovo kernel che include una serie importante di correzioni.

Notare che per un problema nella preparazione del pacchetto linux-2.6 incluso in questo aggiornamento, non è compresa la risoluzione di DSA 2110-1. Il bollettino DSA 2126-1, che è già stato emesso, include un aggiornamento del pacchetto linux-2.6 compreso in questo aggiornamento nonché di quello compreso nel DSA 2110-1. Quest'ultimo aggiornamento verrà automaticamente installato se durante l'installazione si seleziona di voler usare gli aggiornamenti della sicurezza.

Indirizzi

La lista completa di pacchetti modificati in questa revisione:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

La distribuzione stabile:

http://ftp.debian.org/debian/dists/stable/

Proposte di aggiornamenti per la distribuzione stabile:

http://ftp.debian.org/debian/dists/proposed-updates

Informazioni sulla distribuzione stabile (note di rilascio, errata, etc.):

http://www.debian.org/releases/stable/

Bollettini e informazioni sulla sicurezza:

http://security.debian.org/

Informazioni su Debian

Il progetto Debian è una associazione di sviluppatori di software libero che volontariamente offrono il loro tempo e il loro ingegno per produrre il sistema operativo completamente libero Debian GNU/Linux.

Contatti

Per maggiori informazioni si possono visitare le pagine web di Debian all'indirizzo http://www.debian.org/, o inviare un messaggio a <press@debian.org> o contattare il team che si occupa del rilascio della versione stabile all'indirizzo <debian-release@lists.debian.org>.