Debian GNU/Linux 更新: 5.0.7 リリース

2010 年 11 月 27 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux 5.0 (コード名 "lenny") の7回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。

この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 5.0のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規の CD/DVD イメージは更新されたパッケージを含んでおり、 パッケージアーカイブが含まれた通常の各種インストールメディアは、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
base-files/etc/debian_version を更新
bogofilterbase64 デコード時にヒープを破損する可能性を修正
darlibbz2-dev 1.0.5-1+lenny1 に対して再ビルド (DSA-2112-1/CVE-2010-0405)
dpkgreaddir() が新しく追加したファイルを返した場合にメタ情報を失わないように
imagemagick設定ファイルを現在のディレクトリから読み取らないように
kvmMMIO サブページ処理コードでのセグメンテーション違反を修正
lastfmLD_LIBRARY_PATH の安全でない設定を修正
libapache-authenhook-perlログメッセージからパスワードを削除
libgdiplusBMP、JPEG、TIFF の処理での整数オーバーフローを修正
libvirt仮想ネットワークトラフィックのソースポートを隠蔽 (CVE-2010-2242)
linux-2.6複数の修正
mantisクロスサイトスクリプティングの問題を修正
mt-daapdaeMK タグを処理: iTunes 10 で必要
openscenegraph組み込みコピーの lib3ds でのサービス拒否を修正
perdition64ビットでの問題を修正。SSLの再ネゴシエーションを修正。make を postrm から呼ばないように
ser2netNULL ポインタ参照を修正
sun-java6様々なセキュリティ修正
torvolatile から新しい上流バージョンをインポート。openssl のセキュリティ更新との互換性を追加。新しいディレクトリ権限を追加
ttf-beteckna同梱フォントに合うようにヒントファイルを更新
ttf-okolaks同梱フォントに合うようにヒントファイルを更新
tzdataタイムゾーンデータと翻訳を更新
user-mode-linuxlinux-2.6_2.6.26-26 に対して再ビルド
xen-tools誰からでも書き込めるディスクイメージを作成しないように
xorg-serverログを誰からでも書き込めるようにしないように。(xfvb-run) コマンドラインでは magic xauth クッキーを渡さないように

このポイントリリースに収録されている更新された linux-2.6 パッケージには、パッケージ準備の問題のため DSA 2110-1 でリリースされたセキュリティ修正が盛り込まれていないことに注意してください。 リリースされたばかりの DSA 2126-1 には DSA 2110-1 の更新とこのポイントリリースでの linux-2.6 パッケージの更新が両方とも収録されています。

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告IDパッケージ修正内容
DSA-1943 openldapSSL証明書のNULバイト脆弱性
DSA-1991 squidサービス拒否
DSA-2038 pidginSILC、SIMPLE、Yahoo! Messenger プロトコルを再び有効化
DSA-2050 kdegraphics複数の脆弱性
DSA-2077 openldap潜在的なコードの実行
DSA-2097 phpmyadmin複数の脆弱性
DSA-2098 typo3-srcリグレッション
DSA-2102 barnowl任意のコードの実行
DSA-2103 smbindSQLインジェクション
DSA-2104 quaggaサービス拒否
DSA-2105 freetype複数の脆弱性
DSA-2106 xulrunner複数の脆弱性
DSA-2107 couchdb任意のコードの実行
DSA-2108 cvsnt任意のコードの実行
DSA-2109 sambaバッファオーバーフロー
DSA-2110 user-mode-linux複数の問題
DSA-2111 squid3サービス拒否
DSA-2112 dpkg整数オーバーフロー
DSA-2112 bzip2整数オーバーフロー
DSA-2113 drupal6複数の脆弱性
DSA-2114 git-coreリグレッション
DSA-2115 moodle複数の脆弱性
DSA-2116 freetype整数オーバーフロー
DSA-2117 apr-utilサービス拒否
DSA-2118 subversion認証の迂回
DSA-2119 poppler複数の脆弱性
DSA-2120 postgresql-8.3特権の昇格
DSA-2121 typo3-src複数の脆弱性
DSA-2122 glibcローカル特権の昇格
DSA-2123 nss暗号の弱点
DSA-2124 xulrunner複数の脆弱性
DSA-2125 opensslバッファオーバーフロー

Debian インストーラ

Debian インストーラが更新され、 重要な修正を収録する新しいカーネルが盛り込まれています。

インストーラのこのリリースに収録されている更新されたカーネルには、 パッケージ準備の問題のため DSA 2110-1 でリリースされたセキュリティ修正が盛り込まれていないことに注意してください。 リリースされたばかりの DSA 2126-1 には DSA 2110-1 の更新とこのポイントリリースでの linux-2.6 パッケージの更新が両方とも収録され、 インストールしたシステムではインストール中に選択したセキュリティリポジトリから 更新した時点で収録されるということになります。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian GNU/Linux を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、https://www.debian.org/ を訪れるか、<press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。