Aktualisiertes Debian GNU/Linux 5.0.8 veröffentlicht
22. Januar 2011
Das Debian-Projekt freut sich, die achte Aktualisierung seiner Stable-Distribution
Debian GNU/Linux 5.0 (Codename Lenny
) verkünden zu dürfen. Diese
Aktualisierung beinhaltet hauptsächlich Korrekturen für Sicherheitsprobleme im
Stable-Release, zusammen mit einigen Lösungen für ernste Probleme.
Bitte beachten Sie, dass diese Aktualisierung keine komplett neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige enthaltene Pakete aktualisiert. Es gibt keinen Grund, Debian-5.0-CDs oder -DVDs zu entsorgen, wohl aber für die Aktualisierung neuer Installationen über einen aktuellen Debian-Spiegelserver, um sämtliche veralteten Pakete aufzufrischen.
Diejenigen, die häufig Aktualisierungen von security.debian.org laden, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.
Neue CD- und DVD-Images mit den aktualisierten Paketen und die üblichen mit Paketarchiven ausgestatteten Installationsmedien werden bald an den gewohnten Orten verfügbar sein.
Für Online-Upgrades zu dieser Revision wird normalerweise die aptitude- (oder apt-) Paketverwaltung auf einen der vielen Debian-eigenen FTP- oder HTTP-Spiegelserver verwiesen (siehe die sources.list(5)-Handbuchseite). Eine umfassende Liste der Spiegel ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Aktualisierung von Stable nimmt einige wichtige Korrekturen an den folgenden Paketen vor:
| Paket | Grund |
|---|---|
| awstats | Verzeichnisdurchlauf über selbst erstelltes LoadPlugin-Verzeichnis behoben |
| base-files | debian_version für diese Zwischenveröffentlichung aktualisiert |
| boxbackup | Root-CA-Ablaufdatum gesenkt, um Überlauf im Jahr 2038 zu vermeiden |
| git-core | Schwachstelle für Site-übergreifendes Skripting behoben |
| gquilt | Einstellung von PYTHONPATH abgesichert |
| hamlib | Lieber das libltdl des Systems als eine für CVE-2009-3736 anfällige interne Kopie verwenden |
| ia32-libs | Auffrischung mit neuen Paketen aus Lenny und Lenny-security |
| ia32-libs-gtk | Auffrischung mit neuen Paketen aus Lenny und Lenny-security |
| ldap-account-manager | Upgrade von Lenny durch Verwerfen der Debconf-Master-Passwort-Frage repariert |
| libcgi-pm-perl | Sicherheitsprobleme in Bezug auf das Header-Parsing behoben |
| libcgi-simple-perl | Sicherheitsprobleme in Bezug auf das Header-Parsing behoben |
| libgadu | Speicherkorruption beim Entfernen von dcc7-Sitzungen behoben |
| man-db | Unterdrückt locale-Warnungen, wenn es aus einem Dpkg-Betreuerskript ausgeführt wird |
| mediawiki | Verweigert das Framing auf den meisten Seiten, um das Risiko von Clickjacking zu verkleinern |
| movabletype-opensource | Verschiedene Sicherheitsprobleme bei XSS und SQL behoben |
| mumble | Macht die Konfigurationsdatei nicht für die Welt lesbar; löscht /var/lib/mumble-server beim endgültigen Löschen |
| opensc | Schützt bei gefälschten Karten vor Pufferüberlauf |
| perl | Behebt sicherheitstechnische Programmfehler in Bezug auf Header-Parsing; Aktualisierung auf Save-2.25 |
| postgresql-8.3 | Neues Upstream-Fehlerbehebungs-Release |
| spamassassin | Liste der ARIN-Netblock-Delegationen aktualisiert, um Fehlalarme in RelayEval zu verhindern |
| splashy | lsb-base-blogging.sh modifiziert, um Probleme zu vermeiden, wenn Splashy nur entfernt, aber nicht endgültig gelöscht wird |
| surfraw | URL des Debian-security-Trackers aktualisiert |
| user-mode-linux | Neubau gegen linux-source-2.6.26 (2.6.26-26lenny1) |
| xdigger | Pufferüberlauf-Fehler behoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht.
| Ankündigungs-ID | Paket | Korrektur(en) |
|---|---|---|
| DSA-2110 | linux-2.6 | Einige Probleme |
| DSA-2122 | glibc | Privilegeskalation |
| DSA-2126 | linux-2.6 | Einige Probleme |
| DSA-2127 | wireshark | Diensteverweigerung |
| DSA-2128 | libxml2 | Potenzielle Codeausführung |
| DSA-2129 | krb5 | Schwäche bei der Überprüfung von Prüfsummen |
| DSA-2130 | bind9 | Diensteverweigerung |
| DSA-2131 | exim4 | Codeausführung aus der Ferne |
| DSA-2132 | xulrunner | Einige Schwachstellen |
| DSA-2133 | collectd | Diensteverweigerung |
| DSA-2135 | xpdf | Einige Schwachstellen |
| DSA-2136 | tor | Potenzielle Codeausführung |
| DSA-2137 | libxml2 | Einige Schwachstellen |
| DSA-2138 | wordpress | SQL-Injektion |
| DSA-2139 | phpmyadmin | Einige Schwachstellen |
| DSA-2140 | libapache2-mod-fcgid | Stapelüberlauf |
| DSA-2141 | apache2 | Optionen für Rückwärtskompatibilität bei Verwendung mit dem neuen Openssl hinzugefügt |
| DSA-2141 | nss | Lücke im Protokolldesign |
| DSA-2141 | apache2-mpm-itk | Neubau mit apache2-src 2.2.9-10+lenny9 |
| DSA-2141 | openssl | Lücke im Protokolldesign |
| DSA-2141 | lighttpd | Kompatibilitätsprobleme mit dem neuen Openssl |
| DSA-2142 | dpkg | Directory Traversal |
| DSA-2143 | mysql-dfsg-5.0 | Einige Schwachstellen |
| DSA-2144 | wireshark | Pufferüberlauf |
| DSA-2145 | libsmi | Pufferüberlauf |
| DSA-2146 | mydms | Problem mit Directory Traversal |
| DSA-2147 | pimd | Temporärdateien abgehärtet |
| DSA-2148 | tor | Einige Schwachstellen |
Entfernte Pakete
Die folgenden Pakete wurden aufgrund von Umständen außerhalb unserer Kontrolle entfernt:
| Paket | Grund |
|---|---|
| pytris | Sicherheitsprobleme; von den Originalautoren nicht mehr betreut |
| python-gendoc | Defekt mit Python>= 2.5 |
| clive | Vollständig defekt |
| gmailfs | Defekt wegen Änderungen bei Gmail;von den Originalautoren nicht mehr betreut |
| python-libgmail | Defekt wegen Änderungen bei Gmail; von den Originalautoren nicht mehr betreut |
URLs
Die vollständige Liste der Pakete, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen der Stable-Distribution (Veröffentlichungsnotizen, Fehlerverzeichnisse usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist eine Vereinigung von Entwicklern Freier Software, die ihre Zeit und Anstrengungen dafür opfern, das vollständig freie Betriebssystem Debian GNU/Linux herzustellen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter http://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Stable-Release-Team unter <debian-release@lists.debian.org>.