Aktualisiertes Debian GNU/Linux 5.0.8 veröffentlicht

22. Januar 2011

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Stable-Distribution Debian GNU/Linux 5.0 (Codename Lenny) verkünden zu dürfen. Diese Aktualisierung beinhaltet hauptsächlich Korrekturen für Sicherheitsprobleme im Stable-Release, zusammen mit einigen Lösungen für ernste Probleme.

Bitte beachten Sie, dass diese Aktualisierung keine komplett neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige enthaltene Pakete aktualisiert. Es gibt keinen Grund, Debian-5.0-CDs oder -DVDs zu entsorgen, wohl aber für die Aktualisierung neuer Installationen über einen aktuellen Debian-Spiegelserver, um sämtliche veralteten Pakete aufzufrischen.

Diejenigen, die häufig Aktualisierungen von security.debian.org laden, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.

Neue CD- und DVD-Images mit den aktualisierten Paketen und die üblichen mit Paketarchiven ausgestatteten Installationsmedien werden bald an den gewohnten Orten verfügbar sein.

Für Online-Upgrades zu dieser Revision wird normalerweise die aptitude- (oder apt-) Paketverwaltung auf einen der vielen Debian-eigenen FTP- oder HTTP-Spiegelserver verwiesen (siehe die sources.list(5)-Handbuchseite). Eine umfassende Liste der Spiegel ist verfügbar unter:

http://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Aktualisierung von Stable nimmt einige wichtige Korrekturen an den folgenden Paketen vor:

Paket Grund
awstats Verzeichnisdurchlauf über selbst erstelltes LoadPlugin-Verzeichnis behoben
base-files debian_version für diese Zwischenveröffentlichung aktualisiert
boxbackup Root-CA-Ablaufdatum gesenkt, um Überlauf im Jahr 2038 zu vermeiden
git-core Schwachstelle für Site-übergreifendes Skripting behoben
gquilt Einstellung von PYTHONPATH abgesichert
hamlib Lieber das libltdl des Systems als eine für CVE-2009-3736 anfällige interne Kopie verwenden
ia32-libs Auffrischung mit neuen Paketen aus Lenny und Lenny-security
ia32-libs-gtk Auffrischung mit neuen Paketen aus Lenny und Lenny-security
ldap-account-manager Upgrade von Lenny durch Verwerfen der Debconf-Master-Passwort-Frage repariert
libcgi-pm-perl Sicherheitsprobleme in Bezug auf das Header-Parsing behoben
libcgi-simple-perl Sicherheitsprobleme in Bezug auf das Header-Parsing behoben
libgadu Speicherkorruption beim Entfernen von dcc7-Sitzungen behoben
man-db Unterdrückt locale-Warnungen, wenn es aus einem Dpkg-Betreuerskript ausgeführt wird
mediawiki Verweigert das Framing auf den meisten Seiten, um das Risiko von Clickjacking zu verkleinern
movabletype-opensource Verschiedene Sicherheitsprobleme bei XSS und SQL behoben
mumble Macht die Konfigurationsdatei nicht für die Welt lesbar; löscht /var/lib/mumble-server beim endgültigen Löschen
opensc Schützt bei gefälschten Karten vor Pufferüberlauf
perl Behebt sicherheitstechnische Programmfehler in Bezug auf Header-Parsing; Aktualisierung auf Save-2.25
postgresql-8.3 Neues Upstream-Fehlerbehebungs-Release
spamassassin Liste der ARIN-Netblock-Delegationen aktualisiert, um Fehlalarme in RelayEval zu verhindern
splashy lsb-base-blogging.sh modifiziert, um Probleme zu vermeiden, wenn Splashy nur entfernt, aber nicht endgültig gelöscht wird
surfraw URL des Debian-security-Trackers aktualisiert
user-mode-linux Neubau gegen linux-source-2.6.26 (2.6.26-26lenny1)
xdigger Pufferüberlauf-Fehler behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht.

Ankündigungs-ID Paket Korrektur(en)
DSA-2110 linux-2.6Einige Probleme
DSA-2122 glibcPrivilegeskalation
DSA-2126 linux-2.6Einige Probleme
DSA-2127 wiresharkDiensteverweigerung
DSA-2128 libxml2Potenzielle Codeausführung
DSA-2129 krb5Schwäche bei der Überprüfung von Prüfsummen
DSA-2130 bind9Diensteverweigerung
DSA-2131 exim4Codeausführung aus der Ferne
DSA-2132 xulrunnerEinige Schwachstellen
DSA-2133 collectdDiensteverweigerung
DSA-2135 xpdfEinige Schwachstellen
DSA-2136 torPotenzielle Codeausführung
DSA-2137 libxml2Einige Schwachstellen
DSA-2138 wordpressSQL-Injektion
DSA-2139 phpmyadminEinige Schwachstellen
DSA-2140 libapache2-mod-fcgidStapelüberlauf
DSA-2141 apache2Optionen für Rückwärtskompatibilität bei Verwendung mit dem neuen Openssl hinzugefügt
DSA-2141 nssLücke im Protokolldesign
DSA-2141 apache2-mpm-itkNeubau mit apache2-src 2.2.9-10+lenny9
DSA-2141 opensslLücke im Protokolldesign
DSA-2141 lighttpdKompatibilitätsprobleme mit dem neuen Openssl
DSA-2142 dpkgDirectory Traversal
DSA-2143 mysql-dfsg-5.0Einige Schwachstellen
DSA-2144 wiresharkPufferüberlauf
DSA-2145 libsmiPufferüberlauf
DSA-2146 mydmsProblem mit Directory Traversal
DSA-2147 pimdTemporärdateien abgehärtet
DSA-2148 torEinige Schwachstellen

Entfernte Pakete

Die folgenden Pakete wurden aufgrund von Umständen außerhalb unserer Kontrolle entfernt:

Paket Grund
pytris Sicherheitsprobleme; von den Originalautoren nicht mehr betreut
python-gendoc Defekt mit Python>= 2.5
clive Vollständig defekt
gmailfs Defekt wegen Änderungen bei Gmail;von den Originalautoren nicht mehr betreut
python-libgmail Defekt wegen Änderungen bei Gmail; von den Originalautoren nicht mehr betreut

URLs

Die vollständige Liste der Pakete, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen der Stable-Distribution (Veröffentlichungsnotizen, Fehlerverzeichnisse usw.):

http://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist eine Vereinigung von Entwicklern Freier Software, die ihre Zeit und Anstrengungen dafür opfern, das vollständig freie Betriebssystem Debian GNU/Linux herzustellen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter http://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Stable-Release-Team unter <debian-release@lists.debian.org>.