Debian 6.0 更新: 6.0.5 リリース

2012 年 5 月 12 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 6.0 (コード名 squeeze) の 6 回目の更新を発表出来ることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、 重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 6.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 6.0 の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

http://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では、以下のパッケージに重要な修正が加えられています:

パッケージ 理由
acpid CVE-2011-1159 を本当に修正
apr まれに Subversion リポジトリ破壊につながる可能性がある apr_file_trunc() バグを修正
at 以後のカーネルと互換性が取れるようにユーザの権限をハードリンクで作成
base-files ポイントリリース用に /etc/debian_version を更新
brltty 巨大な esys/iris ディスプレイのサポートを修正
clive youtube.com の変更に対応
ecl 壊れた postrm スクリプトを削除
eglibc 壊れたサーバが AAAA クエリに対して NOTIMP や FORMERR を返す名前解決の問題を修正; タイムゾーンコードの整数オーバフローを修正; local/manpages/gai.conf.5: RedHat の最新版により更新
evolution-data-server e_book_get_changes() が実際に変更を返すように
fail2ban サーバの executeCmd をロックすることにより iptables コールの競合を回避; 安全でない一時ファイル作成を修正
foomatic-filters renderer のコマンドラインでの安全でない一時ファイルの使用を修正
giplet 適切ではなくなった www.whatismyip.org に代えて checkip.dyndns.org を使用
gnusound 修正 フォーマット文字列のセキュリティ問題を修正
gosa DHCP ホスト削除とユーザ作成時の Unicode 文字変換を修正
highlight 壊れた postrm を削除
json-glib double の直列化を修正
kdeutils Ark でのディレクトリトラバーサルを修正
keepalived pid ファイルに正しい権限をセット
laptop-mode-tools 3.x への対応を追加
libcgicc pkg-config ファイルをインストールして位置を修正
libxi passive grab を修正; 不明なデバイスクラスの処理; XIQueryPointer で mods/group->effective を代理
linux-2.6 長期リリースとなる 2.6.32.5[5-9] を追加
linux-kernel-di-amd64-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-armel-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-i386-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-ia64-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-mips-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-mipsel-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-powerpc-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-s390-2.6 linux-2.6 2.6.32-45 に対して再ビルド
linux-kernel-di-sparc-2.6 linux-2.6 2.6.32-45 に対して再ビルド
netselect 安定性と付属文書を修正; ミラー一覧の、属性が組み込まれたものを処理
openssh 強制コマンドによるデバッグメッセージ経由の情報漏洩を修正
openvpn kFreeBSD での /sbin/route コールを修正
php-memcache memcached 1.4.4+ からオブジェクトを削除する際のキャッシュ削除バグを修正
php-memcached getServerByKey() での二重解放を修正
phppgadmin function.php での XSS を修正
policykit-1 /proc からの読み取り時に setuid されたプログラムを pkexec から実行することによる root 権限取得をローカルユーザに許していた競合状態の修正
procps 3.X カーネル対応
pyspf SPF レコードの CNAME を正常に処理
python-defaults /var/lib/python/python2.6_already_installed を正常に削除
python-virtualenv 安全でない一時ファイルの扱いを修正
rott シェアウェアのデータファイルのダウンロード先を pkg-games.alioth.debian.org にフォールバック
sks 標準互換の POST を使用
sysvinit NFS での rpcbind や portmap の使用を有効化
texlive-base インストール前処理で pdftexconfig.tex が足りないのを修復しないように
tremulous getstatus および rcon の無接続のパケットをレート制限することで通信量増幅を回避; 複数のセキュリティバグを修正; 自動ダウンロードの無効化
tzdata 新しい上流バージョン
wicd ローカル特権の昇格を修正、CVE-2012-2095
xfce4-weather-plugin サービスキー更新によりサーバへのアクセスを復活
yapra ruby1.8 をビルド依存に追加し、クリーンな環境でビルド出来なかったのを修正

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 ID パッケージ 修正内容
DSA-2321 moinクロスサイトスクリプティング
DSA-2352 puppetプログラムミス
DSA-2359 mojarraEL インジェクション
DSA-2394 libxml2複数の問題
DSA-2395 wiresharkバッファアンダーフロー
DSA-2396 qemu-kvmバッファアンダーフロー
DSA-2397 icuバッファアンダーフロー
DSA-2398 curl複数の問題
DSA-2399 php5複数の問題
DSA-2400 iceweasel複数の問題
DSA-2401 tomcat6複数の問題
DSA-2402 iceape複数の問題
DSA-2403 php5コードインジェクション
DSA-2404 xen-qemu-dm-4.0バッファオーバフロー
DSA-2405 apache2複数の問題
DSA-2406 icedove複数の問題
DSA-2407 cvsヒープオーバフロー
DSA-2408 php5複数の問題
DSA-2409 devscripts複数の問題
DSA-2410 libpng整数オーバフロー
DSA-2411 mumble情報漏洩
DSA-2412 libvorbisバッファオーバフロー
DSA-2413 libarchiveバッファオーバフロー
DSA-2414 fex不十分な入力サニタイズ処理
DSA-2415 libmodplug複数の問題
DSA-2416 notmuch情報漏洩
DSA-2417 libxml2サービス拒否
DSA-2418 postgresql-8.4複数の問題
DSA-2419 puppet複数の問題
DSA-2420 openjdk-6複数の問題
DSA-2421 moodle複数の問題
DSA-2422 file境界チェックの欠落
DSA-2423 movabletype-opensource複数の問題
DSA-2424 libxml-atom-perlXML エンティティ展開
DSA-2425 plibバッファオーバフロー
DSA-2426 gimp複数の問題
DSA-2427 imagemagick複数の問題
DSA-2428 freetype複数の問題
DSA-2430 python-pam二重解放
DSA-2431 libdbd-pg-perlフォーマット文字列の脆弱性
DSA-2432 libyaml-libyaml-perlフォーマット文字列の脆弱性
DSA-2433 iceweasel複数の問題
DSA-2434 nginx機密情報漏洩
DSA-2435 gnash複数の問題
DSA-2436 libapache2-mod-fcgid機能していないリソース制限
DSA-2437 icedove複数の問題
DSA-2438 raptorプログラムミス
DSA-2439 libpngバッファオーバフロー
DSA-2440 libtasn1-3整数オーバフロー
DSA-2441 gnutls26境界チェックの欠落
DSA-2442 openarenaUDP 通信量増幅
DSA-2443 linux-2.6複数の問題
DSA-2443 user-mode-linux複数の問題
DSA-2444 tryton-server特権の昇格
DSA-2445 typo3-src複数の問題
DSA-2446 libpng不正なメモリ処理
DSA-2447 tiff整数オーバフロー
DSA-2448 inspircdバッファオーバフロー
DSA-2449 sqlalchemy入力サニタイズ処理の欠落
DSA-2450 samba特権の昇格
DSA-2451 puppet複数の問題
DSA-2452 apache2安全でないデフォルト設定
DSA-2453 gajim複数の問題
DSA-2454 openssl複数の問題
DSA-2455 typo3-srcクロスサイトスクリプティング
DSA-2456 dropbear解放後の使用
DSA-2457 iceweasel複数の問題
DSA-2458 iceape複数の問題
DSA-2459 quagga複数の問題
DSA-2460 asterisk複数の問題
DSA-2461 spip複数の問題
DSA-2462 imagemagick複数の問題
DSA-2463 samba権限チェックの欠落
DSA-2464 icedove複数の問題

Debian インストーラ

インストーラが再ビルドされ、 このポイントリリースまでに安定版に組み込まれた修正が取り込まれています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

http://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ http://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。