Debian 6.0 更新: 6.0.6 リリース

2012 年 9 月 29 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 6.0 (コード名 squeeze) の 6 回目の更新を発表出来ることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、 重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 6.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 6.0 の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

http://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では、以下のパッケージに重要な修正が加えられています:

パッケージ 理由
alpine 組み込み UW-IMAP の複製でのクラッシュを修正
apache2 mod_negotiation - CVE-2012-2687 の修正; mod_cache - 部分的な接続をキャッシュしない; 読み込みタイムアウトは 408 とすべき
automake1.10 CVE-2012-3386 の修正
automake1.11 CVE-2012-3386 の修正
automake1.7 CVE-2012-3386 の修正
automake1.9 CVE-2012-3386 の修正
base-files /etc/debian_version をポイントリリース用に更新
checkgmail GMail 認証の問題を修正
clamav 新しい上流リリース
debian-archive-keyring wheezy 安定版とアーカイブ用の署名鍵を追加
dpkg SELinux システム上での展開に信頼性を確保
eglibc patches/any/cvs-dlopen-tls.diff を本当に有効に; FORTIFY_SOURCE フォーマット文字列防護バイパスを修正; RPC 実装での DoS を修正
emesene contact end-point を local-bay.contacts.msn.com に更新
geshi 「contrib のスクリプトのローカルファイル取り込みの脆弱性」を修正
gosa セキュリティ修正 (エスケープの欠落)
ia32-libs パッケージ更新
libconfig-inifiles-perl 安全でない一時ファイルの使用を修正
libgc 内部の malloc および calloc ルーチンでの整数オーバフローを確認
libmtp いくつかのデバイスのデバイスフラグを修正; 新しいデバイスの対応追加
libxslt CVE-2011-1202、CVE-2011-3970、CVE-2012-2825 の修正
links2 セキュリティ修正
linux-2.6 DRM 修正; うるう秒修正; セキュリティ修正; 様々なドライバ修正
linux-kernel-di-amd64-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-armel-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-i386-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-ia64-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-mips-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-mipsel-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-powerpc-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-s390-2.6 linux-2.6 2.6.32-46 に対して再ビルド
linux-kernel-di-sparc-2.6 linux-2.6 2.6.32-46 に対して再ビルド
lockfile-progs ロックファイル作成時に必ず正しい PID が使われるように
mysql-mmm libpath-class-perl への依存を追加
network-manager 臨時 WPA ネットワークの作成許可を停止; カーネルバグがあった場合オープンネットワークとして作成されるということになる
nss-pam-ldapd より大きな gecos の値に対応; 信頼性の修正
nvidia-graphics-drivers カーネルモジュールでの情報漏洩を修正; 任意のメモリにアクセスできる脆弱性を修正; VGA ウィンドウの処理を経由したローカル特権の昇格を修正
nvidia-graphics-modules 195.36.31-6squeeze1 カーネルモジュールに対しての再ビルドによるセキュリティ修正; 再ビルドによる CVE-2012-4225 を修正
php-memcached session.gc_maxlifetime 処理の修正
plymouth パッケージ削除時に init スクリプトが失敗しないように修正
policyd-weight rfc-ignorant.org RBL (近日中の閉鎖のため) と rbl.ipv6-world.net の削除
postgresql-common --force モードの「最後の最後」で postmaster を SIGKILL した後に PID ファイルを削除しないように
powertop 最近のカーネルを巨大な設定ファイルと組み合わせた場合のセグメンテーション違反を修正
publican libio-string-perl への依存およびビルド依存を追加
rstatd Linux 3.x カーネルに対応
spip ベース名漏洩を修正; セキュリティ修正
tor 上流の更新; TLS 1.1/1.2 の openssl 1.0.1 との再ネゴシエーションを修正; DOS の可能性を修正; クラッシュ 2 件と情報漏洩の問題を修正
ttb python-glade2 への依存を追加
vte メモリを使い果たす脆弱性を修正
wims インストールに係る問題を修正
wireshark ANSI A 検出器と pcap / pcap-ng パーサがクラッシュするのを修正
xserver-xorg-video-intel UXA/glyphs: 巨大な文字列でクラッシュせずフォールバックするように
yaws RNG 強度の修正; メール設定の読み込みを修正

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。. セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 ID パッケージ 修正内容
DSA-2457 iceweaselリグレッションの修正
DSA-2458 iceapeリグレッションの修正
DSA-2465 php5複数の脆弱性
DSA-2466 railsクロスサイトスクリプティング
DSA-2467 mahara安全でない既定値
DSA-2468 libjakarta-poi-java無制限のメモリ割り当て
DSA-2470 wordpress複数の脆弱性
DSA-2471 ffmpeg複数の脆弱性
DSA-2472 gridengine特権の昇格
DSA-2473 openoffice.orgバッファオーバフロー
DSA-2474 ikiwikiクロスサイトスクリプティング
DSA-2475 openssl整数アンダーフロー
DSA-2476 pidgin-otrフォーマット文字列の脆弱性
DSA-2477 sympa認証バイパス
DSA-2478 sudo解析エラー
DSA-2479 libxml2境界を 1 誤る欠陥 (Off-by-one)
DSA-2480 request-tracker3.8リグレッション
DSA-2481 arpwatch補助グループの権限処理に失敗
DSA-2482 libgdataTLS 証明書をシステムの root CA に対して検証していない
DSA-2483 strongswan認証バイパス
DSA-2484 nutサービス拒否
DSA-2485 imp4クロスサイトスクリプティング
DSA-2486 bind9サービス拒否
DSA-2487 openoffice.orgバッファオーバフロー
DSA-2488 iceweasel複数の脆弱性
DSA-2489 iceape複数の脆弱性
DSA-2490 nssサービス拒否
DSA-2491 postgresql-8.4複数の脆弱性
DSA-2492 php5バッファオーバフロー
DSA-2493 asteriskサービス拒否
DSA-2494 ffmpeg複数の脆弱性
DSA-2495 openconnectバッファオーバフロー
DSA-2497 quaggaサービス拒否
DSA-2498 dhcpcdリモートからのスタックオーバフロー
DSA-2499 icedove複数の脆弱性
DSA-2500 mantis複数の脆弱性
DSA-2501 xen複数の脆弱性
DSA-2502 python-cryptoプログラムミス
DSA-2503 bcfg2シェルコマンドインジェクション
DSA-2504 libspring-2.5-java情報漏洩
DSA-2505 zendframework情報漏洩
DSA-2506 libapache-mod-securityModsecurity バイパス
DSA-2507 openjdk-6複数の脆弱性
DSA-2508 kfreebsd-8特権の昇格
DSA-2509 pidginリモートからのコード実行
DSA-2510 extplorerクロスサイトリクエストフォージェリ
DSA-2511 puppet複数の脆弱性
DSA-2512 mono入力サニタイズ処理の欠落
DSA-2513 iceape複数の脆弱性
DSA-2514 iceweasel複数の脆弱性
DSA-2515 nsd3Null ポインタ参照
DSA-2516 isc-dhcpサービス拒否
DSA-2517 bind9サービス拒否
DSA-2518 krb5サービス拒否
DSA-2519 isc-dhcpサービス拒否
DSA-2520 openoffice.org複数のヒープベースのバッファオーバフロー
DSA-2521 libxml2整数オーバフロー
DSA-2522 fckeditorクロスサイトスクリプティング
DSA-2523 globus-gridftp-serverプログラムミス
DSA-2523 globus-gridftp-server-controlプログラムミス
DSA-2524 openttd複数の脆弱性
DSA-2525 expat複数の脆弱性
DSA-2526 libotrバッファオーバフロー
DSA-2527 php5複数の脆弱性
DSA-2528 icedove複数の脆弱性
DSA-2529 python-django複数の脆弱性
DSA-2530 rsshシェルコマンドインジェクション
DSA-2531 xenサービス拒否
DSA-2532 libapache2-mod-rpafサービス拒否
DSA-2533 pcp複数の脆弱性
DSA-2534 postgresql-8.4複数の脆弱性
DSA-2535 rtfmクロスサイトスクリプティング
DSA-2536 otrs2クロスサイトスクリプティング
DSA-2537 typo3-src複数の脆弱性
DSA-2538 moin特権の昇格
DSA-2539 zabbixSQL インジェクション
DSA-2540 maharaクロスサイトスクリプティング
DSA-2541 beaker情報漏洩
DSA-2542 qemu-kvm複数の脆弱性
DSA-2543 xen-qemu-dm-4.0複数の脆弱性
DSA-2544 xenサービス拒否
DSA-2545 qemu複数の脆弱性
DSA-2546 freeradiusコード実行
DSA-2547 bind9適切でない断定
DSA-2548 tor複数の脆弱性
DSA-2549 devscripts複数の脆弱性

Debian インストーラ

インストーラが再ビルドされ、 このポイントリリースまでに安定版に組み込まれた修正が取り込まれています。

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ 理由
blockade 配布不可能なデータファイル
kcheckgmail 保守されていない; Google の変更により壊れている
libtrash 保守されていない; 壊れている

URL

重大な問題に対する若干の調整への対応を追加しています:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

http://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ http://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。