Debian 6.0 更新: 6.0.7 リリース

2013 年 2 月 23 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 6.0 (コード名 squeeze) の 7 回目の更新を発表出来ることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、 重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 6.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 6.0 の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

http://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では、以下のパッケージに重要な修正が加えられています:

パッケージ 理由
apt-show-versions squeeze-updates および squeeze の検出を修正。公式ディストリビューション一覧を更新
base-files ポイントリリース用に更新
bcron ジョブから他のジョブの一時ファイルにへのアクセスを不許可
bind9 D root サーバの IP アドレスを更新
bugzilla パッケージ設定時に利用される liburi-perl への依存を追加
choose-mirror マスターミラー一覧の URL を更新
clamav 上流の新バージョン
claws-mail NULL ポインタ参照を修正
clive youtube.com の変更を取り込み
cups cups-files.conf の man ページを同梱
dbus setuid/setgid されたバイナリでのコード実行を回避
dbus-glib チェックが不十分なことによる認証バイパスを修正 (CVE-2013-0292)
debian-installer 6.0.7 に対して再ビルド
debian-installer-netboot-images debian-installer 20110106+squeeze4+b3 に対して再ビルド
dtach クローズ要求を適切に処理 (CVE-2012-3368)
ettercap ホスト一覧の解析を修正 (CVE-2013-0722)
fglrx-driver lenny からのアップグレードでの diversion 関連の問題を修正
flashplugin-nonfree gpg --verify を採用
fusionforge Lenny から squeeze へのアップグレードを修正
gmime2.2 Conflicts: libgmime2.2-cil を追加して lenny からのアップグレードを修正
gzip 領域が重なるときに memcpy を使わないように
ia32-libs stable / security.d.o からのパッケージに更新
ia32-libs-core stable / security.d.o からのパッケージに更新
kfreebsd-8 CVE-2012-4576: linux 互換システムでの適切に検証していないメモリアクセスを修正
libbusiness-onlinepayment-ippay-perl IPPay ゲートウェイのサーバ名とパスの変更をバックポート
libproc-processtable-perl 安全でない一時ファイルの利用を修正 (CVE-2011-4363)
libzorpll libzorpll-dev に Breaks/Replaces: libzorp2-dev が抜けていたのを追加
linux-2.6 安定版リリース 2.6.32.60 に更新。hpsa、isci、megaraid_sas ドライバの更新をバックポート。r8169 でハングしていたのを修正
linux-kernel-di-amd64-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-armel-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-i386-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-ia64-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-mips-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-mipsel-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-powerpc-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-s390-2.6 linux-2.6 2.6.32-48 に対して再ビルド
linux-kernel-di-sparc-2.6 linux-2.6 2.6.32-48 に対して再ビルド
magpierss アップグレードの問題を修正
maradns CVE-2012-1570 (削除されたドメインレコードのキャッシュを保持する問題) を修正
mediawiki Special:UserLogin でのセッション固定を回避 (CVE-2012-5391)。リンカの正規表現がバックトラックの制限を超えないように
moodle 複数のセキュリティ修正
nautilus Breaks: samba-common (<< 2:3.5) を追加して lenny から squeeze へのアップグレードの問題を修正
openldap アップグレード時の prerm でデータベースをダンプし、libdb のバージョンが新しくなっているリリースへのアップグレードを支援
openssh DoS 耐性を改善 (CVE-2010-5107)
pam-pgsql パスワードが NULL のときの問題を修正
pam-shield allow_missing_dns が no の時に IP アドレスを正しくブロックするように
perl maketext 文字列の解析の誤りを修正 (CVE-2012-6329)
poppler セキュリティ修正: CVE-2010-0206、CVE-2010-0207、CVE-2012-4653。GooString::insert を修正し、変数を正しく初期化
portmidi クラッシュを修正
postgresql-8.4 上流の新しいマイクロリリース
sdic インストール時に利用するため bzip2 を Suggests から Depends に移動
snack バッファオーバフローを修正 (CVE-2012-6303)
sphinx jQuery>= 1.4 への互換性がなかったのを修正
swath Mule モードでのバッファオーバフローの可能性を修正
swi-prolog バッファオーバランを修正
ttf-ipafont 代替フォントを削除
tzdata 上流の新バージョン。アメリカ/バイア (ブラジル) の DST を修正
unbound D.ROOT-SERVERS.NET の IP アドレスを更新
xen 時計が壊れていたのを修正
xnecview armel での FTBFS を修正

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 IDパッケージ修正内容
DSA-2550 asterisk複数の問題複数の問題
DSA-2551 isc-dhcpサービス拒否
DSA-2552 tiff複数の問題
DSA-2553 iceweasel複数の問題
DSA-2554 iceape複数の問題
DSA-2555 libxslt複数の問題
DSA-2556 icedove複数の問題
DSA-2557 hostapdサービス拒否
DSA-2558 bacula情報漏洩
DSA-2559 libexif複数の問題
DSA-2560 bind9サービス拒否
DSA-2561 tiffバッファオーバフロー
DSA-2562 cups-pk-helper特権の昇格
DSA-2563 viewvc複数の問題
DSA-2564 tinyproxyサービス拒否
DSA-2565 iceweasel複数の問題
DSA-2566 exim4ヒープオーバフロー
DSA-2567 request-tracker3.8複数の問題
DSA-2568 rtfm特権の昇格
DSA-2569 icedove複数の問題
DSA-2570 openoffice.org複数の問題
DSA-2571 libproxyバッファオーバフロー
DSA-2572 iceape複数の問題
DSA-2573 radsecproxySSL 証明書検証の弱点
DSA-2574 typo3-src複数の問題
DSA-2575 tiffヒープオーバフロー
DSA-2576 trousersサービス拒否
DSA-2577 libssh複数の問題
DSA-2578 rssh複数の問題
DSA-2579 apache2複数の問題
DSA-2580 libxml2バッファオーバフロー
DSA-2582 xenサービス拒否
DSA-2583 iceweasel複数の問題
DSA-2584 iceape複数の問題
DSA-2585 bogofilterヒープベースのバッファオーバフロー
DSA-2586 perl複数の問題
DSA-2587 libcgi-pm-perlHTTP ヘッダインジェクション
DSA-2588 icedove複数の問題
DSA-2589 tiffバッファオーバフロー
DSA-2590 wireshark複数の問題
DSA-2591 mahara複数の問題
DSA-2592 elinksプログラミングの誤り
DSA-2593 moin複数の問題
DSA-2594 virtualbox-oseプログラミングの誤り
DSA-2595 ghostscriptバッファオーバフロー
DSA-2596 mediawiki-extensionsRSSReader 拡張にクロスサイトスクリプティング
DSA-2597 rails入力検証の誤り
DSA-2598 weechat複数の問題
DSA-2599 nss誤って発行された中間認証局
DSA-2600 cups特権の昇格
DSA-2601 gnupg2入力サニタイズ処理の欠落
DSA-2601 gnupg入力サニタイズ処理の欠落
DSA-2602 zendframeworkXML 外部エンティティ取り込み
DSA-2603 emacs23プログラミングの誤り
DSA-2604 rails入力の不十分な検証
DSA-2605 asterisk複数の問題
DSA-2606 proftpd-dfsgシンボリックリンク競合
DSA-2607 qemu-kvmバッファオーバフロー
DSA-2608 qemuバッファオーバフロー
DSA-2609 railsSQL クエリ操作
DSA-2610 gangliaリモートからのコード実行
DSA-2611 movabletype-opensource複数の問題
DSA-2612 ircd-ratboxリモートからのクラッシュ
DSA-2613 rails入力の不十分な検証
DSA-2614 libupnp複数の問題
DSA-2615 libupnp4複数の問題
DSA-2616 nagios3バッファオーバフロー脆弱性
DSA-2617 samba複数の問題
DSA-2618 ircd-hybridサービス拒否
DSA-2619 xen-qemu-dm-4.0バッファオーバフロー
DSA-2620 rails複数の問題
DSA-2621 openssl複数の問題
DSA-2622 polarssl複数の問題
DSA-2623 openconnectバッファオーバフロー
DSA-2624 ffmpeg複数の問題
DSA-2625 wireshark複数の問題
DSA-2626 lighttpd複数の問題
DSA-2627 nginx情報漏洩

Debian インストーラ

インストーラが再ビルドされ、 このポイントリリースまでに安定版に組み込まれた修正が取り込まれています。

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ 理由
elmerfem ライセンスの問題 (GPL + non-GPL)

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates/

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

http://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ http://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。