Debian 6.0 aktualisiert: 6.0.8 veröffentlicht

20. Oktober 2013

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Oldstable-Distribution Debian 6.0 (Codename squeeze) ankündigen zu dürfen. Diese Aktualisierung nimmt an der Oldstable-Veröffentlichung hauptsächlich Sicherheitskorrekturen vor, außerdem liefert sie Lösungen für einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 6.0 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, 6.0-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine vollständige Liste der Spiegelserver findet sich unter:

http://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Oldstable-Aktualisierung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
base-files Version auf diese Zwischenveröffentlichung aktualisiert
clamav Neue Upstream-Version, Sicherheitslücken behoben
dpkg-ruby Dateien nach der Auswertung schließen, um Probleme bei dist-upgrades zu verhindern
gdm3 Potenzielle Sicherheitslücke bei teilweisen Upgrades auf Wheezy beseitigt
graphviz System-LTDL benutzen
grep CVE-2012-5667 behoben
ia32-libs Enthaltene Pakete von Oldstable/security.d.o aktualisiert
ia32-libs-gtk Enthaltene Pakete von Oldstable/security.d.o aktualisiert
inform Defekte Calls für update-alternatives entfernt
ldap2dns Unnötiges Einbeziehen von /usr/share/debconf/confmodule in postinst korrigiert
libapache-mod-security Nullzeiger-Dereferenzierung behoben. CVE-2013-2765
libmodule-signature-perl CVE-2013-2145: Eigenmächtige Codeausführung beim Verifizieren der SIGNATURE abgestellt
libopenid-ruby CVE-2013-1812 behoben
libspf2 IPv6-Korrekturen
lm-sensors-3 Ermittlung der EDID oder von Grafikkarten überspringen, um Hardwareproblemen vorzubeugen
moin Kein leeres Pagedir (mit leerem edit-log) erzeugen
net-snmp CVE-2012-2141 behoben
openssh Potenziellen Integer-Überlauf bei der Verwendung von GSSAPI-with-MAC-Authentifizierung behoben (CVE-2011-5000)
openvpn Verwendung von non-constant-time memcmp im HMAC-Vergleich behoben. CVE-2013-2061
pcp Unsichere Handhabung von Temporärdateien behoben
pigz Restriktivere Berechtigungen für Dateien in Bearbeitung verwenden
policyd-weight shut-down njabl DNSBL entfernt
pyopencl Unfreie Datei aus den Beispielen getilgt
pyrad Besseren Zufallszahlengenerator verwenden, um vorhersehbare Passwort-Hashes und Paket-IDs zu vermeiden (CVE-2013-0294)
python-qt4 Absturz in UIC-Datei mit Radio-Buttons behoben
request-tracker3.8 Dateien, die nicht zum Zwischenspeicher gehören, in /var/lib verschieben
samba CVE-2013-4124 behoben: Dienstblockade - CPU-Schleife und Speicherbelegung
smarty CVE-2012-4437 behoben
spamassassin shut-down njabl DNSBL entfernt; RCVD_ILLEGAL_IP korrigiert, damit es 5.0.0.0/8 nicht als unzulässig betrachtet
sympa Endlosschleife in WWSympa beim Laden von Sitzungsdaten mit Metazeichen behoben
texlive-extra Vorhersagbare Namen der Temporärdateien in latex2man behoben
tntnet Unsichere Vorgabe-tntnet.conf korrigiert
tzdata Neue Upstream-Version
wv2 src/generator/generator_wword{6,8}.htm wirklich entfernen
xorg-server Auf KFreeBSD mit -lbsd verknüpft, damit MIT-SHM auch mit nicht für alle Welt zugänglichen Segmenten arbeitet
xview Alternativen-Handhabung korrigiert
zabbix SQL-Injektion behoben; zabbix_agentd-DoS, mögliche Pfad-Offenlegung, Bypass für Feldnamen-Parameterüberprüfung, Fähigkeit zum Übergehen der LDAP-Konfiguration, wenn user.login über die API aufgerufen wird, behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket Korrektur(en)
DSA-2628 nss-pam-ldapdPufferüberlauf
DSA-2629 openjpegMehrere Probleme
DSA-2630 postgresql-8.4Programmierfehler
DSA-2631 squid3Dienstblockade
DSA-2632 user-mode-linuxMehrere Probleme
DSA-2632 linux-2.6Mehrere Probleme
DSA-2633 fusionforgePrivilegienüberlauf
DSA-2634 python-djangoMehrere Probleme
DSA-2635 cfingerdPufferüberlauf
DSA-2636 xenMehrere Probleme
DSA-2637 apache2Mehrere Probleme
DSA-2638 openafsPufferüberlauf
DSA-2639 php5Mehrere Probleme
DSA-2640 zoneminderMehrere Probleme
DSA-2641 perlLücke bei Hash-Neuberechnung
DSA-2641 libapache2-mod-perl2FTBFS mit updated perl
DSA-2642 sudoMehrere Probleme
DSA-2643 puppetMehrere Probleme
DSA-2644 wiresharkMehrere Probleme
DSA-2645 inetutilsDienstblockade
DSA-2646 typo3-srcMehrere Probleme
DSA-2647 firebird2.1Pufferüberlauf
DSA-2648 firebird2.5Mehrere Probleme
DSA-2649 lighttpdFester Socket-Name in einem für alle Welt beschreibbaren Verzeichnis
DSA-2650 libvirtDatei- und Geräteknotenbesitz ändert sich auf die kvm-Gruppe
DSA-2651 smokepingAnfälligkeit für Cross-Site-Scripting
DSA-2652 libxml2Externe Entitäten-Expansion
DSA-2653 icingaPufferüberlauf
DSA-2654 libxsltDienstblockade
DSA-2655 railsMehrere Probleme
DSA-2656 bind9Dienstblockade
DSA-2657 postgresql-8.4Vorhersehbare Zufallszahlen
DSA-2659 libapache-mod-securitySchwachstelle beim Verarbeiten von XML-Dateien, die von extern erhalten wurden, behoben
DSA-2660 curlAnfälligkeit für Cookie-Leaks
DSA-2661 xorg-serverInformationsoffenlegung
DSA-2662 xenMehrere Probleme
DSA-2663 tincStack-basierter Pufferüberlauf
DSA-2664 stunnel4Pufferüberlauf
DSA-2665 strongswanAuthentifizierungsbypass
DSA-2666 xenMehrere Probleme
DSA-2668 linux-2.6Mehrere Probleme
DSA-2668 user-mode-linuxMehrere Probleme
DSA-2670 request-tracker3.8Mehrere Probleme
DSA-2673 libdmxMehrere Probleme
DSA-2674 libxvMehrere Probleme
DSA-2675 libxvmcMehrere Probleme
DSA-2676 libxfixesMehrere Probleme
DSA-2677 libxrenderMehrere Probleme
DSA-2678 mesaMehrere Probleme
DSA-2679 xserver-xorg-video-openchromeMehrere Probleme
DSA-2680 libxtMehrere Probleme
DSA-2681 libxcursorMehrere Probleme
DSA-2682 libxextMehrere Probleme
DSA-2683 libxiMehrere Probleme
DSA-2684 libxrandrMehrere Probleme
DSA-2685 libxpMehrere Probleme
DSA-2686 libxcbMehrere Probleme
DSA-2687 libfsMehrere Probleme
DSA-2688 libxresMehrere Probleme
DSA-2689 libxtstMehrere Probleme
DSA-2690 libxxf86dgaMehrere Probleme
DSA-2691 libxineramaMehrere Probleme
DSA-2692 libxxf86vmMehrere Probleme
DSA-2693 libx11Mehrere Probleme
DSA-2694 spipPrivilegieneskalation
DSA-2698 tiffPufferüberlauf
DSA-2701 krb5Dienstblockade
DSA-2702 telepathy-gabbleTLS-Verifizierungsbypass
DSA-2703 subversionMehrere Probleme
DSA-2708 fail2banDienstblockade
DSA-2710 xml-security-cMehrere Probleme
DSA-2711 haproxyMehrere Probleme
DSA-2713 curlHeap-Überlauf
DSA-2715 puppetCode-Ausführung
DSA-2717 xml-security-cHeap-Überlauf
DSA-2718 wordpressMehrere Probleme
DSA-2719 popplerMehrere Probleme
DSA-2723 php5Heap-Korruption
DSA-2725 tomcat6Mehrere Probleme
DSA-2726 php-radiusPufferüberlauf
DSA-2727 openjdk-6Mehrere Probleme
DSA-2728 bind9Dienstblockade
DSA-2729 openafsMehrere Probleme
DSA-2730 gnupgInformationsleck
DSA-2731 libgcrypt11Informationsleck
DSA-2733 otrs2SQL-Injektion
DSA-2734 wiresharkMehrere Probleme
DSA-2736 puttyMehrere Probleme
DSA-2739 cactiMehrere Probleme
DSA-2740 python-djangoAnfälligkeit für Cross-Site-Scripting
DSA-2742 php5Interpretationskonflikt
DSA-2744 tiffMehrere Probleme
DSA-2747 cactiMehrere Probleme
DSA-2748 exactimageDienstblockade
DSA-2749 asteriskMehrere Probleme
DSA-2751 libmodplugMehrere Probleme
DSA-2752 phpbb3Zu großzügige Berechtigungen
DSA-2753 mediawikiCross-site request forgery token disclosure
DSA-2754 exactimageDienstblockade
DSA-2755 python-djangoVerzeichnisüberschreitung
DSA-2756 wiresharkMehrere Probleme
DSA-2758 python-djangoDienstblockade
DSA-2760 chronyMehrere Probleme
DSA-2763 pyopensslUmgehung der Hostnamen-Überprüfung
DSA-2766 user-mode-linuxMehrere Probleme
DSA-2766 linux-2.6Mehrere Probleme
DSA-2767 proftpd-dfsgDienstblockade
DSA-2770 torqueAuthentifizierungsbypass
DSA-2773 gnupgMehrere Probleme
DSA-2775 ejabberdUnsichere SSL-Verwendung
DSA-2776 drupal6Mehrere Probleme
DSA-2778 libapache2-mod-fcgidHeap-basierter Pufferüberlauf

Entfernte Pakete

Die folgenden Pakete wurden auf Grund von Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
irssi-plugin-otr Sicherheitsprobleme
libpam-rsa Kaputt, verursacht Sicherheitsprobleme

Debian-Installer

Der Installer wurde neu gebaut, damit er die Fehlerkorrekturen enthält, welche diese Zwischenveröffentlichung in Oldstable eingebracht hat.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Die derzeitige Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

http://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist eine Vereinigung von Entwicklern Freier Software, die ihre Kraft und Zeit dafür opfern, das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter http://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.