Debian 6.0: 6.0.8 の更新がリリースされました

2013 年 10 月 20 日

Debian プロジェクトは旧安定版 (oldstable) ディストリビューション Debian 6.0 (コード名 squeeze) の8回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を旧安定版 (oldstable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 6.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 古い squeeze の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この旧安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
base-filesポイントリリース向けにバージョンを更新
clamav新しい上流リリース、セキュリティ修正
dpkg-ruby解析が済んだらファイルを閉じるようにして dist-upgrade で問題が起きないように
gdm3wheezy への部分的なアップグレードでの潜在的な問題を修正
graphvizシステム ltdl を利用
grepCVE-2012-5667 の修正
ia32-libsoldstable / security.d.o に収録するパッケージに更新
ia32-libs-gtkoldstable / security.d.o に収録するパッケージに更新
informupdate-alternatives の壊れていた呼び出しを削除
ldap2dnspostinst で不要な /usr/share/debconf/confmodule を収録しないように
libapache-mod-securityNULL ポインタ参照を修正。CVE-2013-2765
libmodule-signature-perlCVE-2013-2145: SIGNATURE 検証時の任意コードの実行を修正
libopenid-rubyCVE-2013-1812 の修正
libspf2IPv6 の修正
lm-sensors-3ハードウェアに問題を起こす可能性があるため EDID やグラフィックカードを調査しないように
moin(空の編集ログにより) 空の pagedir を作成しないように
net-snmpCVE-2012-2141 の修正
opensshgssapi-with-mac 認証利用時の潜在的な整数オーバーフローを修正 (CVE-2011-5000)
openvpnHMAC 比較での定数時間ではない memcmp 利用を修正。CVE-2013-2061
pcp安全でない一時ファイル処理の修正
pigz処理中のファイルについて、権限をもっと制限
policyd-weight停止した njabl DNSBL を削除
pyopenclnon-free のファイルを例から削除
pyradより良い乱数生成器を利用して難読化パスワードやパケットIDを予測できないように (CVE-2013-0294)
python-qt4ラジオボタンのある uic ファイルでのクラッシュを修正
request-tracker3.8キャッシュ以外のデータを /var/lib に移動
sambaCVE-2013-4124: サービス拒否 - CPU ループとメモリ割り当てを修正
smartyCVE-2012-4437 の修正
spamassassin停止した njabl DNSBL を削除。5.0.0.0/8 を不正なものとして処理しないように RCVD_ILLEGAL_IP を修正
sympaメタ文字を含むセッションデータをロードした場合に wwsympa で無限ループが起きるのを修正
texlive-extralatex2man での予測可能な一時ファイル名を修正
tntnet安全でないデフォルトの tntnet.conf を修正
tzdata新しい上流バージョン
wv2src/generator/generator_wword{6,8}.htm を本当に削除
xorg-serverkfreebsd で -lbsd にリンクし、万人からのアクセスが可能ではないセグメントでも MIT-SHM が機能するように
xview代替の扱いを修正
zabbixSQL インジェクション、zabbix_agentd でのサービス拒否、パス漏洩の可能性、フィールド名のパラメータ確認迂回を修正、API 経由で user.login を呼び出した場合に LDAP 設定を上書きできるように

セキュリティ更新

この改訂では旧安定版 (oldstable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告IDパッケージ 修正内容
DSA-2628 nss-pam-ldapdバッファオーバーフロー
DSA-2629 openjpeg複数の問題
DSA-2630 postgresql-8.4プログラミングの誤り
DSA-2631 squid3サービス拒否
DSA-2632 user-mode-linux複数の問題
DSA-2632 linux-2.6複数の問題
DSA-2633 fusionforge特権の昇格
DSA-2634 python-django複数の問題
DSA-2635 cfingerdバッファオーバーフロー
DSA-2636 xen複数の問題
DSA-2637 apache2複数の問題
DSA-2638 openafsバッファオーバーフロー
DSA-2639 php5複数の問題
DSA-2640 zoneminder複数の問題
DSA-2641 perlハッシュ再構築の欠陥
DSA-2641 libapache2-mod-perl2更新された perl での FTBFS
DSA-2642 sudo複数の問題
DSA-2643 puppet複数の問題
DSA-2644 wireshark複数の問題
DSA-2645 inetutilsサービス拒否
DSA-2646 typo3-src複数の問題
DSA-2647 firebird2.1バッファオーバーフロー
DSA-2648 firebird2.5複数の問題
DSA-2649 lighttpd万人からの書き込みが可能なディレクトリでのソケットの名前を修正
DSA-2650 libvirtファイル及びデバイスノードを kvm グループの所有に変更
DSA-2651 smokepingクロスサイトスクリプティング脆弱性
DSA-2652 libxml2外部エンティティ展開
DSA-2653 icingaバッファオーバーフロー
DSA-2654 libxsltサービス拒否
DSA-2655 rails複数の問題
DSA-2656 bind9サービス拒否
DSA-2657 postgresql-8.4推測可能な乱数
DSA-2659 libapache-mod-securityXML 外部エンティティ処理の脆弱性
DSA-2660 curlクッキー漏洩の脆弱性
DSA-2661 xorg-server情報漏洩
DSA-2662 xen複数の問題
DSA-2663 tincスタックベースのバッファオーバーフロー
DSA-2664 stunnel4バッファオーバーフロー
DSA-2665 strongswan認証の迂回
DSA-2666 xen複数の問題
DSA-2668 linux-2.6複数の問題
DSA-2668 user-mode-linux複数の問題
DSA-2670 request-tracker3.8複数の問題
DSA-2673 libdmx複数の問題
DSA-2674 libxv複数の問題
DSA-2675 libxvmc複数の問題
DSA-2676 libxfixes複数の問題
DSA-2677 libxrender複数の問題
DSA-2678 mesa複数の問題
DSA-2679 xserver-xorg-video-openchrome複数の問題
DSA-2680 libxt複数の問題
DSA-2681 libxcursor複数の問題
DSA-2682 libxext複数の問題
DSA-2683 libxi複数の問題
DSA-2684 libxrandr複数の問題
DSA-2685 libxp複数の問題
DSA-2686 libxcb複数の問題
DSA-2687 libfs複数の問題
DSA-2688 libxres複数の問題
DSA-2689 libxtst複数の問題
DSA-2690 libxxf86dga複数の問題
DSA-2691 libxinerama複数の問題
DSA-2692 libxxf86vm複数の問題
DSA-2693 libx11複数の問題
DSA-2694 spip特権の昇格
DSA-2698 tiffバッファオーバーフロー
DSA-2701 krb5サービス拒否
DSA-2702 telepathy-gabbleTLS 検証の迂回
DSA-2703 subversion複数の問題
DSA-2708 fail2banサービス拒否
DSA-2710 xml-security-c複数の問題
DSA-2711 haproxy複数の問題
DSA-2713 curlヒープオーバーフロー
DSA-2715 puppetコードの実行
DSA-2717 xml-security-cヒープオーバーフロー
DSA-2718 wordpress複数の問題
DSA-2719 poppler複数の問題
DSA-2723 php5ヒープ破損
DSA-2725 tomcat6複数の問題
DSA-2726 php-radiusバッファオーバーフロー
DSA-2727 openjdk-6複数の問題
DSA-2728 bind9サービス拒否
DSA-2729 openafs複数の問題
DSA-2730 gnupg情報漏洩
DSA-2731 libgcrypt11情報漏洩
DSA-2733 otrs2SQL インジェクション
DSA-2734 wireshark複数の問題
DSA-2736 putty複数の問題
DSA-2739 cacti複数の問題
DSA-2740 python-djangoクロスサイトスクリプティング脆弱性
DSA-2742 php5解釈の衝突
DSA-2744 tiff複数の問題
DSA-2747 cacti複数の問題
DSA-2748 exactimageサービス拒否
DSA-2749 asterisk複数の問題
DSA-2751 libmodplug複数の問題
DSA-2752 phpbb3緩すぎる権限
DSA-2753 mediawikiクロスサイトリクエストフォージェリ (CSRF) 文字列漏洩
DSA-2754 exactimageサービス拒否
DSA-2755 python-djangoディレクトリトラバーサル
DSA-2756 wireshark複数の問題
DSA-2758 python-djangoサービス拒否
DSA-2760 chrony複数の問題
DSA-2763 pyopensslホスト名チェックの迂回
DSA-2766 user-mode-linux複数の問題
DSA-2766 linux-2.6複数の問題
DSA-2767 proftpd-dfsgサービス拒否
DSA-2770 torque認証の迂回
DSA-2773 gnupg複数の問題
DSA-2775 ejabberd安全でない SSL 利用
DSA-2776 drupal6複数の問題
DSA-2778 libapache2-mod-fcgidヒープベースのバッファオーバーフロー

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ 理由
irssi-plugin-otrセキュリティ問題
libpam-rsa壊れていてセキュリティ問題を起こす

Debian インストーラ

インストーラが更新され、このポイントリリースまでに旧安定版 (oldstable) に盛り込まれた修正が取り入れられています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

現在の旧安定版 (oldstable) ディストリビューション:

http://ftp.debian.org/debian/dists/oldstable/

旧安定版 (oldstable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

旧安定版 (oldstable) ディストリビューションの情報 (リリースノートや正誤表など):

https://www.debian.org/releases/oldstable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ https://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。