Обновлённый Debian 6.0: выпуск 6.0.8

20 Октября 2013

Проект Debian с радостью сообщает о восьмом обновлении своего предыдущего стабильного выпуска Debian 6.0 (кодовое имя squeeze). Это обновление, в основном, содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 6.0, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском 6.0, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не нужно обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

http://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска добавляет несколько важных исправлений для следующих пакетов:

Пакет Причина
base-files Обновлённая для редакции версия
clamav Новый выпуск основной ветки разработки; исправления безопасности
dpkg-ruby Закрывает файлы после их разбора, что предотвращает проблемы при выполнении dist-upgrade
gdm3 Исправление потенциальной проблемы безопасности с частичными обновлениями до wheezy
graphviz Использует системную библиотеку ltdl
grep Исправление CVE-2012-5667
ia32-libs Обновление включённых пакетов из предыдущего стабильного выпуска / security.d.o
ia32-libs-gtk Обновление включённых пакетов из предыдущего стабильного выпуска / security.d.o
inform Удалены сломанные вызовы команды update-alternatives
ldap2dns Не включает ненужный /usr/share/debconf/confmodule в postinst
libapache-mod-security Исправление разыменования указателя NULL. CVE-2013-2765
libmodule-signature-perl CVE-2013-2145: Исправляет выполнение произвольного кода при проверке SIGNATURE
libopenid-ruby Исправление CVE-2013-1812
libspf2 Исправления IPv6
lm-sensors-3 Пропуск поиска EDID или графических карт, поскольку это может вызвать проблемы с оборудованием
moin Не создаёт пустой каталог pagedir (с пустым журналом редактирования)
net-snmp Исправление CVE-2012-2141
openssh Исправление потенциального переполнения int при использовании авторизации gssapi-with-mac (CVE-2011-5000)
openvpn Исправление использования memcmp непостоянного времени в сравнении HMAC. CVE-2013-2061
pcp Исправление небезопасной обработки временных файлов
pigz Использует более ограниченные права для незавершённых файлов
policyd-weight Удаление отключения njabl DNSBL
pyopencl Удаление несвободного файла из примеров
pyrad Использует лучший генератор числе для предотвращения хеширования предсказуемого пароля и идентификаторов пакетов (CVE-2013-0294)
python-qt4 Исправление аварийного завершения в файле uic с переключателями
request-tracker3.8 Перемещает некэшированые данные в /var/lib
samba Исправление CVE-2013-4124: Отказ в обслуживании — зацикливание CPU и распределение памяти
smarty Исправление CVE-2012-4437
spamassassin Удаление отключения njabl DNSBL; исправление RCVD_ILLEGAL_IP, который теперь не считает 5.0.0.0/8 неверным пулом
sympa Исправление бесконечного цикла в wwsympa при загрузке данных сеанса, включая метасимволы
texlive-extra Исправление предсказуемых имён временных файлов в latex2man
tntnet Исправление небезопасного файла tntnet.conf по умолчанию
tzdata Новая версия основной ветки разработки
wv2 Действительно удаляет src/generator/generator_wword{6,8}.htm
xorg-server Компоновка с -lbsd на kfreebsd для работы MIT-SHM с сегментами, недоступными всем
xview Исправление обработки альтернатив
zabbix Исправление SQL-инъекции, zabbix_agentd DoS, возможного раскрытия пути, пропуска проверки параметра имени поля, возможность отменить настройку LDAP при вызове user.login через API

Обновления безопасности

В данном выпуске добавлены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет Исправление(-я)
DSA-2628 nss-pam-ldapdПереполнение буфера
DSA-2629 openjpegМножественные проблемы
DSA-2630 postgresql-8.4Программная ошибка
DSA-2631 squid3Отказ в обслуживании
DSA-2632 user-mode-linuxМножественные проблемы
DSA-2632 linux-2.6Множественные проблемы
DSA-2633 fusionforgeПовышение привилегий
DSA-2634 python-djangoМножественные проблемы
DSA-2635 cfingerdПереполнение буфера
DSA-2636 xenМножественные проблемы
DSA-2637 apache2Множественные проблемы
DSA-2638 openafsПереполнение буфера
DSA-2639 php5Множественные проблемы
DSA-2640 zoneminderМножественные проблемы
DSA-2641 perlПроблема с повторным созданием хеша
DSA-2641 libapache2-mod-perl2FTBFS с обновлённым perl
DSA-2642 sudoМножественные проблемы
DSA-2643 puppetМножественные проблемы
DSA-2644 wiresharkМножественные проблемы
DSA-2645 inetutilsОтказ в обслуживании
DSA-2646 typo3-srcМножественные проблемы
DSA-2647 firebird2.1Переполнение буфера
DSA-2648 firebird2.5Множественные проблемы
DSA-2649 lighttpdИсправление имени сокета в каталоге с правами на запись для всех
DSA-2650 libvirtИзменение владельца файлов и нодов устройств на группу kvm
DSA-2651 smokepingУязвимость к межсайтовому скриптингу
DSA-2652 libxml2Распространение внешнего элемента
DSA-2653 icingaПереполнение буфера
DSA-2654 libxsltОтказ в обслуживании
DSA-2655 railsМножественные проблемы
DSA-2656 bind9Отказ в обслуживании
DSA-2657 postgresql-8.4Угадываемые случайные числа
DSA-2659 libapache-mod-securityУязвимость при обработке внешнего элемента XML
DSA-2660 curlУтечка куки
DSA-2661 xorg-serverРаскрытие информации
DSA-2662 xenМножественные проблемы
DSA-2663 tincПереполнение основанного на стеке буфера
DSA-2664 stunnel4Переполнение буфера
DSA-2665 strongswanПропуск авторизации
DSA-2666 xenМножественные проблемы
DSA-2668 linux-2.6Множественные проблемы
DSA-2668 user-mode-linuxМножественные проблемы
DSA-2670 request-tracker3.8Множественные проблемы
DSA-2673 libdmxМножественные проблемы
DSA-2674 libxvМножественные проблемы
DSA-2675 libxvmcМножественные проблемы
DSA-2676 libxfixesМножественные проблемы
DSA-2677 libxrenderМножественные проблемы
DSA-2678 mesaМножественные проблемы
DSA-2679 xserver-xorg-video-openchromeМножественные проблемы
DSA-2680 libxtМножественные проблемы
DSA-2681 libxcursorМножественные проблемы
DSA-2682 libxextМножественные проблемы
DSA-2683 libxiМножественные проблемы
DSA-2684 libxrandrМножественные проблемы
DSA-2685 libxpМножественные проблемы
DSA-2686 libxcbМножественные проблемы
DSA-2687 libfsМножественные проблемы
DSA-2688 libxresМножественные проблемы
DSA-2689 libxtstМножественные проблемы
DSA-2690 libxxf86dgaМножественные проблемы
DSA-2691 libxineramaМножественные проблемы
DSA-2692 libxxf86vmМножественные проблемы
DSA-2693 libx11Множественные проблемы
DSA-2694 spipПовышение привилегий
DSA-2698 tiffПереполнение буфера
DSA-2701 krb5Отказ в обслуживании
DSA-2702 telepathy-gabbleПропуск проверки TLS
DSA-2703 subversionМножественные проблемы
DSA-2708 fail2banОтказ в обслуживании
DSA-2710 xml-security-cМножественные проблемы
DSA-2711 haproxyМножественные проблемы
DSA-2713 curlПереполнение массива
DSA-2715 puppetВыполнение кода
DSA-2717 xml-security-cПереполнение массива
DSA-2718 wordpressМножественные проблемы
DSA-2719 popplerМножественные проблемы
DSA-2723 php5Повреждение массива
DSA-2725 tomcat6Множественные проблемы
DSA-2726 php-radiusПереполнение буфера
DSA-2727 openjdk-6Множественные проблемы
DSA-2728 bind9Отказ в обслуживании
DSA-2729 openafsМножественные проблемы
DSA-2730 gnupgУтечка информации
DSA-2731 libgcrypt11Утечка информации
DSA-2733 otrs2SQL-инъекция
DSA-2734 wiresharkМножественные проблемы
DSA-2736 puttyМножественные проблемы
DSA-2739 cactiМножественные проблемы
DSA-2740 python-djangoУязвимость к межсайтовому скриптингу
DSA-2742 php5Конфликт интерпретаций
DSA-2744 tiffМножественные проблемы
DSA-2747 cactiМножественные проблемы
DSA-2748 exactimageОтказ в обслуживании
DSA-2749 asteriskМножественные проблемы
DSA-2751 libmodplugМножественные проблемы
DSA-2752 phpbb3Слишком широкие права
DSA-2753 mediawikiМежсайтовая подделка маркеров запросов
DSA-2754 exactimageОтказ в обслуживании
DSA-2755 python-djangoПересечение каталогов
DSA-2756 wiresharkМножественные проблемы
DSA-2758 python-djangoОтказ в обслуживании
DSA-2760 chronyМножественные проблемы
DSA-2763 pyopensslПропуск проверки имени узла
DSA-2766 user-mode-linuxМножественные проблемы
DSA-2766 linux-2.6Множественные проблемы
DSA-2767 proftpd-dfsgОтказ в обслуживании
DSA-2770 torqueПропуск авторизации
DSA-2773 gnupgМножественные проблемы
DSA-2775 ejabberdНебезопасное использование SSL
DSA-2776 drupal6Множественные проблемы
DSA-2778 libapache2-mod-fcgidПереполнение основанного на массиве буфера

Удалённые пакет

Следующие пакеты были удалены из-за обстоятельств за пределами нашего контроля:

Пакет Причина
irssi-plugin-otr Проблемы безопасности
libpam-rsa Сломан, вызывает проблемы безопасности

Установщик Debian

Установщик был пересобран для добавления исправлений, включённых в предыдущий стабильный выпуск данной редакцией.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Текущий предыдущий стабильный выпуск:

http://ftp.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т.д.):

http://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

http://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые дарят своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian http://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.