Обновлённый Debian 6.0: выпуск 6.0.8
20 Октября 2013
Проект Debian с радостью сообщает о восьмом обновлении своего
предыдущего стабильного выпуска Debian 6.0 (кодовое имя squeeze
).
Это обновление, в основном, содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian 6.0, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском 6.0, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не нужно обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска добавляет несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
base-files | Обновлённая для редакции версия |
clamav | Новый выпуск основной ветки разработки; исправления безопасности |
dpkg-ruby | Закрывает файлы после их разбора, что предотвращает проблемы при выполнении dist-upgrade |
gdm3 | Исправление потенциальной проблемы безопасности с частичными обновлениями до wheezy |
graphviz | Использует системную библиотеку ltdl |
grep | Исправление CVE-2012-5667 |
ia32-libs | Обновление включённых пакетов из предыдущего стабильного выпуска / security.d.o |
ia32-libs-gtk | Обновление включённых пакетов из предыдущего стабильного выпуска / security.d.o |
inform | Удалены сломанные вызовы команды update-alternatives |
ldap2dns | Не включает ненужный /usr/share/debconf/confmodule в postinst |
libapache-mod-security | Исправление разыменования указателя NULL. CVE-2013-2765 |
libmodule-signature-perl | CVE-2013-2145: Исправляет выполнение произвольного кода при проверке SIGNATURE |
libopenid-ruby | Исправление CVE-2013-1812 |
libspf2 | Исправления IPv6 |
lm-sensors-3 | Пропуск поиска EDID или графических карт, поскольку это может вызвать проблемы с оборудованием |
moin | Не создаёт пустой каталог pagedir (с пустым журналом редактирования) |
net-snmp | Исправление CVE-2012-2141 |
openssh | Исправление потенциального переполнения int при использовании авторизации gssapi-with-mac (CVE-2011-5000) |
openvpn | Исправление использования memcmp непостоянного времени в сравнении HMAC. CVE-2013-2061 |
pcp | Исправление небезопасной обработки временных файлов |
pigz | Использует более ограниченные права для незавершённых файлов |
policyd-weight | Удаление отключения njabl DNSBL |
pyopencl | Удаление несвободного файла из примеров |
pyrad | Использует лучший генератор числе для предотвращения хеширования предсказуемого пароля и идентификаторов пакетов (CVE-2013-0294) |
python-qt4 | Исправление аварийного завершения в файле uic с переключателями |
request-tracker3.8 | Перемещает некэшированые данные в /var/lib |
samba | Исправление CVE-2013-4124: Отказ в обслуживании — зацикливание CPU и распределение памяти |
smarty | Исправление CVE-2012-4437 |
spamassassin | Удаление отключения njabl DNSBL; исправление RCVD_ILLEGAL_IP, который теперь не считает 5.0.0.0/8 неверным пулом |
sympa | Исправление бесконечного цикла в wwsympa при загрузке данных сеанса, включая метасимволы |
texlive-extra | Исправление предсказуемых имён временных файлов в latex2man |
tntnet | Исправление небезопасного файла tntnet.conf по умолчанию |
tzdata | Новая версия основной ветки разработки |
wv2 | Действительно удаляет src/generator/generator_wword{6,8}.htm |
xorg-server | Компоновка с -lbsd на kfreebsd для работы MIT-SHM с сегментами, недоступными всем |
xview | Исправление обработки альтернатив |
zabbix | Исправление SQL-инъекции, zabbix_agentd DoS, возможного раскрытия пути, пропуска проверки параметра имени поля, возможность отменить настройку LDAP при вызове user.login через API |
Обновления безопасности
В данном выпуске добавлены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Идентификационный номер рекомендации | Пакет | Исправление(-я) |
---|---|---|
DSA-2628 | nss-pam-ldapd | Переполнение буфера |
DSA-2629 | openjpeg | Множественные проблемы |
DSA-2630 | postgresql-8.4 | Программная ошибка |
DSA-2631 | squid3 | Отказ в обслуживании |
DSA-2632 | user-mode-linux | Множественные проблемы |
DSA-2632 | linux-2.6 | Множественные проблемы |
DSA-2633 | fusionforge | Повышение привилегий |
DSA-2634 | python-django | Множественные проблемы |
DSA-2635 | cfingerd | Переполнение буфера |
DSA-2636 | xen | Множественные проблемы |
DSA-2637 | apache2 | Множественные проблемы |
DSA-2638 | openafs | Переполнение буфера |
DSA-2639 | php5 | Множественные проблемы |
DSA-2640 | zoneminder | Множественные проблемы |
DSA-2641 | perl | Проблема с повторным созданием хеша |
DSA-2641 | libapache2-mod-perl2 | FTBFS с обновлённым perl |
DSA-2642 | sudo | Множественные проблемы |
DSA-2643 | puppet | Множественные проблемы |
DSA-2644 | wireshark | Множественные проблемы |
DSA-2645 | inetutils | Отказ в обслуживании |
DSA-2646 | typo3-src | Множественные проблемы |
DSA-2647 | firebird2.1 | Переполнение буфера |
DSA-2648 | firebird2.5 | Множественные проблемы |
DSA-2649 | lighttpd | Исправление имени сокета в каталоге с правами на запись для всех |
DSA-2650 | libvirt | Изменение владельца файлов и нодов устройств на группу kvm |
DSA-2651 | smokeping | Уязвимость к межсайтовому скриптингу |
DSA-2652 | libxml2 | Распространение внешнего элемента |
DSA-2653 | icinga | Переполнение буфера |
DSA-2654 | libxslt | Отказ в обслуживании |
DSA-2655 | rails | Множественные проблемы |
DSA-2656 | bind9 | Отказ в обслуживании |
DSA-2657 | postgresql-8.4 | Угадываемые случайные числа |
DSA-2659 | libapache-mod-security | Уязвимость при обработке внешнего элемента XML |
DSA-2660 | curl | Утечка куки |
DSA-2661 | xorg-server | Раскрытие информации |
DSA-2662 | xen | Множественные проблемы |
DSA-2663 | tinc | Переполнение основанного на стеке буфера |
DSA-2664 | stunnel4 | Переполнение буфера |
DSA-2665 | strongswan | Пропуск авторизации |
DSA-2666 | xen | Множественные проблемы |
DSA-2668 | linux-2.6 | Множественные проблемы |
DSA-2668 | user-mode-linux | Множественные проблемы |
DSA-2670 | request-tracker3.8 | Множественные проблемы |
DSA-2673 | libdmx | Множественные проблемы |
DSA-2674 | libxv | Множественные проблемы |
DSA-2675 | libxvmc | Множественные проблемы |
DSA-2676 | libxfixes | Множественные проблемы |
DSA-2677 | libxrender | Множественные проблемы |
DSA-2678 | mesa | Множественные проблемы |
DSA-2679 | xserver-xorg-video-openchrome | Множественные проблемы |
DSA-2680 | libxt | Множественные проблемы |
DSA-2681 | libxcursor | Множественные проблемы |
DSA-2682 | libxext | Множественные проблемы |
DSA-2683 | libxi | Множественные проблемы |
DSA-2684 | libxrandr | Множественные проблемы |
DSA-2685 | libxp | Множественные проблемы |
DSA-2686 | libxcb | Множественные проблемы |
DSA-2687 | libfs | Множественные проблемы |
DSA-2688 | libxres | Множественные проблемы |
DSA-2689 | libxtst | Множественные проблемы |
DSA-2690 | libxxf86dga | Множественные проблемы |
DSA-2691 | libxinerama | Множественные проблемы |
DSA-2692 | libxxf86vm | Множественные проблемы |
DSA-2693 | libx11 | Множественные проблемы |
DSA-2694 | spip | Повышение привилегий |
DSA-2698 | tiff | Переполнение буфера |
DSA-2701 | krb5 | Отказ в обслуживании |
DSA-2702 | telepathy-gabble | Пропуск проверки TLS |
DSA-2703 | subversion | Множественные проблемы |
DSA-2708 | fail2ban | Отказ в обслуживании |
DSA-2710 | xml-security-c | Множественные проблемы |
DSA-2711 | haproxy | Множественные проблемы |
DSA-2713 | curl | Переполнение массива |
DSA-2715 | puppet | Выполнение кода |
DSA-2717 | xml-security-c | Переполнение массива |
DSA-2718 | wordpress | Множественные проблемы |
DSA-2719 | poppler | Множественные проблемы |
DSA-2723 | php5 | Повреждение массива |
DSA-2725 | tomcat6 | Множественные проблемы |
DSA-2726 | php-radius | Переполнение буфера |
DSA-2727 | openjdk-6 | Множественные проблемы |
DSA-2728 | bind9 | Отказ в обслуживании |
DSA-2729 | openafs | Множественные проблемы |
DSA-2730 | gnupg | Утечка информации |
DSA-2731 | libgcrypt11 | Утечка информации |
DSA-2733 | otrs2 | SQL-инъекция |
DSA-2734 | wireshark | Множественные проблемы |
DSA-2736 | putty | Множественные проблемы |
DSA-2739 | cacti | Множественные проблемы |
DSA-2740 | python-django | Уязвимость к межсайтовому скриптингу |
DSA-2742 | php5 | Конфликт интерпретаций |
DSA-2744 | tiff | Множественные проблемы |
DSA-2747 | cacti | Множественные проблемы |
DSA-2748 | exactimage | Отказ в обслуживании |
DSA-2749 | asterisk | Множественные проблемы |
DSA-2751 | libmodplug | Множественные проблемы |
DSA-2752 | phpbb3 | Слишком широкие права |
DSA-2753 | mediawiki | Межсайтовая подделка маркеров запросов |
DSA-2754 | exactimage | Отказ в обслуживании |
DSA-2755 | python-django | Пересечение каталогов |
DSA-2756 | wireshark | Множественные проблемы |
DSA-2758 | python-django | Отказ в обслуживании |
DSA-2760 | chrony | Множественные проблемы |
DSA-2763 | pyopenssl | Пропуск проверки имени узла |
DSA-2766 | user-mode-linux | Множественные проблемы |
DSA-2766 | linux-2.6 | Множественные проблемы |
DSA-2767 | proftpd-dfsg | Отказ в обслуживании |
DSA-2770 | torque | Пропуск авторизации |
DSA-2773 | gnupg | Множественные проблемы |
DSA-2775 | ejabberd | Небезопасное использование SSL |
DSA-2776 | drupal6 | Множественные проблемы |
DSA-2778 | libapache2-mod-fcgid | Переполнение основанного на массиве буфера |
Удалённые пакет
Следующие пакеты были удалены из-за обстоятельств за пределами нашего контроля:
Пакет | Причина |
---|---|
irssi-plugin-otr | Проблемы безопасности |
libpam-rsa | Сломан, вызывает проблемы безопасности |
Установщик Debian
Установщик был пересобран для добавления исправлений, включённых в предыдущий стабильный выпуск данной редакцией.
URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т.д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые дарят своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.