Debian 7 aktualisiert: 7.4 veröffentlicht
8. Februar 2014
Das Debian-Projekt freut sich, die vierte Aktualisierung seiner
Stable-Veröffentlichung Debian 7 (Codename Wheezy
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für
sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 7 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Wheezy-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.
Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.
Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine vollständige Liste der Spiegelserver findet sich unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
apache2 | Behebt mod_rewrite-Protokoll-Escaping (CVE-2013-1862), mod_dav-Dienstblockade (CVE-2013-1896) und Speicherzugriffsfehler in bestimmten Fehlerzuständen |
base-files | Aktualisierung auf die Zwischenveröffentlichung |
ctdb | Behebt fehlschlagenden Dienststop und -neustart, wenn versucht wird, eine öffentliche, lokal nicht zugewiesene IP-Adresse zu entfernen |
debian-handbook | Aktualisierung auf Wheezy |
debian-installer | Neubau für die Zwischenveröffentlichung |
eglibc | Mehrere Sicherheitskorrekturen; behebt SIGFPE, wenn locale-archive so korrumpiert wurde, dass sie nur Nullen enthält; kfreebsd: angegebene zusätzliche GID immer an den Anfang der Gruppenliste in setgroups() setzen; korrigiert sys_ktimer_settime |
gatling | Stellt Kompatibilität mit PolarSSL-Sicherheitsaktualisierung wieder her |
gnash | Korrigiert Abspielen von YouTube-Videos mit dem Ffmpeg-Medien-Handler |
kexec-tools | Richtig mit x.y-Kernelversionen umgehen |
kfreebsd-8 | Mehrere Sicherheitskorrekturen |
kfreebsd-9 | Schaltet VIAs Hardware-RNG standardmäßig ab; behebt lseek-ENXIO-Fehlerzustand mit ZFS |
lazr.restfulclient | Behebt einige Nebenläufigkeitsprobleme |
libapache2-mod-rpaf | Stellt versehentlich verworfene IPv6-Korrektur wieder her |
libglib-object-introspection-perl | Korrigiert fehlerhafte Speicherallozierung, die Speicherzugriffsfehler in reverse-dependencies verursacht |
libhtml-formhandler-perl | Behebt FTBFS-Fehler |
libmicrohttpd | Verschiedene Sicherheitsprobleme |
libnet-mac-vendor-perl | Behebt FTBFS-Fehler wegen fehlschlagendem t/fetch_oui.t-Test |
libotr | Schaltet unsicheres OTRv1 ab |
linux | Aktualisierung auf Stable-3.2.54; DRM, AGP auf 3.4.76 aktualisiert; CVE-2013-4579, CVE-2013-6368, CVE-2014-1446 behoben |
localepurge | Behebt CVE-2014-1638, unsichere Erzeugung von Temporärdateien |
lxc | Neuestes lxc-debian der Originalautoren verwenden; rsync zu den Paketempfehlungen hinzufügen |
mapserver | Behebt CVE-2013-7262, eine Anfälligkeit für SQL-Injektionen in der Funktion msPostGISLayerSetTimeFilter |
nut | Setzt die USB-Zeitüberschreitung auf ihren Standard von 5 Sek. zurück |
openssl | Schaltet Assembler für die ARM-Ziele frei; schaltet ec_nistp_64_gcc_128 auf *-amd64 frei |
pdns | Korrigiert die Länge der records.content- und supermasters.ip-Spalten |
ruby-gsl | Entfernt unfreie Dokumentation |
ruby-opengl | Entfernt ein Beispiel mit unklarer Lizenz |
rush | Behebt CVE-2013-6889, Dateizugriffseskalation |
samhain | Schaltet dnmalloc auf allen Architekturen ab, außer denen, auf denen es bekanntermaßen funktioniert; Mail-Versand von der Standardkonfiguration korrigiert |
spip | Behebt XSS auf die Signatur des Autors [CVE-2013-7303] |
tuxguitar | Aktualisiert die Liste der unterstützten Xulrunner-Versionen |
tzdata | Neue Version der Originalautoren |
user-mode-linux | Neubau gegen Linuxkernel 3.2.54-2 |
vips | Behebt Absturz bei TIFF mit JPEG-Kompression |
wget | Fügt Unterstützung für SNI hinzu |
whois | Neue Upstream-Veröffentlichung; aktualisiert verschiedene TLDs |
xfce4-weather-plugin | Abbruch bei leerem <hi>-Element behoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Ankündigungs-ID | Paket | Korrektur(en) |
---|---|---|
DSA-2749 | asterisk | Mehrere Probleme |
DSA-2757 | wordpress | Mehrere Probleme |
DSA-2793 | libav | Mehrere Probleme |
DSA-2812 | samba | Mehrere Probleme |
DSA-2813 | gimp | Mehrere Probleme |
DSA-2814 | varnish | Dienstblockade |
DSA-2815 | munin | Dienstblockade |
DSA-2816 | php5 | Mehrere Probleme |
DSA-2817 | libtar | Mehrere Ganzzahlüberläufe |
DSA-2818 | mysql-5.5 | Mehrere Probleme |
DSA-2820 | nspr | Ganzzahlüberlauf |
DSA-2821 | gnupg | Angriff via Seitenkanal |
DSA-2822 | xorg-server | Ganzzahlunterlauf |
DSA-2823 | pixman | Ganzzahlunterlauf |
DSA-2824 | curl | Nicht überprüfter Hostname im TLS/SSL-Zertifikat |
DSA-2825 | wireshark | Mehrere Probleme |
DSA-2826 | denyhosts | Blockade des SSH-Dienstes aus der Ferne |
DSA-2827 | libcommons-fileupload-java | Eigenmächtiger Datei-Upload via Deserialisierung |
DSA-2829 | hplip | Mehrere Probleme |
DSA-2830 | ruby-i18n | Cross-site Skripting |
DSA-2831 | puppet | Unsichere Temporärdateien |
DSA-2832 | memcached | Mehrere Probleme |
DSA-2833 | openssl | Mehrere Probleme |
DSA-2834 | typo3-src | Mehrere Probleme |
DSA-2835 | asterisk | Pufferüberlauf |
DSA-2836 | devscripts | Eigenmächtige Codeausführung |
DSA-2837 | openssl | Programmierfehler |
DSA-2838 | libxfont | Pufferüberlauf |
DSA-2839 | spice | Dienstblockade |
DSA-2840 | srtp | Pufferüberlauf |
DSA-2841 | movabletype-opensource | Cross-site Skripting |
DSA-2842 | libspring-java | Mehrere Probleme |
DSA-2843 | graphviz | Pufferüberlauf |
DSA-2846 | libvirt | Mehrere Probleme |
DSA-2847 | drupal7 | Mehrere Probleme |
DSA-2849 | curl | Informationsoffenlegung |
DSA-2850 | libyaml | Heap-basierter Pufferüberlauf |
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
iceape | Sicherheitsunterstützung eingestellt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist eine Vereinigung von Entwicklern Freier Software, die ihre Kraft und Zeit dafür opfern, das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.