Debian 6.0 更新: 6.0.9 リリース

2014 年 2 月 15 日

Debian プロジェクトは旧安定版 (oldstable) ディストリビューション Debian 6.0 (コード名 squeeze) の9回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を旧安定版 (oldstable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 6.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。古い squeeze の CD や DVD を投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この旧安定版 (oldstable) の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
apache2 CVE-2013-1862 (RewriteLog のエスケープ処理)、CVE-2013-1896 (mod_dav: MERGE リクエストを経由したサービス拒否)、特定のエラー状況でのセグメンテーション違反を修正
base-files ポイントリリース向けに更新
chrony きれいな環境で再ビルド
debian-installer ポイントリリース向けに再ビルド
debian-installer-netboot-images ポイントリリース向けに再ビルド
ia32-libs oldstable / security.d.o に収録するパッケージに更新
ia32-libs-gtk oldstable / security.d.o に収録するパッケージに更新
librsvg 非 URI での新しいポリシー確認を修正。CVE-2013-1881 を修正: 外部エンティティの読み込みを無効化
localepurge CVE-2014-1638 (安全でない一時ファイルの作成) を修正
mapserver CVE-2013-7262、msPostGISLayerSetTimeFilter 関数の SQL インジェクション脆弱性を修正
openttd CVE-2013-6411 (DoS) を修正
postgresql-8.4 新しい上流マイクロリリース
spip 作者による署名での XSS を修正 [CVE-2013-7303]
suds CVE-2013-2217 を修正
tzdata 新しい上流リリース
usemod-wiki ハードコードされているクッキー有効期限を 2013 年から 2025 年に更新
xfce4-weather-plugin weather.com API の URI を更新

セキュリティ更新

この改訂では旧安定版 (oldstable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告IDパッケージ 修正内容
DSA-2496 mysql-5.1複数の問題
DSA-2581 mysql-5.1複数の問題
DSA-2757 wordpress複数の問題
DSA-2771 nas複数の問題
DSA-2774 gnupg2複数の問題
DSA-2779 libxml2サービス拒否
DSA-2780 mysql-5.1複数の問題
DSA-2781 python-cryptoPRNG が状況により正常に乱数の種を再生成しなかった
DSA-2783 librack-ruby複数の問題
DSA-2784 xorg-server解放後利用
DSA-2786 icu複数の問題
DSA-2789 strongswanサービス拒否と認証の迂回
DSA-2791 tryton-client入力サニタイズの欠落
DSA-2792 wireshark複数の問題
DSA-2794 spip複数の問題
DSA-2795 lighttpd複数の問題
DSA-2796 torque任意のコードの実行
DSA-2798 curlSSL 証明書のホスト名を確認していない
DSA-2800 nssバッファオーバーフロー
DSA-2803 quagga複数の問題
DSA-2805 sup-mailリモートからのコマンド差し込み
DSA-2806 nbd特権の昇格
DSA-2807 links2整数オーバーフロー
DSA-2808 openjpeg複数の問題
DSA-2812 samba複数の問題
DSA-2813 gimp複数の問題
DSA-2814 varnishサービス拒否
DSA-2817 libtar複数の整数オーバーフロー
DSA-2820 nspr整数オーバーフロー
DSA-2821 gnupgサイドチャネル攻撃
DSA-2822 xorg-server整数アンダーフロー
DSA-2823 pixman整数アンダーフロー
DSA-2826 denyhostsリモートからの ssh サービス拒否
DSA-2827 libcommons-fileupload-java直列化解除を経由した任意のファイルのアップロード
DSA-2828 drupal6複数の問題
DSA-2829 hplip複数の問題
DSA-2831 puppet安全でない一時ファイル
DSA-2832 memcached複数の問題
DSA-2834 typo3-src複数の問題
DSA-2835 asteriskバッファオーバーフロー
DSA-2838 libxfontバッファオーバーフロー
DSA-2840 srtpバッファオーバーフロー
DSA-2841 movabletype-opensourceクロスサイトスクリプティング
DSA-2843 graphvizバッファオーバーフロー
DSA-2844 djvulibre任意のコードの実行
DSA-2845 mysql-5.1複数の問題
DSA-2849 curl情報漏洩
DSA-2851 drupal6なりすまし
DSA-2852 libgaduヒープベースのバッファオーバーフロー
DSA-2853 horde3リモートからのコードの実行
DSA-2856 libcommons-fileupload-javaCVE-2014-0050

削除されたパッケージ

以下のパッケージが諸事情により削除されました:

パッケージ 理由
iceape セキュリティサポート打ち切り

Debian インストーラ

インストーラが再ビルドされ、 このポイントリリースまでに旧安定版に組み込まれた修正が取り込まれています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

現在の旧安定版 (oldstable) ディストリビューション:

http://ftp.debian.org/debian/dists/oldstable/

旧安定版 (oldstable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

旧安定版 (oldstable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/リリース/oldstable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ https://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。