Aktualizacja Debian 6.0: wersja 6.0.9 wydana

15. lutego 2014r

Projekt Debian ma przyjemność przedstawić dziewiątą aktualizację do starej edycji stabilnej (oldstable) Debian 6.0 (codename squeeze). Aktualizacja dostarcza głównie poprawki do problemów związanych z bezpieczeństwem w wydaniu oldstable oraz kilka ulepszeń dla ważniejszych problemów. Opublikowane ostrzeżenia dotyczące bezpieczeństwa także zostały ujęte.

Pragniemy zaznaczyć, że ta aktualizacja nie jest nową wersją Debiana 6.0, tylko aktualizacją niektórych pakietów. Nie ma potrzeby wyrzucania starszych płyt CD lub DVD do wersji squeeze, wystarczy tylko po instalacji zaktualizować system przy pomocy serwerów lustrzanych.

Użytkownicy, którzy często instalowali aktualizacje z security.debian.org nie będą musieli aktualizować wielu pakietów, ponieważ mają już zainstalowane większość z zawartych w tej aktualizacji poprawek.

Nowe nośniki instalacyjne oraz obrazy CD i DVD zawierające zaktualizowane pakiety będą niedługo dostępne w standardowych lokalizacjach.

Aktualizację online do tej rewizji można wykonać poprzez wskazanie dla aptitude (lub apt) (zobacz podręcznik sources.list(5)) jednego z wielu serwerów lustrzanych FTP lub HTTP. Kompletna lista tych serwerów jest dostępna na stronie:

https://www.debian.org/mirror/list

Różne poprawki

Ta aktualizacja wersji oldstable dodaje kilka ważnych zmian do następujących pakietów:

Pakiet Powód
apache2 Poprawiono CVE-2013-1862 (RewriteLog escaping), CVE-2013-1896 (mod_dav: odmowa usługi przez żądanie MERGE), naruszenie ochrony pamięci w niektórych błędnych warunkach
base-files Aktualizacja numeru wydania
chrony Przebudowanie w czystym środowisku
debian-installer Przebudowanie dla tego wydania
debian-installer-netboot-images Przebudowanie dla tego wydania
ia32-libs Aktualizacja dołączonych pakietów z oldstable / security.d.o
ia32-libs-gtk Aktualizacja dołączonych pakietów z oldstable / security.d.o
librsvg Poprawiono sprawdzanie nowych polityk dla nie-URI; poprawiono CVE-2013-1881: wyłączono ładowanie zewnętrznych podmiotów
localepurge Poprawiono CVE-2014-1638 (wykorzystanie niebezpiecznych plików tymczasowych)
mapserver Poprawiono CVE-2013-7262, podatność na SQL injection w funkcji msPostGISLayerSetTimeFilter
openttd Poprawiono CVE-2013-6411 (DoS)
postgresql-8.4 Nowe wydanie źródła
spip Poprawiono XSS na podpisie od autora [CVE-2013-7303]
suds Poprawino CVE-2013-2217
tzdata Nowe wydanie źródła
usemod-wiki Aktualizacja zakodowanej daty wygaśnięcia ciasteczka z 2013 na 2025
xfce4-weather-plugin Aktualizacja URI API weather.com

Poprawki bezpieczeństwa

Ta rewizja dodaje do edycji oldstable następujące aktualizacje bezpieczeństwa. Zespół ds. Bezpieczeństwa już wydał ostrzeżenia dotyczące tych aktualizacji.

ID Ostrzeżenia Pakiet Poprawiono
DSA-2496 mysql-5.1Różne problemy
DSA-2581 mysql-5.1Różne problemy
DSA-2757 wordpressRóżne problemy
DSA-2771 nasRóżne problemy
DSA-2774 gnupg2Różne problemy
DSA-2779 libxml2Odmowa usługi
DSA-2780 mysql-5.1Różne problemy
DSA-2781 python-cryptoW pewnych sytuacjach PRNG niepoprawnie ponawiał podanie ziarna
DSA-2783 librack-rubyRóżne problemy
DSA-2784 xorg-serverUżycie po zwolnieniu
DSA-2786 icuRóżne problemy
DSA-2789 strongswanOdmowa usługi i obejście autoryzacji
DSA-2791 tryton-clientBrakujące odkażanie wejścia
DSA-2792 wiresharkRóżne problemy
DSA-2794 spipRóżne problemy
DSA-2795 lighttpdRóżne problemy
DSA-2796 torqueArbitralne wykonanie kodu
DSA-2798 curlNiekontrolowana nazwa hosta certyfikatu ssl
DSA-2800 nssPrzepełnienie bufora
DSA-2803 quaggaRóżne problemy
DSA-2805 sup-mailWstrzyknięcie zdalnego polecenia
DSA-2806 nbdRozszerzenie uprawnień
DSA-2807 links2Przepełnienie zmiennej typu Integer
DSA-2808 openjpegRóżne problemy
DSA-2812 sambaRóżne problemy
DSA-2813 gimpRóżne problemy
DSA-2814 varnishOdmowa usługi
DSA-2817 libtarPrzepełnienia zmiennych typu integer
DSA-2820 nsprPrzepełnienie zmiennej typu Integer
DSA-2821 gnupgAtak bocznym kanałem
DSA-2822 xorg-serverNiedomiar zmiennej typu integer
DSA-2823 pixmanNiedomiar zmiennej typu integer
DSA-2826 denyhostsZdalna odmowa usługi ssh
DSA-2827 libcommons-fileupload-javaArbitralne przesyłanie pliku za pośrednictwem deserializacji
DSA-2828 drupal6Różne problemy
DSA-2829 hplipRóżne problemy
DSA-2831 puppetNiebezpieczne pliki tymczasowe
DSA-2832 memcachedRóżne problemy
DSA-2834 typo3-srcRóżne problemy
DSA-2835 asteriskPrzepełnienie bufora
DSA-2838 libxfontPrzepełnienie bufora
DSA-2840 srtpPrzepełnienie bufora
DSA-2841 movabletype-opensourceCross-site scripting
DSA-2843 graphvizPrzepełnienie bufora
DSA-2844 djvulibreArbitralne wykonanie kodu
DSA-2845 mysql-5.1Różne problemy
DSA-2849 curlUjawnienie informacji
DSA-2851 drupal6Podszywanie się
DSA-2852 libgaduPrzepełnienie bufora stosu
DSA-2853 horde3Zdalne wykonanie kodu
DSA-2856 libcommons-fileupload-javaCVE-2014-0050

Pakiety usunięte

Następujące pakiety zostały usunięte, ponieważ nie są już pod naszą kontrolą:

Pakiet Powód
iceape Brak obsługi poprawek

Instalator Debiana

Przebudowano instalator Debiana aby dołączyć poprawki zawarte w obecnej edycji oldstable.

Adresy URL

Kompletna lista pakietów zmienionych w tej rewizji:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Obecna dystrybucja oldstable:

http://ftp.debian.org/debian/dists/oldstable/

Sugerowane aktualizacje do dystrybucji oldstable:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

informacje dotyczące dystrybucji oldstable (uwagi do wydania, errata itp.):

https://www.debian.org/releases/oldstable/

Ostrzeżenia oraz informacje dotyczące bezpieczeństwa:

http://security.debian.org/

O Debianie

Projekt Debian to grupa deweloperów Wolnego Oprogramowania, którzy poświęcają swój czas i energię aby stworzyć całkowicie wolny system operacyjny, który nazwano Debian.

Kontakt

Aby uzyskać więcej informacji można zajrzeć na strony internetowe Debiana https://www.debian.org/, wysłać wiadomość na adres <press@debian.org>, lub skontaktować się z grupą ds. wydania stabilnego pod adresem <debian-release@lists.debian.org>.