Обновлённый Debian 6.0: выпуск 6.0.9
15 Февраля 2014
Проект Debian с радостью сообщает о девятом обновлении своего
предыдущего стабильного выпуска Debian 6.0 (кодовое имя squeeze
).
Это обновление в основном содержит исправления проблем безопасности предыдущего стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian 6.0, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском 6.0, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не нужно обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска добавляет несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
apache2 | Исправление CVE-2013-1862 (экранирование RewriteLog), CVE-2013-1896 (mod_dav: отказ в обслуживании через запрос MERGE), ошибки сегментирования при определённых состояниях ошибок |
base-files | Обновлённая для редакции версия |
chrony | Пакет собран заново в чистом окружении |
debian-installer | Пакет собран заново для данной редакции |
debian-installer-netboot-images | Пакет собран заново для данной редакции |
ia32-libs | Обновление включённых пакетов из oldstable / security.d.o |
ia32-libs-gtk | Обновление включённых пакетов из oldstable / security.d.o |
librsvg | Исправление проверки соответствия новой политике для не-URIs; исправление CVE-2013-1881: отключение загрузки внешних сущностей |
localepurge | Исправление CVE-2014-1638 (небезопасное использование временного файла) |
mapserver | Исправление CVE-2013-7262, SQL-инъекция в функции msPostGISLayerSetTimeFilter |
openttd | Исправление CVE-2013-6411 (DoS) |
postgresql-8.4 | Новый микровыпуск основной ветки разработки |
spip | Исправление XSS на подписи автора [CVE-2013-7303] |
suds | Исправление CVE-2013-2217 |
tzdata | Новый выпуск основной ветки разработки |
usemod-wiki | Обновление жёстко встроенной даты устаревания cookie с 2013 до 2025 |
xfce4-weather-plugin | Обновление URI API weather.com |
Обновления безопасности
В данном выпуске добавлены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Идентификационный номер рекомендации | Пакет | Исправление(-я) |
---|---|---|
DSA-2496 | mysql-5.1 | Многочисленные проблемы |
DSA-2581 | mysql-5.1 | Многочисленные проблемы |
DSA-2757 | wordpress | Многочисленные проблемы |
DSA-2771 | nas | Многочисленные проблемы |
DSA-2774 | gnupg2 | Многочисленные проблемы |
DSA-2779 | libxml2 | Отказ в обслуживании |
DSA-2780 | mysql-5.1 | Многочисленные проблемы |
DSA-2781 | python-crypto | В некоторых ситуациях PRNG некорректно заполняется повторно |
DSA-2783 | librack-ruby | Многочисленные проблемы |
DSA-2784 | xorg-server | Использование указателя после освобождения памяти |
DSA-2786 | icu | Многочисленные проблемы |
DSA-2789 | strongswan | Отказ в обслуживании и обход авторизации |
DSA-2791 | tryton-client | Отсутствие очистки ввода |
DSA-2792 | wireshark | Многочисленные проблемы |
DSA-2794 | spip | Многочисленные проблемы |
DSA-2795 | lighttpd | Многочисленные проблемы |
DSA-2796 | torque | Выполнение произвольного кода |
DSA-2798 | curl | Непроверенное имя узла сертификата ssl |
DSA-2800 | nss | Переполнение буфера |
DSA-2803 | quagga | Многочисленные проблемы |
DSA-2805 | sup-mail | Удалённое введение команды |
DSA-2806 | nbd | Повышение привилегий |
DSA-2807 | links2 | Переполнение целых чисел |
DSA-2808 | openjpeg | Многочисленные проблемы |
DSA-2812 | samba | Многочисленные проблемы |
DSA-2813 | gimp | Многочисленные проблемы |
DSA-2814 | varnish | Отказ в обслуживании |
DSA-2817 | libtar | Многочисленные переполнения целых чисел |
DSA-2820 | nspr | Переполнение целых чисел |
DSA-2821 | gnupg | Атака по стороннему каналу |
DSA-2822 | xorg-server | Переполнение целых чисел |
DSA-2823 | pixman | Переполнение целых чисел |
DSA-2826 | denyhosts | Удалённый отказ в обслуживании ssh |
DSA-2827 | libcommons-fileupload-java | Загрузка произвольного файла через десериализацию |
DSA-2828 | drupal6 | Многочисленные проблемы |
DSA-2829 | hplip | Многочисленные проблемы |
DSA-2831 | puppet | Небезопасные временные файлы |
DSA-2832 | memcached | Многочисленные проблемы |
DSA-2834 | typo3-src | Многочисленные проблемы |
DSA-2835 | asterisk | Переполнение буфера |
DSA-2838 | libxfont | Переполнение буфера |
DSA-2840 | srtp | Переполнение буфера |
DSA-2841 | movabletype-opensource | Межсайтовый скриптинг |
DSA-2843 | graphviz | Переполнение буфера |
DSA-2844 | djvulibre | Выполнение произвольного кода |
DSA-2845 | mysql-5.1 | Многочисленные проблемы |
DSA-2849 | curl | Раскрытие информации |
DSA-2851 | drupal6 | Имперсонализация |
DSA-2852 | libgadu | Переполнение динамической памяти |
DSA-2853 | horde3 | Удалённое выполнение кода |
DSA-2856 | libcommons-fileupload-java | CVE-2014-0050 |
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
iceape | Прекращение поддержки безопасности |
Программа установки Debian
Программа установки была пересобрана для включения исправлений, добавленных в предыдущий стабильный выпуск данной редакцией.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.