Обновлённый Debian 6.0: выпуск 6.0.9

15 Февраля 2014

Проект Debian с радостью сообщает о девятом обновлении своего предыдущего стабильного выпуска Debian 6.0 (кодовое имя squeeze). Это обновление в основном содержит исправления проблем безопасности предыдущего стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 6.0, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском 6.0, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не нужно обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска добавляет несколько важных исправлений для следующих пакетов:

Пакет Причина
apache2 Исправление CVE-2013-1862 (экранирование RewriteLog), CVE-2013-1896 (mod_dav: отказ в обслуживании через запрос MERGE), ошибки сегментирования при определённых состояниях ошибок
base-files Обновлённая для редакции версия
chrony Пакет собран заново в чистом окружении
debian-installer Пакет собран заново для данной редакции
debian-installer-netboot-images Пакет собран заново для данной редакции
ia32-libs Обновление включённых пакетов из oldstable / security.d.o
ia32-libs-gtk Обновление включённых пакетов из oldstable / security.d.o
librsvg Исправление проверки соответствия новой политике для не-URIs; исправление CVE-2013-1881: отключение загрузки внешних сущностей
localepurge Исправление CVE-2014-1638 (небезопасное использование временного файла)
mapserver Исправление CVE-2013-7262, SQL-инъекция в функции msPostGISLayerSetTimeFilter
openttd Исправление CVE-2013-6411 (DoS)
postgresql-8.4 Новый микровыпуск основной ветки разработки
spip Исправление XSS на подписи автора [CVE-2013-7303]
suds Исправление CVE-2013-2217
tzdata Новый выпуск основной ветки разработки
usemod-wiki Обновление жёстко встроенной даты устаревания cookie с 2013 до 2025
xfce4-weather-plugin Обновление URI API weather.com

Обновления безопасности

В данном выпуске добавлены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет Исправление(-я)
DSA-2496 mysql-5.1Многочисленные проблемы
DSA-2581 mysql-5.1Многочисленные проблемы
DSA-2757 wordpressМногочисленные проблемы
DSA-2771 nasМногочисленные проблемы
DSA-2774 gnupg2Многочисленные проблемы
DSA-2779 libxml2Отказ в обслуживании
DSA-2780 mysql-5.1Многочисленные проблемы
DSA-2781 python-cryptoВ некоторых ситуациях PRNG некорректно заполняется повторно
DSA-2783 librack-rubyМногочисленные проблемы
DSA-2784 xorg-serverИспользование указателя после освобождения памяти
DSA-2786 icuМногочисленные проблемы
DSA-2789 strongswanОтказ в обслуживании и обход авторизации
DSA-2791 tryton-clientОтсутствие очистки ввода
DSA-2792 wiresharkМногочисленные проблемы
DSA-2794 spipМногочисленные проблемы
DSA-2795 lighttpdМногочисленные проблемы
DSA-2796 torqueВыполнение произвольного кода
DSA-2798 curlНепроверенное имя узла сертификата ssl
DSA-2800 nssПереполнение буфера
DSA-2803 quaggaМногочисленные проблемы
DSA-2805 sup-mailУдалённое введение команды
DSA-2806 nbdПовышение привилегий
DSA-2807 links2Переполнение целых чисел
DSA-2808 openjpegМногочисленные проблемы
DSA-2812 sambaМногочисленные проблемы
DSA-2813 gimpМногочисленные проблемы
DSA-2814 varnishОтказ в обслуживании
DSA-2817 libtarМногочисленные переполнения целых чисел
DSA-2820 nsprПереполнение целых чисел
DSA-2821 gnupgАтака по стороннему каналу
DSA-2822 xorg-serverПереполнение целых чисел
DSA-2823 pixmanПереполнение целых чисел
DSA-2826 denyhostsУдалённый отказ в обслуживании ssh
DSA-2827 libcommons-fileupload-javaЗагрузка произвольного файла через десериализацию
DSA-2828 drupal6Многочисленные проблемы
DSA-2829 hplipМногочисленные проблемы
DSA-2831 puppetНебезопасные временные файлы
DSA-2832 memcachedМногочисленные проблемы
DSA-2834 typo3-srcМногочисленные проблемы
DSA-2835 asteriskПереполнение буфера
DSA-2838 libxfontПереполнение буфера
DSA-2840 srtpПереполнение буфера
DSA-2841 movabletype-opensourceМежсайтовый скриптинг
DSA-2843 graphvizПереполнение буфера
DSA-2844 djvulibreВыполнение произвольного кода
DSA-2845 mysql-5.1Многочисленные проблемы
DSA-2849 curlРаскрытие информации
DSA-2851 drupal6Имперсонализация
DSA-2852 libgaduПереполнение динамической памяти
DSA-2853 horde3Удалённое выполнение кода
DSA-2856 libcommons-fileupload-javaCVE-2014-0050

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
iceape Прекращение поддержки безопасности

Программа установки Debian

Программа установки была пересобрана для включения исправлений, добавленных в предыдущий стабильный выпуск данной редакцией.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/squeeze/ChangeLog

Текущий предыдущий стабильный выпуск:

http://ftp.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

http://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.