Debian 7 aktualisiert: 7.5 veröffentlicht

26. April 2014

Das Debian-Projekt freut sich, die fünfte Aktualisierung seiner Stable-Veröffentlichung Debian 7 (Codename Wheezy) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 7 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Wheezy-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine umfassende Liste der Spiegelserver findet sich unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
advi	latexdir explizit an make weiterreichen, um zu verhindern, dass Dateien in Nicht-FHS-Verzeichnissen landen
base-files	Aktualisierung auf die Zwischenveröffentlichung
calendarserver	Zeitzoneninfo auf tzdata 2014a aktualisiert
catfish	Schwachstelle bei nicht vertrauenswürdigen Suchpfaden behoben [CVE-2014-2093, CVE-2014-2094, CVE-2014-2095, CVE-2014-2096]
certificatepatrol	Deklariert Kompatibilität mit Iceweasel 24
clamav	Neue Veröffentlichung der Originalautoren
conkeror	Korrekturen für die Kompatibilität mit Iceweasel 24
debian-installer	Unterstützung für QNAP HS-210 hinzugefügt
debian-installer-netboot-images	Neubau gegen den neuen Debian-Installer
docx2txt	Fehlende Abhängigkeit von unzip hinzugefügt
erlang	Befehlsinjektion im FTP-Module via CR oder LF in Benutzer-, Datei- oder Verzeichnisnamen behoben [CVE-2014-1693]
evolution-ews	Frei/Beschäftigt-Indikatoren für Exchange-2013-Server korrigiert
firebug	Neue Veröffentlichung der Originalautoren; kompatibel mit Iceweasel 24
flashblock	Neue Veröffentlichung der Originalautoren; kompatibel mit Iceweasel 24
freeciv	Dienstblockade behoben [CVE-2012-5645, CVE-2012-6083]
freerdp	libfreerdp-dev korrigiert, um den Bau gegen das Paket zu ermöglichen
glark	Verwendung von Ruby 1.8 erzwingen, weil Glark mit neueren Versionen nicht funktioniert
gorm.app	Fehlschläge beim Bauen gelöst
greasemonkey	Neue Veröffentlichung der Originalautoren; kompatibel mit Iceweasel 24
gst-plugins-bad0.10	Fehlschläge beim Bauen gelöst, die auf das libmodplug-Upgrade in DSA 2751 zurückzuführen sind
intel-microcode	Aktuellen Microcode eingefügt
ktp-filetransfer-handler	Defektes kde-telepathy-filetransfer-handler-dbg auf MIPS repariert
lcms2	Sicherheitskorrekturen
libdatetime-timezone-perl	Aktualisierung auf tzdata 2014a
libfinance-quote-perl	Aktualisierung der URLs des Yahoo!-Finance-Dienstes
libpdf-api2-perl	Fehlschläge beim Bauen gelöst
libquvi-scripts	Neue Veröffentlichung der Originalautoren
libsoup2.4	Probleme bei der NTLM-Authentifizierung gegen Windows 2012 gelöst
libxml2	Speicherkorrumpierung gelöst, die auftritt, wenn die Bibliothek von mehreren Threads einer Anwendung verwendet wird
linux	Aktualisierung auf stabile Versionen 3.2.57, 3.2.55-rt81, drm/agp 3.4.86; mehrere Sicherheitskorrekturen; e1000e, igb: Änderungen bis zu Linux 3.13 zurückportiert
ltsp	Remote-Audio auf Thin-Clients repariert
meep	Nicht mehr mit -march=native bauen
meep-openmpi	Nicht mehr mit -march=native bauen
mozilla-noscript	Neue Veröffentlichung der Originalautoren; kompatibel mit Iceweasel 24
mp3gain	Probleme mit Dienstblockade und Pufferüberlauf behoben [CVE-2003-0577, CVE-2004-0805, CVE-2004-0991, CVE-2006-1655]
net-snmp	Agentx-Subagenten-Probleme gelöst, die bei Anfragen mit mehreren Objekten und wachsender Objektlänge auftreten [CVE-2014-2310]
newsbeuter	Baufehlschlag wegen JSON-Änderung von boolean auf json_bool behoben
nvidia-graphics-drivers	Neue Veröffentlichung der Originalautoren
nvidia-graphics-modules	Bau gegen nvidia-kernel-source 304.117
openblas	Hänger behoben, der beim Aufruf aus einem Programm heraus auftritt, welches OpenMP verwendet
php-getid3	Potenzielles XXE-Sicherheitsproblem gelöst [CVE-2014-2053]
php5	Viele von den Originalautoren zurückportierte Korrekturen
polarssl	Baufehlschlag wegen ausgelaufener Zertifikate behoben
postgresql-8.4	Neue Mikro-Veröffentlichung der Originalautoren
postgresql-9.1	Neue Mikro-Veröffentlichung der Originalautoren
qemu	Eintrittszeiger für EFL-Kernel korrigiert, die mit der »-kernel«-Option geladen werden; nur Real Mode den Zugriff auf 32-Bit-Adressen erlauben, außer im Long Mode
qemu-kvm	Eintrittszeiger für EFL-Kernel korrigiert, die mit der »-kernel«-Option geladen werden; nur Real Mode den Zugriff auf 32-Bit-Adressen erlauben, außer im Long Mode
quassel	Clients vom Zugriff auf Backlogs abhalten, die anderen Benutzern gehören [CVE-2013-6404]
resource-agents	HTTPS-Dienstprüfung via IP-Adresse korrigiert
ruby-passenger	Unsichere Verwendung von /tmp behoben [CVE-2014-1831, CVE-2014-1832]
sage-extension	Neue Veröffentlichung der Originalautoren; kompatibel mit Iceweasel 24
samba	Authentifizierungs-Bypass behoben und unzureichenden Schutz vor Brute-Force-Passwortraten verstärkt [CVE-2012-6150, CVE-2013-4496]
samba4	Unsichere und defekte samba4- und winbind4-Binärpakete entfernt
spamassassin	xxx von der Liste bekannter falscher TLDs entfernt, da sie keine Fälschung mehr ist; Regeln mit Bezug auf rfc-ignorant.org und NJABL entfernt, die abgeschaltet wurden
spip	Fehlendes Escaping nachgetragen; Sicherheitsschirm aktualisiert
subversion	mod_dav_svn-Absturz beim Bearbeiten bestimmter Anfragen [CVE-2014-0032] und Entfernung von libsvnjavahl-1.a/.la/.so aus libsvn-dev behoben
sympa	CAS-Authentifizierungsprobleme gelöst; SQLite-Upgradekorrektur bearbeitet, um Fehler mit Perl <= 5.14 zu vermeiden; Fehlermeldung, dass die CA-Bundle-Datei nicht lesbar ist, durch Warnung ersetzt; fehlende Vorlage help_suspend.tt2 nachgereicht
tweepy	Twitter-API 1.1 und SSL verwenden
tzdata	Neue Veröffentlichung der Originalautoren
wml	Temporärverzeichnisse entfernen (ipp.*)
xine-lib	Baufehlschläge wegen des libmodplug-Upgrades in DSA 2751 behoben
xine-lib-1.2	Baufehlschläge wegen des libmodplug-Upgrades in DSA 2751 behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-2848	mysql-5.5
DSA-2850	libyaml
DSA-2852	libgadu
DSA-2854	mumble
DSA-2855	libav
DSA-2856	libcommons-fileupload-java
DSA-2857	libspring-java
DSA-2858	iceweasel
DSA-2859	pidgin
DSA-2860	parcimonie
DSA-2861	file
DSA-2862	chromium-browser
DSA-2863	libtar
DSA-2865	postgresql-9.1
DSA-2866	gnutls26
DSA-2867	otrs2
DSA-2868	php5
DSA-2869	gnutls26
DSA-2870	libyaml-libyaml-perl
DSA-2871	wireshark
DSA-2872	udisks
DSA-2873	file
DSA-2874	mutt
DSA-2875	cups-filters
DSA-2877	lighttpd
DSA-2878	virtualbox
DSA-2879	libssh
DSA-2880	python2.7
DSA-2881	iceweasel
DSA-2882	extplorer
DSA-2883	chromium-browser
DSA-2884	libyaml
DSA-2885	libyaml-libyaml-perl
DSA-2886	libxalan2-java
DSA-2887	ruby-actionmailer-3.2
DSA-2888	ruby-activesupport-3.2
DSA-2888	ruby-actionpack-3.2
DSA-2889	postfixadmin
DSA-2890	libspring-java
DSA-2891	mediawiki-extensions
DSA-2891	mediawiki
DSA-2892	a2ps
DSA-2894	openssh
DSA-2895	prosody
DSA-2895	lua-expat
DSA-2896	openssl
DSA-2897	tomcat7
DSA-2898	imagemagick
DSA-2899	openafs
DSA-2900	jbigkit
DSA-2901	wordpress
DSA-2902	curl
DSA-2903	strongswan
DSA-2904	virtualbox
DSA-2905	chromium-browser
DSA-2908	openssl
DSA-2909	qemu
DSA-2910	qemu-kvm

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
hlbr	Defekt
hlbrw	Hängt vom defekten hlbr ab

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/wheezy/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu entwickeln.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.