Aggiornamento di Debian GNU/Linux: 5.0.7 rilasciata
27 Novembre 2010
Il progetto Debian è felice di annunciare il settimo aggiornamento
della sua versione stabile Debian GNU/Linux 5.0 (nome in codice lenny
).
Questo aggiornamento aggiunge principalmente correzioni a problemi relativi
alla sicurezza della versione stabile, nonché pochi aggiustamenti
dovuti a problemi seri.
Ricordiamo che questo aggiornamento non costituisce una nuova versione di Debian GNU/Linux 5.0 ma aggiorna solo alcuni dei pacchetti che ne fanno parte. Non è necessario gettare via i CD o DVD della versione 5.0, ma è sufficiente aggiornare i sistemi appena installati tramite un mirror aggiornato per far sì che i pacchetti in questione siano automaticamente aggiornati.
Coloro che aggiornano regolarmente tramite security.debian.org non dovranno aggiornare molti pacchetti in quanto la maggior parte di quelli inclusi in questo aggiornamento provengono da security.debian.org.
Nuove immagini CD e DVD con i pacchetti aggiornati e i vari media di installazione nonché l'archivio dei pacchetti verranno resi disponibili molto presto ai soliti indirizzi.
Aggiornare in linea a questa revisione viene normalmente fatto tramite il programma per la gestione dei pacchetti aptitude (o apt) impostandolo per accedere ai pacchetti presenti nei mirror Debian HTTP o FTP (vedi la pagina di manuale sources.list(5)). Un elenco completo dei mirror è disponibile a:
Correzioni varie
L'aggiornamento della versione stabile aggiunge alcune importanti correzioni ai seguenti pacchetti:
| Pacchetto | Ragione |
|---|---|
| base-files | Update /etc/debian_version |
| bogofilter | Fix possible heap corruption decoding base64 |
| dar | Rebuild against libbz2-dev 1.0.5-1+lenny1 (DSA-2112-1/CVE-2010-0405) |
| dpkg | Don't lose metadata if readdir() returns newly added files |
| imagemagick | Don't read configuration files from the current directory |
| kvm | Fix segfault in MMIO subpage handling code |
| lastfm | Fix insecure setting of LD_LIBRARY_PATH |
| libapache-authenhook-perl | Remove passwords from log messages |
| libgdiplus | Fix integer overflows in BMP, JPEG and TIFF handling |
| libvirt | Masquerade source ports for virtual network traffic (CVE-2010-2242) |
| linux-2.6 | Several fixes |
| mantis | Fix cross-site scripting issues |
| mt-daapd | Handle aeMK tag, required for iTunes 10 |
| openscenegraph | Fix DoS in embedded copy of lib3ds |
| perdition | Fix 64-bit issues; fix SSL re-negotiation; don't call make from postrm |
| ser2net | Fix NULL pointer dereference |
| sun-java6 | Various security fixes |
| tor | Import new upstream version from volatile; add compatibility with openssl security update; add new directory authority |
| ttf-beteckna | Update hints file to match the shipped fonts |
| ttf-okolaks | Update hints file to match the shipped fonts |
| tzdata | Updated timezone data and translations |
| user-mode-linux | Rebuild against linux-2.6_2.6.26-26 |
| xen-tools | Don't create world-readable disk images |
| xorg-server | Don't create log world-writable; (xfvb-run) don't pass magic xauth cookies on the command line |
Notare che per un problema nella preparazione del pacchetto linux-2.6 incluso in questo aggiornamento, non è compresa la risoluzione di DSA 2110-1. Il bollettino DSA 2126-1, che è già stato emesso, include un aggiornamento del pacchetto linux-2.6 compreso in questo aggiornamento nonché di quello compreso nel DSA 2110-1.
Aggiornamenti della sicurezza
Questa revisione comprende gli aggiornamenti di sicurezza per la versione stabile. Il team della sicurezza ha già rilasciato un bollettino per ciascuno di questi aggiornamenti:
| ID bollettino | Pacchetto | Correzione |
|---|---|---|
| DSA-1943 | openldap | SSL certificate NUL byte vulnerability |
| DSA-1991 | squid | Denial of service |
| DSA-2038 | pidgin | Re-enable SILC, SIMPLE and Yahoo! Messenger protocols |
| DSA-2050 | kdegraphics | Several vulnerabilities |
| DSA-2077 | openldap | Potential code execution |
| DSA-2097 | phpmyadmin | Several vulnerabilities |
| DSA-2098 | typo3-src | Regression |
| DSA-2102 | barnowl | Arbitrary code execution |
| DSA-2103 | smbind | SQL injection |
| DSA-2104 | quagga | Denial of service |
| DSA-2105 | freetype | Several vulnerabilities |
| DSA-2106 | xulrunner | Several vulnerabilities |
| DSA-2107 | couchdb | Arbitrary code execution |
| DSA-2108 | cvsnt | Arbitrary code execution |
| DSA-2109 | samba | Buffer overflow |
| DSA-2110 | user-mode-linux | Several issues |
| DSA-2111 | squid3 | Denial of service |
| DSA-2112 | dpkg | Integer overflow |
| DSA-2112 | bzip2 | Integer overflow |
| DSA-2113 | drupal6 | Several vulnerabilities |
| DSA-2114 | git-core | Regression |
| DSA-2115 | moodle | Several vulnerabilities |
| DSA-2116 | freetype | Integer overflow |
| DSA-2117 | apr-util | Denial of service |
| DSA-2118 | subversion | Authentication bypass |
| DSA-2119 | poppler | Several vulnerabilities |
| DSA-2120 | postgresql-8.3 | Privilege escalation |
| DSA-2121 | typo3-src | Several vulnerabilities |
| DSA-2122 | glibc | Local privilege escalation |
| DSA-2123 | nss | Cryptographic weaknesses |
| DSA-2124 | xulrunner | Several vulnerabilities |
| DSA-2125 | openssl | Buffer overflow |
Installatore Debian
L'installatore Debian è stato aggiornato per incorporare il nuovo kernel che include una serie importante di correzioni.
Notare che per un problema nella preparazione del pacchetto linux-2.6 incluso in questo aggiornamento, non è compresa la risoluzione di DSA 2110-1. Il bollettino DSA 2126-1, che è già stato emesso, include un aggiornamento del pacchetto linux-2.6 compreso in questo aggiornamento nonché di quello compreso nel DSA 2110-1. Quest'ultimo aggiornamento verrà automaticamente installato se durante l'installazione si seleziona di voler usare gli aggiornamenti della sicurezza.
Indirizzi
La lista completa di pacchetti modificati in questa revisione:
La distribuzione stabile:
Proposte di aggiornamenti per la distribuzione stabile:
Informazioni sulla distribuzione stabile (note di rilascio, errata, etc.):
Bollettini e informazioni sulla sicurezza:
Informazioni su Debian
Il progetto Debian è una associazione di sviluppatori di software libero che volontariamente offrono il loro tempo e il loro ingegno per produrre il sistema operativo completamente libero Debian GNU/Linux.
Contatti
Per maggiori informazioni si possono visitare le pagine web di Debian all'indirizzo https://www.debian.org/, o inviare un messaggio a <press@debian.org> o contattare il team che si occupa del rilascio della versione stabile all'indirizzo <debian-release@lists.debian.org>.