Debian GNU/Linux 更新: 5.0.7 リリース
2010 年 11 月 27 日
Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux 5.0 (コード名 "lenny") の7回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。
この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 5.0のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。
頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。
新規の CD/DVD イメージは更新されたパッケージを含んでおり、 パッケージアーカイブが含まれた通常の各種インストールメディアは、 いつもの場所で間もなく入手可能になります。
オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:
様々なバグ修正
この安定版の更新では以下のパッケージに重要な修正が加えられています:
パッケージ | 理由 |
---|---|
base-files | /etc/debian_version を更新 |
bogofilter | base64 デコード時にヒープを破損する可能性を修正 |
dar | libbz2-dev 1.0.5-1+lenny1 に対して再ビルド (DSA-2112-1/CVE-2010-0405) |
dpkg | readdir() が新しく追加したファイルを返した場合にメタ情報を失わないように |
imagemagick | 設定ファイルを現在のディレクトリから読み取らないように |
kvm | MMIO サブページ処理コードでのセグメンテーション違反を修正 |
lastfm | LD_LIBRARY_PATH の安全でない設定を修正 |
libapache-authenhook-perl | ログメッセージからパスワードを削除 |
libgdiplus | BMP、JPEG、TIFF の処理での整数オーバーフローを修正 |
libvirt | 仮想ネットワークトラフィックのソースポートを隠蔽 (CVE-2010-2242) |
linux-2.6 | 複数の修正 |
mantis | クロスサイトスクリプティングの問題を修正 |
mt-daapd | aeMK タグを処理: iTunes 10 で必要 |
openscenegraph | 組み込みコピーの lib3ds でのサービス拒否を修正 |
perdition | 64ビットでの問題を修正。SSLの再ネゴシエーションを修正。make を postrm から呼ばないように |
ser2net | NULL ポインタ参照を修正 |
sun-java6 | 様々なセキュリティ修正 |
tor | volatile から新しい上流バージョンをインポート。openssl のセキュリティ更新との互換性を追加。新しいディレクトリ権限を追加 |
ttf-beteckna | 同梱フォントに合うようにヒントファイルを更新 |
ttf-okolaks | 同梱フォントに合うようにヒントファイルを更新 |
tzdata | タイムゾーンデータと翻訳を更新 |
user-mode-linux | linux-2.6_2.6.26-26 に対して再ビルド |
xen-tools | 誰からでも書き込めるディスクイメージを作成しないように |
xorg-server | ログを誰からでも書き込めるようにしないように。(xfvb-run) コマンドラインでは magic xauth クッキーを渡さないように |
このポイントリリースに収録されている更新された linux-2.6 パッケージには、パッケージ準備の問題のため DSA 2110-1 でリリースされたセキュリティ修正が盛り込まれていないことに注意してください。 リリースされたばかりの DSA 2126-1 には DSA 2110-1 の更新とこのポイントリリースでの linux-2.6 パッケージの更新が両方とも収録されています。
セキュリティ更新
この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:
勧告ID | パッケージ | 修正内容 |
---|---|---|
DSA-1943 | openldap | SSL証明書のNULバイト脆弱性 |
DSA-1991 | squid | サービス拒否 |
DSA-2038 | pidgin | SILC、SIMPLE、Yahoo! Messenger プロトコルを再び有効化 |
DSA-2050 | kdegraphics | 複数の脆弱性 |
DSA-2077 | openldap | 潜在的なコードの実行 |
DSA-2097 | phpmyadmin | 複数の脆弱性 |
DSA-2098 | typo3-src | リグレッション |
DSA-2102 | barnowl | 任意のコードの実行 |
DSA-2103 | smbind | SQLインジェクション |
DSA-2104 | quagga | サービス拒否 |
DSA-2105 | freetype | 複数の脆弱性 |
DSA-2106 | xulrunner | 複数の脆弱性 |
DSA-2107 | couchdb | 任意のコードの実行 |
DSA-2108 | cvsnt | 任意のコードの実行 |
DSA-2109 | samba | バッファオーバーフロー |
DSA-2110 | user-mode-linux | 複数の問題 |
DSA-2111 | squid3 | サービス拒否 |
DSA-2112 | dpkg | 整数オーバーフロー |
DSA-2112 | bzip2 | 整数オーバーフロー |
DSA-2113 | drupal6 | 複数の脆弱性 |
DSA-2114 | git-core | リグレッション |
DSA-2115 | moodle | 複数の脆弱性 |
DSA-2116 | freetype | 整数オーバーフロー |
DSA-2117 | apr-util | サービス拒否 |
DSA-2118 | subversion | 認証の迂回 |
DSA-2119 | poppler | 複数の脆弱性 |
DSA-2120 | postgresql-8.3 | 特権の昇格 |
DSA-2121 | typo3-src | 複数の脆弱性 |
DSA-2122 | glibc | ローカル特権の昇格 |
DSA-2123 | nss | 暗号の弱点 |
DSA-2124 | xulrunner | 複数の脆弱性 |
DSA-2125 | openssl | バッファオーバーフロー |
Debian インストーラ
Debian インストーラが更新され、 重要な修正を収録する新しいカーネルが盛り込まれています。
インストーラのこのリリースに収録されている更新されたカーネルには、 パッケージ準備の問題のため DSA 2110-1 でリリースされたセキュリティ修正が盛り込まれていないことに注意してください。 リリースされたばかりの DSA 2126-1 には DSA 2110-1 の更新とこのポイントリリースでの linux-2.6 パッケージの更新が両方とも収録され、 インストールしたシステムではインストール中に選択したセキュリティリポジトリから 更新した時点で収録されるということになります。
URL
このリリースで変更されたパッケージの完全なリスト:
現在の安定版 (stable) ディストリビューション:
安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):
安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):
セキュリティ関連のアナウンスと情報について:
Debian について
Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian GNU/Linux を開発しているフリーソフトウェア開発者らによる団体です。
連絡先について
より詳細な情報については、https://www.debian.org/ を訪れるか、<press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。