Aggiornamento di Debian GNU/Linux: 5.0.8 rilasciata
22 Gennaio 2011
Il progetto Debian è felice di annunciare l'ottavo aggiornamento della
sua versione stabile Debian GNU/Linux 5.0 (nome in codice lenny
).
Questo aggiornamento aggiunge principalmente correzioni a problemi relativi
alla sicurezza della versione stabile, nonché alcuni aggiustamenti dovuti a
problemi seri.
Ricordiamo che questo aggiornamento non costituisce una nuova versione di Debian GNU/Linux 5.0 ma aggiorna solo alcuni dei pacchetti che ne fanno parte. Non è necessario gettare via i CD o DVD della versione 5.0, ma è sufficiente aggiornare i sistemi appena installati tramite un mirror aggiornato per far sì che i pacchetti in questione siano automaticamente aggiornati.
Coloro che aggiornano regolarmente tramite security.debian.org non dovranno aggiornare molti pacchetti in quanto la maggior parte di quelli inclusi in questo aggiornamento provengono da security.debian.org.
Nuove immagini CD e DVD con i pacchetti aggiornati e i vari media di installazione nonché l'archivio dei pacchetti verranno resi disponibili molto presto ai soliti indirizzi.
Aggiornare in linea a questa revisione viene normalmente fatto tramite il programma per la gestione dei pacchetti aptitude (o apt) impostandolo per accedere ai pacchetti presenti nei mirror Debian HTTP o FTP (vedi la pagina di manuale sources.list(5)). Un elenco completo dei mirror è disponibile a:
Correzioni varie
L'aggiornamento della versione stabile aggiunge alcune importanti correzioni ai seguenti pacchetti:
Pacchetto | Ragione |
---|---|
awstats | Fix directory traversal via crafted LoadPlugin directory |
base-files | Update debian_version for the point release |
boxbackup | Reduce root CA expiration date to avoid overflow in 2038 |
git-core | Fix cross-site scripting vulnerability |
gquilt | Insecure setting of PYTHONPATH |
hamlib | Use system libltdl rather than an internal copy vulnerable to CVE-2009-3736 |
ia32-libs | Refresh with new packages from lenny and lenny-security |
ia32-libs-gtk | Refresh with new packages from lenny and lenny-security |
ldap-account-manager | Fix upgrades from lenny by dropping master password debconf question |
libcgi-pm-perl | Fix header-parsing related security issues |
libcgi-simple-perl | Fix header-parsing related security issues |
libgadu | Fix memory corruption when removing dcc7 sessions |
man-db | Suppress locale warnings when being run from a dpkg maintainer script |
mediawiki | Deny framing on most pages to minimise risk of clickjacking |
movabletype-opensource | Fix various XSS and SQL security issues |
mumble | Don't make configuration file world-readable; delete /var/lib/mumble-server on purge |
opensc | Protect against buffer overflow from rogue cards |
perl | Fix header-parsing related security bugs; update to Safe-2.25 |
postgresql-8.3 | New upstream bugfix release |
spamassassin | Update list of ARIN netblock delegations to avoid false positives in RelayEval |
splashy | Modify lsb-base-logging.sh to avoid issues if splashy is removed but not purged |
surfraw | Update Debian security-tracker URL |
user-mode-linux | Rebuild against linux-source-2.6.26 (2.6.26-26lenny1) |
xdigger | Fix buffer overflow errors |
Aggiornamenti della sicurezza
Questa revisione comprende gli aggiornamenti di sicurezza per la versione stabile. Il team della sicurezza ha già rilasciato un bollettino per ciascuno di questi aggiornamenti:
ID bollettino | Pacchetto | Correzione |
---|---|---|
DSA-2110 | linux-2.6 | Several issues |
DSA-2122 | glibc | Privilege escalation |
DSA-2126 | linux-2.6 | Several issues |
DSA-2127 | wireshark | Denial of service |
DSA-2128 | libxml2 | Potential code execution |
DSA-2129 | krb5 | Checksum verification weakness |
DSA-2130 | bind9 | Denial of service |
DSA-2131 | exim4 | Remote code execution |
DSA-2132 | xulrunner | Several vulnerabilities |
DSA-2133 | collectd | Denial of service |
DSA-2135 | xpdf | Several vulnerabilities |
DSA-2136 | tor | Potential code execution |
DSA-2137 | libxml2 | Several vulnerabilities |
DSA-2138 | wordpress | SQL injection |
DSA-2139 | phpmyadmin | Several vulnerabilities |
DSA-2140 | libapache2-mod-fcgid | Stack overflow |
DSA-2141 | apache2 | Add backward compatibility options when used with new openssl |
DSA-2141 | nss | Protocol design flaw |
DSA-2141 | apache2-mpm-itk | Rebuild with apache2-src 2.2.9-10+lenny9 |
DSA-2141 | openssl | Protocol design flaw |
DSA-2141 | lighttpd | Compatibility problem with updated openssl |
DSA-2142 | dpkg | Directory traversal |
DSA-2143 | mysql-dfsg-5.0 | Several vulnerabilities |
DSA-2144 | wireshark | Buffer overflow |
DSA-2145 | libsmi | Buffer overflow |
DSA-2146 | mydms | Directory traversal problem |
DSA-2147 | pimd | Insecure temporary files |
DSA-2148 | tor | Several vulnerabilities |
Pacchetti rimossi
I seguenti pacchetti sono stati rimossi per cause non dipendenti da noi:
Pacchetto | Ragione |
---|---|
pytris | security issues; abandoned upstream |
python-gendoc | broken with python>= 2.5 |
clive | completely broken |
gmailfs | broken due to gmail changes; abandoned upstream |
python-libgmail | broken due to gmail changes; abandoned upstream |
Indirizzi
La lista completa di pacchetti modificati in questa revisione:
La distribuzione stabile:
Proposte di aggiornamenti per la distribuzione stabile:
Informazioni sulla distribuzione stabile (note di rilascio, errata, ecc..):
Bollettini e informazioni sulla sicurezza:
Informazioni su Debian
Il progetto Debian è una associazione di sviluppatori di software libero che volontariamente offrono il loro tempo e il loro ingegno per produrre il sistema operativo completamente libero Debian GNU/Linux.
Contatti
Per maggiori informazioni si possono visitare le pagine web di Debian all'indirizzo https://www.debian.org/, o inviare un messaggio a <press@debian.org> o contattare il team che si occupa del rilascio della versione stabile all'indirizzo <debian-release@lists.debian.org>.