Debian GNU/Linux 更新: 5.0.8 リリース

2011 年 1 月 22 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux 5.0 (コード名 lenny) の8回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。

この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 5.0のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規の CD/DVD イメージは更新されたパッケージを含んでおり、 パッケージアーカイブが含まれた通常の各種インストールメディアは、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
awstats細工した LoadPlugin ディレクトリを経由したディレクトリトラバーサルを修正
base-filesポイントリリース向けに debian_version を更新
boxbackuproot CA の有効期限を早めて2038年でのオーバーフローを回避
git-coreクロスサイトスクリプティング脆弱性を修正
gquiltPYTHONPATH の安全でない設定
hamlibCVE-2009-3736 に対して脆弱な内部コピーに代えてシステムの libltdl を使用
ia32-libslenny と lenny-security からの新しいパッケージで更新
ia32-libs-gtklenny と lenny-security からの新しいパッケージで更新
ldap-account-managerdebconf の質問からマスターパスワードを外して lenny からのアップグレードを修正
libcgi-pm-perlヘッダ解析関連のセキュリティ問題を修正
libcgi-simple-perlヘッダ解析関連のセキュリティ問題を修正
libgadudcc7 セッション削除時のメモリ破壊を修正
man-dbdpkg メンテナスクリプトから実行した場合にロケールの警告を出さないように
mediawikiほとんどのページでフレームの利用を拒否してクリックジャックの危険を最小化
movabletype-opensource様々なXSSやSQLセキュリティ問題を修正
mumble設定ファイルを誰でも書き込める状態にしないように。完全削除時に /var/lib/mumble-server を削除
openscrogue カードからのバッファオーバーフローに対して防護
perlヘッダ解析関連のセキュリティバグを修正。Safe-2.25 に更新
postgresql-8.3上流の新しいバグ修正リリース
spamassassinARIN ネットブロック委譲一覧を更新して RelayEval での擬陽性を回避
splashylsb-base-logging.sh を変更して splashy が削除されたが完全削除されていない場合の問題を回避
surfrawDebian security-trackerのURLを更新
user-mode-linuxlinux-source-2.6.26 に対して再ビルド (2.6.26-26lenny1)
xdiggerバッファオーバーフローの誤りを修正

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告IDパッケージ修正内容
DSA-2110 linux-2.6複数の問題
DSA-2122 glibc特権の昇格
DSA-2126 linux-2.6複数の問題
DSA-2127 wiresharkサービス拒否
DSA-2128 libxml2潜在的なコードの実行
DSA-2129 krb5チェックサム検証の弱点
DSA-2130 bind9サービス拒否
DSA-2131 exim4リモートからのコードの実行
DSA-2132 xulrunner複数の脆弱性
DSA-2133 collectdサービス拒否
DSA-2135 xpdf複数の脆弱性
DSA-2136 tor潜在的なコードの実行
DSA-2137 libxml2複数の脆弱性
DSA-2138 wordpressSQLインジェクション
DSA-2139 phpmyadmin複数の脆弱性
DSA-2140 libapache2-mod-fcgidスタックオーバーフロー
DSA-2141 apache2新しい openssl 利用時に後方互換性のオプションを追加
DSA-2141 nssプロトコル設計上の欠陥
DSA-2141 apache2-mpm-itkapache2-src 2.2.9-10+lenny9 で再ビルド
DSA-2141 opensslプロトコル設計上の欠陥
DSA-2141 lighttpd更新された openssl との互換性の問題
DSA-2142 dpkgディレクトリトラバーサル
DSA-2143 mysql-dfsg-5.0複数の脆弱性
DSA-2144 wiresharkバッファオーバーフロー
DSA-2145 libsmiバッファオーバーフロー
DSA-2146 mydmsディレクトリトラバーサルの問題
DSA-2147 pimd安全でない一時ファイル
DSA-2148 tor複数の脆弱性

削除されたパッケージ

以下のパッケージが私たちの力の及ばない事情により削除されました:

パッケージ 理由
pytrisセキュリティ問題。上流の開発停止
python-gendocpython>= 2.5 で機能しない
clive完全に壊れている
gmailfsgmail の変更により壊れている。上流の開発停止
python-libgmailgmail の変更により壊れている。上流の開発停止

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian GNU/Linux を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、https://www.debian.org/ を訪れるか、<press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。