Debian GNU/Linux 更新: 5.0.8 リリース
2011 年 1 月 22 日
Debian プロジェクトは安定版 (stable) ディストリビューション Debian GNU/Linux
5.0 (コード名 lenny
) の8回目の更新を発表できることを嬉しく思います。
この更新は主にセキュリティ問題の修正を安定版 (stable)
リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。
この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 5.0のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。
頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。
新規の CD/DVD イメージは更新されたパッケージを含んでおり、 パッケージアーカイブが含まれた通常の各種インストールメディアは、 いつもの場所で間もなく入手可能になります。
オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:
様々なバグ修正
この安定版の更新では以下のパッケージに重要な修正が加えられています:
| パッケージ | 理由 |
|---|---|
| awstats | 細工した LoadPlugin ディレクトリを経由したディレクトリトラバーサルを修正 |
| base-files | ポイントリリース向けに debian_version を更新 |
| boxbackup | root CA の有効期限を早めて2038年でのオーバーフローを回避 |
| git-core | クロスサイトスクリプティング脆弱性を修正 |
| gquilt | PYTHONPATH の安全でない設定 |
| hamlib | CVE-2009-3736 に対して脆弱な内部コピーに代えてシステムの libltdl を使用 |
| ia32-libs | lenny と lenny-security からの新しいパッケージで更新 |
| ia32-libs-gtk | lenny と lenny-security からの新しいパッケージで更新 |
| ldap-account-manager | debconf の質問からマスターパスワードを外して lenny からのアップグレードを修正 |
| libcgi-pm-perl | ヘッダ解析関連のセキュリティ問題を修正 |
| libcgi-simple-perl | ヘッダ解析関連のセキュリティ問題を修正 |
| libgadu | dcc7 セッション削除時のメモリ破壊を修正 |
| man-db | dpkg メンテナスクリプトから実行した場合にロケールの警告を出さないように |
| mediawiki | ほとんどのページでフレームの利用を拒否してクリックジャックの危険を最小化 |
| movabletype-opensource | 様々なXSSやSQLセキュリティ問題を修正 |
| mumble | 設定ファイルを誰でも書き込める状態にしないように。完全削除時に /var/lib/mumble-server を削除 |
| opensc | rogue カードからのバッファオーバーフローに対して防護 |
| perl | ヘッダ解析関連のセキュリティバグを修正。Safe-2.25 に更新 |
| postgresql-8.3 | 上流の新しいバグ修正リリース |
| spamassassin | ARIN ネットブロック委譲一覧を更新して RelayEval での擬陽性を回避 |
| splashy | lsb-base-logging.sh を変更して splashy が削除されたが完全削除されていない場合の問題を回避 |
| surfraw | Debian security-trackerのURLを更新 |
| user-mode-linux | linux-source-2.6.26 に対して再ビルド (2.6.26-26lenny1) |
| xdigger | バッファオーバーフローの誤りを修正 |
セキュリティ更新
この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:
| 勧告ID | パッケージ | 修正内容 |
|---|---|---|
| DSA-2110 | linux-2.6 | 複数の問題 |
| DSA-2122 | glibc | 特権の昇格 |
| DSA-2126 | linux-2.6 | 複数の問題 |
| DSA-2127 | wireshark | サービス拒否 |
| DSA-2128 | libxml2 | 潜在的なコードの実行 |
| DSA-2129 | krb5 | チェックサム検証の弱点 |
| DSA-2130 | bind9 | サービス拒否 |
| DSA-2131 | exim4 | リモートからのコードの実行 |
| DSA-2132 | xulrunner | 複数の脆弱性 |
| DSA-2133 | collectd | サービス拒否 |
| DSA-2135 | xpdf | 複数の脆弱性 |
| DSA-2136 | tor | 潜在的なコードの実行 |
| DSA-2137 | libxml2 | 複数の脆弱性 |
| DSA-2138 | wordpress | SQLインジェクション |
| DSA-2139 | phpmyadmin | 複数の脆弱性 |
| DSA-2140 | libapache2-mod-fcgid | スタックオーバーフロー |
| DSA-2141 | apache2 | 新しい openssl 利用時に後方互換性のオプションを追加 |
| DSA-2141 | nss | プロトコル設計上の欠陥 |
| DSA-2141 | apache2-mpm-itk | apache2-src 2.2.9-10+lenny9 で再ビルド |
| DSA-2141 | openssl | プロトコル設計上の欠陥 |
| DSA-2141 | lighttpd | 更新された openssl との互換性の問題 |
| DSA-2142 | dpkg | ディレクトリトラバーサル |
| DSA-2143 | mysql-dfsg-5.0 | 複数の脆弱性 |
| DSA-2144 | wireshark | バッファオーバーフロー |
| DSA-2145 | libsmi | バッファオーバーフロー |
| DSA-2146 | mydms | ディレクトリトラバーサルの問題 |
| DSA-2147 | pimd | 安全でない一時ファイル |
| DSA-2148 | tor | 複数の脆弱性 |
削除されたパッケージ
以下のパッケージが私たちの力の及ばない事情により削除されました:
| パッケージ | 理由 |
|---|---|
| pytris | セキュリティ問題。上流の開発停止 |
| python-gendoc | python>= 2.5 で機能しない |
| clive | 完全に壊れている |
| gmailfs | gmail の変更により壊れている。上流の開発停止 |
| python-libgmail | gmail の変更により壊れている。上流の開発停止 |
URL
このリリースで変更されたパッケージの完全なリスト:
現在の安定版 (stable) ディストリビューション:
安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):
安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):
セキュリティ関連のアナウンスと情報について:
Debian について
Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian GNU/Linux を開発しているフリーソフトウェア開発者らによる団体です。
連絡先について
より詳細な情報については、https://www.debian.org/ を訪れるか、<press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。