Opdateret Debian GNU/Linux 5.0: 5.0.9 udgivet

1. oktober 2011

Debian-projektet er stolt over at kunne annoncere den niende opdatering af dets stabile distribution, Debian GNU/Linux 5.0 (kodenavn lenny). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den gamle stabile udgave, sammen med nogle få rettelser af alvorlige problemer. Sikkerhedsbulletiner er allerede udgivet separat og der refereres til dem, hvor de er tilgængelige.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 5.0, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide 5.0-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye cd- og dvd-aftryk indeholdende opdaterede pakker vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringsværktøjet aptitude (eller apt, se manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller http-filspejle. En omfattende liste over filspejle er tilgængelig på:

https://www.debian.org/mirror/list

Forskellige fejlrettelser

Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
aptitude Retter symlinkangreb i hierarkieditor
atop Usikker anvendelse af midlertidige filer
base-files Opdaterer /etc/debian_version til denne punktopdatering
conky Retter sårbarhed i forbindelse med overskrivelse af fil
dokuwiki RSS XSS-sikkerhedsrettelse
klibc Escaper ipconfigs DHCP-valgmuligheder
linux-2.6 Flere sikkerhedsopdatering og udvalgte rettelser fra opstrøms 2.6.27.58/9
magpierss Retter sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (CVE-2011-0740)
mediawiki Beskyt mod CSS-indsprøjtningssårbarhed
openldap Sikkerhedsrettelser
openssl Retter CVE-2011-3210: SSL-hukommelseshåndtering af (EC)DH-ciphersuites
pmake Retter symlinkangreb via midlertidige filer
sun-java6 Ny sikkerhedsopdatering fra opstrøm
tesseract Deaktiverer xterm-baserede debugvinduer for at undgå filoverskrivelsessårbarhed
tzdata Ny opstrømsversion
user-mode-linux Genopbygget mod linux-2.6 2.6.26-27
v86d Retter CVE-2011-1070: Mislykket validering af netlink-meddelelsessender; medtag ikke tilfældige kerneheadere i CFLAGS
vftool Retter et bufferoverløb i linetoken() i parseAFM.c
xorg-server GLX: Gå ikke ned i SwapBuffers hvis vi ikke har en kontekst

På grund af timingen af denne punktopdatering i forhold til den næste opdatering af den stabile udgave (Debian 6.0 squeeze), er versionsnummeret på atop og tzdata i denne punktopdatering højere end de tilsvarende pakker, som pt. er at finde i den stabile udgave. Den næste stabile punktopdatering er planlagt til at finde sted om en uges tid, hvorefter pakkeversionerne i den stabile udgave igen, som forventet, vil være højere.

Vi forventer ikke at situationen vil forårsage problemer med opgraderinger fra den gamle stabile til den stabile udgave i det korte tidsrum, men vær venlig at rapportere om problemer, hvis de skulle opstå. (Se afsnittet Kontaktoplysninger længere nede.)

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den gamle stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r) Rettelse(r)
DSA-2043 vlcVilkårlig udførelse af kode
DSA-2149 dbusLammelsesangreb
DSA-2150 request-tracker3.6Salt-passwordhashing
DSA-2151 openoffice.orgFlere problemer
DSA-2152 hplipBufferoverløb
DSA-2153 user-mode-linuxFlere problemer
DSA-2153 linux-2.6Flere problemer
DSA-2154 exim4Rettighedsforøgelse
DSA-2155 freetypeFlere problemer
DSA-2156 pcsc-liteBufferoverløb
DSA-2157 postgresql-8.3Bufferoverløb
DSA-2158 cgiircFejl i forbindelse med udførelse af skripter på tværs af websteder
DSA-2165 ffmpeg-debianBufferoverløb
DSA-2167 phpmyadminSQL-indsprøjtning
DSA-2168 openafsFlere problemer
DSA-2169 telepathy-gabbleManglende kontrol af inddata
DSA-2170 mailmanFlere problemer
DSA-2171 asteriskBufferoverløb
DSA-2172 moodleFlere problemer
DSA-2173 pam-pgsqlBufferoverløb
DSA-2174 avahiLammelsesangreb
DSA-2175 sambaManglende fornuftighedskontrol af inddata
DSA-2176 cupsFlere problemer
DSA-2179 dtcSQL-indsprøjtning
DSA-2181 subversionLammelsesangreb
DSA-2182 logwatchFjernudførelse af kode
DSA-2183 nbdVilkårlig udførelse af kode
DSA-2186 xulrunnerFlere problemer
DSA-2191 proftpd-dfsgFlere problemer
DSA-2195 php5Flere problemer
DSA-2196 maradnsBufferoverløb
DSA-2197 quaggaLammelsesangreb
DSA-2200 xulrunnerOpdateret HTTPS-certifikatsortliste
DSA-2200 nssKompromitteret certifikatmyndighed
DSA-2201 wiresharkFlere problemer
DSA-2203 nssOpdateret HTTPS-certifikatsortliste
DSA-2204 imp4Utilstrækkelig fornuftighedskontrol af inddata
DSA-2206 maharaFlere problemer
DSA-2207 tomcat5.5Flere problemer
DSA-2208 bind9Problem med behandling af nye DNSSEC DS-poster
DSA-2210 tiffFlere problemer
DSA-2211 vlcManglende fornuftighedskontrol af inddata
DSA-2213 x11-xserver-utilsManglende fornuftighedskontrol af inddata
DSA-2214 ikiwikiManglende kontrol af inddata
DSA-2217 dhcp3Manglende fornuftighedskontrol af inddata
DSA-2219 xmlsec1Filoverskrivelse
DSA-2220 request-tracker3.6Flere problemer
DSA-2225 asteriskFlere problemer
DSA-2226 libmodplugBufferoverløb
DSA-2228 xulrunnerFlere problemer
DSA-2233 postfixFlere problemer
DSA-2234 zodbFlere problemer
DSA-2242 cyrus-imapd-2.2Implementeringsfejl
DSA-2243 unboundDesignfejl
DSA-2244 bind9Forkert grænsetilstand
DSA-2246 maharaFlere problemer
DSA-2247 railsFlere problemer
DSA-2248 ejabberdLammelsesangreb
DSA-2250 citadelLammelsesangreb
DSA-2253 fontforgeBufferoverløb
DSA-2254 oprofileKommandoindsprøjtning
DSA-2255 libxml2Bufferoverløb
DSA-2260 railsFlere problemer
DSA-2264 user-mode-linuxFlere problemer
DSA-2264 linux-2.6Flere problemer
DSA-2266 php5Flere problemer
DSA-2268 xulrunnerFlere problemer
DSA-2272 bind9Lammelsesangreb
DSA-2274 wiresharkFlere problemer
DSA-2276 asteriskFlere problemer
DSA-2277 xml-security-cBufferoverløb
DSA-2278 horde3Flere problemer
DSA-2280 libvirtFlere problemer
DSA-2286 phpmyadminFlere problemer
DSA-2288 libsndfileHeltalsoverløb
DSA-2289 typo3-srcFlere problemer
DSA-2290 sambaUdførelse af skripter på tværs af websteder
DSA-2291 squirrelmailFlere problemer
DSA-2292 dhcp3Lammelsesangreb
DSA-2293 libxfontBufferoverløb
DSA-2294 freetypeManglende fornuftighedskontrol af inddata
DSA-2296 xulrunnerFlere problemer
DSA-2298 apache2Lammelsesangreb
DSA-2298 apache2-mpm-itkLammelsesangreb
DSA-2300 nssKompromitteret certifikatmyndighed
DSA-2301 railsFlere problemer
DSA-2302 bcfg2Vilkårlig udførelse af kode
DSA-2304 squid3Bufferoverløb
DSA-2308 mantisFlere problemer
DSA-2309 opensslKompromitteret certifikatmyndighed
DSA-2310 linux-2.6Flere problemer

Debian Installer

Debian Installer er blevet opdateret til at anvende en ny kerne, indeholdende en række vigtige og sikkerhedsrelaterede rettelser.

Fjernede pakker

Følgende pakker blev fjernet på grund af omstændigheder uden for vores kontrol:

Pakke Årsag
pixelpost unmaintained, multiple security issues

URL'er

Den komplette liste over pakker der er ændret i forbindelse med denne udgivelse:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Den aktuelle gamle stabile distribution:

http://ftp.debian.org/debian/dists/oldstable/

Foreslåede opdateringer til den gamle stabile distribution:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Oplysninger om den gamle stabile distribution (udgivelsesbemærkninger, fejl, osv.):

https://www.debian.org/releases/oldstable/

Sikkerhedsannonceringer og -oplysninger:

http://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.