Debian GNU/Linux 5.0 aktualisiert: 5.0.9 veröffentlicht

1. Oktober 2011

Das Debian-Projekt freut sich, die neunte Aktualisierung seiner Oldstable-Distribution Debian GNU/Linux 5.0 (Codename lenny) ankündigen zu dürfen. Diese Aktualisierung fügt der Oldstable-Veröffentlichung hauptsächlich Sicherheitsaktualisierungen hinzu, zusammen mit Lösungen für einige ernste Probleme. Es wurden bereits separate Sicherheitsanweisungen veröffentlicht, die, wo möglich, referenziert werden.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian GNU/Linux 5.0 darstellt, sondern nur einige darin enthaltene Pakete auffrischt. Es gibt keinen Grund, 5.0-CDs oder -DVDs wegzuwerfen, sondern nur zur Aktualisierung nach der Installation mit Hilfe eines sich auf dem neuesten Stand befindlichen Spiegelservers, damit sämtliche veralteten Pakete durch neue ausgetauscht werden.

Diejenigen, die regelmäßig Aktualisierungen von security.debian.org installieren, müssen nicht viel aktualisieren und die meisten Aktualisierungen von security.debian.org sind in dieser Aktualisierung enthalten.

Neue Installationsmedien und CD- sowie DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.

Zum Online-Upgrade auf diese Revision wird in der Regel die Aptitude- (oder APT-)Paketverwaltung auf einen der vielen FTP- oder HTTP-Spiegel von Debian verwiesen (siehe dazu auch die Handbuchseite zu sources.list(5)). Eine vollständige Liste der Spiegel findet sich unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen wichtige Korrekturen hinzu:

Paket Grund
aptitude Symlink-Attackierbarkeit im Hierarchie-Editor behoben
atop Unsichere Handhabung temporärer Dateien
base-files /etc/debian_version auf diese Zwischenveröffentlichung aktualisiert
conky Schwachstelle für Dateiüberschreibungen behoben
dokuwiki RSS-XSS-Sicherheitskorrektur
klibc ipconfigs DHCP-Optionen maskiert
linux-2.6 Mehrere Sicherheitsaktualisierungen und ausgewählte Korrekturen aus 2.6.27.58/9 aus dem Upstream
magpierss Cross-Site-Scripting-Anfälligkeit behoben (CVE-2011-0740)
mediawiki Schutz vor CSS-Injektion eingebaut
openldap Sicherheitskorrekturen
openssl CVE-2011-3210 behoben: SSL-Speicherhandhabung für (EC)DH-Ciphersuites
pmake Symlink-Attackierbarkeit über Temporärdateien behoben
sun-java6 Neue Upstream-Sicherheitsaktualisierung
tesseract xterm-basierte Debug-Fenster abgeschaltet, um Anfälligkeit auf Dateiüberschreibungen zu beheben
tzdata Neue Upstream-Version
user-mode-linux Neubau gegen linux-2.6 2.6.26-27
v86d CVE-2011-1070 behoben: Fehlschlag beim Validieren des Netlink-Nachrichten-Absenders; schließt keine zufälligen Kernel-Header in CFLAGS ein
vftool Pufferüberlauf in linetoken() in parseAFM.c behoben
xorg-server GLX stürzt in SwapBuffers nicht mehr ab, wenn kein Kontext vorhanden ist

Wegen des zur nächsten Aktualisierung des Stable-Releases (Debian 6.0 Squeeze) recht nahen Zeitpunktes dieser Zwischenveröffentlichung sind die Versionsnummern der Pakete »atop« und »tzdata« höher als die ihrer Gegenstücke in Stable. Die nächste Stable-Zwischenveröffentlichung ist in einer Woche geplant, danach werden die Versionsnummern in Stable wieder wie erwartet höher sein.

Wir erwarten nicht, dass die derzeitige Lage irgendwelche Probleme beim Upgrade von Oldstable nach Stable aufwirft, aber wir bitten Sie trotzdem darum, dass Sie uns alle damit zusammenhängenden Schwierigkeiten mitteilen (siehe dazu auch die Kontaktinformationen weiter unten).

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung folgende Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon Ankündigungen veröffentlicht:

Ankündigungs-ID Paket Korrektur(en)
DSA-2043 vlcAusführung beliebigem Codes
DSA-2149 dbusDiensteverweigerung
DSA-2150 request-tracker3.6Salt-Passwort-Hashing
DSA-2151 openoffice.orgMehrere Probleme
DSA-2152 hplipPufferüberlauf
DSA-2153 user-mode-linuxMehrere Probleme
DSA-2153 linux-2.6Mehrere Probleme
DSA-2154 exim4Privilegieneskalation
DSA-2155 freetypeMehrere Probleme
DSA-2156 pcsc-litePufferüberlauf
DSA-2157 postgresql-8.3Pufferüberlauf
DSA-2158 cgiircAnfälligkeit auf Cross-Site-Scripting
DSA-2165 ffmpeg-debianPufferüberlauf
DSA-2167 phpmyadminSQL-Injektion
DSA-2168 openafsMehrere Probleme
DSA-2169 telepathy-gabbleFehlende Eingabeüberprüfung
DSA-2170 mailmanMehrere Probleme
DSA-2171 asteriskPufferüberlauf
DSA-2172 moodleMehrere Probleme
DSA-2173 pam-pgsqlPufferüberlauf
DSA-2174 avahiDiensteverweigerung
DSA-2175 sambaFehlende Eingabebereinigung
DSA-2176 cupsMehrere Probleme
DSA-2179 dtcSQL-Injektion
DSA-2181 subversionDiensteverweigerung
DSA-2182 logwatchEntferntes Ausführen von Code
DSA-2183 nbdAusführung beliebigem Codes
DSA-2186 xulrunnerMehrere Probleme
DSA-2191 proftpd-dfsgMehrere Probleme
DSA-2195 php5Mehrere Probleme
DSA-2196 maradnsPufferüberlauf
DSA-2197 quaggaDiensteverweigerung
DSA-2200 xulrunnerSchwarze Liste der HTTPS-Zertifikate aktualisiert
DSA-2200 nssKompromittierte Zertifizierungsstelle
DSA-2201 wiresharkMehrere Probleme
DSA-2203 nssSchwarze Liste der HTTPS-Zertifikate aktualisiert
DSA-2204 imp4Unzureichende Eingabebereinigung
DSA-2206 maharaMehrere Probleme
DSA-2207 tomcat5.5Mehrere Probleme
DSA-2208 bind9Schwierigkeiten beim Verarbeiten der neuen DNSSEC-DS-Einträge
DSA-2210 tiffMehrere Probleme
DSA-2211 vlcFehlende Eingabebereinigung
DSA-2213 x11-xserver-utilsFehlende Eingabebereinigung
DSA-2214 ikiwikiFehlende Eingabeüberprüfung
DSA-2217 dhcp3Fehlende Eingabebereinigung
DSA-2219 xmlsec1Dateiüberschreibung
DSA-2220 request-tracker3.6Mehrere Probleme
DSA-2225 asteriskMehrere Probleme
DSA-2226 libmodplugPufferüberlauf
DSA-2228 xulrunnerMehrere Probleme
DSA-2233 postfixMehrere Probleme
DSA-2234 zodbMehrere Probleme
DSA-2242 cyrus-imapd-2.2Implementationsfehler
DSA-2243 unboundDesign-Schwachstelle
DSA-2244 bind9Falsche Grenzbedingung
DSA-2246 maharaMehrere Probleme
DSA-2247 railsMehrere Probleme
DSA-2248 ejabberdDiensteverweigerung
DSA-2250 citadelDiensteverweigerung
DSA-2253 fontforgePufferüberlauf
DSA-2254 oprofileKommandoinjektion
DSA-2255 libxml2Pufferüberlauf
DSA-2260 railsMehrere Probleme
DSA-2264 user-mode-linuxMehrere Probleme
DSA-2264 linux-2.6Mehrere Probleme
DSA-2266 php5Mehrere Probleme
DSA-2268 xulrunnerMehrere Probleme
DSA-2272 bind9Diensteverweigerung
DSA-2274 wiresharkMehrere Probleme
DSA-2276 asteriskMehrere Probleme
DSA-2277 xml-security-cPufferüberlauf
DSA-2278 horde3Mehrere Probleme
DSA-2280 libvirtMehrere Probleme
DSA-2286 phpmyadminMehrere Probleme
DSA-2288 libsndfileIntegerüberlauf
DSA-2289 typo3-srcMehrere Probleme
DSA-2290 sambaCross-Site Scripting
DSA-2291 squirrelmailMehrere Probleme
DSA-2292 dhcp3Diensteverweigerung
DSA-2293 libxfontPufferüberlauf
DSA-2294 freetypeFehlende Eingabebereinigung
DSA-2296 xulrunnerMehrere Probleme
DSA-2298 apache2Diensteverweigerung
DSA-2298 apache2-mpm-itkDiensteverweigerung
DSA-2300 nssKompromittierte Zertifizierungsstelle
DSA-2301 railsMehrere Probleme
DSA-2302 bcfg2Ausführung beliebigem Codes
DSA-2304 squid3Pufferüberlauf
DSA-2308 mantisMehrere Probleme
DSA-2309 opensslKompromittierte Zertifizierungsstelle
DSA-2310 linux-2.6Mehrere Probleme

Debian Installer

Der Debian-Installer wurde aktualisiert, damit er einen neuen Kernel mit einer Vielzahl von wichtigen und sicherheitsrelevanten Korrekturen enthält.

Entferntes Paket

Das folgende Paket mussten wir wegen Umständen entfernen, die außerhalb unserer Kontrolle liegen:

Paket Grund
pixelpost unbetreut, mehrere Sicherheitsprobleme

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

Die derzeitige Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distrubiton (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

http://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Kraft dafür zur Verfügung stellen, das vollständig freie Betriebssystem Debian zu erstellen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder schreiben dem Stable-Release-Team unter <debian-release@lists.debian.org>.