Aggiornata Debian GNU/Linux 5.0: rilasciata la versione 5.0.9
1 Ottobre 2011
Il progetto Debian è lieto di annunciare il nono aggiornamento della sua
distribuzione oldstable Debian GNU/Linux 5.0 (nome in codice lenny
). Questo
aggiornamento aggiunge per lo più delle correzioni a problemi di sicurezza del
rilascio oldstable, insieme ad alcune sistemazioni di problemi seri. Gli avvisi
di sicurezza sono già stati pubblicati separatamente e maggiori informazioni,
laddove disponibili, sono presenti nelle pagine ad essi dedicate.
Da notare che questo aggiornamento non costituisce una nuova versione di Debian GNU/Linux 5.0 ma aggiorna solamente alcuni dei pacchetti inclusi. Non c'è alcun bisogno di gettare i CD o i DVD della versione 5.0, ma è sufficiente connettersi dopo l'installazione ad un mirror Debian aggiornato per provocare l'avanzamento di tutti i pacchetti datati.
Coloro che aggiornano di frequente tramite security.debian.org non dovranno aggiornare molti pacchetti poiché la maggior parte di quelli provenienti da security.debian.org sono compresi in questo aggiornamento.
I nuovi supporti di installazione e le nuove immagini dei CD e DVD che contengono i pacchetti aggiornati saranno presto disponibili agli indirizzi consueti.
L'aggiornamento in linea a questa revisione viene di solito fatto puntando il gestore dei pacchetti aptitude (o apt) (vedere la pagina di manuale sources.list(5)) a uno dei molti mirror FTP o HTTP di Debian. Una lista esaustiva dei mirror è disponibile qui:
Correzioni varie
L'aggiornamento della versione oldstable aggiunge alcune importanti correzioni ai seguenti pacchetti:
| Package | Reason |
|---|---|
| aptitude | Fix symlink attack in hierarchy editor |
| atop | Insecure use of temporary files |
| base-files | Update /etc/debian_version for the point release |
| conky | Fix file overwrite vulnerability |
| dokuwiki | RSS XSS security fix |
| klibc | Escape ipconfig's DHCP options |
| linux-2.6 | Several security updates and select fixes from upstream 2.6.27.58/9 |
| magpierss | Fix cross-site scripting vulnerability (CVE-2011-0740) |
| mediawiki | Protect against CSS injection vulnerability |
| openldap | Security fixes |
| openssl | Fix CVE-2011-3210: SSL memory handling for (EC)DH ciphersuites |
| pmake | Fix symlink attack via temporary files |
| sun-java6 | New upstream security update |
| tesseract | Disable xterm-based debug windows to avoid file overwrite vulnerability |
| tzdata | New upstream version |
| user-mode-linux | Rebuild against linux-2.6 2.6.26-27 |
| v86d | Fix CVE-2011-1070: failure to validate netlink message sender; do not include random kernel headers in CFLAGS |
| vftool | Fix a buffer overflow in linetoken() in parseAFM.c |
| xorg-server | GLX: don't crash in SwapBuffers if we don't have a context |
A causa della tempistica di questo rilascio minore, ravvicinata al prossimo
aggiornamento del rilascio stabile (Debian 6.0 squeeze
), le versioni
di atop e tzdata incluse in questo rilascio minore sono superiori a quelle dei
pacchetti corrispondenti attualmente in stable. Il prossimo rilascio minore di
stable è pianificato per la prossima settimana, dopo di che le versioni
dei pacchetti in stable saranno nuovamente superiori, come previsto.
Non prevediamo che questa situazione provocherà dei problemi con gli
aggiornamenti dal rilascio oldstable a stable durante questo breve periodo di
tempo, ma si prega di riferire qualsiasi problema di questo tipo che dovesse
insorgere. (Vedere la sezione Contatti
più sotto).
Aggiornamenti di sicurezza
Questa revisione aggiunge i seguenti aggiornamenti di sicurezza al rilascio oldstable. Il team della sicurezza ha già rilasciato un avviso per ciascuno di questi aggiornamenti:
| Advisory ID | Package | Correction(s) |
|---|---|---|
| DSA-2043 | vlc | Arbitrary code execution |
| DSA-2149 | dbus | Denial of service |
| DSA-2150 | request-tracker3.6 | Salt password hashing |
| DSA-2151 | openoffice.org | Multiple issues |
| DSA-2152 | hplip | Buffer overflow |
| DSA-2153 | user-mode-linux | Multiple issues |
| DSA-2153 | linux-2.6 | Multiple issues |
| DSA-2154 | exim4 | Privilege escalation |
| DSA-2155 | freetype | Multiple issues |
| DSA-2156 | pcsc-lite | Buffer overflow |
| DSA-2157 | postgresql-8.3 | Buffer overflow |
| DSA-2158 | cgiirc | Cross-site scripting flaw |
| DSA-2165 | ffmpeg-debian | Buffer overflow |
| DSA-2167 | phpmyadmin | SQL injection |
| DSA-2168 | openafs | Multiple issues |
| DSA-2169 | telepathy-gabble | Missing input validation |
| DSA-2170 | mailman | Multiple issues |
| DSA-2171 | asterisk | Buffer overflow |
| DSA-2172 | moodle | Multiple issues |
| DSA-2173 | pam-pgsql | Buffer overflow |
| DSA-2174 | avahi | Denial of service |
| DSA-2175 | samba | Missing input sanitising |
| DSA-2176 | cups | Multiple issues |
| DSA-2179 | dtc | SQL injection |
| DSA-2181 | subversion | Denial of service |
| DSA-2182 | logwatch | Remote code execution |
| DSA-2183 | nbd | Arbitrary code execution |
| DSA-2186 | xulrunner | Multiple issues |
| DSA-2191 | proftpd-dfsg | Multiple issues |
| DSA-2195 | php5 | Multiple issues |
| DSA-2196 | maradns | Buffer overflow |
| DSA-2197 | quagga | Denial of service |
| DSA-2200 | xulrunner | Update HTTPS certificate blacklist |
| DSA-2200 | nss | Compromised certificate authority |
| DSA-2201 | wireshark | Multiple issues |
| DSA-2203 | nss | Update HTTPS certificate blacklist |
| DSA-2204 | imp4 | Insufficient input sanitising |
| DSA-2206 | mahara | Multiple issues |
| DSA-2207 | tomcat5.5 | Multiple issues |
| DSA-2208 | bind9 | Issue with processing of new DNSSEC DS records |
| DSA-2210 | tiff | Multiple issues |
| DSA-2211 | vlc | Missing input sanitising |
| DSA-2213 | x11-xserver-utils | Missing input sanitizing |
| DSA-2214 | ikiwiki | Missing input validation |
| DSA-2217 | dhcp3 | Missing input sanitizing |
| DSA-2219 | xmlsec1 | File overwrite |
| DSA-2220 | request-tracker3.6 | Multiple issues |
| DSA-2225 | asterisk | Multiple issues |
| DSA-2226 | libmodplug | Buffer overflow |
| DSA-2228 | xulrunner | Multiple issues |
| DSA-2233 | postfix | Multiple issues |
| DSA-2234 | zodb | Multiple issues |
| DSA-2242 | cyrus-imapd-2.2 | Implementation error |
| DSA-2243 | unbound | Design flaw |
| DSA-2244 | bind9 | Wrong boundary condition |
| DSA-2246 | mahara | Multiple issues |
| DSA-2247 | rails | Multiple issues |
| DSA-2248 | ejabberd | Denial of service |
| DSA-2250 | citadel | Denial of service |
| DSA-2253 | fontforge | Buffer overflow |
| DSA-2254 | oprofile | Command injection |
| DSA-2255 | libxml2 | Buffer overflow |
| DSA-2260 | rails | Multiple issues |
| DSA-2264 | user-mode-linux | Multiple issues |
| DSA-2264 | linux-2.6 | Multiple issues |
| DSA-2266 | php5 | Multiple issues |
| DSA-2268 | xulrunner | Multiple issues |
| DSA-2272 | bind9 | Denial of service |
| DSA-2274 | wireshark | Multiple issues |
| DSA-2276 | asterisk | Multiple issues |
| DSA-2277 | xml-security-c | Buffer overflow |
| DSA-2278 | horde3 | Multiple issues |
| DSA-2280 | libvirt | Multiple issues |
| DSA-2286 | phpmyadmin | Multiple issues |
| DSA-2288 | libsndfile | Integer overflow |
| DSA-2289 | typo3-src | Multiple issues |
| DSA-2290 | samba | Cross-side scripting |
| DSA-2291 | squirrelmail | Multiple issues |
| DSA-2292 | dhcp3 | Denial of service |
| DSA-2293 | libxfont | Buffer overflow |
| DSA-2294 | freetype | Missing input sanitization |
| DSA-2296 | xulrunner | Multiple issues |
| DSA-2298 | apache2 | Denial of service |
| DSA-2298 | apache2-mpm-itk | Denial of service |
| DSA-2300 | nss | Compromised certificate authority |
| DSA-2301 | rails | Multiple issues |
| DSA-2302 | bcfg2 | Arbitrary code execution |
| DSA-2304 | squid3 | Buffer overflow |
| DSA-2308 | mantis | Multiple issues |
| DSA-2309 | openssl | Compromised certificate authority |
| DSA-2310 | linux-2.6 | Multiple issues |
Installatore Debian
L'installatore Debian è stato aggiornato per incorporare un nuovo kernel contenente un certo numero di correzioni importanti e relative alla sicurezza.
Pacchetto rimosso
Il seguente pacchetto è stato rimosso a causa di circostanze al di fuori del nostro controllo:
| Package | Reason |
|---|---|
| pixelpost | unmaintained, multiple security issues |
URL
La lista completa di pacchetti modificati con questa revisione:
L'attuale distribuzione oldstable:
Aggiornamenti proposti per la distribuzione oldstable:
Informazioni sulla distribuzione oldstable (note di rilascio, errata, ecc.):
Annunci e informazioni sulla sicurezza:
Informazioni su Debian
Il progetto Debian è un'associazione di sviluppatori di software libero che volontariamente mettono a disposizione il loro tempo e le loro capacità per creare il sistema operativo completamente libero Debian.
Contatti
Per ulteriori informazioni, visita il sito web all'indirizzo https://www.debian.org/, invia una email a <press@debian.org>, oppure contatta il team del rilascio stabile inviando una mail a <debian-release@lists.debian.org>.