Debian GNU/Linux 5.0 更新: 5.0.9 リリース

2011 年 10 月 1 日

Debian プロジェクトは旧安定版 (oldstable) ディストリビューション Debian GNU/Linux 5.0 (コード名 lenny) の9回目の更新を発表できることを嬉しく思います。この更新は主にセキュリティ問題の修正を旧安定版 (oldstable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian GNU/Linux 5.0 の新しいバージョンを構成するといった性質のものではなく、収録されているパッケージの一部を更新するだけであることに注意してください。 5.0のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

このoldstable 更新以下のパッケージに重要な修正が加えられています:

パッケージ	理由
aptitude	階層エディタでのシンボリックリンク攻撃を修正
atop	安全でない一時ファイル利用
base-files	ポイントリリース向けに /etc/debian_version を更新
conky	ファイルを上書きする脆弱性を修正
dokuwiki	RSSのXSSのセキュリティ修正
klibc	ipconfig の DHCP オプションをエスケープ
linux-2.6	複数のセキュリティ更新と上流の 2.6.27.58/9 の修正から抜粋
magpierss	クロスサイトスクリプティング脆弱性を修正 (CVE-2011-0740)
mediawiki	CSSインジェクションの脆弱性に対して防護
openldap	セキュリティ修正
openssl	CVE-2011-3210: (EC)DH 方式の暗号のSSLメモリ処理を修正
pmake	一時ファイルを経由したシンボリックリンク攻撃を修正
sun-java6	新しい上流のセキュリティ更新
tesseract	xterm ベースのデバッグ用ウィンドウを無効化することでファイルを上書きする脆弱性を回避
tzdata	新しい上流バージョン
user-mode-linux	linux-2.6 2.6.26-27 に対して再ビルド
v86d	CVE-2011-1070: netlink メッセージ送信者の検証に失敗する問題を修正。CFLAGS でランダムカーネルヘッダを収録しないように
vftool	parseAFM.c の linetoken() でのバッファオーバーフローを修正
xorg-server	GLX: コンテキストのない場合に SwapBuffers でクラッシュしないように

このポイントリリースと安定版 (stable) リリース (Debian 6.0 squeeze) の次の更新のタイミングの問題で、このポイントリリースに収録されている atop と tzdata のバージョンが現在安定版 (stable) にある当該パッケージよりも大きくなっています。次の安定版 (stable) ポイントリリースは1週間後の予定で、その後は予定通り安定版 (stable) のパッケージのバージョンが再び大きくなります。

この短期間のうちに旧安定版 (oldstable) から安定版 (stable) リリースへのアップグレードでこの状況により問題が起きるとは思いませんが、そういった問題が起きた場合は報告してください。 (連絡先については以下の節を見てください)。

セキュリティ更新

この改訂では旧安定版 (oldstable) リリースに以下のセキュリティ更新が追加されます。セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告ID	パッケージ	修正内容
DSA-2043	vlc	任意のコードの実行
DSA-2149	dbus	サービス拒否
DSA-2150	request-tracker3.6	弱い暗号によるパスワードのハッシュ
DSA-2151	openoffice.org	複数の問題
DSA-2152	hplip	バッファオーバーフロー
DSA-2153	user-mode-linux	複数の問題
DSA-2153	linux-2.6	複数の問題
DSA-2154	exim4	特権の昇格
DSA-2155	freetype	複数の問題
DSA-2156	pcsc-lite	バッファオーバーフロー
DSA-2157	postgresql-8.3	バッファオーバーフロー
DSA-2158	cgiirc	クロスサイトスクリプティングの欠陥
DSA-2165	ffmpeg-debian	バッファオーバーフロー
DSA-2167	phpmyadmin	SQLインジェクション
DSA-2168	openafs	複数の問題
DSA-2169	telepathy-gabble	入力のサニタイジング欠落
DSA-2170	mailman	複数の問題
DSA-2171	asterisk	バッファオーバーフロー
DSA-2172	moodle	複数の問題
DSA-2173	pam-pgsql	バッファオーバーフロー
DSA-2174	avahi	サービス拒否
DSA-2175	samba	入力のサニタイジング欠落
DSA-2176	cups	複数の問題
DSA-2179	dtc	SQLインジェクション
DSA-2181	subversion	サービス拒否
DSA-2182	logwatch	リモートからのコードの実行
DSA-2183	nbd	任意のコードの実行
DSA-2186	xulrunner	複数の問題
DSA-2191	proftpd-dfsg	複数の問題
DSA-2195	php5	複数の問題
DSA-2196	maradns	バッファオーバーフロー
DSA-2197	quagga	サービス拒否
DSA-2200	xulrunner	HTTPS 証明書ブラックリストの更新
DSA-2200	nss	侵害された認証局
DSA-2201	wireshark	複数の問題
DSA-2203	nss	HTTPS 証明書ブラックリストの更新
DSA-2204	imp4	入力の不十分なサニタイズ
DSA-2206	mahara	複数の問題
DSA-2207	tomcat5.5	複数の問題
DSA-2208	bind9	新しい DNSSEC DS レコードの処理の問題
DSA-2210	tiff	複数の問題
DSA-2211	vlc	入力のサニタイジング欠落
DSA-2213	x11-xserver-utils	入力のサニタイジング欠落
DSA-2214	ikiwiki	入力検証の欠落
DSA-2217	dhcp3	入力のサニタイジング欠落
DSA-2219	xmlsec1	ファイルの上書き
DSA-2220	request-tracker3.6	複数の問題
DSA-2225	asterisk	複数の問題
DSA-2226	libmodplug	バッファオーバーフロー
DSA-2228	xulrunner	複数の問題
DSA-2233	postfix	複数の問題
DSA-2234	zodb	複数の問題
DSA-2242	cyrus-imapd-2.2	実装の誤り
DSA-2243	unbound	設計上の欠陥
DSA-2244	bind9	境界条件の不具合
DSA-2246	mahara	複数の問題
DSA-2247	rails	複数の問題
DSA-2248	ejabberd	サービス拒否
DSA-2250	citadel	サービス拒否
DSA-2253	fontforge	バッファオーバーフロー
DSA-2254	oprofile	コマンドインジェクション
DSA-2255	libxml2	バッファオーバーフロー
DSA-2260	rails	複数の問題
DSA-2264	user-mode-linux	複数の問題
DSA-2264	linux-2.6	複数の問題
DSA-2266	php5	複数の問題
DSA-2268	xulrunner	複数の問題
DSA-2272	bind9	サービス拒否
DSA-2274	wireshark	複数の問題
DSA-2276	asterisk	複数の問題
DSA-2277	xml-security-c	バッファオーバーフロー
DSA-2278	horde3	複数の問題
DSA-2280	libvirt	複数の問題
DSA-2286	phpmyadmin	複数の問題
DSA-2288	libsndfile	整数オーバーフロー
DSA-2289	typo3-src	複数の問題
DSA-2290	samba	クロスサイトスクリプティング
DSA-2291	squirrelmail	複数の問題
DSA-2292	dhcp3	サービス拒否
DSA-2293	libxfont	バッファオーバーフロー
DSA-2294	freetype	入力のサニタイジング欠落
DSA-2296	xulrunner	複数の問題
DSA-2298	apache2	サービス拒否
DSA-2298	apache2-mpm-itk	サービス拒否
DSA-2300	nss	侵害さた認証局
DSA-2301	rails	複数の問題
DSA-2302	bcfg2	任意のコードの実行
DSA-2304	squid3	バッファオーバーフロー
DSA-2308	mantis	複数の問題
DSA-2309	openssl	侵害された認証局
DSA-2310	linux-2.6	複数の問題

Debian インストーラ

Debian インストーラが更新され、重要な修正やセキュリティ関連の修正を収録する新しいカーネルが盛り込まれています。

削除されたパッケージ

以下のパッケージが私たちの力の及ばない事情により削除されました:

パッケージ	理由
pixelpost	保守されていない、複数のセキュリティ問題

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/lenny/ChangeLog

現在の旧安定版 (oldstable) ディストリビューション:

http://ftp.debian.org/debian/dists/oldstable/

旧安定版 (oldstable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

旧安定版 (oldstable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/oldstable/

セキュリティ関連のアナウンスと情報について:

http://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、Debian のウェブページ https://www.debian.org/ を訪れるか、<press@debian.org> 宛にメールする、もしくは <debian-release@lists.debian.org> から安定版リリースチームに問い合わせを行ってください。