Opdateret Debian 6.0: 6.0.9 udgivet
15. februar 2014
Debian-projektet er stolt over at kunne annoncere den niende opdatering af
dets gamle stabile distribution, Debian 6.0 (kodenavn squeeze
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 6.0, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide squeeze-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsmedier samt cd- og dvd-aftryk indeholdende opdaterede pakker, vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade
pakkehåndteringsværktøjet aptitude
(eller apt
, se
manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller
http-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den gamle stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
| Pakke | Årsag |
|---|---|
| apache2 | Retter CVE-2013-1862 (RewriteLog-escaping), CVE-2013-1896 (mod_dav: lammelsesangreb vha. MERGE-forespørgsel), segmenteringsfejl i visse fejltilstande |
| base-files | Opdateret i forbindelse med denne punktopdatering |
| chrony | Genopbygget i et rent miljø |
| debian-installer | Genopbygget til punktopdateringen |
| debian-installer-netboot-images | Genopbygget til punktopdateringen |
| ia32-libs | Opdatering indeholdende pakker fra oldstable / security.d.o |
| ia32-libs-gtk | Opdatering indeholdende pakker fra oldstable / security.d.o |
| librsvg | Retter ny policykontrol af ikke-URI'er; retter CVE-2013-1881: deaktiverer indlæsning af eksterne entieter |
| localepurge | Retter CVE-2014-1638 (usikker brug af midlertidige filer) |
| mapserver | Retter CVE-2013-7262, en SQL-indsprøjtningssårbarhed i funktionen msPostGISLayerSetTimeFilter |
| openttd | Retter CVE-2013-6411 (lammelsesangreb) |
| postgresql-8.4 | Ny opstrøms-mikroudgave |
| spip | Retter XSS på signatur fra forfatter [CVE-2013-7303] |
| suds | Retter CVE-2013-2217 |
| tzdata | Ny opstrømsudgave |
| usemod-wiki | Opdaterer hårdkodet udløbsdato på cookie fra 2013 til 2025 |
| xfce4-weather-plugin | Opdaterer weather.com's API-URI |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den gamle stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
| Bulletin-id | Pakke(r) | Rettelse(r) |
|---|---|---|
| DSA-2496 | mysql-5.1 | Flere problemer |
| DSA-2581 | mysql-5.1 | Flere problemer |
| DSA-2757 | wordpress | Flere problemer |
| DSA-2771 | nas | Flere problemer |
| DSA-2774 | gnupg2 | Flere problemer |
| DSA-2779 | libxml2 | Lammelsesangreb |
| DSA-2780 | mysql-5.1 | Flere problemer |
| DSA-2781 | python-crypto | PRNG genseedes ikke korrekt i nogle situationer |
| DSA-2783 | librack-ruby | Flere problemer |
| DSA-2784 | xorg-server | Anvendelse efter frigivelse |
| DSA-2786 | icu | Flere problemer |
| DSA-2789 | strongswan | Lammelsesangreb og autorisationsomgåelse |
| DSA-2791 | tryton-client | Manglende fornuftighedskontrol af inddata |
| DSA-2792 | wireshark | Flere problemer |
| DSA-2794 | spip | Flere problemer |
| DSA-2795 | lighttpd | Flere problemer |
| DSA-2796 | torque | Udførelse af vilkårlig kode |
| DSA-2798 | curl | Ukontrolleret værtsnavn i SSL-certifikat |
| DSA-2800 | nss | Bufferoverløb |
| DSA-2803 | quagga | Flere problemer |
| DSA-2805 | sup-mail | Fjernindsprøjtning af kommando |
| DSA-2806 | nbd | Rettighedsforøgelse |
| DSA-2807 | links2 | Heltalsoverløb |
| DSA-2808 | openjpeg | Flere problemer |
| DSA-2812 | samba | Flere problemer |
| DSA-2813 | gimp | Flere problemer |
| DSA-2814 | varnish | Lammelsesangreb |
| DSA-2817 | libtar | Flere heltalsoverløb |
| DSA-2820 | nspr | Heltalsoverløb |
| DSA-2821 | gnupg | Sidekanalangreb |
| DSA-2822 | xorg-server | Heltalsunderløb |
| DSA-2823 | pixman | Heltalsunderløb |
| DSA-2826 | denyhosts | Fjernlammelse af ssh-tjenste |
| DSA-2827 | libcommons-fileupload-java | Upload af vilkårlig fil vha. deserialisation |
| DSA-2828 | drupal6 | Flere problemer |
| DSA-2829 | hplip | Flere problemer |
| DSA-2831 | puppet | Usikre midlertidige filer |
| DSA-2832 | memcached | Flere problemer |
| DSA-2834 | typo3-src | Flere problemer |
| DSA-2835 | asterisk | Bufferoverløb |
| DSA-2838 | libxfont | Bufferoverløb |
| DSA-2840 | srtp | Bufferoverløb |
| DSA-2841 | movabletype-opensource | Udførelse af skripter på tværs af websteder |
| DSA-2843 | graphviz | Bufferoverløb |
| DSA-2844 | djvulibre | Udførelse af vilkårlig kode |
| DSA-2845 | mysql-5.1 | Flere problemer |
| DSA-2849 | curl | Informationsafsløring |
| DSA-2851 | drupal6 | Falsk identitet |
| DSA-2852 | libgadu | Heapbaseret bufferoverløb |
| DSA-2853 | horde3 | Fjernudførelse af kode |
| DSA-2856 | libcommons-fileupload-java | CVE-2014-0050 |
Fjernede pakker
Følgende pakker er fjernet på grund af omstændigheder uden for vores kontrol:
| Pakke | Årsag |
|---|---|
| iceape | Ophørt sikkerhedsunderstøttelse |
Debian Installer
Debian-installer er blevet genopbygget for at medtage rettelserne der via punktopdateringen er indført i den gamle stabile udgave.
URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle gamle stabile distribution:
Foreslåede opdateringer til den gamle stabile distribution:
Oplysninger om den gamle stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.