Debian 6.0 aktualisiert: 6.0.9 veröffentlicht
15. Februar 2014
Das Debian-Projekt freut sich, die neunte Aktualisierung seiner
Oldstable-Veröffentlichung Debian 6.0 (Codename Squeeze
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 6.0 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Squeeze-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.
Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.
Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine umfassende Liste der Spiegelserver findet sich unter:
Verschiedene Fehlerkorrekturen
Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| apache2 | Behebt CVE-2013-1862 (RewriteLog-Escaping), CVE-2013-1896 (mod_dav: Dienstblockade durch MERGE-Anfrage), Speicherzugriffsfehler in bestimmten Fehlerzuständen |
| base-files | Aktualisierung für die Zwischenveröffentlichung |
| chrony | Neubau in einer sauberen Umgebung |
| debian-installer | Neubau für die Zwischenveröffentlichung |
| debian-installer-netboot-images | Neubau für die Zwischenveröffentlichung |
| ia32-libs | Aktualisiert enthaltene Pakete von Oldstable / security.d.o |
| ia32-libs-gtk | Aktualisiert enthaltene Pakete von Oldstable / security.d.o |
| librsvg | Repariert neue Richtlinienüberprüfung für Nicht-URIs; behebt CVE-2013-1881: Laden externer Entitäten ausschalten |
| localepurge | Behebt CVE-2014-1638 (unsichere Verwendung der Temporärdatei) |
| mapserver | Behebt CVE-2013-7262, eine Anfälligkeit für SQL-Injektionen in der Funktion msPostGISLayerSetTimeFilter |
| openttd | Behebt CVE-2013-6411 (DoS) |
| postgresql-8.4 | Neues Mikro-Release der Originalautoren |
| spip | Behebt XSS in der Signatur des Autors [CVE-2013-7303] |
| suds | Behebt CVE-2013-2217 |
| tzdata | Neue Version der Originalautoren |
| usemod-wiki | Ändert das hart codierte Cookie-Ablaufdatum von 2013 auf 2025 |
| xfce4-weather-plugin | Aktualisiert den URI der weather.com-API |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
| Ankündigungs-ID | Paket | Korrektur(en) |
|---|---|---|
| DSA-2496 | mysql-5.1 | Mehrere Probleme |
| DSA-2581 | mysql-5.1 | Mehrere Probleme |
| DSA-2757 | wordpress | Mehrere Probleme |
| DSA-2771 | nas | Mehrere Probleme |
| DSA-2774 | gnupg2 | Mehrere Probleme |
| DSA-2779 | libxml2 | Dienstblockade |
| DSA-2780 | mysql-5.1 | Mehrere Probleme |
| DSA-2781 | python-crypto | Kein richtiger Reseed des PRNG unter verschiedenen Umständen |
| DSA-2783 | librack-ruby | Mehrere Probleme |
| DSA-2784 | xorg-server | Use-after-free |
| DSA-2786 | icu | Mehrere Probleme |
| DSA-2789 | strongswan | Dienstblockade und Autorisierungsumgehung |
| DSA-2791 | tryton-client | Fehlende Eingabeüberprüfung |
| DSA-2792 | wireshark | Mehrere Probleme |
| DSA-2794 | spip | Mehrere Probleme |
| DSA-2795 | lighttpd | Mehrere Probleme |
| DSA-2796 | torque | Eigenmächtige Codeausführung |
| DSA-2798 | curl | Ungeprüfter Hostname im SSL-Zertifikat |
| DSA-2800 | nss | Pufferüberlauf |
| DSA-2803 | quagga | Mehrere Probleme |
| DSA-2805 | sup-mail | Ferninjektion von Befehlen |
| DSA-2806 | nbd | Privilegieneskalation |
| DSA-2807 | links2 | Ganzzahlüberlauf |
| DSA-2808 | openjpeg | Mehrere Probleme |
| DSA-2812 | samba | Mehrere Probleme |
| DSA-2813 | gimp | Mehrere Probleme |
| DSA-2814 | varnish | Dienstblockade |
| DSA-2817 | libtar | Mehrere Ganzzahlüberläufe |
| DSA-2820 | nspr | Ganzzahlüberlauf |
| DSA-2821 | gnupg | Angriff durch Seitenkanal |
| DSA-2822 | xorg-server | Ganzzahlunterlauf |
| DSA-2823 | pixman | Ganzzahlunterlauf |
| DSA-2826 | denyhosts | Fernblockade des SSH-Dienstes |
| DSA-2827 | libcommons-fileupload-java | Eigenmächtiger Datei-Upload durch Deserialisierung |
| DSA-2828 | drupal6 | Mehrere Probleme |
| DSA-2829 | hplip | Mehrere Probleme |
| DSA-2831 | puppet | Unsichere Temporärdateien |
| DSA-2832 | memcached | Mehrere Probleme |
| DSA-2834 | typo3-src | Mehrere Probleme |
| DSA-2835 | asterisk | Pufferüberlauf |
| DSA-2838 | libxfont | Pufferüberlauf |
| DSA-2840 | srtp | Pufferüberlauf |
| DSA-2841 | movabletype-opensource | Cross-Site Scripting |
| DSA-2843 | graphviz | Pufferüberlauf |
| DSA-2844 | djvulibre | Eigenmächtige Codeausführung |
| DSA-2845 | mysql-5.1 | Mehrere Probleme |
| DSA-2849 | curl | Informationsoffenlegung |
| DSA-2851 | drupal6 | Nachahmung |
| DSA-2852 | libgadu | Heap-basierter Pufferüberlauf |
| DSA-2853 | horde3 | Code-Ausführung aus der Ferne |
| DSA-2856 | libcommons-fileupload-java | CVE-2014-0050 |
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| iceape | Sicherheitsunterstützung beendet |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Kraft und Zeit dafür opfern, das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Oldstable-Release-Team auf Englisch über <debian-release@lists.debian.org>.