Debian 8 更新: 8.3 リリース

2016 年 1 月 23 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 8 (コード名 jessie) の3回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 8 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 古い jessie のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版 (stable) の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
android-platform-frameworks-base[i386] 再ビルドして android-libhost への依存を修正
apache2split-logfile を現在の perl で動作するように修正。メインの初期化スクリプトを「set -e」でソースとしないように secondary-init-script を修正。先送りした MPM 切り替え時のテストを修正。libapache2-mod-macro への バージョンを指定した 置換 (Replaces) / 破壊 (Breaks) を追加
apt最初の pdiff マージ失敗デバッグ用メッセージを出さないように。APT::Never-MarkAuto-Sections にあるパッケージの依存を手動でインストールしたと設定する処理を修正。リモートから取得したソースの Status フィールドを解析しないように
apt-dater-hostカーネルバージョン検出を修正
apt-offline欠けている python-apt への依存を追加
arbコンパイラのバージョン確認を省略
augeasHTTPD lense: /etc/apache2/conf-available ディレクトリを含めるように。節タグ以降のコメントに改行を使えるように
base-files8.3 ポイントリリース向けに更新。os-release: SUPPORT_URL 変数末尾のスラッシュを除去
bcfg2Django 1.7 をサポート
benbuildd.debian.org の小型表示版へのリンクを修正。ロックファイル削除時に出る可能性があるエラーを無視。dose-debcheck を --deb-native-arch を指定して呼び出し
ca-certificates同梱の Mozilla CA をバージョン 2.6 に更新
cephバケット名をURLエンコード [CVE-2015-5245]
charybdisセキュリティ修正 [CVE-2015-5290]。gnutls を適切に初期化
chronylibcap-dev にビルド依存し、権限を落とせるように
commons-httpclientHTTPS の呼び出しでSSLハンドシェイク時に必ず http.socket.timeout を使うように [CVE-2015-5262]
cpusetファイルシステム名前空間の接頭辞パッチを更新
curlftpfs64ビットアーキテクチャで getpass() の安全でない呼び方を回避
dbconfig-commonPostgreSQL バックアップファイルの権限を修正
debian-handbookJessie 向けに更新
debian-installerQNAP TS-x09 向けインストーラのイメージを再導入。プラグコンピュータ向けに U-Boot イメージを提供。part_gpt モジュールをコアの grub イメージに追加。UEFI の x86 ブートメニューにビープ音を追加。UEFI の x86 ブートメニューに音声合成のショートカットとして「s」キーを追加。armel の network-console イメージから usb-serial-modules を、armel/orion5x の network-console イメージから usb-modules を明示的に除外。QNAP デバイス向けの initrd からファイルの拡張子を除去。(f|ht)tp:// だけでなく file:// を扱えるように p-u サポートを調整。
debian-installer-netboot-imagesポイントリリース向けに再ビルド
docbook2xinfo/dir.gz ファイルをインストールしないように
doctrineディレクトリ権限の問題を修正 [CVE-2015-5723]
drbd-utilsIPv6 ピアアドレスを調整して drbdadm を修正
ejabberdLDAP クエリーが壊れていたのを修正
exfat-utilsバッファオーバーフローと無限ループを修正
exim4MIME ACL 関連のクラッシュをいくらか修正。特にTLS接続で多重配送を引き起こすバグを修正
fglrx-driver新しい上流リリース、セキュリティ問題を修正 [CVE-2015-7724]
file--parameter の処理を修正
flash-kerneldebconf フロントエンドが他に動作している場合に Ctrl-C を待たないように
fuse-exfatバッファオーバーフローと無限ループを修正
ganglia-modules-linux以前に実行されていた場合にのみ ganglia サービスをインストール後に再起動
getmail4poplib._MAXLINE=1MB をセット
glanceイメージの状態がv1 API 経由で直接変更されないように [CVE-2015-5251]
glibcnscd で初期化されていないデータを getaddrinfo が返すことがあるのを修正。NSS ファイルデータベースを読み込む際のデータ破損を修正 [CVE-2015-5277]。internal_fnmatch でのバッファオーバーフロー (過去のバッファ終端を読み取る) を修正。_IO_wstr_overflow での整数オーバーフローを修正。nss_files データベースを予期せず閉じてサービス拒否を引き起こすのを修正 [CVE-2014-8121]。NSCD ネットグループのキャッシュを修正。LD_POINTER_GUARD を無条件で無効化。関数ポインタを tls_dtor_list で変更するように。スタックでのバッファオーバーフローにつながる可能性のあるメモリ割り当ての問題を修正。TSX ブラックリストを更新し、Broadwell CPU の一部を収録
gnome-orcaパスワードの入力時に正しいフォーカスを確保し、文字を反復しないように
gnome-shell-extension-weatheropenweathermap.org は API キーがないと機能しなくなっているため、ユーザからキーが提供されない場合に警告を表示
gummi一時ファイルに予測可能な名前を付けないように [CVE 2015-7758]
human-icon-themedebian/clean-up.sh: プロセスをバックグラウンドで実行しないように
ieee-data収録しているデータファイルを更新し、mam.txt と oui36.txt を追加。現在 standards.ieee.org で採用している TLS AIA を wget も curl もサポートしないため、HTTPS 経由でダウンロードするのを廃止
intel-microcode収録しているマイクロコードを更新
iptables-persistentrules ファイルを誰でも書き込める状態にするのを廃止。README を書き直し
isc-dhcp64ビットのシステムで最大リース時間を使っている場合のエラーを修正
keepassxパスワードを平文のテキストで保存していたのを修正 [CVE-2015-8378]
libapache-mod-fastcgi構築依存を libtool から libtool-bin に切り替え、ビルドに失敗するのを修正
libapache2-mod-perl2modperl_interp_unselect() でのクラッシュを修正
libcgi-session-perlセッションストレージバックエンドから送られたデータの汚染を除去し、perl の CVE-2015-8607 の修正によるリグレッションを修正
libdatetime-timezone-perl新しい上流リリース
libencode-perlデコード時に BOM がない場合に正しく処理
libhtml-scrubber-perlコメントのクロスサイトスクリプティング脆弱性を修正 [CVE-2015-5667]
libinfinity文書ブラウザから項目が削除された場合とアクセス制御リストが有効になっている場合にクラッシュする可能性を修正
libiptables-parse-perl一時ファイルに予測可能な名前を使うのを修正 [CVE-2015-8326]
librawsmal_decode_segment での索引オーバーフローを修正 [CVE-2015-8366]。メモリオブジェクトが適切に初期化されていないのを修正 [CVE-2015-8367]
libsshSSH_MSG_NEWKEYS 及び KEXDH_REPLY パケットの処理にある論理エラーによる NULL ポインタ参照 を修正[CVE-2015-3146]
linux上流リリース 3.16.7-ctk20 に更新。nbd: リクエストタイムアウトの検出を復旧。[x86] PINCTRL_BAYTRAIL を有効化。[mips*/octeon] CAVIUM_CN63XXP1 を有効化。firmware_class: ディレクトリ検索ループの条件を修正。[x86] KVM: svm: #DB (デバッグ例外) に無条件で割り込み [CVE-2015-8104]
linux-tools新しい hyperv-daemons パッケージを追加
lldpd誤った形式の LLDP 管理アドレスを受け取った場合のセグメンテーション違反とアサート失敗を修正
madfuloadautoreconf -fi を使い、automake 1.14 でのビルド失敗を修正
mdadmグレードを下げた RAID のブートで問題を引き起こす可能性があるため増分アセンブリを無効化
mkvmlinuzrun-parts の出力を表示されるエラーにリダイレクト
monit5.8.1 からの umask 関連のリグレッションを修正
mpm-itk親側で接続を閉じようとした場合の問題を修正。これによりConnection: closeを守らない他、特定のブラウザでの SSL keepalive に変な影響がいろいろとあるかもしれません
multipath-toolssysfs 属性の値がないデバイスの検出を修正。わかりやすい名前を使う場合を対象とする文言を追加。init: root デバイスが見つからない場合に停止に失敗するのを修正。デフォルトのプロパティのホワイトリストとして「SCSI_IDENT_.*」を使用
netcfgs390x の is_layer3_qeth を修正し、ネットワークドライバが qeth でない場合に放置しないように
nvidia-graphics-drivers新しい上流リリース [CVE-2015-5950]。ユーザモードの入力がサニタイズされない問題を修正 [CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx新しい上流リリース。ユーザモードの入力がサニタイズされない問題を修正 [CVE-2015-7869]
nvidia-graphics-modulesnvidia-kernel-source 340.96 に対して再ビルド
openldap監査ログオーバーレイが有効化されている場合に巨大な属性値を追加するとクラッシュするのを修正
openvpnif-up.d スクリプトに --no-block を追加し、openvpn のインターフェイスでブートがハングするのを回避
owncloudMicrosoft Windows プラットフォームでのローカルファイル取り込み [CVE-2015-4716]、ファイル名を無害化する際にリソースを使い果たす [CVE-2015-4717]、外部 SMB ストレージ利用時のコマンドインジェクション [CVE-2015-4718]、カレンダーのエクスポート: User-Controlled Key を経由した認証の迂回 [CVE-2015-6670]、OCS プロバイダー検出での反射型XSS [oc-sa-2016-001] [CVE-2016-1498]、戻り値を確認していないことによる、.vから始まるファイルの漏洩 [oc-sa-2016-003] [CVE-2016-1500]、ファイルスキャナでのディレクトリ一覧を経由した情報漏洩 [oc-sa-2016-002] [CVE-2016-1499]、エラーメッセージからのインストールパス公開 [oc-sa-2016-004] [CVE-2016-1501] を修正
pampam_unix でのパイプをブロックすることによる DoS / ユーザ列挙を修正 [CVE-2015-3238]
pcre3セキュリティ問題を修正 [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388]
pdnsデフォルト設定でのアップグレードを修正
perlデコード時に BOM がない場合に正しく処理
php-auth-saslpkg-php-tools 1.28 に対して再ビルドし、PHP依存を修正
php-doctrine-annotationsディレクトリ権限の問題を修正 [CVE-2015-5723]
php-doctrine-cacheファイル / ディレクトリ権限の問題を修正 [CVE-2015-5723]
php-doctrine-commonファイル権限の問題を修正 [CVE-2015-5723]
php-dropbox@ を含んでいるファイルの処理を全て拒否 [CVE-2015-4715]
php-mail-mimedecodepkg-php-tools 1.28 で再ビルドし、PHP依存を修正
php5新しい上流リリース
plowshare4Javascript サポートを無効化
postgresql-9.1新しい上流リリース
pykerberosKDC 信頼性検証のサポートを追加 [CVE-2015-3206]
python-yaql壊れている python3-yaql パッケージを削除
qpsmtpdNet::DNS の新しいバージョンとの互換性の問題を修正
quassel/op * コマンドによる quassel コアのリモートDoSを修正 [CVE-2015-8547]
redissystemd で使っている場合に有効な実行ディレクトリが必ず作成されるように
redmineプラグインがローカルにインストールされている場合のアップグレードを修正。プロジェクトをまたぐ移動の問題を修正
rsysloginotify モードを使っている場合に imfile モジュールでクラッシュするのを修正。dynafile 作成時のセグメンテーション違反を修正
ruby-bsonDoS と潜在的なインジェクションを修正 [CVE-2015-4410]
s390-dasdチャンネルが見つからない場合にきれいに終了するように。これにより s390-dasd で virtio ディスクを使っているVMでの異常から離脱できるように
shadowユーザ検出が立て込んでいるときのエラー処理を修正
sparsellvm-3.5 でのビルド失敗を修正
spipクロスサイトスクリプティングの問題を修正
stk欠けている SKINI.{msg,tbl} インクルードファイルをインストール
sus上流 tar アーカイブのチェックサムを更新
swiftバージョン付き Swift オブジェクトを承認なく削除するのを修正 [CVE-2015-1856]。Swift の一時URLを経由した情報漏洩を修正 [CVE-2015-5223]。初期化スクリプト中の objec-expirer のサービス名を修正。container-sync 初期化スクリプトを追加。ユーザの追加を標準化
systemdパスのソートが誤っていることによる名前空間の破損を修正。デバイス用のパスワードが入力されていなかった場合に90秒後までタイムアウトしないように。RTC がローカルタイムで動作している場合にのみカーネルのタイムゾーンをセットするようにし、時間が巻き戻る可能性を回避。systemd-delta の区切り文字であるコンマの処理が誤っていたのを修正。DHCP ブロードキャストの挙動を systemd-networkd で設定できるように
tangerine-icon-themedebian/clean-up.sh: プロセスをバックグラウンドで実行しないように
torbrowser-launcher0.1.9-1+deb8u1 のパッチを本当に適用。スクリプトを AppArmor で制限するのを一旦廃止。usr.bin.torbrowser-launcher の AppArmor プロファイルに「complain」モードをセット
ttylogデバイス選択時にデバイス名が切り詰められるのを修正
tzdata新しい上流リリース
uqm欠けていた -lm フラグを追加してビルド失敗を修正
vlc新しい上流安定版リリース
webkitgtk新しい上流安定版リリース。TLS証明書の検証が遅れるのを修正 [CVE-2015-2330]
wxmaximaダイアログに「(」「)」があるとクラッシュするのを回避
zendframeworkcaptcha の無秩序さの問題を修正 [ZF2015-09]

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 IDパッケージ
DSA-3208 freexl
DSA-3235 openjdk-7
DSA-3280 php5
DSA-3311 mariadb-10.0
DSA-3316 openjdk-7
DSA-3324 icedove
DSA-3327 squid3
DSA-3332 wordpress
DSA-3337 gdk-pixbuf
DSA-3344 php5
DSA-3346 drupal7
DSA-3347 pdns
DSA-3348 qemu
DSA-3350 bind9
DSA-3351 chromium-browser
DSA-3352 screen
DSA-3353 openslp-dfsg
DSA-3354 spice
DSA-3355 libvdpau
DSA-3356 openldap
DSA-3357 vzctl
DSA-3358 php5
DSA-3359 virtualbox
DSA-3360 icu
DSA-3361 qemu
DSA-3363 owncloud-client
DSA-3364 linux
DSA-3365 iceweasel
DSA-3366 rpcbind
DSA-3367 wireshark
DSA-3368 cyrus-sasl2
DSA-3369 zendframework
DSA-3370 freetype
DSA-3371 spice
DSA-3373 owncloud
DSA-3374 postgresql-9.4
DSA-3375 wordpress
DSA-3376 chromium-browser
DSA-3377 mysql-5.5
DSA-3378 gdk-pixbuf
DSA-3379 miniupnpc
DSA-3380 php5
DSA-3381 openjdk-7
DSA-3382 phpmyadmin
DSA-3384 virtualbox
DSA-3385 mariadb-10.0
DSA-3386 unzip
DSA-3387 openafs
DSA-3388 ntp
DSA-3390 xen
DSA-3391 php-horde
DSA-3392 freeimage
DSA-3393 iceweasel
DSA-3394 libreoffice
DSA-3395 krb5
DSA-3397 wpa
DSA-3398 strongswan
DSA-3399 libpng
DSA-3400 lxc
DSA-3401 openjdk-7
DSA-3402 symfony
DSA-3403 libcommons-collections3-java
DSA-3404 python-django
DSA-3405 smokeping
DSA-3406 nspr
DSA-3407 dpkg
DSA-3409 putty
DSA-3411 cups-filters
DSA-3412 redis
DSA-3413 openssl
DSA-3414 xen
DSA-3415 chromium-browser
DSA-3416 libphp-phpmailer
DSA-3417 bouncycastle
DSA-3418 chromium-browser
DSA-3419 cups-filters
DSA-3420 bind9
DSA-3421 grub2
DSA-3422 iceweasel
DSA-3423 cacti
DSA-3424 subversion
DSA-3425 tryton-server
DSA-3426 linux
DSA-3427 blueman
DSA-3428 tomcat8
DSA-3429 foomatic-filters
DSA-3430 libxml2
DSA-3431 ganeti
DSA-3433 ldb
DSA-3433 samba
DSA-3434 linux
DSA-3435 git
DSA-3438 xscreensaver
DSA-3439 prosody
DSA-3440 sudo
DSA-3441 perl
DSA-3442 isc-dhcp
DSA-3443 libpng
DSA-3444 wordpress
DSA-3445 pygments
DSA-3446 openssh

削除されたパッケージ

以下のパッケージが私たちの力の及ばない事情により削除されました:

パッケージ 理由
core-networkセキュリティ問題
elasticsearchサポートされなくなっている
googlecl時代遅れのAPIに依存しているため使えない
libnsbmpセキュリティ問題、保守されていない
libnsgifセキュリティ問題、保守されていない
vimperatoriceweasel の新しいバージョンとの互換性がない

Debian インストーラ

インストーラが更新され、QNAP TS-x09 機器のサポートが再び導入されるとともにこのポイントリリースまでに安定版 (stable) に盛り込まれた修正が収録されています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

https://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、https://www.debian.org/ を訪れるか、 <press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。