Обновлённый Debian 8: выпуск 8.3
23 Января 2016
Проект Debian с радостью сообщает о третьем обновлении своего
стабильного выпуска Debian 8 (кодовое имя jessie
).
Это обновление в основном содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
8, но лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать компакт-диски и DVD с выпуском jessie
, для обновления
устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian
после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| android-platform-frameworks-base | [i386] повторная сборка с целью исправления зависимости от android-libhost |
| apache2 | Исправление split-logfile для работы с текущей версией perl, исправление secondary-init-script, чтобы для основного сценария инициализации не использовалась команда 'set -e', тесты отложенного переключения MPM; добавление зависимостей вида Replaces / Breaks с указанием версий для libapache2-mod-macro |
| apt | Скрытие первого отладочного сообщения об ошибке слияния pdiff; исправление отметок зависимостей пакетов в APT::Never-MarkAuto-Sections в качестве установленных вручную; отключение грамматического разбора полей Status с удалённых источников |
| apt-dater-host | Исправление определения версии ядра |
| apt-offline | Добавление отсутствующей зависимости от python-apt |
| arb | Пропуск проверки версии компилятора |
| augeas | Линза HTTPD: добавление каталога /etc/apache2/conf-available, разрешение комментариев EOL после раздела тегов |
| base-files | Обновление для редакции 8.3; os-release: сброс косой черты в конце значения переменной SUPPORT_URL |
| bcfg2 | Поддержка Django 1.7 |
| ben | Исправление компактных ссылок buildd.debian.org; игнорирование потенциальных ошибок при удалении файла блокировки; вызов dose-debcheck с опцией --deb-native-arch |
| ca-certificates | Обновление набора сертификатов Mozilla до версии 2.6 |
| ceph | Кодирующее URL имя участка памяти [CVE-2015-5245] |
| charybdis | Исправление безопасности [CVE-2015-5290]; корректная инициализация gnutls |
| chrony | Сборочная зависимость от libcap-dev, что позволяет сбрасывать привилегии |
| commons-httpclient | Отслеживание того, чтоб вызовы HTTPS использовали http.socket.timeout во время рукопожатия SSL [CVE-2015-5262] |
| cpuset | Обновление заплаты префикса пространства имён файловой системы |
| curlftpfs | Исключение небезопасного приведения типов для getpass() на 64-битных архитектурах |
| dbconfig-common | Исправление прав доступа к файлам резервного копирования PostgreSQL |
| debian-handbook | Обновление для выпуска Jessie |
| debian-installer | Повторное включение в состав установочных образов для QNAP TS-x09; предоставление образов u-boot для штепсельныхкомпьютеров; добавление модуля part_gpt в базовый образ grub; добавление звукового сигнала для меню загрузки UEFI x86; добавление горячей клавиши 's' для речевой функции загрузочного меню UEFI x86; исключение usb-serial-modules из сетевого образа armel с поддержкой консоли и usb-modules из сетевых образом armel/orion5x с поддержкой консоли; игнорирование расширения файла initrd для устройств QNAP; настройка поддержки p-u для работы с файлами file://, а не только с (f|ht)tp:// |
| debian-installer-netboot-images | Повторная сборка для данной редакции |
| docbook2x | Отмена установки файлов info/dir.gz |
| doctrine | Исправление проблемы с правами доступа к каталогам [CVE-2015-5723] |
| drbd-utils | Исправление настройки drbdadm с одноранговыми адресами IPv6 |
| ejabberd | Исправление некорректных запросов LDAP |
| exfat-utils | Исправление переполнения буфера и бесконечного цикла |
| exim4 | Исправление некоторых связанных с MIME ACL аварийных остановок работы; исправление ошибки, приводящей к доставке дубликатов (в особенности при соединении TLS) |
| fglrx-driver | Новая версия основной ветки разработки; исправление проблемы безопасности [CVE-2015-7724] |
| file | Исправление обработки --parameter |
| flash-kernel | Прекращение ожидания Ctrl-C в случае использования какого-либо интерфейса debconf |
| fuse-exfat | Исправление переполнения буфера и бесконечного цикла |
| ganglia-modules-linux | Перезапуск службы ganglia только после её установки (в случае, если ранее служба работала) |
| getmail4 | Установка poplib._MAXLINE=1MB |
| glance | Предотвращение прямого изменения статуса изображения через API версии 1 [CVE-2015-5251] |
| glibc | Исправление случаев, когда getaddrinfo возвращает неинициализированные данные с nscd; исправление повреждения данных при выполнении чтения файлов базы данных NSS [CVE-2015-5277]; исправление переполнения буфера (чтение за пределами выделенного буфера) в internal_fnmatch; исправление переполнения целых чисел в _IO_wstr_overflow; исправление неожиданного закрытия баз данных nss_files после выполнения поиска, приводящего к отказу в обслуживании [CVE-2014-8121]; исправление кэша сетевой группы NSCD; обязательное отключение LD_POINTER_GUARD; деформация указателей функций в tls_dtor_list; исправление проблем выделения памяти, которые могут приводить к переполнениям буфера в стеке; обновление чёрного списка TSX с целью добавления некоторых ЦП Broadwell |
| gnome-orca | Отслеживание правильного фокуса ввода при вводе пароля с целью недопущения экранирования символов |
| gnome-shell-extension-weather | Отображение предупреждения в случае, если API-ключ не передан пользователем, поскольку запросы к openweathermap.org более не работают без такого ключа |
| gummi | Недопущение предсказуемых имён для временных файлов [CVE 2015-7758] |
| human-icon-theme | debian/clean-up.sh: не запускать процессы в фоне |
| ieee-data | Обновление включённых в пакет файлов данных, добавление mam.txt и oui36.txt; прекращение загрузки через HTTPS, поскольку ни wget, ни curl не поддерживают TLS AIA, используемый сейчас на standards.ieee.org |
| intel-microcode | Обновление микрокода |
| iptables-persistent | Прекращение ситуации, при которой файлы правил открыты для чтения всем пользователям; повторное написание README |
| isc-dhcp | Исправление ошибки, при которой максимальное время аренды адреса использовалось на 64-битных системах |
| keepassx | Исправление хранения паролей в незашифрованном виде [CVE-2015-8378] |
| libapache-mod-fastcgi | Переход B-D с libtool на libtool-bin с целью исправления ошибки сборки |
| libapache2-mod-perl2 | Исправление аварийных остановок в modperl_interp_unselect() |
| libcgi-session-perl | Незаразные необработанные данные приходят от движков хранения сессии, что исправляет регресс, вызванный исправлением CVE-2015-8607 в perl |
| libdatetime-timezone-perl | Новый выпуск основной ветки разработки |
| libencode-perl | Корректная обработка отсутствия BOM при декодировании |
| libhtml-scrubber-perl | Исправление межсайтового скриптинга в комментариях [CVE-2015-5667] |
| libinfinity | Исправление возможных аварийных остановок работы в случае, когда сущность удаляется из программы просмотра документа, а списки управления доступом включены |
| libiptables-parse-perl | Исправление использования предсказуемых имён для временных файлов [CVE-2015-8326] |
| libraw | Исправление переполнения указателя в smal_decode_segment [CVE-2015-8366]; исправление ситуации, при которой объекты памяти инициализировались неправильно [CVE-2015-8367] |
| libssh | Исправление разыменования null-указателя из-за логической ошибки в коде обработки пакетов SSH_MSG_NEWKEYS и KEXDH_REPLY[CVE-2015-3146] |
| linux | Обновление от выпуска 3.16.7-ctk20 из основной ветки разработки; nbd: восстановление обнаружения истечения срока ожидания по времени для запроса; [x86] включение PINCTRL_BAYTRAIL; [mips*/octeon] включение CAVIUM_CN63XXP1; firmware_class: исправление цикла в поиске в каталоге; [x86] KVM: svm: обязательный перехват #DB [CVE-2015-8104] |
| linux-tools | Новый пакет hyperv-daemons |
| lldpd | Исправление ошибки сегментирования и ошибки утверждения при получении некорректно сформированных управляющих адресов LLDP |
| madfuload | Использование autoreconf -fi для исправления ошибки сборки с automake 1.14 |
| mdadm | Отключение инкрементального ассемблера, поскольку это может приводить к проблемам загрузки на повреждённом RAID |
| mkvmlinuz | Направление вывода run-parts в stderr |
| monit | Исправление связанного с umask регресса из версии 5.8.1 |
| mpm-itk | Исправление проблемы, при которой попытка закрытия соединений производилась в родительском процессе. Это может приводить к тому, что сообщение Connection: closeне выводится, а также к некоторым странным эффектам, связанным с keepalive-сообщениями SSL, в некоторых браузерах |
| multipath-tools | Исправление обнаружения устройств с пустым атрибутом sysfs; добавление документации по ряду дополнительных сценариев именования; init: исправление ошибки остановки в случае невозможности обнаружения корневого устройства; использование 'SCSI_IDENT_.*' в качестве разрешённого списка свойств по умолчанию |
| netcfg | Исправление is_layer3_qeth на s390x с целью избежать ситуации, когда используется отличный от qeth сетевой драйвер |
| nvidia-graphics-drivers | Новый выпуск основной ветки разработки [CVE-2015-5950]; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869] |
| nvidia-graphics-drivers-legacy-304xx | Новый выпуск основной ветки разработки; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869] |
| nvidia-graphics-modules | Повторная сборка с использованием пакета nvidia-kernel-source 340.96 |
| openldap | Исправление аварийной остановки при добавлении большого значения атрибута при условии включенного оверлея auditlog |
| openvpn | Добавлении --no-block к сценарию if-up.d с целью избежать зависания при загрузке системы на интерфейсах с openvpn |
| owncloud | Исправление включения локального файла на платформе Microsoft Windows [CVE-2015-4716], истощение ресурсов при очистке имён файлов [CVE-2015-4717], инъекция команд с использованием внешнего хранилища SMB [CVE-2015-4718], экспорт календаря: обход авторизации через контролируемый пользователем ключ [CVE-2015-6670]; исправление отображённого XSS в коде обнаружения поставщика OCS [oc-sa-2016-001] [CVE-2016-1498], раскрытие файлов, начинающихся с \.v\, из-за возвращаемого значения без проверки последнего [oc-sa-2016-003] [CVE-2016-1500], раскрытие информации через листинг каталога в сканере файлов [oc-sa-2016-002] [CVE-2016-1499], раскрытие пути установки через сообщение об ошибке [oc-sa-2016-004] [CVE-2016-1501] |
| pam | Исправление DoS / перечисления пользователей из-за блокировки канала в pam_unix [CVE-2015-3238] |
| pcre3 | Исправление проблем безопасности [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
| pdns | Исправление обновления с настройками по умолчанию |
| perl | Правильная обработка отсутствия BOM при выполнении декодирования |
| php-auth-sasl | Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP |
| php-doctrine-annotations | Исправление проблемы с правами доступа к каталогам [CVE-2015-5723] |
| php-doctrine-cache | Исправление проблемы с правами доступа к файлам / каталогам [CVE-2015-5723] |
| php-doctrine-common | Исправление проблемы с правами доступа к файлам [CVE-2015-5723] |
| php-dropbox | Отказ от обработки файлов, содержащих @ [CVE-2015-4715] |
| php-mail-mimedecode | Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP |
| php5 | Новый выпуск основной ветки разработки |
| plowshare4 | Отключения поддержки Javascript |
| postgresql-9.1 | Новый выпуск основной ветки разработки |
| pykerberos | Добавление поддержки проверки подлинности KDC [CVE-2015-3206] |
| python-yaql | Удаление сломанного пакета python3-yaql |
| qpsmtpd | Исправление проблемы совместимости с более новыми версиями Net::DNS |
| quassel | Исправление удалённого DoS в базовой части quassel, использующего команду /op * [CVE-2015-8547] |
| redis | Проверка того, чтобы каталог времени исполнения создавался при запуске из-под systemd |
| redmine | Исправление обновлений при наличии локально установленных дополнений; исправление проблем с перемещениями между проектами |
| rsyslog | Исправление аварийной остановки в модуле imfile при использовании режима inotify; предотвращение ошибки сегментирования при создании dynafile |
| ruby-bson | Исправление DoS и возможной инъекции [CVE-2015-4410] |
| s390-dasd | При отсутствии канала осуществлять выход. Это позволяет s390-dasd не мешать виртуальным машинам с дисками virtio |
| shadow | Исправление обработки ошибок в коде определения занятых пользователей |
| sparse | Исправление ошибок сборки с использованием llvm-3.5 |
| spip | Исправление межсайтового скриптинга |
| stk | Установка отсутствующих файлов SKINI.{msg,tbl} |
| sus | Обновление контрольной суммы для архива из основной ветки разработки |
| swift | Исправление неавторизованного удаления версионированного объекта Swift [CVE-2015-1856]; исправление утечки информации через временные адреса Swift [CVE-2015-5223]; исправление имени службы object-expirer в сценарии инициализации; добавление сценария инициализации container-sync; стандартизацияпользовательских дополнений |
| systemd | Исправление поломки пространства имён из-за неправильной сортировки пути; не использовать истечение срока ожидания после 90 секунд в случае, если для устройств cryptsetup не был введён пароль; устанавливать временную зону ядра только в том случае, если RTC работает в режиме локального времени, что позволяет избегать перемещение во времени назад; исправление некорректной обработки запятой в качестве разделителя в systemd-delta; позволить осуществлять настройки DHCP в systemd-networkd |
| tangerine-icon-theme | debian/clean-up.sh: не запускать процессы в фоне |
| torbrowser-launcher | Применение заплат из 0.1.9-1+deb8u1; прекращение изолирования сценария start-tor-browser с помощью AppArmor; установка профиля usr.bin.torbrowser-launcher для AppArmor в режим вывода предупреждений |
| ttylog | Исправление усечения имени устройства при выборе устройства |
| tzdata | Новый выпуск основной ветки разработки |
| uqm | Добавление отсутствующего флага -lm, исправление ошибки сборки |
| vlc | Новый стабильный выпуск основной ветки разработки |
| webkitgtk | Новый стабильный выпуск основной ветки разработки; исправление поздней проверки сертификата TLS[CVE-2015-2330] |
| wxmaxima | Предотвращение аварийной остановки при обнаружении в диалогах скобок |
| zendframework | Исправление проблемы с энтропией в каптче [ZF2015-09] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| core-network | Проблемы безопасности |
| elasticsearch | Более не поддерживается |
| googlecl | Сломан из-за использование устаревшего API |
| libnsbmp | Проблемы безопасности, не сопровождается |
| libnsgif | Проблемы безопасности, не сопровождается |
| vimperator | Несовместим со свежими версиями iceweasel |
Программа установки Debian
Программа установки была обновлена с целью повторного добавления поддержки устройств QNAP TS-x09, а также для включения исправлений стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.