Cập nhật Debian 8: Đã phát hành 8.3
23 Tháng Giêng 2016
Dự án Debian vui mừng thông báo rằng bản phân phối ổn định Debian 8
(tên mã jessie
) đã được cập nhật lần thứ ba.
Cập nhật này chủ yếu thêm các sửa chữa các vấn đề về bảo mật vào bản phát hành
ổn định, cùng với một số chỉnh sửa một số trục trặc nghiêm trọng. Các cố vấn bảo mật
được xuất bản một cách riêng rẽ và chuyển đến nơi thích hợp.
Hãy chú ý rằng cập nhật này không tạo nên phiên bản mới của Debian
8 chỉ là cập nhật một số gói được bao gồm trong nó. Không cần
phải quẳng các đĩa CD hay DVD jessie
cũ đi mà chỉ cần cập nhật
thông qua các máy bản sao Debian sau khi cài đặt, như vậy những gói nào cũ sẽ
được nâng cấp lên.
Những người mà thường xuyên cài đặt các cập nhật từ security.debian.org sẽ không phải cập nhật nhiều gói và phần lớn các cập nhật từ security.debian.org được bao gồm trong lần nâng cấp này.
Các đĩa cài đa phương tiện và các ảnh CD và DVD chứa các gói đã cập nhật sẽ sớm có ở các chỗ thông thường.
Nâng cấp trực tuyến đến điểm xem xét này thường được thực hiện bằng cách chỉ cho công cụ gói aptitude (hay apt) (xem trang hướng dẫn sources.list(5)) đến một trong số rất nhiều máy bản sao FTP hay HTTP của Debian. Danh sách máy bản sao đầy đủ có tại:
Các sửa chữa lỗi linh tinh khác
Cập nhật bản ổn định này thêm các sửa chữa quan trọng vào các gói sau đây:
Gói | Lý do |
---|---|
android-platform-frameworks-base | [i386] biên dịch lại để sửa phụ thuộc trên anroid-libhost |
apache2 | Sửa chia nhỏ tập tin nhật ký để làm việc cùng perl hiện hành, secondary-init-script to not source the main init script with 'set -e', tests on deferred MPM switch; add versioned Replaces / Breaks for libapache2-mod-macro |
apt | Ẩn lời nhắn gỡ lỗi nghiêm trọng hòa trộn diff đầu tiên; sửa đánh dấu các phục thuộc của pkgs trong APT::Never-MarkAuto-Sections là bằng tay; đừng phân tích trường Status từ các nguồn máy chủ |
apt-dater-host | Sửa dò tìm phiên bản nhân |
apt-offline | Thêm phần phục thuộc trên python-apt |
arb | Bỏ qua kiểm tra phiên bản trình biên dịch |
augeas | HTTPD lense: bao gồm thư mục /etc/apache2/conf-available, cho phép ghi chú EOL sau các thẻ phần |
base-files | Cập nhật cho phát hành chỉ ra 8.3; os-release: bỏ dấu gạch thừa trong biến SUPPORT_URL |
bcfg2 | Hỗ trợ Django 1.7 |
ben | Sửa các liên kết xúc tích buildd.debian.org, bỏ qua các lỗi khi xóa tập tin khóa; gọi dose-debcheck với --deb-native-arch |
ca-certificates | Cập nhật bó chứng thực nhà cầm quyền ký chứng nhận của Mozilla lên phiên bản 2.6 |
ceph | URL-encode bucket name [CVE-2015-5245] |
charybdis | Security fix [CVE-2015-5290]; initialise gnutls properly |
chrony | Build depend on libcap-dev, to allow dropping of privileges |
commons-httpclient | Đảm bảo gọi HTTPS dùng http.socket.timeout trong quá trình bắt tay SSL [CVE-2015-5262] |
cpuset | Update filesystem namespace prefix patch |
curlftpfs | Avoid unsafe cast for getpass() on 64-bit architectures |
dbconfig-common | Sửa phân quyền trong tập tin sao lưu dự phòng PostgreSQL |
debian-handbook | Cập nhật cho Jessie |
debian-installer | Re-introduce installer images for QNAP TS-x09; provide u-boot images for plug computers; add the part_gpt module into the core grub image; add beep to UEFI x86 boot menu; add 's' shortcut for speech to UEFI x86 boot menu; exclude usb-serial-modules from the armel network-console image and usb-modules explicitly on armel/orion5x network-console; drop the file extension from the initrd for QNAP devices; adjust p-u support to handle file:// instead of (f|ht)tp:// only |
debian-installer-netboot-images | Rebuild for the point release |
docbook2x | Do not install info/dir.gz files |
doctrine | Fix directory permissions issue [CVE-2015-5723] |
drbd-utils | Fix drbdadm adjust with IPv6 peer addresses |
ejabberd | Fix broken LDAP queries |
exfat-utils | Fix buffer overflow and infinite loop |
exim4 | Fix some MIME ACL related crashes; fix a bug causing duplicate deliveries, especially on TLS connections |
fglrx-driver | New upstream release; fix security issue [CVE-2015-7724] |
file | Fix --parameter handling |
flash-kernel | Avoid waiting for Ctrl-C if any debconf frontend is in use |
fuse-exfat | Fix buffer overflow and infinite loop |
ganglia-modules-linux | Only restart the ganglia service after installation if it was previously running |
getmail4 | Set poplib._MAXLINE=1MB |
glance | Prevent image status being directly modified via v1 API [CVE-2015-5251] |
glibc | Fix getaddrinfo sometimes returning uninitialized data with nscd; fix data corruption while reading the NSS files database [CVE-2015-5277]; fix buffer overflow (read past end of buffer) in internal_fnmatch; fix _IO_wstr_overflow integer overflow; fix unexpected closing of nss_files databases after lookups, causing denial of service [CVE-2014-8121]; fix NSCD netgroup cache; unconditionally disable LD_POINTER_GUARD; mangle function pointers in tls_dtor_list; fix memory allocations issues that can lead to buffer overflows on the stack; update TSX blacklist to also include some Broadwell CPUs |
gnome-orca | Ensure correct focus on password entry, so characters are not echoed |
gnome-shell-extension-weather | Display a warning if API key has not been supplied by the user, since querying openweathermap.org no longer works without such a key |
gummi | Avoid predictable naming of temporary files [CVE 2015-7758] |
human-icon-theme | debian/clean-up.sh: do not run processes in background |
ieee-data | Update included data files, adding mam.txt and oui36.txt; stop downloading via HTTPS, as neither wget nor curl support TLS AIA, as now used by standards.ieee.org |
intel-microcode | Update included microcode |
iptables-persistent | Stop rules files being world-readable; rewrite README |
isc-dhcp | Fix error when maximum lease time is used on 64-bit systems |
keepassx | Fix storage of passwords in clear text [CVE-2015-8378] |
libapache-mod-fastcgi | Switch B-D from libtool to libtool-bin to fix build failure |
libapache2-mod-perl2 | Fix crashes in modperl_interp_unselect() |
libcgi-session-perl | Untaint raw data coming from session storage backends, fixing a regression caused by CVE-2015-8607 fixes in perl |
libdatetime-timezone-perl | New upstream release |
libencode-perl | Correctly handle a lack of BOM when decoding |
libhtml-scrubber-perl | Fix cross-site scripting vulnerability in comments [CVE-2015-5667] |
libinfinity | Fix possible crashes when an entry is removed from the document browser and when access control lists are enabled |
libiptables-parse-perl | Fix use of predictable names for temporary files [CVE-2015-8326] |
libraw | Fix index overflow in smal_decode_segment [CVE-2015-8366]; fix memory objects are not initialized properly [CVE-2015-8367] |
libssh | Fix null pointer dereference due to a logical error in the handling of a SSH_MSG_NEWKEYS and KEXDH_REPLY packets[CVE-2015-3146] |
linux | Update to upstream release 3.16.7-ctk20; nbd: restore request timeout detection; [x86] enable PINCTRL_BAYTRAIL; [mips*/octeon] enable CAVIUM_CN63XXP1; firmware_class: fix condition in directory search loop; [x86] KVM: svm: unconditionally intercept #DB [CVE-2015-8104] |
linux-tools | Add new hyperv-daemons package |
lldpd | Fix a segfault and an assertion error when receiving incorrectly formed LLDP management addresses |
madfuload | Use autoreconf -fi to fix build failure with automake 1.14 |
mdadm | Disable incremental assembly, as it can cause issues booting a degraded RAID |
mkvmlinuz | Direct run-parts output to stderr |
monit | Fix umask-related regression from 5.8.1 |
mpm-itk | Fix an issue where closing of connections was attempted in the parent. This would result in Connection: closenot being honoured, and various odd effects with SSL keepalive in certain browsers |
multipath-tools | Fix discovery of devices with blank sysfs attribute; add documentation to cover additional friendly names scenarios; init: fix stop failure when no root device is found; use 'SCSI_IDENT_.*' as the default property whitelist |
netcfg | Fix is_layer3_qeth on s390x to avoid bailing out if the network driver is not qeth |
nvidia-graphics-drivers | New upstream release [CVE-2015-5950]; fix Unsanitized User Mode Input issue [CVE-2015-7869] |
nvidia-graphics-drivers-legacy-304xx | New upstream release; fix unsanitized User Mode Input issue [CVE-2015-7869] |
nvidia-graphics-modules | Rebuild against nvidia-kernel-source 340.96 |
openldap | Fix a crash when adding a large attribute value with the auditlog overlay enabled |
openvpn | Add --no-block to if-up.d script to avoid hanging boot on interfaces with openvpn instances |
owncloud | Fix local file inclusion on Microsoft Windows Platform [CVE-2015-4716], resource exhaustion when sanitizing filenames [CVE-2015-4717], command injection when using external SMB storage [CVE-2015-4718], calendar export: Authorization Bypass Through User-Controlled Key [CVE-2015-6670]; fix reflected XSS in OCS provider discovery [oc-sa-2016-001] [CVE-2016-1498], disclosure of files that begin with \.v\due to unchecked return value [oc-sa-2016-003] [CVE-2016-1500], information exposure via directory listing in the file scanner [oc-sa-2016-002] [CVE-2016-1499], installation path disclosure through error message [oc-sa-2016-004] [CVE-2016-1501] |
pam | Fix DoS / user enumeration due to blocking pipe in pam_unix [CVE-2015-3238] |
pcre3 | Fix security issues [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
pdns | Fix upgrades with default configuration |
perl | Correctly handle a lack of BOM when decoding |
php-auth-sasl | Rebuild with pkg-php-tools 1.28 to correct PHP dependencies |
php-doctrine-annotations | Fix directory permissions issue [CVE-2015-5723] |
php-doctrine-cache | Fix file / directory permissions issue [CVE-2015-5723] |
php-doctrine-common | Fix file permissions issue [CVE-2015-5723] |
php-dropbox | Refuse to handle any files containing an @ [CVE-2015-4715] |
php-mail-mimedecode | Rebuild with pkg-php-tools 1.28 to correct PHP dependencies |
php5 | New upstream release |
plowshare4 | Disable Javascript support |
postgresql-9.1 | New upstream release |
pykerberos | Add KDC authenticity verification support [CVE-2015-3206] |
python-yaql | Remove broken python3-yaql package |
qpsmtpd | Fix compatibility issue with newer Net::DNS versions |
quassel | Fix remote DoS in quassel core, using /op * command [CVE-2015-8547] |
redis | Ensure that a valid runtime directory is created when running under systemd |
redmine | Fix upgrades when there are locally-installed plugins; fix moving issues across projects |
rsyslog | Fix crash in imfile module when using inotify mode; prevent a segfault in dynafile creation |
ruby-bson | Fix DoS and possible injection [CVE-2015-4410] |
s390-dasd | If no channel is found, exit cleanly. This allows s390-dasd to step out of the way on VMs with virtio disks |
shadow | Fix error handling in busy user detection |
sparse | Fix build failure with llvm-3.5 |
spip | Fix cross-site scripting issue |
stk | Install missing SKINI.{msg,tbl} include files |
sus | Update checksums for upstream tarball |
swift | Fix unauthorized delete of versioned Swift object [CVE-2015-1856]; fix information leak via Swift tempurls [CVE-2015-5223]; fix service name of object-expirer in init script; add container-sync init script; standardiseuser addition |
systemd | Fix namespace breakage due to incorrect path sorting; don't timeout after 90 seconds when no password was entered for cryptsetup devices; only set the kernel's timezone when the RTC runs in local time, avoiding possible jumps backward in time; fix incorrect handling of comma separator in systemd-delta; make DHCP broadcast behaviour configurable in systemd-networkd |
tangerine-icon-theme | debian/clean-up.sh: do not run processes in background |
torbrowser-launcher | Really apply patches from 0.1.9-1+deb8u1; stop confining start-tor-browser script with AppArmor; set usr.bin.torbrowser-launcher AppArmor profiles to complain mode |
ttylog | Fix truncation of device name when selecting device |
tzdata | New upstream release |
uqm | Add missing -lm flag, fixing build failure |
vlc | New upstream stable release |
webkitgtk | New upstream stable release; fix late TLS certificate verification[CVE-2015-2330] |
wxmaxima | Prevent crash on encountering parenthesis in dialogues |
zendframework | Fix entropy issue with captcha [ZF2015-09] |
Cập nhật bảo mật
Lần xem xét này thêm cập nhật bảo mật sau vào bản phát hành ổn định. Nhóm Bảo mật đã sẵn sàng phát hành các cố vấn cho từng cái của những cập nhật này:
Các gói bị xóa bỏ
Các gói sau đây bị gỡ bỏ bởi vì chúng tôi không kiểm soát nổi chúng:
Gói | Lý do |
---|---|
core-network | Có lỗi bảo mật |
elasticsearch | Không được hỗ trợ nữa |
googlecl | Đổ vỡ bởi vì dựa vào API đã cũ |
libnsbmp | Có lỗi bảo mật, không được bảo trì |
libnsgif | Có lỗi bảo mật, không được bảo trì |
vimperator | Không tương thích với các phiên bản iceweasel mới |
Bộ cài đặt Debian
Bộ cài đặt đã được cập nhật để giới thiệu lại hỗ trợ cho các thiết bị QNAP TS-x09 và để bao gồm các sửa chữa sát nhập vào trong bản ổn định theo bản phát hành mũi nhọn.Các URL
Danh sách đầy đủ các gói mà đã thay đổi trong thời điểm xét duyệt này:
Bản phân phối ổn định hiện tại:
Các cập nhật dự kiến với bản phân phối ổn định:
Thông tin bản phân phối ổn định (các ghi chú phát hành, sửa lỗi v.v..):
Các thông báo bảo mật và thông tin:
Vài nét về Debian
Dự án Debian Project là một sự kết tụ của những người phát triển phần mềm tự do những người mà tình nguyện cống hiến thời gian và sức lực để mà sản xuất ra hệ điều hành Debian tự do.
Thông tin liên hệ
Để biết thêm thông tin, vui lòng truy cập trang thông tin điện tử của Debian tại địa chỉ https://www.debian.org/, hoặc gửi thư điện tử cho <press@debian.org>, hoặc liên hệ với nhóm phát hành bản ổn định <debian-release@lists.debian.org>.