Debian 8 更新: 8.4 リリース

2016 年 4 月 2 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 8 (コード名 jessie) の4回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 8 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 古いjessieのCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
amavisd-newLC_ALL をデーモン実行前にセット
amd64-microcodeAMD ファミリー 15h プロセッサ向けの AMD マイクロコードパッチを更新し、以前のマイクロコードパッチにあったバグを修正
aptapt-pkg/algorithms.cc: KillList でのスタックバッファオーバーフローを回避
aptdaemonセキュリティ修正 [CVE-2015-1323]
ardourパッケージし直して libs/pdb/dmalloc.cc を削除
base-filesポイントリリース向けに更新
c-icap-moduleslibclamav7 に対して再ビルド
cairoセキュリティ修正 [CVE-2016-3190]
cinnamon-settings-daemon軽微なセキュリティバグ (polkit チェックが欠けていた) を修正
clamav新しい上流バージョン。割り当てていないメモリへのアクセスを回避
conkerorモジュール読み込みエラーメッセージを Firefox 36 で機能するように調整
dansguardianlibclamav7 に対して再ビルド
debian-installerproposed-updates に対して再ビルド
debian-installer-netboot-images新しい debian-installer に対して再ビルド
dolibarr複数のセキュリティ修正 [CVE-2015-3935 CVE-2015-8685 CVE-2016-1912]
espeakupファイル階層を基に言語ごとに独立した検索をできるように。ガリシア語向けにポルトガル語を利用。synth.c: 音声による言語名検索を修正
exactimageセキュリティ修正 [CVE-2015-8366]
fglrx-driverlibfglrx-amdxvba1: fglrx_drv_video.so と xvba_drv_video.so を収録するようになったため xvba-va-driver (<<0.8.0-9+deb) への破壊 (Breaks) と置換 (Replaces) を追加
flash-kernelフラッシュデバイスのチェックに無闇に mtdblock 層 (プラットフォーム/カーネルによっては不安定) を経由させず /dev/mtdN を利用。NAND型フラッシュメモリへの書き込みに nandwrite を利用
fonts-sil-andika65-andika.conf を本当に削除
giflibWidth > SWidth の場合に終了するように [CVE-2015-7555]
glib2.0更新した pcre3 に対して再ビルドし、セキュリティ更新を盛り込み
glibc/dev/pts が正しいオプションを指定してマウントされていない場合の granpt の動作を改善。pt_chown をビルドしないように [CVE-2013-2207]
gnome-shell-extension-weatheropenweathermap.org の新しいAPIと互換性のある新しい上流スナップショット
gnupgサブ鍵の型が未知である場合に正しく処理
gtk+2.0巨大なメモリブロックを割り当てる際の整数オーバーフローを修正 [CVE-2013-7447]
gummi推測できる一時ファイル名を回避する修正 [CVE-2015-7758] を更新し、上流の修正を採用
havplibclamav7 に対して再ビルド
imagemagickセキュリティ修正
initramfs-tools欠けていたドライバ追加と様々なバグ修正
installation-guideQNAP TS-109、TS-209、TS-409、TS-409U をサポートする機種として再び追加
libclamunrarlibclamav7 に対して再ビルド
libdatetime-timezone-perl収録するタイムゾーンデータを tzdata 2016c に更新
librsvgSVGファイルを解析する際の境界外ヒープ読み取りを修正 [CVE-2015-7557]
libsndfile0除算経由のサービス拒否 [CVE-2014-9756] と AIFF パーサのヒープオーバーフロー [CVE-2015-7805] を修正
libvirtファイルシステムのボリュームに「/」を許可しないように [CVE-2015-5313]。libvirt-daemon: /usr/lib/qemu に qemu-bridge-helper を期待
linux新しい上流リリース 3.16.7-ckt25 に更新。multipath-modules に dm-service-time を追加。MIPS 5KE CPU のサポートを追加
mongrel2期限の切れた証明書により失敗するテストをコメントアウト
mozilla-devscripts安定版での iceweasel から firefox-esr へ、そして icedove から thunderbird への移行を見越して dh_xul-ext の substvar 生成を更新
nettle複数のセキュリティ修正 [CVE-2015-8803 CVE-2015-8804 CVE-2015-8805]
nss-pam-ldapdnslcd のデーモン化に伴う問題と起動時のシグナル処理で競合が発生するのを修正。パスワードポリシーの期限切れ警告を修正。起動スクリプトの戻り値を適切に
osmoi386 でバックアップしたデータが壊れるのを修正
pagekite欠けていた python-openssl へのビルド依存を追加し、テストに失敗するのを修正
pam再ビルドして複数のアーキテクチャを相互にインストールできるように
pcre3深く入り組んだ括弧で (*ACCEPT) のワークスペースがあふれるのを修正 [CVE-2016-3191]。グループ名が重なっている場合の処理にあったヒープバッファオーバーフローを修正 [CVE-2016-1283]。入り組んだテーブルでジャンプする問題を修正 [CVE-2014-9769]
pgplot5複数アーキテクチャに対応した zconf.h へのパスを使うことによりビルドが失敗するのを修正
php-dompdf情報公開の脆弱性 [CVE-2014-5011]、サービス拒否 [CVE-2014-5012]、リモートからのコードの実行 [CVE-2014-5013] を修正
php-mail-mime欠けていた php-pear への依存を追加
php-net-ldap2新しいバージョンの PEAR で致命的エラーが起きるのを修正
php5新しい上流安定版リリース。PEAR を機能していた最後の PHP 5.6.14 のバージョンに差し戻し
postgresql-9.1新しい上流リリース
postgresql-commonpg_upgradecluster: デフォルトとして dynamic_shared_memory_type = mmap をセット。LXC コンテナ中にある既存クラスタのアップグレードで起きる問題を主に回避
python-clamavlibclamav7 に対して再ビルド
python-rsaBleichenbacher'06 攻撃による署名改ざんの可能性を修正 [CVE-2016-1494]
rdesktop引数としてドメイン名を指定せずに credssp と Kerberos を利用した場合の sigsegv を修正
rsnapshot引数付き --rsh でのリグレッションを修正
ruby-defaultsruby: ruby-activesupport-2.3 への衝突にバージョン (<<2:4) を指定し、移行パッケージをインストールできるように
ruby-standalone「rubyX.Y」を「ruby」へのリンクとしてインストールし、bundler でインストールしたバイナリが機能するように
ruby-tzinfoiso3166.tab と zone.tab を UTF-8 としてロード
s3qlDebian Wheezy 版の S3QL で作成したファイルシステムからのアップグレードをサポート
sane-backendsdebian/saned@.service を書き換え、ネットワーク走査でのエラーを回避。フォールバックスクリプト /etc/init.d/saned 経由の起動を回避
sitesummarypostinst スクリプトを修正し、削除後に Apache の設定に孤立したシンボリックリンクが残らないように
stressinfo/dir.gz をインストールしないように
subversionkwallet を利用して認証情報を保存した場合のセグメンテーション違反を修正
suckless-toolsslock: ロックが有効になっている時に新しいスクリーンを追加あるいは解像度を変更した場合にカバーウィンドウのサイズを正しく変更
sus上流 tar アーカイブのチェックサムを更新
systemdスワップユニットが全て、必ずスワップターゲットよりも先の順に入るように。これにより、シャットダウン処理中にスワップデバイスが早期に終了するのを回避します。/run/initramfs/fsck-usr フラグファイルが存在する場合にのみ /usr ファイルシステムのチェックを飛ばし、dracut 利用時の問題を回避。systemd-nspawn で既存のリンクを変更しようとして失敗しないように --network-interface を修正。--quiet で addgroup を呼び出さないように。debian/udev.prerm: 欠けていたdeconfigure操作を追加
torbrowser-launcher証明書のピン止めを無効化し、近く予定されている証明書の変更で問題を起こすのを回避。データファイルを署名ファイルと合わせて gpg に渡すことで署名検証攻撃を回避 [CVE-2016-3180]
tzdata新しい上流リリース
unboundH.ROOT-SERVERS.NET のヒントを更新
user-mode-linuxLinux カーネル 3.16.7-ckt20-1+deb8u3 に対して再ビルド
vsftpd設定オプションdeny_fileが正しく処理されないことがあるのを修正 [CVE-2015-1419]。vsftpd.conf の man ページに書かれている listen と同一の値を tunable_listen のデフォルト値にセット
whatmapsJessie の Apache パッケージ名変更に対応
xvba-videofglrx-driver 1:15.9 によって別個のパッケージ xvba-va-driver は古いものとなり、空のメタパッケージに

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告IDパッケージ
DSA-3426 ctdb
DSA-3447 tomcat7
DSA-3448 linux
DSA-3449 bind9
DSA-3450 ecryptfs-utils
DSA-3451 fuse
DSA-3452 claws-mail
DSA-3453 mariadb-10.0
DSA-3454 virtualbox
DSA-3455 curl
DSA-3456 chromium-browser
DSA-3457 iceweasel
DSA-3459 mysql-5.5
DSA-3460 privoxy
DSA-3462 radicale
DSA-3463 prosody
DSA-3464 rails
DSA-3466 krb5
DSA-3467 tiff
DSA-3468 polarssl
DSA-3471 qemu
DSA-3472 wordpress
DSA-3474 libgcrypt20
DSA-3477 iceweasel
DSA-3479 graphite2
DSA-3481 glibc
DSA-3483 cpio
DSA-3484 xdelta3
DSA-3485 didiwiki
DSA-3486 chromium-browser
DSA-3487 libssh2
DSA-3488 libssh
DSA-3490 websvn
DSA-3492 gajim
DSA-3493 xerces-c
DSA-3494 cacti
DSA-3496 php-horde-core
DSA-3497 php-horde
DSA-3498 drupal7
DSA-3499 pillow
DSA-3500 openssl
DSA-3501 perl
DSA-3502 roundup
DSA-3503 linux
DSA-3504 bsh
DSA-3505 wireshark
DSA-3506 libav
DSA-3507 chromium-browser
DSA-3508 jasper
DSA-3509 rails
DSA-3510 iceweasel
DSA-3511 bind9
DSA-3512 libotr
DSA-3513 chromium-browser
DSA-3514 samba
DSA-3515 graphite2
DSA-3516 wireshark
DSA-3517 exim4
DSA-3518 spip
DSA-3519 xen
DSA-3521 git
DSA-3522 squid3
DSA-3523 iceweasel
DSA-3524 activemq
DSA-3526 libmatroska
DSA-3527 inspircd
DSA-3528 pidgin-otr
DSA-3529 redmine
DSA-3531 chromium-browser
DSA-3532 quagga

削除されたパッケージ

以下のパッケージが私たちの力の及ばない事情により削除されました:

パッケージ 理由
gnome-gmail壊れている
nautilus-pastebin保守されていない

Debian インストーラ

インストーラが更新され、このポイントリリースまでに安定版 (stable) に盛り込まれた修正が収録されています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

https://security.debian.org/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、https://www.debian.org/ を訪れるか、 <press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。