Обновлённый Debian 8: выпуск 8.4

02 Апреля 2016

Проект Debian с радостью сообщает о четвёртом обновлении своего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском jessie, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
amavisd-new Установка LC_ALL до момента запуска службы
amd64-microcode Обновление микрокода AMD для процессоров AMD семейства 15h для исправления ошибок в предыдущей версии микрокода
apt apt-pkg/algorithms.cc: исправление переполнения буфера в KillList
aptdaemon Исправление безопасности [CVE-2015-1323]
ardour Повторное создание пакета без libs/pdb/dmalloc.cc
base-files Обновление для редакции
c-icap-modules Повторная сборка с использованием libclamav7
cairo Исправление безопасности [CVE-2016-3190]
cinnamon-settings-daemon Исправление небольшой ошибки безопасности (отсутствие проверки polkit)
clamav Новая версия из основной ветки разработки; исправление доступа к невыровненной памяти
conkeror Исправление сообщений об ошибках загрузки модулей для работы с Firefox 36
dansguardian Повторная сборка с использованием libclamav7
debian-installer Повторная сборка с использованием proposed-updates
debian-installer-netboot-images Повторная сборка с использованием debian-installer
dolibarr Многочисленные исправления безопасности [CVE-2015-3935 CVE-2015-8685 CVE-2016-1912]
espeakup Поиск доступных языков теперь не зависит от иерархии файлов; использование португальского языка для галисийского; synth.c: исправление поиска файлов голосов по языку
exactimage Исправление безопасности [CVE-2015-8366]
fglrx-driver libfglrx-amdxvba1: добавление Breaks+Replaces: xvba-va-driver (<< 0.8.0-9+deb), так как теперь поставляются fglrx_drv_video.so и xvba_drv_video.so
flash-kernel Использование /dev/mtdN при выполнении прошивки вместо обращения к прослойке mtdblock (которая ошибочно работает на некоторых платформах/ядрах); использование nandwrite при выполнении записи на nand
fonts-sil-andika Удаление 65-andika.conf
giflib Отмена в случаях, когда Width > SWidth [CVE-2015-7555]
glib2.0 Повторная сборка с использованием обновлённой версии pcre3 с целью исправления проблем безопасности
glibc Улучшение granpt, если /dev/pts не смонтирован с правильными опциями; не собирать pt_chown [CVE-2013-2207]
gnome-shell-extension-weather Новый срез основной ветки разработки, совместимый с новым API openweathermap.org
gnupg Правильная обработка подключей неизвестных типов
gtk+2.0 Исправление переполнения целых чисел при выделении большого блока памяти [CVE-2013-7447]
gummi Исправление предсказуемых имён временных файлов [CVE-2015-7758], добавленной в основной ветке разработки
havp Повторная сборка с использованием libclamav7
imagemagick Исправления безопасности
initramfs-tools Добавление отсутствующих драйверов, а также различные исправления ошибок
installation-guide Повторная добавление QNAP TS-109, TS-209, TS-409 и TS-409U в качестве поддерживаемых моделей
libclamunrar Повторная сборка с использованием libclamav7
libdatetime-timezone-perl Обновление данных часовых поясов до tzdata 2016c
librsvg Исправление чтения за пределами выделенной динамической памяти при выполнении грамматического разбора файла SVG [CVE-2015-7557]
libsndfile Исправление отказа в обслуживании из-за деления на ноль [CVE-2014-9756], а также переполнения динамической памяти в коде для грамматического разбора AIFF [CVE-2015-7805]
libvirt Не позволять '/' в томе файловой системы [CVE-2015-5313]; libvirt-daemon: ожидать qemu-bridge-helper в /usr/lib/qemu
linux Обновление до новой версии основной ветки разработки, 3.16.7-ckt25; добавление dm-service-time в multipath-modules; добавление поддержки ЦП MIPS 5KE
mongrel2 Отключение неработающего из-за устаревшего сертификата теста
mozilla-devscripts Обновление порождения подстановочной переменной dh_xul-ext для готовящегося перехода в стабильном выпуске с iceweasel на firefox-esr и с icedove на thunderbird
nettle Многочисленные исправления безопасности [CVE-2015-8803 CVE-2015-8804 CVE-2015-8805]
nss-pam-ldapd Исправление проблем работы службы nslcd, исправление состояния гонки в коде обработки сигналов при запуске; исправление предупреждений при устаревании паролей; проверка того, чтобы сценарий инициализации возвращал правильный код завершения
osmo Исправление повреждённой резервной копии данных на i386
pagekite Добавление отсутствующей сборочной зависимости python-openssl для исправления ошибок при тестировании
pam Повторная сборка с целью исправления одновременной установки для нескольких архитектур
pcre3 Исправление переполнение рабочего пространства для (*ACCEPT) с множеством вложенных скобок [CVE-2016-3191]; исправление переполнение динамической памяти в коде обработки групп с именами-дубликатами [CVE-2016-1283]; исправление проблемы с вложенными таблицами переходов [CVE-2014-9769]
pgplot5 Исправление ошибки сборки путём использования пути к zconf.h для поддержки нескольких архитектур
php-dompdf Исправление раскрытия информации [CVE-2014-5011], отказа в обслуживании [CVE-2014-5012] и удалённого выполнения кода [CVE-2014-5013]
php-mail-mime Добавление отсутствующей зависимости php-pear
php-net-ldap2 Исправление фатальной ошибки с более новыми версиями PEAR
php5 Новый выпуск из основной ветки разработки; возврат последней работавшей версии PEAR из PHP 5.6.14
postgresql-9.1 Новый выпуск из основной ветки разработки
postgresql-common pg_upgradecluster: установка по умолчанию dynamic_shared_memory_type = mmap; в первую очередь это помогает избежать проблемы с обновлением существующих кластеров в контейнере LXC
python-clamav Повторная сборка с использованием libclamav7
python-rsa Исправление возможной подделки подписей с помощью атаки Bleichenbacher'06 [CVE-2016-1494]
rdesktop Исправление sigsegv во время использования credssp и Kerberos без указания имени домена в качестве аргумента
rsnapshot Исправление регресса --rsh с аргументами
ruby-defaults ruby: установка конфликтной зависимости ruby-activesupport-2.3 в версию (<< 2:4), чтобы можно было установить переходный пакет
ruby-standalone Установка 'rubyX.Y' как ссылки на 'ruby', поэтому эти двоичные файлы устанавливаются упаковщиком
ruby-tzinfo Загрузка iso3166.tab и zone.tab в кодировке UTF-8
s3ql Поддержка обновлений с файловых систем, созданных с помощью S3QL версии в Debian Wheezy
sane-backends Перезапись debian/saned@.service для того, чтобы предотвратить ошибки сканирования сети; предотвращение запуска через аварийный сценарий /etc/init.d/saned
sitesummary Исправление зависания сценария postinst, обрыв символьной ссылки в настройке Apache после удаления
stress Не устанавливать info/dir.gz
subversion Исправление ошибки сегментирования при использовании kwallet для хранения информации для аутентификации
suckless-tools slock: при добавлении новых экранов или изменения разрешения при активной блокировке правильно изменять размеры закрывающего экран окна
sus Обновление контрольной суммы tarball из основной ветки разработки
systemd Проверить, чтобы все swap-юниты были расположены до цели swap. Это позволяет избежать преждевременной остановки swap-устройств во время отключения; пропускать проверку файловой системы для /usr в случае, если существует файл-флаг /run/initramfs/fsck-usr, что позволяет избежать проблем с использованием dracut; исправление --network-interface в systemd-nspawn так, чтобы эта опция срабатывала и при изменении существующей ссылки; не вызывать addgroup с --quiet; debian/udev.prerm: добавить отсутствующее действие deconfigure
torbrowser-launcher Отключение фиксации сертификата, что позволяет избежать проблем с готовящимся изменением сертификата; предотвращение атаки на проверку подписи путём пропуска файла данных и файла подписи в gpg [CVE-2016-3180]
tzdata Новый выпуск основной ветки разработки
unbound Обновление подсказок для H.ROOT-SERVERS.NET
user-mode-linux Повторная сборка с использованием ядра Linux 3.16.7-ckt20-1+deb8u3
vsftpd Исправление опции настройки deny_file, которая не всегда правильно обрабатывает [CVE-2015-1419]; установка по умолчанию значения tunable_listen в то же значение, что у listen из страницы руководства vsftpd.conf
whatmaps Учёт переименования пакета Apache в Jessie
xvba-video xvba-va-driver как отдельный пакет был заменён на fglrx-driver 1:15.9, это теперь пустой метапакет

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3426 ctdb
DSA-3447 tomcat7
DSA-3448 linux
DSA-3449 bind9
DSA-3450 ecryptfs-utils
DSA-3451 fuse
DSA-3452 claws-mail
DSA-3453 mariadb-10.0
DSA-3454 virtualbox
DSA-3455 curl
DSA-3456 chromium-browser
DSA-3457 iceweasel
DSA-3459 mysql-5.5
DSA-3460 privoxy
DSA-3462 radicale
DSA-3463 prosody
DSA-3464 rails
DSA-3466 krb5
DSA-3467 tiff
DSA-3468 polarssl
DSA-3471 qemu
DSA-3472 wordpress
DSA-3474 libgcrypt20
DSA-3477 iceweasel
DSA-3479 graphite2
DSA-3481 glibc
DSA-3483 cpio
DSA-3484 xdelta3
DSA-3485 didiwiki
DSA-3486 chromium-browser
DSA-3487 libssh2
DSA-3488 libssh
DSA-3490 websvn
DSA-3492 gajim
DSA-3493 xerces-c
DSA-3494 cacti
DSA-3496 php-horde-core
DSA-3497 php-horde
DSA-3498 drupal7
DSA-3499 pillow
DSA-3500 openssl
DSA-3501 perl
DSA-3502 roundup
DSA-3503 linux
DSA-3504 bsh
DSA-3505 wireshark
DSA-3506 libav
DSA-3507 chromium-browser
DSA-3508 jasper
DSA-3509 rails
DSA-3510 iceweasel
DSA-3511 bind9
DSA-3512 libotr
DSA-3513 chromium-browser
DSA-3514 samba
DSA-3515 graphite2
DSA-3516 wireshark
DSA-3517 exim4
DSA-3518 spip
DSA-3519 xen
DSA-3521 git
DSA-3522 squid3
DSA-3523 iceweasel
DSA-3524 activemq
DSA-3526 libmatroska
DSA-3527 inspircd
DSA-3528 pidgin-otr
DSA-3529 redmine
DSA-3531 chromium-browser
DSA-3532 quagga

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
gnome-gmail Сломан
nautilus-pastebin Не сопровождается

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.