Opdateret Debian 8: 8.6 udgivet
17. september 2016
Debian-projektet er stolt over at kunne annoncere den sjette opdatering af
dets stabile distribution, Debian 8 (kodenavn jessie
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 8, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide jessie-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsmedier samt cd- og dvd-aftryk indeholdende opdaterede pakker, vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade
pakkehåndteringsværktøjet aptitude
(eller apt
, se
manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller
http-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
Pakke | Årsag |
---|---|
adblock-plus | Ny opstrømsudgave, som er kompatibel med firefox-esr |
apache2 | Retter kapløbstilstand og logisk fejl i initskripter; fjerner links til manpages.debian.org i defaultfilen index.html; mod_socache_memcache: Forøger idletimeout til 15 sekunder for at tillade keep-alive-forbindelser; mod_proxy_fcgi: Retter forkert virkemåde med 304 svar; korrekt virkemåde i systemd-sysv-generator; mod_proxy_html: Tilføjer manglende opsætningsfil mods-available/proxy_html.conf |
audiofile | Retter bufferoverløb når både sampleformat og kanalantal ændres [CVE-2015-7747] |
automake-1.14 | Undgår usikker anvendelse af /tmp/ i install-sh |
backintime | Tilføjer manglende afhængighed af python-dbus |
backuppc | Retter regressioner fra samba-opdatering til 4.2 |
base-files | Opdaterer til denne punktopdatering |
biber | Retter defekt udløst af punktopdatering af perl |
cacti | Retter SQL-indsprøjtning i tree.php [CVE-2016-3172] og graph_view.php [CVE-2016-3659]; retter autentifikationsomgåelse [CVE-2016-2313] |
ccache | Opstrømsudgivelse med fejlrettelser |
clamav | Meld ikke fejl hvis AllowSupplementaryGroups stadig er opsat i opsætningsfilen |
cmake | Retter modulet FindOpenSSL til at genkende OpenSSL 1.0.1t |
conkeror | Understøt Firefox 44 og senere |
debian-edu-config | Går fra Iceweasel til Firefox ESR; justerer ldap-tools/ldap-debian-edu-install for at være kompatibel med systemd nu hvor unit samba.service er maskeret; dhclient-exit-hooks.d/hostname: justerer for situationer med en dedikeret LTSP-server; justerer cf.krb5client for at sikre at cfengine-kørsler er idempotente; flytter kode for at rydde op i /usr/share/pam-configs/krb5-omdirigering fra postinst til preinst for at lette opgraderinger fra gamle wheezy-installationer; tøm ikke libnss-mdns da cups nu har behov for mdns til automatisk genkendelse af printer |
debian-edu-doc | Opdaterer Debian Edus jessie- og wheezy-håndbøger fra wikien |
debian-installer | Genopbygger mod proposed-updates |
debian-installer-netboot-images | Genopbygger til denne punktopdatering |
debian-security-support | Opdaterer medfølgende supportdata; tilføjer understøttelse af markering af pakker, der på en senere dato mister support |
dietlibc | Retter usikker standard-PATH |
dwarfutils | Sikkerhedsrettelser [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042] |
e2fsprogs | Deaktiverer undersøgelser af tidsforvængninger, som er forkert i e2fsck; retter potentiel korruption af Hurd-filsystemer af e2fsck, pointerfejl der kunne medføre nedbrud i e2fsck og resize2fs |
exim4 | Retter gennemskæringsfejl med bodylinjer som har et enkelt punktum; retter nedbrud ved exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; forbedrer NEWS-fil; tilbagefører manglende opstrømspatch for rent faktisk at få udvidelsen $initial_cwd til at virke |
file | Retter bufferoverskrivning i finfo_open med misdannet magicfil [CVE-2015-8865] |
firegestures | Ny opstrømsudgave, som er kompatibel med firefox-esr |
flashplugin-nonfree | Update-flashplugin-nonfree: Sletter gammel get-upstream-version.pl fra cache |
fusionforge | Fjerner afhængighed af Mediawiki-plugin fra metapakken fusionforge-full |
gdcm | Retter heltalsoverløb [CVE-2015-8396] og lammelsesangreb [CVE-2015-8397] |
glibc | Retter assertionfejl ved navneserveradresser, man ikke kan forbinde sig til (regression opstået ved rettelsen af CVE-2015-7547); retter *context-funktioner på s390x; retter et bufferoverløb i glob-funktionen [CVE-2016-1234], et stakoverløb i nss_dns_getnetbyname_r [CVE-2016-3075], et stakoverløb i funktionen getaddrinfo [CVE-2016-3706], et stakoverløb i Sun RPC's clntudp_call() [CVE-2016-4429]; opdaterer fra opstrøms stabile forgrening; retter funktionerne open og openat med O_TMPFILE; retter backtrace-hænging på armel/armhf, muligvis forårsagende en mindre lammelsesangrebssårbarhed [CVE-2016-6323]; retter mtr på systemer, der kun anvender IPv6-navneservere |
gnome-maps | Ny opstrømsudgave; anvender Mapbox-tileserveren i sted for den ikke længere understøttede MapQuest-server |
gnome-sudoku | Generer ikke den samme sekvens hver gang |
gnupg | gpgv: Tilpasser standardindstillingerne for ekstra sikkerhed; g10: Retter kontrolnøgle til signaturvalidering |
gnupg2 | gpgv: Tilpasser standardindstillingerne for ekstra sikkerhed; g10: Retter kontrolnøgle til signaturvalidering |
greasemonkey | Ny opstrømsudgave, som er kompatibel med firefox-esr |
intel-microcode | Ny opstrømsudgave |
jakarta-jmeter | Installer rent faktisk skabelonerne; retter en fejl med libxstream-java >= 1.4.9 når skabelonerne indlæses |
javatools | Returner korrekt arkitekturstreng for ppc64el i java-arch.sh |
kamailio | Retter libssl-versionskontrol |
libbusiness-creditcard-perl | Justerer til ændringer i kreditkort-intervaller og behandling af forskellige virksomhed |
libcss-dom-perl | Omgår Encode-ændringer indført i opdateringer til stabil perl og libencode-perl |
libdatetime-timezone-perl | Opdaterer medfølgende data til 2016e; ny opstrømsudgave |
libdevel-declare-perl | Retter defekt forårsaget af ændring i opdatering af stabil perl |
libnet-ssleay-perl | Retter opbygningsfejl med openssl 1.0.1t-1+deb8u1 |
libquota-perl | Tilpasser platformsgenkendelse til at fungere med Linux 4.x |
libtool | Retter samtidig installering ved multi-arch [amd64 i386] |
libxml2 | Retter et problem med unparsing af URI'er uden en værtsdel som qemu:///system; dermed fungerer libvirt, libsys-virt-perl og andre igen |
linux | Ny stabile opstrømsudgave |
lxc | Sikrer at stretch/sid-containere har et initsystem, efter init 1.34 droppede 'Essential: yes'-headeren |
mariadb-10.0 | Ny opstrømsudgave, med sikkerhedsrettelse [CVE-2016-6662] |
mozilla-noscript | Ny opstrømsudgave, som er kompatibel med firefox-esr |
nullmailer | Opbevar ikke relayhostdata i debconf-database længere end der er strengt nødvendigt |
open-iscsi | Initskript: for lidt efter iSCSI-enheder har vist sig, omgår en kapløbstilstand hvor afhængige enheder kunne vise sig kun efter den indlednde udev-settle var afsluttet; open-iscsi-udeb: opdaterer initramfs efter kopiering af opsætning til målsystem |
openssl | Retter længdekontrol vedr. CRLs; aktiverer asm-optimering for s390x |
ovirt-guest-agent | Installer udførbar fil ovirt-guest-agent.py; ændrer ejer af logmappe til ovirtagent i postinst |
piuparts | Retter opbygningsfejl (afprøv ikke status på den aktuelle stabile Debian-udgave, da det er distro-info-datas problem) |
policykit-1 | Flere fejlrettelser: retter heapkorruption [CVE-2015-3255], lokalt autentificeret lammelsesangreb [CVE-2015-4625] og problem med ugyldige objektstier i RegisterAuthenticationAgent [CVE-2015-3218] |
publicsuffix | Ny opstrømsudgave |
pypdf2 | Retter uendelig løkke i funktionen readObject() |
python-django | Fejlrettelsesopdatering til 1.7.11 |
python2.7 | Håndterer StartTLS-strippingangreb i smtplib [CVE-2016-0772], heltalsoverløb i zipimporter [CVE-2016-5636], HTTP-headerindsprøjtning [CVE-2016-5699] |
quassel | Retter fjernt DoS i quassel-core med ugyldige handshakedata [CVE-2016-4414] |
ruby-eventmachine | Retter fjernudløsbart nedbrud på grund af FD-håndtering |
ruby2.1 | dl::dlopen skal ikke åbne et bibliotek med et forurenet biblioteksnavn i sikker tilstand [CVE-2009-5147]; Fiddle-handles skal ikke kalde funktioner med forurende funktionsnavne [CVE-2015-7551] |
sendmail | Afbryd ikke med en assertion hvis forbindelsen til en LDAP-server mistes; sikrer at sendmail {client_port} er opsat korrekt på little endian-maskiner |
sqlite3 | Retter valg af tempdir-sårbarhed [CVE-2016-6153], segfault som følge af kraftig anvendelse af SAVEPOINT |
systemd | Anvend den rigtige timeout for stopprocesser vi fork'er; nulstil ikke logniveau til NOTICE hvis vi modtager quiet på kernens cmdline; retter funktion til forberedlse af sammenligning af prioriteringskø i sd-event; opdaterer links til kernel.org's cgroup-dokumentation; start ikke console-getty.service når /dev/console mangler; placerer systemd-user-sessions.service efter nss-user-lookup.target og network.target |
tabmixplus | Ny opstrømsudgave, som er kompatibel med firefox-esr |
tcpreplay | Håndterer frames med en størrelse på 65535 oktetter, tilføjer en størrelseskontrol [CVE-2016-6160] |
tor | Opdaterer til at opsætte authority directory-servere |
tzdata | Ny opstrømsudgave; opdaterer til 2016e |
unbound | Initskriptrettelser: tilføjer magisk kommentar pidfile; kald start-stop-daemon med --retry for 'stop'-handling |
util-vserver | Genopbygger mod dietlibc 0.33~cvs20120325-6+deb8u1, retter usikker standard-PATH |
vorbis-tools | Retter stor alloca ved dårligt AIFF-inddata til oggenc [CVE-2015-6749], validerer antallet af kanaler i headeren [CVE-2014-9638 CVE-2014-9639], retter segmenteringsfejl i vcut |
vtk | Genopbygger for at rette Java-stier [ppc64el] |
wget | Som standard ved serverviderestillinger til en FTP-ressource, anvendes den oprindelige URL til at hente lokalt filnavn [CVE-2016-4971] |
wpa | Sikkerhedsopdateringer relateret til ugyldige tegn [CVE-2016-4476, CVE-2016-4477] |
yaws | Retter HTTP_PROXY cgi env-indsprøjtning [CVE-2016-1000108] |
zabbix | Retter mysql.size shell-kommandoindsprøjtning i zabbix-agent [CVE-2016-4338] |
Pakken mariadb-10.0
kunne ikke opbygges på powerpc-arkitekturen, men
er medtaget i punktopdateringen, for at gøre det muligt, hurtigere at udgive
rettelsen af CVE-2016-6662, som ikke var afsløret på uploadtidspunktet. Hvis en
rettelse af opbygningsfejlen bliver tilgængelig før den næste DSA vedrørende
mariadb-10.0, vil en opdateret pakke måske blive udgivet gennem
jessie-updates
.
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
Pakke | Årsag |
---|---|
minit | Ikke vedligeholdt samt forældet |
trn | Sikkerhedsproblemer; erstattet af trn4 |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.