Opdateret Debian 8: 8.6 udgivet

17. september 2016

Debian-projektet er stolt over at kunne annoncere den sjette opdatering af dets stabile distribution, Debian 8 (kodenavn jessie). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den stabile udgave, sammen med nogle få rettelser af alvorlige problemer. Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til dem, hvor de er tilgængelige.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 8, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide jessie-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye installeringsmedier samt cd- og dvd-aftryk indeholdende opdaterede pakker, vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringsværktøjet aptitude (eller apt, se manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller http-filspejle. En omfattende liste over filspejle er tilgængelig på:

https://www.debian.org/mirror/list

Forskellige fejlrettelser

Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
adblock-plus Ny opstrømsudgave, som er kompatibel med firefox-esr
apache2 Retter kapløbstilstand og logisk fejl i initskripter; fjerner links til manpages.debian.org i defaultfilen index.html; mod_socache_memcache: Forøger idletimeout til 15 sekunder for at tillade keep-alive-forbindelser; mod_proxy_fcgi: Retter forkert virkemåde med 304 svar; korrekt virkemåde i systemd-sysv-generator; mod_proxy_html: Tilføjer manglende opsætningsfil mods-available/proxy_html.conf
audiofile Retter bufferoverløb når både sampleformat og kanalantal ændres [CVE-2015-7747]
automake-1.14 Undgår usikker anvendelse af /tmp/ i install-sh
backintime Tilføjer manglende afhængighed af python-dbus
backuppc Retter regressioner fra samba-opdatering til 4.2
base-files Opdaterer til denne punktopdatering
biber Retter defekt udløst af punktopdatering af perl
cacti Retter SQL-indsprøjtning i tree.php [CVE-2016-3172] og graph_view.php [CVE-2016-3659]; retter autentifikationsomgåelse [CVE-2016-2313]
ccache Opstrømsudgivelse med fejlrettelser
clamav Meld ikke fejl hvis AllowSupplementaryGroups stadig er opsat i opsætningsfilen
cmake Retter modulet FindOpenSSL til at genkende OpenSSL 1.0.1t
conkeror Understøt Firefox 44 og senere
debian-edu-config Går fra Iceweasel til Firefox ESR; justerer ldap-tools/ldap-debian-edu-install for at være kompatibel med systemd nu hvor unit samba.service er maskeret; dhclient-exit-hooks.d/hostname: justerer for situationer med en dedikeret LTSP-server; justerer cf.krb5client for at sikre at cfengine-kørsler er idempotente; flytter kode for at rydde op i /usr/share/pam-configs/krb5-omdirigering fra postinst til preinst for at lette opgraderinger fra gamle wheezy-installationer; tøm ikke libnss-mdns da cups nu har behov for mdns til automatisk genkendelse af printer
debian-edu-doc Opdaterer Debian Edus jessie- og wheezy-håndbøger fra wikien
debian-installer Genopbygger mod proposed-updates
debian-installer-netboot-images Genopbygger til denne punktopdatering
debian-security-support Opdaterer medfølgende supportdata; tilføjer understøttelse af markering af pakker, der på en senere dato mister support
dietlibc Retter usikker standard-PATH
dwarfutils Sikkerhedsrettelser [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogs Deaktiverer undersøgelser af tidsforvængninger, som er forkert i e2fsck; retter potentiel korruption af Hurd-filsystemer af e2fsck, pointerfejl der kunne medføre nedbrud i e2fsck og resize2fs
exim4 Retter gennemskæringsfejl med bodylinjer som har et enkelt punktum; retter nedbrud ved exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; forbedrer NEWS-fil; tilbagefører manglende opstrømspatch for rent faktisk at få udvidelsen $initial_cwd til at virke
file Retter bufferoverskrivning i finfo_open med misdannet magicfil [CVE-2015-8865]
firegestures Ny opstrømsudgave, som er kompatibel med firefox-esr
flashplugin-nonfree Update-flashplugin-nonfree: Sletter gammel get-upstream-version.pl fra cache
fusionforge Fjerner afhængighed af Mediawiki-plugin fra metapakken fusionforge-full
gdcm Retter heltalsoverløb [CVE-2015-8396] og lammelsesangreb [CVE-2015-8397]
glibc Retter assertionfejl ved navneserveradresser, man ikke kan forbinde sig til (regression opstået ved rettelsen af CVE-2015-7547); retter *context-funktioner på s390x; retter et bufferoverløb i glob-funktionen [CVE-2016-1234], et stakoverløb i nss_dns_getnetbyname_r [CVE-2016-3075], et stakoverløb i funktionen getaddrinfo [CVE-2016-3706], et stakoverløb i Sun RPC's clntudp_call() [CVE-2016-4429]; opdaterer fra opstrøms stabile forgrening; retter funktionerne open og openat med O_TMPFILE; retter backtrace-hænging på armel/armhf, muligvis forårsagende en mindre lammelsesangrebssårbarhed [CVE-2016-6323]; retter mtr på systemer, der kun anvender IPv6-navneservere
gnome-maps Ny opstrømsudgave; anvender Mapbox-tileserveren i sted for den ikke længere understøttede MapQuest-server
gnome-sudoku Generer ikke den samme sekvens hver gang
gnupg gpgv: Tilpasser standardindstillingerne for ekstra sikkerhed; g10: Retter kontrolnøgle til signaturvalidering
gnupg2 gpgv: Tilpasser standardindstillingerne for ekstra sikkerhed; g10: Retter kontrolnøgle til signaturvalidering
greasemonkey Ny opstrømsudgave, som er kompatibel med firefox-esr
intel-microcode Ny opstrømsudgave
jakarta-jmeter Installer rent faktisk skabelonerne; retter en fejl med libxstream-java >= 1.4.9 når skabelonerne indlæses
javatools Returner korrekt arkitekturstreng for ppc64el i java-arch.sh
kamailio Retter libssl-versionskontrol
libbusiness-creditcard-perl Justerer til ændringer i kreditkort-intervaller og behandling af forskellige virksomhed
libcss-dom-perl Omgår Encode-ændringer indført i opdateringer til stabil perl og libencode-perl
libdatetime-timezone-perl Opdaterer medfølgende data til 2016e; ny opstrømsudgave
libdevel-declare-perl Retter defekt forårsaget af ændring i opdatering af stabil perl
libnet-ssleay-perl Retter opbygningsfejl med openssl 1.0.1t-1+deb8u1
libquota-perl Tilpasser platformsgenkendelse til at fungere med Linux 4.x
libtool Retter samtidig installering ved multi-arch [amd64 i386]
libxml2 Retter et problem med unparsing af URI'er uden en værtsdel som qemu:///system; dermed fungerer libvirt, libsys-virt-perl og andre igen
linux Ny stabile opstrømsudgave
lxc Sikrer at stretch/sid-containere har et initsystem, efter init 1.34 droppede 'Essential: yes'-headeren
mariadb-10.0 Ny opstrømsudgave, med sikkerhedsrettelse [CVE-2016-6662]
mozilla-noscript Ny opstrømsudgave, som er kompatibel med firefox-esr
nullmailer Opbevar ikke relayhostdata i debconf-database længere end der er strengt nødvendigt
open-iscsi Initskript: for lidt efter iSCSI-enheder har vist sig, omgår en kapløbstilstand hvor afhængige enheder kunne vise sig kun efter den indlednde udev-settle var afsluttet; open-iscsi-udeb: opdaterer initramfs efter kopiering af opsætning til målsystem
openssl Retter længdekontrol vedr. CRLs; aktiverer asm-optimering for s390x
ovirt-guest-agent Installer udførbar fil ovirt-guest-agent.py; ændrer ejer af logmappe til ovirtagent i postinst
piuparts Retter opbygningsfejl (afprøv ikke status på den aktuelle stabile Debian-udgave, da det er distro-info-datas problem)
policykit-1 Flere fejlrettelser: retter heapkorruption [CVE-2015-3255], lokalt autentificeret lammelsesangreb [CVE-2015-4625] og problem med ugyldige objektstier i RegisterAuthenticationAgent [CVE-2015-3218]
publicsuffix Ny opstrømsudgave
pypdf2 Retter uendelig løkke i funktionen readObject()
python-django Fejlrettelsesopdatering til 1.7.11
python2.7 Håndterer StartTLS-strippingangreb i smtplib [CVE-2016-0772], heltalsoverløb i zipimporter [CVE-2016-5636], HTTP-headerindsprøjtning [CVE-2016-5699]
quassel Retter fjernt DoS i quassel-core med ugyldige handshakedata [CVE-2016-4414]
ruby-eventmachine Retter fjernudløsbart nedbrud på grund af FD-håndtering
ruby2.1 dl::dlopen skal ikke åbne et bibliotek med et forurenet biblioteksnavn i sikker tilstand [CVE-2009-5147]; Fiddle-handles skal ikke kalde funktioner med forurende funktionsnavne [CVE-2015-7551]
sendmail Afbryd ikke med en assertion hvis forbindelsen til en LDAP-server mistes; sikrer at sendmail {client_port} er opsat korrekt på little endian-maskiner
sqlite3 Retter valg af tempdir-sårbarhed [CVE-2016-6153], segfault som følge af kraftig anvendelse af SAVEPOINT
systemd Anvend den rigtige timeout for stopprocesser vi fork'er; nulstil ikke logniveau til NOTICE hvis vi modtager quiet på kernens cmdline; retter funktion til forberedlse af sammenligning af prioriteringskø i sd-event; opdaterer links til kernel.org's cgroup-dokumentation; start ikke console-getty.service når /dev/console mangler; placerer systemd-user-sessions.service efter nss-user-lookup.target og network.target
tabmixplus Ny opstrømsudgave, som er kompatibel med firefox-esr
tcpreplay Håndterer frames med en størrelse på 65535 oktetter, tilføjer en størrelseskontrol [CVE-2016-6160]
tor Opdaterer til at opsætte authority directory-servere
tzdata Ny opstrømsudgave; opdaterer til 2016e
unbound Initskriptrettelser: tilføjer magisk kommentar pidfile; kald start-stop-daemon med --retry for 'stop'-handling
util-vserver Genopbygger mod dietlibc 0.33~cvs20120325-6+deb8u1, retter usikker standard-PATH
vorbis-tools Retter stor alloca ved dårligt AIFF-inddata til oggenc [CVE-2015-6749], validerer antallet af kanaler i headeren [CVE-2014-9638 CVE-2014-9639], retter segmenteringsfejl i vcut
vtk Genopbygger for at rette Java-stier [ppc64el]
wget Som standard ved serverviderestillinger til en FTP-ressource, anvendes den oprindelige URL til at hente lokalt filnavn [CVE-2016-4971]
wpa Sikkerhedsopdateringer relateret til ugyldige tegn [CVE-2016-4476, CVE-2016-4477]
yaws Retter HTTP_PROXY cgi env-indsprøjtning [CVE-2016-1000108]
zabbix Retter mysql.size shell-kommandoindsprøjtning i zabbix-agent [CVE-2016-4338]

Pakken mariadb-10.0 kunne ikke opbygges på powerpc-arkitekturen, men er medtaget i punktopdateringen, for at gøre det muligt, hurtigere at udgive rettelsen af CVE-2016-6662, som ikke var afsløret på uploadtidspunktet. Hvis en rettelse af opbygningsfejlen bliver tilgængelig før den næste DSA vedrørende mariadb-10.0, vil en opdateret pakke måske blive udgivet gennem jessie-updates.

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r)
DSA-3548 samba
DSA-3548 talloc
DSA-3548 tdb
DSA-3548 tevent
DSA-3548 ldb
DSA-3565 monotone
DSA-3588 symfony
DSA-3589 gdk-pixbuf
DSA-3590 chromium-browser
DSA-3591 imagemagick
DSA-3592 nginx
DSA-3593 libxml2
DSA-3594 chromium-browser
DSA-3595 mariadb-10.0
DSA-3596 spice
DSA-3597 expat
DSA-3598 vlc
DSA-3599 p7zip
DSA-3600 firefox-esr
DSA-3602 php5
DSA-3603 libav
DSA-3604 drupal7
DSA-3605 libxslt
DSA-3606 libpdfbox-java
DSA-3607 linux
DSA-3608 libreoffice
DSA-3609 tomcat8
DSA-3610 xerces-c
DSA-3611 libcommons-fileupload-java
DSA-3612 gimp
DSA-3613 libvirt
DSA-3614 tomcat7
DSA-3615 wireshark
DSA-3616 linux
DSA-3617 horizon
DSA-3618 php5
DSA-3619 libgd2
DSA-3620 pidgin
DSA-3621 mysql-connector-java
DSA-3622 python-django
DSA-3623 apache2
DSA-3624 mysql-5.5
DSA-3625 squid3
DSA-3626 openssh
DSA-3627 phpmyadmin
DSA-3628 libunicode-linebreak-perl
DSA-3628 debhelper
DSA-3628 libmime-encwords-perl
DSA-3628 perl
DSA-3628 libsys-syslog-perl
DSA-3628 libmodule-build-perl
DSA-3628 libnet-dns-perl
DSA-3628 libintl-perl
DSA-3628 cdbs
DSA-3628 libmime-charset-perl
DSA-3628 devscripts
DSA-3628 exim4
DSA-3629 ntp
DSA-3630 libgd2
DSA-3631 php5
DSA-3632 mariadb-10.0
DSA-3633 xen
DSA-3634 redis
DSA-3635 libdbd-mysql-perl
DSA-3637 chromium-browser
DSA-3638 curl
DSA-3639 wordpress
DSA-3640 firefox-esr
DSA-3641 openjdk-7
DSA-3642 lighttpd
DSA-3643 kde4libs
DSA-3644 fontconfig
DSA-3645 chromium-browser
DSA-3646 postgresql-9.4
DSA-3647 icedove
DSA-3648 wireshark
DSA-3649 gnupg
DSA-3650 libgcrypt20
DSA-3651 rails
DSA-3652 imagemagick
DSA-3653 flex
DSA-3653 bogofilter
DSA-3654 quagga
DSA-3655 mupdf
DSA-3656 tryton-server
DSA-3657 libarchive
DSA-3658 libidn
DSA-3659 linux
DSA-3660 chromium-browser
DSA-3661 charybdis
DSA-3662 inspircd
DSA-3663 xen
DSA-3664 pdns

Fjernede pakker

Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:

Pakke Årsag
minit Ikke vedligeholdt samt forældet
trn Sikkerhedsproblemer; erstattet af trn4

Debian Installer

Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.

URL'er

Den komplette liste over pakker, som er ændret i forbindelse med denne revision:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Den aktuelle stabile distribution:

http://ftp.debian.org/debian/dists/stable/

Foreslåede opdateringer til den stabile distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):

https://www.debian.org/releases/stable/

Sikkerhedsannonceringer og -oplysninger:

https://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.