Обновлённый Debian 8: выпуск 8.6

17 Сентября 2016

Проект Debian с радостью сообщает о шестом обновлении своего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском jessie, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
adblock-plus Новый выпуск из основной ветки разработки, совместим с firefox-esr
apache2 Исправление состояние гонки и логической ошибки в сценарии инициализации; удаление ссылок на manpages.debian.org в index.html; mod_socache_memcache: увеличение времени ожидания в простое до 15 секунд, чтобы работали соединения keep-alive; mod_proxy_fcgi: исправление неправильного поведения с ответами 304; исправление поведения systemd-sysv-generator; mod_proxy_html: добавление отсутствующих файлов настроек mods-available/proxy_html.conf
audiofile Исправление переполнения буфера при одновременном изменении формата выемки и числа каналов [CVE-2015-7747]
automake-1.14 Предотвращение небезопасного использования /tmp/ в install-sh
backintime Добавление отсутствующего объявления зависимости от python-dbus
backuppc Исправление регрессий из обновления samba до версии 4.2
base-files Обновление для редакции
biber Исправление поломки в связи с обновлением perl в редакции
cacti Исправление sql-инъекции в tree.php [CVE-2016-3172] и graph_view.php [CVE-2016-3659]; исправление обхода аутентификации [CVE-2016-2313]
ccache Выпуск исправления ошибок от основной ветки разработки
clamav Предотвращение ошибки в случае, если параметр AllowSupplementaryGroups установлен в файле настройки
cmake Исправление модуля FindOpenSSL с целью обнаружения OpenSSL 1.0.1t
conkeror Исправление Firefox 44 и более поздних версий
debian-edu-config Переход с Iceweasel на Firefox ESR; изменение ldap-tools/ldap-debian-edu-install с целью совместимости с systemd, когда маскирован юнит samba.service; dhclient-exit-hooks.d/hostname: изменение для случаев с выделенным LTSP-сервером; изменение cf.krb5client с целью гарантирования, что cfengine запускается неизменно; перемещение когда для чистки переадресации /usr/share/pam-configs/krb5 из postinst в preinst с целью облегчения обновлений со старых систем wheezy; не производить зачистку libnss-mdns, поскольку для cups для автоматического определения принтера теперь требуется mdns
debian-edu-doc Обновление руководств Debian Edu для jessie и wheezy из вики
debian-installer Повторная сборка с поддержкой proposed-updates
debian-installer-netboot-images Повторная сборка для редакции
debian-security-support Обновление данных о поддержке; добавление поддержки для пометки пакетов как теряющих поддержку в будущем
dietlibc Исправление небезопасного значения PATH по умолчанию
dwarfutils Обновления безопасности [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogs Отключение запросов временного сдвига, подгоняемых в e2fsck; исправление потенциального повреждения файловых систем Hurd утилитой e2fsck, ошибки указателей, которые могут приводить к аварийным остановкам в e2fsck и resize2fs
exim4 Исправление ошибки, когда строки в теле сообщения имеют единственную точку; исправление аварийной остановки при exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; улучшение файла NEWS; обратный перенос отсутствующей заплаты из основной ветки разработки для обеспечения работы $initial_cwd
file Исправление перезаписи буфера в finfo_open с некорректным файлом магической последовательности [CVE-2015-8865]
firegestures Новый выпуск из основной ветки разработки, совместимость с firefox-esr
flashplugin-nonfree Update-flashplugin-nonfree: удаление старого сценария get-upstream-version.pl из кеша
fusionforge Удаление зависимости от дополнения Mediawiki из метапакета fusionforge-full
gdcm Исправление переполнения целых чисел [CVE-2015-8396] и отказа в обслуживании [CVE-2015-8397]
glibc Исправление ошибки утверждения с адресами имён серверов, к которым невозможно подключиться (регрессия, появившаяся в исправлении CVE-2015-7547); исправление функций *context на архитектуре s390x; исправление переполнения буфера в функции glob [CVE-2016-1234], переполнения стека в nss_dns_getnetbyname_r [CVE-2016-3075], переполнения стека в функции getaddrinfo [CVE-2016-3706], переполнения сетка в Sun RPC clntudp_call() [CVE-2016-4429]; обновление из стабильной ветки основной ветки разработки; исправление функций open и openat с O_TMPFILE; исправление зависание отслеживания на архитектурах armel/armhf, которое потенциально приводит к отказу в обслуживании [CVE-2016-6323]; исправление mtr на системах, использующих только сервера имён IPv6
gnome-maps Новый выпуск основной ветки разработки; использование тайлового сервера Mapbox вместо более не поддерживаемого сервера MapQuest
gnome-sudoku Не создавать каждый раз одну и ту же головоломку
gnupg gpgv: изменение опций по умолчанию с целью обеспечения дополнительной безопасности; g10: исправление проверки ключ на предмет правильности подписи
gnupg2 gpgv: изменение опций по умолчанию с целью обеспечения дополнительной безопасности; g10: исправление проверки ключ на предмет правильности подписи
greasemonkey Новый выпуск основной ветки разработки, совместимость с firefox-esr
intel-microcode Новый выпуск основной ветки разработки
jakarta-jmeter Установка шаблонов; исправление ошибки с libxstream-java >= 1.4.9 при загрузке шаблонов
javatools Возврат правильной строки архитектуры для ppc64el в java-arch.sh
kamailio Исправление проверки версии libssl
libbusiness-creditcard-perl Адаптация изменений в номерах кредитных карт и обработке различных компаний
libcss-dom-perl Временное исправление изменений Encode в стабильных обновлениях perl и libencode-perl
libdatetime-timezone-perl Обновление данных до версии 2016e; новый выпуск основной ветки разработки
libdevel-declare-perl Исправление поломки, вызванной стабильным обновлением perl
libnet-ssleay-perl Исправление ошибки сборки с openssl 1.0.1t-1+deb8u1
libquota-perl Изменение коде определения платформы с целью обеспечения работы с Linux 4.x
libtool Исправление проблем совместной установки при использовании нескольких архитектур [amd64 i386]
libxml2 Исправление проблемы с URI без части для обозначения узла, которые не могут быть грамматически разобраны, например, qemu:///system; это приводит к исправлению работы libvirt, libsys-virt-perl и других пакетов
linux Новый стабильный выпуск основной ветки разработки
lxc Проверка того, чтобы контейнеры stretch/sid имели систему инициализации после отказа от заголовка 'Essential: yes' в init 1.34
mariadb-10.0 Новый выпуск основной ветки разработки, включающий исправление безопасности [CVE-2016-6662]
mozilla-noscript Новый выпуск основной ветки разработки, совместимость с firefox-esr
nullmailer Не хранить данные relayhost в базе данных debconf дольше, чем строго нужно
open-iscsi Сценарий инициализации: небольшое ожидание после появления iSCSI-устройств, временное решение состояния гонки, в котором зависимые устройства появляются только после возврата изначальной настройки udev; open-iscsi-udeb: обновление initramfs после копирования настроек на целевую систему
openssl Исправление проверки длины для CRL; включение asm-оптимизации для архитектуры s390x
ovirt-guest-agent Установка исполняемого файла ovirt-guest-agent.py; изменение владельца каталога журналов на ovirtagent в postinst
piuparts Исправление ошибки сборки (не проверять текущий статус выпуска Debian, отслеживание этого является проблемой distro-info-data)
policykit-1 Несколько исправлений ошибок: исправление повреждения содержимого динамической памяти [CVE-2015-3255], локальный аутентифицированный отказ в обслуживании [CVE-2015-4625] и проблема с некорректными путями к объекту в RegisterAuthenticationAgent [CVE-2015-3218]
publicsuffix Новый выпуск основной ветки разработки
pypdf2 Исправление бесконечного цикла в функции readObject()
python-django Обновление до версии 1.7.11
python2.7 Исправление уязвимости в поддержке StartTLS в smtplib [CVE-2016-0772], переполнение целых чисел в zipimporter [CVE-2016-5636], инъекция HTTP-заголовка [CVE-2016-5699]
quassel Исправление удалённого отказа в обслуживании в базовом модуле quassel из-за некорректных данных о рукопожатии [CVE-2016-4414]
ruby-eventmachine Исправление аварийной остановки из-за обработки FD, вызываемой удалённо
ruby2.1 dl::dlopen не должен в безопасном режиме отрывать библиотеку с некорректным именем [CVE-2009-5147]; обработчики ошибок не должны вызывать функции с некорректными именами [CVE-2015-7551]
sendmail Не прерывать работу с выводом утверждения в случае потери соединения с LDAP-сервером; проверка того, что параметр sendmail {client_port} на машинах с порядком байтов от младшего к старшему установлен правильно
sqlite3 Исправление выбора временного каталога [CVE-2016-6153], ошибки сегментирования из-за чрезмерной нагрузки на SAVEPOINT
systemd Использование правильного времени ожидания для остановки процессов, ответвление которого создаётся; не сбрасывать уровень журналирования до NOTICE в случае, если в командной строке ядра получен параметр quiet; исправление функции сравнения объектов в очереди предварительного приоритета в sd-event; обновление ссылок на документацию по cgroup на kernel.org; не запускать console-getty.service при отсутствии /dev/console; systemd-user-sessions.service помещён после nss-user-lookup.target и network.target
tabmixplus Новый выпуск основной ветки разработки, совместимость с firefox-esr
tcpreplay Обработка фреймов с размером 65535 октетов, добавление проверки размера [CVE-2016-6160]
tor Обновление набора авторитетных серверов каталогов
tzdata Новый выпуск основной ветки разработки; обновление до версии 2016e
unbound Исправления сценария инициализации: добавление комментария магической последовательности pidfile; вызов start-stop-daemon с --retry для действия 'stop'
util-vserver Повторная сборка с поддержкой dietlibc 0.33~cvs20120325-6+deb8u1, исправление небезопасного значения PATH по умолчанию
vorbis-tools Исправление большого выделения памяти при получении oggenc входящих данных в формате AIFF [CVE-2015-6749], проверка числа каналов в заголовке [CVE-2014-9638 CVE-2014-9639], исправление ошибки сегментирования в vcut
vtk Повторная сборка с целью исправления путей Java [ppc64el]
wget Использовать изначальный URL по умолчанию при перенаправлении сервера для получения локального имени файла [CVE-2016-4971]
wpa Обновления безопасности, связанные с некорректными символами [CVE-2016-4476, CVE-2016-4477]
yaws Исправление инъекции HTTP_PROXY cgi env [CVE-2016-1000108]
zabbix Исправление инъекции команд командной оболочки mysql.size в zabbix-agent [CVE-2016-4338]

Пакет mariadb-10.0 не может быть собран на архитектуре powerpc, но она включён в данную редакцию с тем, чтоб позволить получить более быстрое исправление уязвимости CVE-2016-6662, которая в момент загрузки не была обнаружена. Если исправление проблем сборки будет доступно после следующего выпуска рекомендации по безопасности mariadb-10.0 DSA, то обновлённый пакет будет выпущен через архив jessie-updates.

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3548 samba
DSA-3548 talloc
DSA-3548 tdb
DSA-3548 tevent
DSA-3548 ldb
DSA-3565 monotone
DSA-3588 symfony
DSA-3589 gdk-pixbuf
DSA-3590 chromium-browser
DSA-3591 imagemagick
DSA-3592 nginx
DSA-3593 libxml2
DSA-3594 chromium-browser
DSA-3595 mariadb-10.0
DSA-3596 spice
DSA-3597 expat
DSA-3598 vlc
DSA-3599 p7zip
DSA-3600 firefox-esr
DSA-3602 php5
DSA-3603 libav
DSA-3604 drupal7
DSA-3605 libxslt
DSA-3606 libpdfbox-java
DSA-3607 linux
DSA-3608 libreoffice
DSA-3609 tomcat8
DSA-3610 xerces-c
DSA-3611 libcommons-fileupload-java
DSA-3612 gimp
DSA-3613 libvirt
DSA-3614 tomcat7
DSA-3615 wireshark
DSA-3616 linux
DSA-3617 horizon
DSA-3618 php5
DSA-3619 libgd2
DSA-3620 pidgin
DSA-3621 mysql-connector-java
DSA-3622 python-django
DSA-3623 apache2
DSA-3624 mysql-5.5
DSA-3625 squid3
DSA-3626 openssh
DSA-3627 phpmyadmin
DSA-3628 libunicode-linebreak-perl
DSA-3628 debhelper
DSA-3628 libmime-encwords-perl
DSA-3628 perl
DSA-3628 libsys-syslog-perl
DSA-3628 libmodule-build-perl
DSA-3628 libnet-dns-perl
DSA-3628 libintl-perl
DSA-3628 cdbs
DSA-3628 libmime-charset-perl
DSA-3628 devscripts
DSA-3628 exim4
DSA-3629 ntp
DSA-3630 libgd2
DSA-3631 php5
DSA-3632 mariadb-10.0
DSA-3633 xen
DSA-3634 redis
DSA-3635 libdbd-mysql-perl
DSA-3637 chromium-browser
DSA-3638 curl
DSA-3639 wordpress
DSA-3640 firefox-esr
DSA-3641 openjdk-7
DSA-3642 lighttpd
DSA-3643 kde4libs
DSA-3644 fontconfig
DSA-3645 chromium-browser
DSA-3646 postgresql-9.4
DSA-3647 icedove
DSA-3648 wireshark
DSA-3649 gnupg
DSA-3650 libgcrypt20
DSA-3651 rails
DSA-3652 imagemagick
DSA-3653 flex
DSA-3653 bogofilter
DSA-3654 quagga
DSA-3655 mupdf
DSA-3656 tryton-server
DSA-3657 libarchive
DSA-3658 libidn
DSA-3659 linux
DSA-3660 chromium-browser
DSA-3661 charybdis
DSA-3662 inspircd
DSA-3663 xen
DSA-3664 pdns

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
minit Не сопровождается, устарел
trn Проблемы безопасности; заменён на trn4

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.