Обновлённый Debian 8: выпуск 8.6
17 Сентября 2016
Проект Debian с радостью сообщает о шестом обновлении своего
стабильного выпуска Debian 8 (кодовое имя jessie
).
Это обновление в основном содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать компакт-диски и DVD с выпуском jessie
, для обновления
устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian
после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| adblock-plus | Новый выпуск из основной ветки разработки, совместим с firefox-esr |
| apache2 | Исправление состояние гонки и логической ошибки в сценарии инициализации; удаление ссылок на manpages.debian.org в index.html; mod_socache_memcache: увеличение времени ожидания в простое до 15 секунд, чтобы работали соединения keep-alive; mod_proxy_fcgi: исправление неправильного поведения с ответами 304; исправление поведения systemd-sysv-generator; mod_proxy_html: добавление отсутствующих файлов настроек mods-available/proxy_html.conf |
| audiofile | Исправление переполнения буфера при одновременном изменении формата выемки и числа каналов [CVE-2015-7747] |
| automake-1.14 | Предотвращение небезопасного использования /tmp/ в install-sh |
| backintime | Добавление отсутствующего объявления зависимости от python-dbus |
| backuppc | Исправление регрессий из обновления samba до версии 4.2 |
| base-files | Обновление для редакции |
| biber | Исправление поломки в связи с обновлением perl в редакции |
| cacti | Исправление sql-инъекции в tree.php [CVE-2016-3172] и graph_view.php [CVE-2016-3659]; исправление обхода аутентификации [CVE-2016-2313] |
| ccache | Выпуск исправления ошибок от основной ветки разработки |
| clamav | Предотвращение ошибки в случае, если параметр AllowSupplementaryGroups установлен в файле настройки |
| cmake | Исправление модуля FindOpenSSL с целью обнаружения OpenSSL 1.0.1t |
| conkeror | Исправление Firefox 44 и более поздних версий |
| debian-edu-config | Переход с Iceweasel на Firefox ESR; изменение ldap-tools/ldap-debian-edu-install с целью совместимости с systemd, когда маскирован юнит samba.service; dhclient-exit-hooks.d/hostname: изменение для случаев с выделенным LTSP-сервером; изменение cf.krb5client с целью гарантирования, что cfengine запускается неизменно; перемещение когда для чистки переадресации /usr/share/pam-configs/krb5 из postinst в preinst с целью облегчения обновлений со старых систем wheezy; не производить зачистку libnss-mdns, поскольку для cups для автоматического определения принтера теперь требуется mdns |
| debian-edu-doc | Обновление руководств Debian Edu для jessie и wheezy из вики |
| debian-installer | Повторная сборка с поддержкой proposed-updates |
| debian-installer-netboot-images | Повторная сборка для редакции |
| debian-security-support | Обновление данных о поддержке; добавление поддержки для пометки пакетов как теряющих поддержку в будущем |
| dietlibc | Исправление небезопасного значения PATH по умолчанию |
| dwarfutils | Обновления безопасности [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042] |
| e2fsprogs | Отключение запросов временного сдвига, подгоняемых в e2fsck; исправление потенциального повреждения файловых систем Hurd утилитой e2fsck, ошибки указателей, которые могут приводить к аварийным остановкам в e2fsck и resize2fs |
| exim4 | Исправление ошибки, когда строки в теле сообщения имеют единственную точку; исправление аварийной остановки при exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; улучшение файла NEWS; обратный перенос отсутствующей заплаты из основной ветки разработки для обеспечения работы $initial_cwd |
| file | Исправление перезаписи буфера в finfo_open с некорректным файлом магической последовательности [CVE-2015-8865] |
| firegestures | Новый выпуск из основной ветки разработки, совместимость с firefox-esr |
| flashplugin-nonfree | Update-flashplugin-nonfree: удаление старого сценария get-upstream-version.pl из кеша |
| fusionforge | Удаление зависимости от дополнения Mediawiki из метапакета fusionforge-full |
| gdcm | Исправление переполнения целых чисел [CVE-2015-8396] и отказа в обслуживании [CVE-2015-8397] |
| glibc | Исправление ошибки утверждения с адресами имён серверов, к которым невозможно подключиться (регрессия, появившаяся в исправлении CVE-2015-7547); исправление функций *context на архитектуре s390x; исправление переполнения буфера в функции glob [CVE-2016-1234], переполнения стека в nss_dns_getnetbyname_r [CVE-2016-3075], переполнения стека в функции getaddrinfo [CVE-2016-3706], переполнения сетка в Sun RPC clntudp_call() [CVE-2016-4429]; обновление из стабильной ветки основной ветки разработки; исправление функций open и openat с O_TMPFILE; исправление зависание отслеживания на архитектурах armel/armhf, которое потенциально приводит к отказу в обслуживании [CVE-2016-6323]; исправление mtr на системах, использующих только сервера имён IPv6 |
| gnome-maps | Новый выпуск основной ветки разработки; использование тайлового сервера Mapbox вместо более не поддерживаемого сервера MapQuest |
| gnome-sudoku | Не создавать каждый раз одну и ту же головоломку |
| gnupg | gpgv: изменение опций по умолчанию с целью обеспечения дополнительной безопасности; g10: исправление проверки ключ на предмет правильности подписи |
| gnupg2 | gpgv: изменение опций по умолчанию с целью обеспечения дополнительной безопасности; g10: исправление проверки ключ на предмет правильности подписи |
| greasemonkey | Новый выпуск основной ветки разработки, совместимость с firefox-esr |
| intel-microcode | Новый выпуск основной ветки разработки |
| jakarta-jmeter | Установка шаблонов; исправление ошибки с libxstream-java >= 1.4.9 при загрузке шаблонов |
| javatools | Возврат правильной строки архитектуры для ppc64el в java-arch.sh |
| kamailio | Исправление проверки версии libssl |
| libbusiness-creditcard-perl | Адаптация изменений в номерах кредитных карт и обработке различных компаний |
| libcss-dom-perl | Временное исправление изменений Encode в стабильных обновлениях perl и libencode-perl |
| libdatetime-timezone-perl | Обновление данных до версии 2016e; новый выпуск основной ветки разработки |
| libdevel-declare-perl | Исправление поломки, вызванной стабильным обновлением perl |
| libnet-ssleay-perl | Исправление ошибки сборки с openssl 1.0.1t-1+deb8u1 |
| libquota-perl | Изменение коде определения платформы с целью обеспечения работы с Linux 4.x |
| libtool | Исправление проблем совместной установки при использовании нескольких архитектур [amd64 i386] |
| libxml2 | Исправление проблемы с URI без части для обозначения узла, которые не могут быть грамматически разобраны, например, qemu:///system; это приводит к исправлению работы libvirt, libsys-virt-perl и других пакетов |
| linux | Новый стабильный выпуск основной ветки разработки |
| lxc | Проверка того, чтобы контейнеры stretch/sid имели систему инициализации после отказа от заголовка 'Essential: yes' в init 1.34 |
| mariadb-10.0 | Новый выпуск основной ветки разработки, включающий исправление безопасности [CVE-2016-6662] |
| mozilla-noscript | Новый выпуск основной ветки разработки, совместимость с firefox-esr |
| nullmailer | Не хранить данные relayhost в базе данных debconf дольше, чем строго нужно |
| open-iscsi | Сценарий инициализации: небольшое ожидание после появления iSCSI-устройств, временное решение состояния гонки, в котором зависимые устройства появляются только после возврата изначальной настройки udev; open-iscsi-udeb: обновление initramfs после копирования настроек на целевую систему |
| openssl | Исправление проверки длины для CRL; включение asm-оптимизации для архитектуры s390x |
| ovirt-guest-agent | Установка исполняемого файла ovirt-guest-agent.py; изменение владельца каталога журналов на ovirtagent в postinst |
| piuparts | Исправление ошибки сборки (не проверять текущий статус выпуска Debian, отслеживание этого является проблемой distro-info-data) |
| policykit-1 | Несколько исправлений ошибок: исправление повреждения содержимого динамической памяти [CVE-2015-3255], локальный аутентифицированный отказ в обслуживании [CVE-2015-4625] и проблема с некорректными путями к объекту в RegisterAuthenticationAgent [CVE-2015-3218] |
| publicsuffix | Новый выпуск основной ветки разработки |
| pypdf2 | Исправление бесконечного цикла в функции readObject() |
| python-django | Обновление до версии 1.7.11 |
| python2.7 | Исправление уязвимости в поддержке StartTLS в smtplib [CVE-2016-0772], переполнение целых чисел в zipimporter [CVE-2016-5636], инъекция HTTP-заголовка [CVE-2016-5699] |
| quassel | Исправление удалённого отказа в обслуживании в базовом модуле quassel из-за некорректных данных о рукопожатии [CVE-2016-4414] |
| ruby-eventmachine | Исправление аварийной остановки из-за обработки FD, вызываемой удалённо |
| ruby2.1 | dl::dlopen не должен в безопасном режиме отрывать библиотеку с некорректным именем [CVE-2009-5147]; обработчики ошибок не должны вызывать функции с некорректными именами [CVE-2015-7551] |
| sendmail | Не прерывать работу с выводом утверждения в случае потери соединения с LDAP-сервером; проверка того, что параметр sendmail {client_port} на машинах с порядком байтов от младшего к старшему установлен правильно |
| sqlite3 | Исправление выбора временного каталога [CVE-2016-6153], ошибки сегментирования из-за чрезмерной нагрузки на SAVEPOINT |
| systemd | Использование правильного времени ожидания для остановки процессов, ответвление которого создаётся; не сбрасывать уровень журналирования до NOTICE в случае, если в командной строке ядра получен параметр quiet; исправление функции сравнения объектов в очереди предварительного приоритета в sd-event; обновление ссылок на документацию по cgroup на kernel.org; не запускать console-getty.service при отсутствии /dev/console; systemd-user-sessions.service помещён после nss-user-lookup.target и network.target |
| tabmixplus | Новый выпуск основной ветки разработки, совместимость с firefox-esr |
| tcpreplay | Обработка фреймов с размером 65535 октетов, добавление проверки размера [CVE-2016-6160] |
| tor | Обновление набора авторитетных серверов каталогов |
| tzdata | Новый выпуск основной ветки разработки; обновление до версии 2016e |
| unbound | Исправления сценария инициализации: добавление комментария магической последовательности pidfile; вызов start-stop-daemon с --retry для действия 'stop' |
| util-vserver | Повторная сборка с поддержкой dietlibc 0.33~cvs20120325-6+deb8u1, исправление небезопасного значения PATH по умолчанию |
| vorbis-tools | Исправление большого выделения памяти при получении oggenc входящих данных в формате AIFF [CVE-2015-6749], проверка числа каналов в заголовке [CVE-2014-9638 CVE-2014-9639], исправление ошибки сегментирования в vcut |
| vtk | Повторная сборка с целью исправления путей Java [ppc64el] |
| wget | Использовать изначальный URL по умолчанию при перенаправлении сервера для получения локального имени файла [CVE-2016-4971] |
| wpa | Обновления безопасности, связанные с некорректными символами [CVE-2016-4476, CVE-2016-4477] |
| yaws | Исправление инъекции HTTP_PROXY cgi env [CVE-2016-1000108] |
| zabbix | Исправление инъекции команд командной оболочки mysql.size в zabbix-agent [CVE-2016-4338] |
Пакет mariadb-10.0
не может быть собран на архитектуре powerpc,
но она включён в данную редакцию с тем, чтоб позволить получить
более быстрое исправление уязвимости CVE-2016-6662, которая в момент загрузки
не была обнаружена. Если исправление проблем сборки будет
доступно после следующего выпуска рекомендации по безопасности mariadb-10.0 DSA, то обновлённый
пакет будет выпущен через архив jessie-updates
.
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| minit | Не сопровождается, устарел |
| trn | Проблемы безопасности; заменён на trn4 |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.