Обновлённый Debian 8: выпуск 8.7

14 Января 2017

Проект Debian с радостью сообщает о седьмом обновлении своего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском jessie, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
ark Исправление аварийной остановки во время выхода при использовании исключительно в качестве KPart
asterisk Исправление проблемы безопасности, возникающей из-за того, что непечатные символы ASCII считаются пробелами [CVE-2016-9938]
asused Использование созданных полей вместо изменённых в строке с изменениями исходных данных
base-files Изменение /etc/debian_version до версии 8.7
bash Исправление исполнения произвольного кода из-за некорректного имени узла [CVE-2016-0634] и подстановки команд с помощью специально сформированных переменных SHELLOPTS+PS4 [CVE-2016-7543]
ca-certificates Обновление набора авторитетных сертификатов Mozilla до версии 2.9; postinst: запуск update-certificates без специальной процедуры для изначального заполнения /etc/ssl/certs
cairo Исправление отказа в обслуживании из-за использования SVG для создания неверных указателей [CVE-2016-9082]
ccache [amd64] Повторная сборка в чистом окружении
ceph Исправление проблемы с короткими CORS-запросами [CVE-2016-9579], отказ в обслуживании в mon [CVE-2016-5009], анонимное чтение в ACL [CVE-2016-7031], отказ в обслуживании в RGW [CVE-2016-8626]
chirp Отключение по умолчанию сообщений о телеметрии
cyrus-imapd-2.4 Исправление поддержки LIST GROUP
darktable Исправление переполнения целых чисел в ljpeg_start() [CVE-2015-3885]
dbus Исправление потенциальной уязвимости форматной строки; dbus.prerm: проверка, чтобы dbus.socket был остановлен перед его удалением
debian-edu-doc Обновление руководства Debian Edu Jessie из вики; исправление PO-файлов руководства для Jessie (da|nl) для корректной сборки руководства в формате PDF; обновление переводов
debian-edu-install Обновление номера версии до 8+edu1
debian-installer Повторная сборка для редакции
debian-installer-netboot-images Повторная сборка для редакции
duck Исправление загрузки кода из недоверенного источника [CVE-2016-1239]
e2fsprogs Повторная сборка с использованием dietlibc 0.33~cvs20120325-6+deb8u1 с целью применения включённых в указанный пакет исправлений безопасности
ebook-speaker Исправление совета об установке html2text для чтения html-файлов
elog Исправление отправки записи с использованием произвольного имени пользователя [CVE-2016-6342]
evolution-data-server Исправление преждевременной отмены соединения с уменьшеным размером окна TCP, приводящей к потере данных
exim4 Исправление утечки памяти в GnuTLS
file Исправление утечки памяти в загрузчике
ganeti-instance-debootstrap Исправление вызовов losetup путём замены -s на --show
glibc Не использовать в безусловном порядке инструкцию fsqrt на 64-битных ЦП с архитектурой PowerPC; исправление регрессии, добавленной заплатой cvs-resolv-ipv6-nameservers.diff в hesiod; отключение прерывания блокировки (известного также как Intel TSX) на архитектурах x86
glusterfs Квота: исправление проблемы с невозможностью запуска дополнительного монтирования
gnutls28 Исправление некорректной проверки сертификатов при использовании OCSP-ответов [GNUTLS-SA-2016-3 / CVE-2016-7444]; проверка на совместимость с nettle с заплатой для CVE-2016-6489
hplip Использовать полный отпечаток ключа gpg при загрузке ключа с сервера ключей [CVE-2015-0839]
ieee-data Отключение ежемесячной задачи cron по обновлению
intel-microcode Обновление микрокода
irssi Исправление раскрытия информации через buf.pl и /upgrade [CVE-2016-7553]; исправление разыменования NULL-указателя в функции nickcmp [CVE-2017-5193], использование указателей после освобождения памяти при получении сообщения от некорректного псевдонима [CVE-2017-5194] и чтение за пределами выделенного буфера памяти в определённых неполных управляющих кодах [CVE-2017-5195]
isenkram Загрузка аппаратно-программного ПО с использованием curl; использование HTTPS при загрузке modaliases; изменение зеркала с http.debian.net на httpredir.debian.org
jq Исправление переполнения динамической памяти [CVE-2015-8863] и исчерпания стека [CVE-2016-4074]
libclamunrar Исправление доступа за пределы выделенного буфера памяти
libdatetime-timezone-perl Обновление до версии 2016h; обновление данных в 2016i; обновление до версии 2016j; обновление до версии 2016g
libfcgi-perl Исправление ошибки многочисленные соединения вызывают ошибку сегментирования и отказ в обслуживании [CVE-2012-6687]
libio-socket-ssl-perl Исправление проблемы с некорректной ошибкой по поводу нечитаемого файла ключей SSL при использовании списков доступа файловой системы
libmateweather Переход с неработающего weather.noaa.gov на aviationweather.gov
libphp-adodb Исправление XSS-уязвимости [CVE-2016-4855] и SQL-инъекции [CVE-2016-7405]
libpng Исправление разыменования null-указателя [CVE-2016-10087]
libwmf Исправление выделения огромного блока памяти [CVE-2016-9011]
linkchecker Исправление проверок HTTPS
linux Обновление до стабильной версии 3.16.39; добавление драйвера chaoskey, обратный перенос из 4.8, поддержка для устройств n25q256a11 SPI; безопасность,производительность: разрешать непривилегированное отключения использования perf_event_open; несколько ошибок и исправлений безопасности
lxc Прикрепление: не отправлять procfd прикреплённому процессу [CVE-2016-8649]; повторное монтирование с опцией bind в случае использования флага только для чтения; исправление создания контейнеров Alpine Linux
mapserver Исправление ошибки сборки из исходного кода с использованием php >= 5.6.25; исправление утечки информации через сообщения об ошибках [CVE-2016-9839]
mdadm Разрешить '--grow --continue' успешное восстановление массива при использовании пространства для резервного копирования на устройстве 'spare'
metar Обновление сообщения URL
minissdpd Исправление уязвимости с неверной проверкой указателя массива [CVE-2016-3178 CVE-2016-3179]
monotone Изменение контрольных примеров для записи 1M тестовых данных для увеличения шансов на обнаружение переполнения канального буфера
most Исправление введения произвольных команд в командную оболочку при открытии файлов, сжатых с помощью lzma [CVE-2016-1253]
mpg123 Исправление отказа в обслуживании, вызываемого специально сформированными тегами ID3v2
musl Исправление переполнения целых чисел [CVE-2016-8859]
nbd Прекращение смешения глобальных тегов с тегами, передаваемыми ядру, поэтому подключение к nbd-server >= 3.9 не приводит к тому, что всякая операция по экспорту будет (неверно) помечена как только для чтения
nettle Защита от потенциальных атак через сторонние каналы на операцию возведения в степень [CVE-2016-6489]
nss-pam-ldapd Действие остановки сценария инициализации возвращает значение только при фактической остановке nslcd
nvidia-graphics-drivers Обновление до новой версии драйвера, включающей исправления безопасности [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-drivers-legacy-304xx Обновление до новой версии драйвера, включающей исправления безопасности [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-modules Повторная сборка с использованием nvidia-kernel-source 340.101
openbox Добавление сборочной зависимости от libxcursor-dev для исправления загрузки уведомлений о запуске; замена getgrent на getgroups, что при запуске не перечислялись все группы
opendkim Исправление нестрогой нормализации свёрнутых заголовков, что приводит к поломке подписей
pam Исправление обработки loginuid в контейнерах
pgpdump Исправление бесконечного цикла при грамматическом разборе специально сформированных входных данных в read_binary [CVE-2016-4021] и переполнения буфера в read_radix64
postgresql-9.4 Новый выпуск основной ветки разработки
postgresql-common Pg_upgradecluster: корректное обновление баз данных, принадлежащих роли без учётных записей; pg_ctlcluster: защита от символьной ссылки в /var/log/postgresql/, позволяющей создавать произвольные файлы в других каталогах [CVE-2016-1255]
potrace Исправления безопасности [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703]
python-crypto Вывод предупреждения при использовании IV с ECB или CTR и игнорировании IV [CVE-2013-7459]
python-werkzeug Исправление проблемы XSS в отладчике
qtbase-opensource-src Запрет bad-ptrs deref в QNetworkConfigurationManagerPrivate; исправление иконок панели задач для X11 на некоторых рабочих столах
rawtherapee Исправление переполнения буфера в dcraw [CVE-2015-8366]
redmine Обработка ошибок проверки зависимостей для того, чтобы избежать поломки в процессе выполнения dist-upgrade; запрет на открытие нечитаемых настроек базы данных
samba Исправление возможности понижения требований к уровню подписи SMB2/3 на стороне клиента [CVE-2016-2119], различные регрессии, добавленные в исправлениях безопасности 4.2.10, ошибка сегментирования при кластеризации
sed Проверка того, чтобы права доступа соответствовали разным значениям umask
shutter Исправление небезопасного использования system() [CVE-2015-0854]
sniffit Исправление безопасности [CVE-2014-5439]
suckless-tools Исправление SEGV в slock, если учётная запись пользователя была отключена [CVE-2016-6866]
sympa Исправление настроек logrotate, чтобы служба sympa не оставалась в неясном состоянии при использовании systemd
systemd Не возращать какую-либо ошибку в manager_dispatch_notify_fd() [CVE-2016-7796]; ядро: переработка логики определения того, когда мы решаем добавить автоматические зависимости для монтирований; различные исправления употрядочений для ifupdown; systemctl: исправление обработки при вызове для выключения; localed: допускать отсутствие /etc/default/keyboard; systemctl, loginctl и др.: не запускать polkit-агент при запуске от лица суперпользователя
tevent Новая версия основной ветки разработки, требуется для samba
tre Исправление переполнения целых чисел в вычислении размера буфера [CVE-2016-8859]
tzdata Обновление данных до версии 2016h; обновление до версии 2016g; обновлении до версии 2016j; обновление данных до 2016i
unrtf Исправление переполнения буфера в различных функциях cmd_ [CVE-2016-10091]
w3m Несколько исправлений безопасности [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633]
wireless-regdb Обновление данных из пакета
wot Удаление дополнения из-за проблем с приватностью
xwax Замена ffmpeg на avconv из пакета libav-tools
zookeeper Исправление переполнения буфера из-за входной команды при использовании синтаксиса режима пакетной обработки cmd: [CVE-2016-5017]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3636 collectd
DSA-3665 openjpeg2
DSA-3666 mysql-5.5
DSA-3667 chromium-browser
DSA-3668 mailman
DSA-3669 tomcat7
DSA-3670 tomcat8
DSA-3671 wireshark
DSA-3672 irssi
DSA-3673 openssl
DSA-3674 firefox-esr
DSA-3675 imagemagick
DSA-3676 unadf
DSA-3677 libarchive
DSA-3678 python-django
DSA-3679 jackrabbit
DSA-3680 bind9
DSA-3681 wordpress
DSA-3682 c-ares
DSA-3683 chromium-browser
DSA-3684 libdbd-mysql-perl
DSA-3685 libav
DSA-3686 icedove
DSA-3687 nspr
DSA-3688 nss
DSA-3689 php5
DSA-3691 ghostscript
DSA-3692 freeimage
DSA-3693 libgd2
DSA-3694 tor
DSA-3695 quagga
DSA-3696 linux
DSA-3697 kdepimlibs
DSA-3698 php5
DSA-3700 asterisk
DSA-3701 nginx
DSA-3702 tar
DSA-3703 bind9
DSA-3704 memcached
DSA-3705 curl
DSA-3706 mysql-5.5
DSA-3709 libxslt
DSA-3710 pillow
DSA-3712 terminology
DSA-3713 gst-plugins-bad0.10
DSA-3714 akonadi
DSA-3715 moin
DSA-3716 firefox-esr
DSA-3717 gst-plugins-bad0.10
DSA-3717 gst-plugins-bad1.0
DSA-3718 drupal7
DSA-3719 wireshark
DSA-3720 tomcat8
DSA-3721 tomcat7
DSA-3722 vim
DSA-3723 gst-plugins-good1.0
DSA-3724 gst-plugins-good0.10
DSA-3725 icu
DSA-3726 imagemagick
DSA-3727 hdf5
DSA-3728 firefox-esr
DSA-3729 xen
DSA-3731 chromium-browser
DSA-3732 php-ssh2
DSA-3732 php5
DSA-3733 apt
DSA-3734 firefox-esr
DSA-3735 game-music-emu
DSA-3736 libupnp
DSA-3737 php5
DSA-3738 tomcat7
DSA-3739 tomcat8
DSA-3740 samba
DSA-3741 tor
DSA-3743 python-bottle
DSA-3744 libxml2
DSA-3745 squid3
DSA-3747 exim4
DSA-3748 libcrypto++
DSA-3749 dcmtk
DSA-3750 libphp-phpmailer
DSA-3751 libgd2
DSA-3752 pcsc-lite
DSA-3753 libvncserver
DSA-3754 tomcat7
DSA-3755 tomcat8

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
dotclear Проблемы с безопасностью
sogo Проблемы с безопасностью

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.