Обновлённый Debian 8: выпуск 8.7
14 Января 2017
Проект Debian с радостью сообщает о седьмом обновлении своего
стабильного выпуска Debian 8 (кодовое имя jessie
).
Это обновление в основном содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать компакт-диски и DVD с выпуском jessie
, для обновления
устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian
после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
ark | Исправление аварийной остановки во время выхода при использовании исключительно в качестве KPart |
asterisk | Исправление проблемы безопасности, возникающей из-за того, что непечатные символы ASCII считаются пробелами [CVE-2016-9938] |
asused | Использование созданных полей вместо изменённых в строке с изменениями исходных данных |
base-files | Изменение /etc/debian_version до версии 8.7 |
bash | Исправление исполнения произвольного кода из-за некорректного имени узла [CVE-2016-0634] и подстановки команд с помощью специально сформированных переменных SHELLOPTS+PS4 [CVE-2016-7543] |
ca-certificates | Обновление набора авторитетных сертификатов Mozilla до версии 2.9; postinst: запуск update-certificates без специальной процедуры для изначального заполнения /etc/ssl/certs |
cairo | Исправление отказа в обслуживании из-за использования SVG для создания неверных указателей [CVE-2016-9082] |
ccache | [amd64] Повторная сборка в чистом окружении |
ceph | Исправление проблемы с короткими CORS-запросами [CVE-2016-9579], отказ в обслуживании в mon [CVE-2016-5009], анонимное чтение в ACL [CVE-2016-7031], отказ в обслуживании в RGW [CVE-2016-8626] |
chirp | Отключение по умолчанию сообщений о телеметрии |
cyrus-imapd-2.4 | Исправление поддержки LIST GROUP |
darktable | Исправление переполнения целых чисел в ljpeg_start() [CVE-2015-3885] |
dbus | Исправление потенциальной уязвимости форматной строки; dbus.prerm: проверка, чтобы dbus.socket был остановлен перед его удалением |
debian-edu-doc | Обновление руководства Debian Edu Jessie из вики; исправление PO-файлов руководства для Jessie (da|nl) для корректной сборки руководства в формате PDF; обновление переводов |
debian-edu-install | Обновление номера версии до 8+edu1 |
debian-installer | Повторная сборка для редакции |
debian-installer-netboot-images | Повторная сборка для редакции |
duck | Исправление загрузки кода из недоверенного источника [CVE-2016-1239] |
e2fsprogs | Повторная сборка с использованием dietlibc 0.33~cvs20120325-6+deb8u1 с целью применения включённых в указанный пакет исправлений безопасности |
ebook-speaker | Исправление совета об установке html2text для чтения html-файлов |
elog | Исправление отправки записи с использованием произвольного имени пользователя [CVE-2016-6342] |
evolution-data-server | Исправление преждевременной отмены соединения с уменьшеным размером окна TCP, приводящей к потере данных |
exim4 | Исправление утечки памяти в GnuTLS |
file | Исправление утечки памяти в загрузчике |
ganeti-instance-debootstrap | Исправление вызовов losetup путём замены -s на --show |
glibc | Не использовать в безусловном порядке инструкцию fsqrt на 64-битных ЦП с архитектурой PowerPC; исправление регрессии, добавленной заплатой cvs-resolv-ipv6-nameservers.diff в hesiod; отключение прерывания блокировки (известного также как Intel TSX) на архитектурах x86 |
glusterfs | Квота: исправление проблемы с невозможностью запуска дополнительного монтирования |
gnutls28 | Исправление некорректной проверки сертификатов при использовании OCSP-ответов [GNUTLS-SA-2016-3 / CVE-2016-7444]; проверка на совместимость с nettle с заплатой для CVE-2016-6489 |
hplip | Использовать полный отпечаток ключа gpg при загрузке ключа с сервера ключей [CVE-2015-0839] |
ieee-data | Отключение ежемесячной задачи cron по обновлению |
intel-microcode | Обновление микрокода |
irssi | Исправление раскрытия информации через buf.pl и /upgrade [CVE-2016-7553]; исправление разыменования NULL-указателя в функции nickcmp [CVE-2017-5193], использование указателей после освобождения памяти при получении сообщения от некорректного псевдонима [CVE-2017-5194] и чтение за пределами выделенного буфера памяти в определённых неполных управляющих кодах [CVE-2017-5195] |
isenkram | Загрузка аппаратно-программного ПО с использованием curl; использование HTTPS при загрузке modaliases; изменение зеркала с http.debian.net на httpredir.debian.org |
jq | Исправление переполнения динамической памяти [CVE-2015-8863] и исчерпания стека [CVE-2016-4074] |
libclamunrar | Исправление доступа за пределы выделенного буфера памяти |
libdatetime-timezone-perl | Обновление до версии 2016h; обновление данных в 2016i; обновление до версии 2016j; обновление до версии 2016g |
libfcgi-perl | Исправление ошибки многочисленные соединения вызывают ошибку сегментирования и отказ в обслуживании[CVE-2012-6687] |
libio-socket-ssl-perl | Исправление проблемы с некорректной ошибкой по поводу нечитаемого файла ключей SSLпри использовании списков доступа файловой системы |
libmateweather | Переход с неработающего weather.noaa.gov на aviationweather.gov |
libphp-adodb | Исправление XSS-уязвимости [CVE-2016-4855] и SQL-инъекции [CVE-2016-7405] |
libpng | Исправление разыменования null-указателя [CVE-2016-10087] |
libwmf | Исправление выделения огромного блока памяти [CVE-2016-9011] |
linkchecker | Исправление проверок HTTPS |
linux | Обновление до стабильной версии 3.16.39; добавление драйвера chaoskey, обратный перенос из 4.8, поддержка для устройств n25q256a11 SPI; безопасность,производительность: разрешать непривилегированное отключения использования perf_event_open; несколько ошибок и исправлений безопасности |
lxc | Прикрепление: не отправлять procfd прикреплённому процессу [CVE-2016-8649]; повторное монтирование с опцией bind в случае использования флага только для чтения; исправление создания контейнеров Alpine Linux |
mapserver | Исправление ошибки сборки из исходного кода с использованием php >= 5.6.25; исправление утечки информации через сообщения об ошибках [CVE-2016-9839] |
mdadm | Разрешить '--grow --continue' успешное восстановление массива при использовании пространства для резервного копирования на устройстве 'spare' |
metar | Обновление сообщения URL |
minissdpd | Исправление уязвимости с неверной проверкой указателя массива [CVE-2016-3178 CVE-2016-3179] |
monotone | Изменение контрольных примеров для записи 1M тестовых данных для увеличения шансов на обнаружение переполнения канального буфера |
most | Исправление введения произвольных команд в командную оболочку при открытии файлов, сжатых с помощью lzma [CVE-2016-1253] |
mpg123 | Исправление отказа в обслуживании, вызываемого специально сформированными тегами ID3v2 |
musl | Исправление переполнения целых чисел [CVE-2016-8859] |
nbd | Прекращение смешения глобальных тегов с тегами, передаваемыми ядру, поэтому подключение к nbd-server >= 3.9 не приводит к тому, что всякая операция по экспорту будет (неверно) помечена как только для чтения |
nettle | Защита от потенциальных атак через сторонние каналы на операцию возведения в степень [CVE-2016-6489] |
nss-pam-ldapd | Действие остановки сценария инициализации возвращает значение только при фактической остановке nslcd |
nvidia-graphics-drivers | Обновление до новой версии драйвера, включающей исправления безопасности [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-drivers-legacy-304xx | Обновление до новой версии драйвера, включающей исправления безопасности [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-modules | Повторная сборка с использованием nvidia-kernel-source 340.101 |
openbox | Добавление сборочной зависимости от libxcursor-dev для исправления загрузки уведомлений о запуске; замена getgrent на getgroups, что при запуске не перечислялись все группы |
opendkim | Исправление нестрогой нормализации свёрнутых заголовков, что приводит к поломке подписей |
pam | Исправление обработки loginuid в контейнерах |
pgpdump | Исправление бесконечного цикла при грамматическом разборе специально сформированных входных данных в read_binary [CVE-2016-4021] и переполнения буфера в read_radix64 |
postgresql-9.4 | Новый выпуск основной ветки разработки |
postgresql-common | Pg_upgradecluster: корректное обновление баз данных, принадлежащих роли без учётных записей; pg_ctlcluster: защита от символьной ссылки в /var/log/postgresql/, позволяющей создавать произвольные файлы в других каталогах [CVE-2016-1255] |
potrace | Исправления безопасности [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
python-crypto | Вывод предупреждения при использовании IV с ECB или CTR и игнорировании IV [CVE-2013-7459] |
python-werkzeug | Исправление проблемы XSS в отладчике |
qtbase-opensource-src | Запрет bad-ptrs deref в QNetworkConfigurationManagerPrivate; исправление иконок панели задач для X11 на некоторых рабочих столах |
rawtherapee | Исправление переполнения буфера в dcraw [CVE-2015-8366] |
redmine | Обработка ошибок проверки зависимостей для того, чтобы избежать поломки в процессе выполнения dist-upgrade; запрет на открытие нечитаемых настроек базы данных |
samba | Исправление возможности понижения требований к уровню подписи SMB2/3 на стороне клиента[CVE-2016-2119], различные регрессии, добавленные в исправлениях безопасности 4.2.10, ошибка сегментирования при кластеризации |
sed | Проверка того, чтобы права доступа соответствовали разным значениям umask |
shutter | Исправление небезопасного использования system() [CVE-2015-0854] |
sniffit | Исправление безопасности [CVE-2014-5439] |
suckless-tools | Исправление SEGV в slock, если учётная запись пользователя была отключена [CVE-2016-6866] |
sympa | Исправление настроек logrotate, чтобы служба sympa не оставалась в неясном состоянии при использовании systemd |
systemd | Не возращать какую-либо ошибку в manager_dispatch_notify_fd() [CVE-2016-7796]; ядро: переработка логики определения того, когда мы решаем добавить автоматические зависимости для монтирований; различные исправления употрядочений для ifupdown; systemctl: исправление обработки при вызове для выключения; localed: допускать отсутствие /etc/default/keyboard; systemctl, loginctl и др.: не запускать polkit-агент при запуске от лица суперпользователя |
tevent | Новая версия основной ветки разработки, требуется для samba |
tre | Исправление переполнения целых чисел в вычислении размера буфера [CVE-2016-8859] |
tzdata | Обновление данных до версии 2016h; обновление до версии 2016g; обновлении до версии 2016j; обновление данных до 2016i |
unrtf | Исправление переполнения буфера в различных функциях cmd_ [CVE-2016-10091] |
w3m | Несколько исправлений безопасности [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
wireless-regdb | Обновление данных из пакета |
wot | Удаление дополнения из-за проблем с приватностью |
xwax | Замена ffmpeg на avconv из пакета libav-tools |
zookeeper | Исправление переполнения буфера из-за входной команды при использовании синтаксиса режима пакетной обработки cmd:[CVE-2016-5017] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
dotclear | Проблемы с безопасностью |
sogo | Проблемы с безопасностью |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.