Debian 8 更新:8.7 發佈
2017年01月14日
Debian 項目很高興地宣佈 Debian 8 穩定版本的第七次更新(代號 jessie
)。此更新主要向穩定版本中添加了補丁以修正安全問題,以及為一些嚴重問題所做的調整。安全建議已經單獨出版,並會在適當的情況下予以引用。
請注意,此更新並不是 Debian 8 的新版本,其僅更新了所包含的一些套件。沒有必要丟棄舊的 jessie
CD 或 DVD,只需在安裝後使用最新的 Debian 映射站台更新舊的套件即可。
經常從 security.debian.org 安裝更新的用户將不必更新許多套件,並且此更新中包含了 security.debian.org 的大多數更新。
包含更新包的新安裝媒體和 CD/DVD 映像即將於通常處提供。
透過將 aptitude(或 apt)包工具(請參閲 sources.list(5) 手冊頁)指向 Debian 的許多 FTP 或 HTTP 映射站台之一,通常可以進行此修訂。全面的映射站台列表可在以下網址獲得:
雜項錯誤修正
此穩定版更新為以下套件添加了一些重要修正:
| 包 | 原因 |
|---|---|
| ark | 當僅用作 KPart 時,不再在退出時崩潰 |
| asterisk | 修正由於不可打印的 ASCII 字符被視為空格引發的安全問題 [CVE-2016-9938] |
| asused | 使用創建的字段而不是更改,與源數據的更改一致 |
| base-files | 更改 /etc/debian_version 至 8.7 |
| bash | 修正使用惡意主機名的任意代碼執行 [CVE-2016-0634],及特製 SHELLOPTS+PS4 變量允許命令替換 [CVE-2016-7543] |
| ca-certificates | 更新 Mozilla 證書頒發機構套件至版本 2.9; postinst:運行沒有鈎子的 update-certificates 來初始化填充 /etc/ssl/certs |
| cairo | 修正使用 SVG 生成無效指針的 DoS [CVE-2016-9082] |
| ccache | [amd64] 在乾淨的環境中重新編譯 |
| ceph | 修正短 CORS 請求問題 [CVE-2016-9579],mon DoS [CVE-2016-5009],匿名讀取 ACL [CVE-2016-7031],RGW DoS [CVE-2016-8626] |
| chirp | 默認情況下禁用遙測報告 |
| cyrus-imapd-2.4 | 修復 LIST GROUP 支持 |
| darktable | 修正 ljpeg_start() 中的整數溢出 [CVE-2015-3885] |
| dbus | 修正潛在的格式化字符串漏洞; dbus.prerm:確保在刪除前停止 dbus.socket |
| debian-edu-doc | 從 wiki 更新 Debian Edu Jessie 手冊; 修正 (da|nl) Jessie 手冊 PO 文件以構建 PDF 手冊; 翻譯更新 |
| debian-edu-install | 更新版本號至 8+edu1 |
| debian-installer | 為更新發布重編譯 |
| debian-installer-netboot-images | 為更新發布重編譯 |
| duck | 修正從不受信任的位置加載代碼 [CVE-2016-1239] |
| e2fsprogs | 用 dietlibc 0.33~cvs20120325-6+deb8u1 重編譯,以使用包含的安全修正 |
| ebook-speaker | 修正安裝 html2text 時讀取 html 文件的提示 |
| elog | 修正以任意用户名發佈條目 [CVE-2016-6342] |
| evolution-data-server | 修正 TCP 視窗尺寸縮小時連接過早失效問題及其導致的數據丟失 |
| exim4 | 修正 GnuTLS 記憶體泄漏 |
| file | 修正幻數加載器中的記憶體泄漏 |
| ganeti-instance-debootstrap | 修正 losetup 調用,透過替換 -show 為 -s |
| glibc | 不要無條件地在 64 位 PowerPC CPU 上使用 fsqrt 指令;fix a regression introduced by cvs-resolv-ipv6-nameservers.diff in hesiod; disable lock elision (aka Intel TSX) on x86 architectures |
| glusterfs | 配額:修正無法啓動輔助掛載的問題 |
| gnutls28 | Fix incorrect certificate validation when using OCSP responses [GNUTLS-SA-2016-3 / CVE-2016-7444]; ensure compatibility with CVE-2016-6489-patched nettle |
| hplip | 從密鑰伺服器獲取密鑰時,使用完整的 gpg 密鑰指紋 [CVE-2015-0839] |
| ieee-data | 禁用 cron 的每月更新作業 |
| intel-microcode | 更新微碼 |
| irssi | Fix information exposure issue via buf.pl and /upgrade [CVE-2016-7553]; fix NULL pointer dereference in the nickcmp function [CVE-2017-5193], use-after-free when receiving invalid nick message [CVE-2017-5194] and out-of-bounds read in certain incomplete control codes [CVE-2017-5195] |
| isenkram | 使用 curl 下載固件;下載 modaliases 時使用 HTTPS;將映射站台從 http.debian.net 更改為 httpredir.debian.org |
| jq | 修正堆緩衝區溢出 [CVE-2015-8863] 和堆棧耗盡 [CVE-2016-4074] |
| libclamunrar | 修正帶外訪問 |
| libdatetime-timezone-perl | 更新至 2016h;數據更新至 2016i;更新至 2016j;更新至 2016g |
| libfcgi-perl | 修正海量連接導致段錯誤的 DoS[CVE-2012-6687] |
| libio-socket-ssl-perl | Fix issue with incorrect unreadable SSL_key_fileerror when using filesystem ACLs |
| libmateweather | 從不再工作的 weather.noaa.gov 切換到 aviationweather.gov |
| libphp-adodb | 修正 XSS 漏洞 [CVE-2016-4855] 和 SQL 注入問題 [CVE-2016-7405] |
| libpng | 修正空指針解引用問題 [CVE-2016-10087] |
| libwmf | 修正分配巨大記憶體 [CVE-2016-9011] |
| linkchecker | 修正 HTTPS 檢查 |
| linux | Update to stable 3.16.39; add chaoskey driver, backported from 4.8, support for n25q256a11 SPI flash device; security,perf: Allow unprivileged use of perf_event_open to be disabled; several bug and 安全修正 |
| lxc | Attach: do not send procfd to attached process [CVE-2016-8649]; remount bind mounts if read-only flag is provided; fix Alpine Linux container creation |
| mapserver | 修正 php >= 5.6.25 上的 FTBFS;修正錯誤消息導致的信息泄漏 [CVE-2016-9839] |
| mdadm | Allow '--grow --continue' to successfully reshape an array when using backup space on a 'spare' device |
| metar | 更新回報 URL |
| minissdpd | 修正數組索引不正確驗證的漏洞 [CVE-2016-3178 CVE-2016-3179] |
| monotone | Change the sigpipe test case to write 1M of test data to increase chances of overflowing the pipe buffer |
| most | 修正打開 lzma 壓縮文件時的 shell 注入攻擊 [CVE-2016-1253] |
| mpg123 | 修正透過構造 ID3v2 標籤的 DoS |
| musl | 修正整數溢出 [CVE-2016-8859] |
| nbd | Stop mixing global flags into the flags field that gets sent to the kernel, so that connecting to nbd-server >= 3.9 does not cause every export to be (incorrectly) marked as read-only |
| nettle | Protect against potential side-channel attacks against exponentiation operations [CVE-2016-6489] |
| nss-pam-ldapd | Have init script stop action only return when nslcd has actually stopped |
| nvidia-graphics-drivers | 更新到新版本的驅動程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
| nvidia-graphics-drivers-legacy-304xx | 更新到新版本的驅動程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
| nvidia-graphics-modules | 用 nvidia-kernel-source 340.101 重編譯 |
| openbox | Add libxcursor-dev build-dependency to fix loading of startup notifications; replace getgrent with getgroups so as not to enumerate all groups at startup |
| opendkim | Fix relaxed canonicalization of folded headers, which broke signatures |
| pam | 修正在容器中 loginuid 的處理 |
| pgpdump | Fix endless loop parsing specially crafted input in read_binary [CVE-2016-4021] and buffer overrun in read_radix64 |
| postgresql-9.4 | 新上游版本 |
| postgresql-common | Pg_upgradecluster: Properly upgrade databases with non-login role owners; pg_ctlcluster: Protect against symlink in /var/log/postgresql/ allowing the creation of arbitrary files elsewhere [CVE-2016-1255] |
| potrace | 安全修正 [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
| python-crypto | Raise a warning when IV is used with ECB or CTR and ignore the IV [CVE-2013-7459] |
| python-werkzeug | 修正調試器中的 XSS 問題 |
| qtbase-opensource-src | Prevent bad-ptrs deref in QNetworkConfigurationManagerPrivate; fix X11 tray icons on some desktops |
| rawtherapee | 修正 dcraw 中的緩衝區溢出 [CVE-2015-8366] |
| redmine | Handle dependency check failure when triggered, to avoid breaking in the middle of dist-upgrades; avoid opening database configuration that are not readable |
| samba | Fix client side SMB2/3 required signing can be downgraded[CVE-2016-2119], various regressions introduced by the 4.2.10 安全修正, segfault with clustering |
| sed | 使用不同的 umask 確保一致的權限 |
| shutter | 修正不安全的 system() 用法 [CVE-2015-0854] |
| sniffit | 安全修正 [CVE-2014-5439] |
| suckless-tools | Fix SEGV in slock when user's account has been disabled [CVE-2016-6866] |
| sympa | Fix logrotate configuration so that sympa is not left in a confused state when systemd is used |
| systemd | Don't return any error in manager_dispatch_notify_fd() [CVE-2016-7796]; core: Rework logic to determine when we decide to add automatic deps for mounts; various ordering fixes for ifupdown; systemctl: Fix argument handling when invoked as shutdown; localed: tolerate absence of /etc/default/keyboard; systemctl, loginctl, etc.: Don't start polkit agent when running as root |
| tevent | 新的上游版本,由 samba 需要 |
| tre | 修正在緩衝區大小計算中的正則表達式整數溢出 [CVE-2016-8859] |
| tzdata | 數據更新至 2016h;更新至 2016g;更新至 2016j;數據更新至 2016i |
| unrtf | 修正各種 cmd_ 函數中的緩衝區溢出 [CVE-2016-10091] |
| w3m | 多個安全修正 [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
| wireless-regdb | 更新包含的數據 |
| wot | 由於隱私問題刪除插件 |
| xwax | 用 libav-tools 裏的 avconv 替換 ffmpeg |
| zookeeper | Fix buffer overflow via the input command when using the cmd:batch mode syntax [CVE-2016-5017] |
安全更新
此修訂版將以下安全更新添加到了穩定版本。安全小組已經分別為這些更新發布了通告:
已刪除的套件
由於我們無法控制的情況,以下套件已被刪除:
| 包 | 原因 |
|---|---|
| dotclear | 安全問題 |
| sogo | 安全問題 |
Debian 安裝程序
安裝程序已經更新,以配合發佈時包含在穩定版本中的修正內容。
URL
此修訂版中更改套件的完整列表:
當前穩定發行版:
擬議的穩定發行版更新:
穩定發行版信息(發行説明,勘誤表等):
安全公告及信息:
關於 Debian
Debian 項目是一個自由軟件開發者組織,為製作完全免費的 Debian 操作系統而自願貢獻時間和精力。
聯繫信息
更多信息,請訪問 Debian 主頁 https://www.debian.org/,發送郵件至 <press@debian.org>,或聯繫穩定版本團隊 <debian-release@lists.debian.org>。