Debian 8 aktualisiert: 8.8 veröffentlicht

6. Mai 2017

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Stable-Veröffentlichung Debian 8 (Codename Jessie) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 8 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Jessie-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine umfassende Liste der Spiegelserver findet sich unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
activemq DoS durch Herunterfahr-Befehl in activemq-core behoben [CVE-2015-7559]
apf-firewall Kompatibilität mit Kerneln >= 3.X hinzugefügt
apt-xapian-index Aufruf von update-python-modules entfernt
base-files Auf die Zwischenveröffentlichung aktualisiert
binutils Patch der Originalautoren angewandt, um gold auf AMD64 zu reparieren
ca-certificates Update-ca-certificates: aktualisiert bei Benutzung von --fresh das lokale Zertifikatsverzeichnis; unterstützt jetzt die Ausführung ohne Hooks
commons-daemon ppc64el-Unterstützung optimiert
crafty Keinen CPU-spezifischen Code generieren
debian-edu-doc Übersetzungen aktualisiert
debian-installer Neubau für die Zwischenveröffentlichung
debian-installer-netboot-images Neubau für die Zwischenveröffentlichung
dropbear Umgehung von Befehlsbegrenzungen in authorized_keys behoben [CVE-2016-3116], Format-String-Injektion [CVE-2016-7406] und Ausführung von Fremdcode [CVE-2016-7407 CVE-2016-7408]
erlang Anfälligkeit für Heap-Überlauf beim Auswerten von regulären Ausdrücken behoben [CVE-2016-10253]
glibc Ungenauigkeit beim Quadratwurzelziehen auf PowerPC behoben
gnome-media Fehlende »beschädigt« hinzugefügt, damit sie zu den »ersetzt« passen: gnome-media-common, libgnome-media-dev, libgnome-media0
gnome-screenshot Bindestrich als Zeitformats-Trenner benutzen
gnome-settings-daemon Bindestrich als Zeitformats-Trenner benutzen
gnutls28 Kürzungsproblem bei der PKCS#12-Passwortkodierung behoben; doppeltes »free« bei der Ausgabe von Zertifikatsinformationen behoben [CVE-2017-5334]; Speicherleck im serverseitigen Fehlerpfad gestopft; Speicherlecks und endlose Schleife in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337]; Ganzzahlüberlauf in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-7869]; Lesen über das Pufferende hinaus in der OpenPGP-Zertifikatsverarbeitung behoben; Abstürze in der OpenPGP-Zertifikatsverarbeitung behoben, die mit der Auswertung von privaten Schlüsseln in Verbindung stehen [GNUTLS-SA-2017-3B]; mögliches OOM in der OpenPGP-Zertifikatsverarbeitung behoben [GNUTLS-SA-2017-3C]
groovy Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814]
groovy2 Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814]
guile-2.0 REPL-Server-Schwachstelle behoben [CVE-2016-8606], mkdir umask-basierte Schwachstelle behoben [CVE-2016-8605]
initramfs-tools Treiber für alle Tastaturen einbinden, wenn MODULES=dep; die meisten USB-Hosttreiber und alle Bustreibermodule einbinden; Code entfernen, der 'defekte' Symlinks und manchmal /etc/mtab ausmistet; alle I2C-Bus- und Mux-Treiber einbinden, wenn MODULES=most; mit dem zwangsweisen Laden von im sysfs gefundenen Treibern aufhören, wenn MODULES=dep
installation-guide Anweisungen zum Erstellen der syslinux.cfg so angepasst, dass sie mit syslinux 5 funktionieren
irqbalance Nur einmal vor IRQs mit leerem Affinity-Hint-Subset warnen
kup Änderungen zurückportiert, die nötig sind, um zukünftig mit kernel.org zu arbeiten
libdatetime-timezone-perl Inkludierte Daten auf 2017b aktualisiert
libindicate libindicate-gtk3-dev: von libindicate-gtk3-3 anstelle von libindicate-gtk3 abhängen
libmateweather Zeitzone Rangoon auf Yangon umbenannt (so wie tzdata in 2016g)
libvirt Kompatibilität mit qemu v2.6+ verbessert
libvorbisidec libogg-dev-Abhängigkeit zu libvorbisidec-dev hinzugefügt
libxslt In xsltAddTextString auf Ganzzahlüberlauf prüfen[CVE-2017-5029]
linux Aktualisierung auf neue stabile Version 3.16.43; mm/huge_memory.c: Rückportierung von mm/huge_memory.c: FOLL_FORCE/FOLL_COW für thp respektiren repariert
logback Keine Daten von vertrauensunwürdigen Sockets deserialisieren [CVE-2017-5929]
lxc Sicherstellen, dass das Ziel-netns dem Aufrufer gehört [CVE-2017-5985]
minicom Schreiben außerhalb der Grenzen in vt100.c behoben [CVE-2017-7467]
modsecurity-crs Tippfehler in modsecurity_crs_16_session_hijacking.conf behoben
mongodb Berechtigungen von .dbshell angepasst [CVE-2016-6494]; Schlüssel und Nonce aus den Protokollen mit den Verbindungsversuchen entfernen
ndisc6 Vorgabe-Merge-Hook der Originalautoren benutzen, falls resolvconf nicht verfügbar ist
ndoutils Postrm-Löschung: ucf vor dem Aufruf überprüfen
nvidia-graphics-drivers Neue Version der Originalautoren (340.102) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert
nvidia-graphics-drivers-legacy-304xx Neue Version der Originalautoren (304.135) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert
nvidia-graphics-modules Neubau mit nvidia-kernel-source 340.102
openchange Baufehlschlag mit samba 4.2 behoben
openmpi libopenmpi1.6: Zwei inkorrekte soname-Links nachgebessert, versionsabhängigen Pakektkonflikt mit libopenmpi2 (<< 1.6) eingeführt, um keine Upgrades auf Stretch zu stören
plv8 Bei Funktionsaufrufen Berechtigungen abprüfen
postfix Bauprobleme mit Linux-4.x-Kernels behoben; delmap für alle Pakete mit Mapdaten, die durch externe .so-Dateien freigelegt werden, zu .prerm hinzugefügt, damit Upgrades auf Stretch (bei dem die zugehörigen Dateien woanders liegen), funktionieren
postgresql-9.4 Neue Version der Originalautoren
python-cryptography HKDF-Problem mit kleinen Schlüsselgrößen behoben [CVE-2016-9243]; Baufehlschlag wegen SSL2-Methodenfeststellung behoben
radare2 Anfälligkeit für Dienstblockaden behoben [CVE-2017-6197]
sane-backends Sicherheitsproblem behoben [CVE-2017-6318]
sendmail Datieien nur als smmsp:smmsp in /var/run/sendmail/stampdir betouchen, um mögliche Privilegieneskalation zu verhindern; anstelle von touch lockfile-create (aus lockfile-progs) für die Sperrdateien des Cronjobs benutzen; sendmail-base: jetzt für /etc/services von netbase abhängig
sitesummary Der Paktlöschung vorauslaufendes Skript korrigiert
smemstat Nullzeiger-Dereferenzierung in dem Fall behoben, in dem die UID nicht gelesen werden kann
spip Mehrere Cross-Site-Scripting-Probleme behoben, serverseitige Request-Forgery-Attacken [CVE-2016-7999], Verzeichnisüberschreitung [CVE-2016-7982], Ausführung von Fremdcode [CVE-2016-7998], Cross-Site-Request-Forgery [CVE-2016-7980], Cross-Site-Scripting-Anfälle [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152]
sus Aktualisierung auf SUSv4 TC2
synergy Absturz beim Start von Synergyc behoben
systemd Boolsche Eigenschaften, die via sd-bus auf Big-Endian-Architekturen abgerufen werden, korrigiert; systemctl: Unterstützung für »is-enabled« für SysV-Initskripte hinzugefügt; falls das Startkommando während der Ausführung verschwindet, nicht in einen Assert laufen; wenn eine Automount-Unit maskiert ist, nicht auf Aktivieung reagieren
transmissionrpc Fügt python-six die fehlende Abhängigkeit von den Python-Modulen hinzu
tzdata Enthaltene Daten auf 2017b aktualisieren; teilweise Übersetzung von debconf-Templates ermöglichen
unzip Behebt Pufferüberläufe in unzip [CVE-2014-9913] und zipinfo [CVE-2016-9844]
uwsgi Behebt Baufehlschlag mit aktuellem glibc
vim Behebt Pufferüberläufe beim Lesen von korrumpierten »Undo«-Dateien [CVE-2017-6349 CVE-2017-6350]
vlc Neue Version der Originalautoren
webissues-server postrm-Leerung: Vor dem Aufruf auf ucf überprüfen
wget CRLF-Injektion in Host-Teile von URLs [CVE-2017-6508]
xmobar Neuer Wetter-Feed-URL
xshisen Behebt häufigen Speicherzugriffsfehler beim Starten
yara Behebt mehrere Sicherheitsprobleme [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Anweisungs-ID Paket
DSA-3690 icedove
DSA-3711 mariadb-10.0
DSA-3730 icedove
DSA-3743 python-bottle
DSA-3756 icoutils
DSA-3757 icedove
DSA-3758 bind9
DSA-3759 python-pysaml2
DSA-3760 ikiwiki
DSA-3761 rabbitmq-server
DSA-3762 tiff
DSA-3763 pdns-recursor
DSA-3764 pdns
DSA-3765 icoutils
DSA-3766 mapserver
DSA-3767 mysql-5.5
DSA-3768 openjpeg2
DSA-3769 libphp-swiftmailer
DSA-3770 mariadb-10.0
DSA-3771 firefox-esr
DSA-3772 libxpm
DSA-3773 openssl
DSA-3774 lcms2
DSA-3775 tcpdump
DSA-3776 chromium-browser
DSA-3777 libgd2
DSA-3778 ruby-archive-tar-minitar
DSA-3779 wordpress
DSA-3780 ntfs-3g
DSA-3781 svgsalamander
DSA-3783 php5
DSA-3784 viewvc
DSA-3785 jasper
DSA-3786 vim
DSA-3787 tomcat7
DSA-3788 tomcat8
DSA-3789 libevent
DSA-3790 spice
DSA-3791 linux
DSA-3792 libreoffice
DSA-3793 shadow
DSA-3794 munin
DSA-3795 bind9
DSA-3796 apache2
DSA-3796 sitesummary
DSA-3797 mupdf
DSA-3798 tnef
DSA-3799 imagemagick
DSA-3800 libquicktime
DSA-3801 ruby-zip
DSA-3802 zabbix
DSA-3803 texlive-base
DSA-3804 linux
DSA-3805 firefox-esr
DSA-3806 pidgin
DSA-3807 icoutils
DSA-3808 imagemagick
DSA-3809 mariadb-10.0
DSA-3810 chromium-browser
DSA-3811 wireshark
DSA-3812 ioquake3
DSA-3813 r-base
DSA-3814 audiofile
DSA-3815 wordpress
DSA-3816 samba
DSA-3817 jbig2dec
DSA-3818 gst-plugins-bad1.0
DSA-3819 gst-plugins-base1.0
DSA-3820 gst-plugins-good1.0
DSA-3821 gst-plugins-ugly1.0
DSA-3822 gstreamer1.0
DSA-3823 eject
DSA-3824 firebird2.5
DSA-3825 jhead
DSA-3826 tryton-server
DSA-3827 jasper
DSA-3828 dovecot
DSA-3829 bouncycastle
DSA-3830 icu
DSA-3831 firefox-esr
DSA-3832 hunspell-en-us
DSA-3832 uzbek-wordlist
DSA-3832 icedove
DSA-3833 libav
DSA-3834 mysql-5.5
DSA-3835 python-django
DSA-3836 weechat
DSA-3837 libreoffice
DSA-3838 ghostscript
DSA-3839 freetype

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
cgiemail RC-Fehler, unbetreut
grive Defekt wegen Google-API-Änderungen
libapache2-authenntlm-perl Defekt seit Apache 2.4
libwww-dict-leo-org-perl Defekt wegen Änderungen bei den Originalautoren
live-f1 Defekt wegen Änderungen durch Drittpartei
owncloud Nicht unterstützungsfähig
owncloud-apps Nicht unterstützungsfähig

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.