Обновлённый Debian 8: выпуск 8.8

06 Мая 2017

Проект Debian с радостью сообщает о восьмом обновлении своего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском jessie, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
activemq Исправление отказа в обслуживании в activemq-core, вызываемого через команду shutdown [CVE-2015-7559]
apf-firewall Добавление совместимости с ядрами >= 3.X
apt-xapian-index Удаление вызова к update-python-modules
base-files Обновлённая для данной редакции версия
binutils Применение заплаты из основной ветки разработки для исправления gold на arm64
ca-certificates Update-ca-certificates: обновление локального каталога сертификатов при вызове с опцией --fresh; поддержка запуска без перехватчиков
commons-daemon Исправление поддержки ppc64el
crafty Отмена порождения специфичного для ЦП кода
debian-edu-doc Обновление переводов
debian-installer Повторная сборка для данной редакции
debian-installer-netboot-images Повторная сборка для данной редакции
dropbear Исправление обхода ограничения команд в authorized_keys [CVE-2016-3116], инъекции форматной строки [CVE-2016-7406] и выполнения произвольного кода [CVE-2016-7407 CVE-2016-7408]
erlang Исправление переполнения динамической памяти в коде для грамматического разбора регулярных выражений [CVE-2016-10253]
glibc Исправление неточности sqrt на PowerPC
gnome-media Добавление отсутствующего поля Breaks: gnome-media-common, libgnome-media-dev, libgnome-media0 соответственно с полем Replaces
gnome-screenshot Использование тире в качестве разделителя в формате времени
gnome-settings-daemon Использование тире в качестве разделителя в формате времени
gnutls28 Исправление досрочного завершения выполнения в коде для кодирования пароля PKCS#12; исправление двойного освобождения памяти в коде вывода информации о сертификате [CVE-2017-5334]; исправление утечки памяти из-за ошибки пути на стороне сервера; исправление утечек памяти и бесконечного цикла в коде для грамматического разбора сертификатов OpenPGP [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337]; исправление переполнения целых чисел в коде для грамматического разбора сертификатов OpenPGP [CVE-2017-7869]; исправление чтения за пределами выделенного буфера в коде для грамматического разбора сертификатов OpenPGP; исправление аварийной остановки в коде для грамматического разбора сертификатов OpenPGP, связанного с кодом для грамматического разбора закрытых ключей [GNUTLS-SA-2017-3B]; исправление возможной OOM-ошибки в коде для грамматического разбора сертификатов OpenPGP [GNUTLS-SA-2017-3C]
groovy Исправление удалённого выполнения кода через специально сформированный сериализованный объект [CVE-2016-6814]
groovy2 Исправление удалённого выполнения кода через специально сформированный сериализованный объект [CVE-2016-6814]
guile-2.0 Исправление уязвимости REPL-сервера [CVE-2016-8606], исправление связанной с umask уязвимости mkdir [CVE-2016-8605]
initramfs-tools Добавление драйверов для всех клавиатур с MODULES=dep; добавление большинства драйверов USB-хостов и всех модулей драйверов шин; удаление кода для отсечения 'сломанных' символьных ссылок и иногда /etc/mtab; добавление всех драйверов I2C-шин и мультиплексоров, если выбрана опция MODULES=most; прекращение принудительной загрузки драйверов, обнаруженных в системной файловой системе, если выбрана опция MODULES=dep
installation-guide Исправление инструкций по созданию syslinux.cfg для работы с syslinux 5
irqbalance Предупреждать только один раз о подмножестве пустых irq для привязки
kup Обратный перенос изменений, требующихся для работы с kernel.org в будущем
libdatetime-timezone-perl Обновление поставляемых данных для версии 2017b
libindicate libindicate-gtk3-dev: зависимость от libindicate-gtk3-3 вместо libindicate-gtk3
libmateweather Переименование часового пояса Рангун в Янгон (в соответствии с изменениями tzdata 2016g)
libvirt Улучшение совместимости с qemu v2.6+
libvorbisidec Добавление к пакету libogg-dev зависимости от libvorbisidec-dev
libxslt Проверка на переполнение целых чисел в xsltAddTextString [CVE-2017-5029]
linux Обновление до нового стабильного выпуска 3.16.43; mm/huge_memory.c: исправление обратного переноса исправления mm/huge_memory.c: учитывать thp в FOLL_FORCE/FOLL_COW
logback Не выполнять десериализацию данных из недоверенных сокетов [CVE-2017-5929]
lxc Проверка того, что цель netns принадлежит вызывающему приложению [CVE-2017-5985]
minicom Исправление записи за пределами выделенного буфера памяти в vt100.c [CVE-2017-7467]
modsecurity-crs Исправление опечатки в modsecurity_crs_16_session_hijacking.conf
mongodb Исправление прав доступа .dbshell [CVE-2016-6494]; комбинирование ключа и одноразового номера из журналов попыток авторизации
ndisc6 Использование перехватчика слияний по умолчанию из основной ветки разработки в случае, если недоступна утилита resolvconf
ndoutils Очистка после удаления: проверка наличия ucf до выполнения вызова
nvidia-graphics-drivers Новая версия из основной ветки разработки (340.102), содержащая исправления безопасности [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; исправление сборки модуля на ядре Linux версии 4.10 и более новых
nvidia-graphics-drivers-legacy-304xx Новая версия из основной ветки разработки (304.135), содержащая исправления безопасности [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; исправление сборки модуля на ядре Linux версии 4.10 и более новых
nvidia-graphics-modules Повторная сборка, используя nvidia-kernel-source 340.102
openchange Исправление ошибки сборки с samba 4.2
openmpi libopenmpi1.6: исправление двух некорректных soname-ссылок, использование поля Conflicts: libopenmpi2 (<< 1.6) с указанием версий, чтобы это не мешало обновлению до выпуска stretch
plv8 Проверка прав на вызов функций
postfix Исправление ошибки сборки с ядрами Linux 4.x; добавление delmap в сценарий .prerm для всех пакетов, содержащих типы данных map, открытых через внешние so-файлы, чтобы это не мешало обновлению до выпуска stretch (в котором местонахождение связанных файлов было изменено)
postgresql-9.4 Новый выпуск основной ветки разработки
python-cryptography Исправление HKDF-проблемы с ключами небольшого размера [CVE-2016-9243]; исправление ошибки сборки из-за метода определения SSL2
radare2 Исправление отказа в обслуживании [CVE-2017-6197]
sane-backends Исправление проблемы безопасности [CVE-2017-6318]
sendmail Создание файлов в /var/run/sendmail/stampdir только от лица smmsp:smmsp, чтобы избежать возможного повышения привилегий; исправление lockfile-create (из lockfile-progs) вместо touch для управления файлами блокировки задач cron; sendmail-base: добавление поля Depends: netbase для /etc/services
sitesummary Исправление сценария, выполняемого перед удалением пакета
smemstat Исправление разыменования null-указателя в случае, если невозможно прочитать UID
spip Исправление межсайтового скриптинга, подделки запросов на стороне сервера [CVE-2016-7999], обхода каталога [CVE-2016-7982], выполнения произвольного кода [CVE-2016-7998], подделки межсайтовых запросов [CVE-2016-7980], межсайтового скриптинга [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152]
sus Обновление для SUSv4 TC2
synergy Исправление аварийной остановки при запуске synergyc
systemd Исправление двоичных свойств, получаемых через sd-bus на архитектурах с порядком байтов от старшего к младшему; systemctl: добавление поддержки is-enabled для сценариев инициализации SysV; если команда start аннулируется во время исполнения, то не обрабатывать подтверждение; если установлена маска на автоматически монтируемое устройство, то не реагировать на включение этого устройства
transmissionrpc Добавление в пакет python-six отсутствующей зависимости от модулей Python
tzdata Обновление поставляемых данных до версии 2017b; включение частичных переводов шаблонов debconf
unzip Исправление переполнений буфера в unzip [CVE-2014-9913] и zipinfo [CVE-2016-9844]
uwsgi Исправление ошибки сборки с новыми версиями glibc
vim Исправление переполнений буфера при чтении повреждённых undo-файлов [CVE-2017-6349 CVE-2017-6350]
vlc Новый выпуск основной ветки разработки
webissues-server Очистка после удаления: проверка наличия ucf до выполнения вызова
wget Исправление CRLF-инъекции в части URL с указанием узла [CVE-2017-6508]
xmobar Обновление URL для загрузки данных о погоде
xshisen Исправление ошибки сегментирования при запуске
yara Исправление нескольких проблем безопасности [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3690 icedove
DSA-3711 mariadb-10.0
DSA-3730 icedove
DSA-3743 python-bottle
DSA-3756 icoutils
DSA-3757 icedove
DSA-3758 bind9
DSA-3759 python-pysaml2
DSA-3760 ikiwiki
DSA-3761 rabbitmq-server
DSA-3762 tiff
DSA-3763 pdns-recursor
DSA-3764 pdns
DSA-3765 icoutils
DSA-3766 mapserver
DSA-3767 mysql-5.5
DSA-3768 openjpeg2
DSA-3769 libphp-swiftmailer
DSA-3770 mariadb-10.0
DSA-3771 firefox-esr
DSA-3772 libxpm
DSA-3773 openssl
DSA-3774 lcms2
DSA-3775 tcpdump
DSA-3776 chromium-browser
DSA-3777 libgd2
DSA-3778 ruby-archive-tar-minitar
DSA-3779 wordpress
DSA-3780 ntfs-3g
DSA-3781 svgsalamander
DSA-3783 php5
DSA-3784 viewvc
DSA-3785 jasper
DSA-3786 vim
DSA-3787 tomcat7
DSA-3788 tomcat8
DSA-3789 libevent
DSA-3790 spice
DSA-3791 linux
DSA-3792 libreoffice
DSA-3793 shadow
DSA-3794 munin
DSA-3795 bind9
DSA-3796 apache2
DSA-3796 sitesummary
DSA-3797 mupdf
DSA-3798 tnef
DSA-3799 imagemagick
DSA-3800 libquicktime
DSA-3801 ruby-zip
DSA-3802 zabbix
DSA-3803 texlive-base
DSA-3804 linux
DSA-3805 firefox-esr
DSA-3806 pidgin
DSA-3807 icoutils
DSA-3808 imagemagick
DSA-3809 mariadb-10.0
DSA-3810 chromium-browser
DSA-3811 wireshark
DSA-3812 ioquake3
DSA-3813 r-base
DSA-3814 audiofile
DSA-3815 wordpress
DSA-3816 samba
DSA-3817 jbig2dec
DSA-3818 gst-plugins-bad1.0
DSA-3819 gst-plugins-base1.0
DSA-3820 gst-plugins-good1.0
DSA-3821 gst-plugins-ugly1.0
DSA-3822 gstreamer1.0
DSA-3823 eject
DSA-3824 firebird2.5
DSA-3825 jhead
DSA-3826 tryton-server
DSA-3827 jasper
DSA-3828 dovecot
DSA-3829 bouncycastle
DSA-3830 icu
DSA-3831 firefox-esr
DSA-3832 hunspell-en-us
DSA-3832 uzbek-wordlist
DSA-3832 icedove
DSA-3833 libav
DSA-3834 mysql-5.5
DSA-3835 python-django
DSA-3836 weechat
DSA-3837 libreoffice
DSA-3838 ghostscript
DSA-3839 freetype

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
cgiemail Критические ошибки, не сопровождается
grive Сломан из-за изменений Google API
libapache2-authenntlm-perl Сломан при использовании Apache 2.4
libwww-dict-leo-org-perl Сломан из-за изменений в основной ветке разработки
live-f1 Сломан из-за изменений на третьей стороне
owncloud Не может поддерживаться
owncloud-apps Не может поддерживаться

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.