Обновлённый Debian 8: выпуск 8.8
06 Мая 2017
Проект Debian с радостью сообщает о восьмом обновлении своего
стабильного выпуска Debian 8 (кодовое имя jessie
).
Это обновление в основном содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать компакт-диски и DVD с выпуском jessie
, для обновления
устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian
после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| activemq | Исправление отказа в обслуживании в activemq-core, вызываемого через команду shutdown [CVE-2015-7559] |
| apf-firewall | Добавление совместимости с ядрами >= 3.X |
| apt-xapian-index | Удаление вызова к update-python-modules |
| base-files | Обновлённая для данной редакции версия |
| binutils | Применение заплаты из основной ветки разработки для исправления gold на arm64 |
| ca-certificates | Update-ca-certificates: обновление локального каталога сертификатов при вызове с опцией --fresh; поддержка запуска без перехватчиков |
| commons-daemon | Исправление поддержки ppc64el |
| crafty | Отмена порождения специфичного для ЦП кода |
| debian-edu-doc | Обновление переводов |
| debian-installer | Повторная сборка для данной редакции |
| debian-installer-netboot-images | Повторная сборка для данной редакции |
| dropbear | Исправление обхода ограничения команд в authorized_keys [CVE-2016-3116], инъекции форматной строки [CVE-2016-7406] и выполнения произвольного кода [CVE-2016-7407 CVE-2016-7408] |
| erlang | Исправление переполнения динамической памяти в коде для грамматического разбора регулярных выражений [CVE-2016-10253] |
| glibc | Исправление неточности sqrt на PowerPC |
| gnome-media | Добавление отсутствующего поля Breaks: gnome-media-common, libgnome-media-dev, libgnome-media0 соответственно с полем Replaces |
| gnome-screenshot | Использование тире в качестве разделителя в формате времени |
| gnome-settings-daemon | Использование тире в качестве разделителя в формате времени |
| gnutls28 | Исправление досрочного завершения выполнения в коде для кодирования пароля PKCS#12; исправление двойного освобождения памяти в коде вывода информации о сертификате [CVE-2017-5334]; исправление утечки памяти из-за ошибки пути на стороне сервера; исправление утечек памяти и бесконечного цикла в коде для грамматического разбора сертификатов OpenPGP [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337]; исправление переполнения целых чисел в коде для грамматического разбора сертификатов OpenPGP [CVE-2017-7869]; исправление чтения за пределами выделенного буфера в коде для грамматического разбора сертификатов OpenPGP; исправление аварийной остановки в коде для грамматического разбора сертификатов OpenPGP, связанного с кодом для грамматического разбора закрытых ключей [GNUTLS-SA-2017-3B]; исправление возможной OOM-ошибки в коде для грамматического разбора сертификатов OpenPGP [GNUTLS-SA-2017-3C] |
| groovy | Исправление удалённого выполнения кода через специально сформированный сериализованный объект [CVE-2016-6814] |
| groovy2 | Исправление удалённого выполнения кода через специально сформированный сериализованный объект [CVE-2016-6814] |
| guile-2.0 | Исправление уязвимости REPL-сервера [CVE-2016-8606], исправление связанной с umask уязвимости mkdir [CVE-2016-8605] |
| initramfs-tools | Добавление драйверов для всех клавиатур с MODULES=dep; добавление большинства драйверов USB-хостов и всех модулей драйверов шин; удаление кода для отсечения 'сломанных' символьных ссылок и иногда /etc/mtab; добавление всех драйверов I2C-шин и мультиплексоров, если выбрана опция MODULES=most; прекращение принудительной загрузки драйверов, обнаруженных в системной файловой системе, если выбрана опция MODULES=dep |
| installation-guide | Исправление инструкций по созданию syslinux.cfg для работы с syslinux 5 |
| irqbalance | Предупреждать только один раз о подмножестве пустых irq для привязки |
| kup | Обратный перенос изменений, требующихся для работы с kernel.org в будущем |
| libdatetime-timezone-perl | Обновление поставляемых данных для версии 2017b |
| libindicate | libindicate-gtk3-dev: зависимость от libindicate-gtk3-3 вместо libindicate-gtk3 |
| libmateweather | Переименование часового пояса Рангун в Янгон (в соответствии с изменениями tzdata 2016g) |
| libvirt | Улучшение совместимости с qemu v2.6+ |
| libvorbisidec | Добавление к пакету libogg-dev зависимости от libvorbisidec-dev |
| libxslt | Проверка на переполнение целых чисел в xsltAddTextString [CVE-2017-5029] |
| linux | Обновление до нового стабильного выпуска 3.16.43; mm/huge_memory.c: исправление обратного переноса исправления mm/huge_memory.c: учитывать thp в FOLL_FORCE/FOLL_COW |
| logback | Не выполнять десериализацию данных из недоверенных сокетов [CVE-2017-5929] |
| lxc | Проверка того, что цель netns принадлежит вызывающему приложению [CVE-2017-5985] |
| minicom | Исправление записи за пределами выделенного буфера памяти в vt100.c [CVE-2017-7467] |
| modsecurity-crs | Исправление опечатки в modsecurity_crs_16_session_hijacking.conf |
| mongodb | Исправление прав доступа .dbshell [CVE-2016-6494]; комбинирование ключа и одноразового номера из журналов попыток авторизации |
| ndisc6 | Использование перехватчика слияний по умолчанию из основной ветки разработки в случае, если недоступна утилита resolvconf |
| ndoutils | Очистка после удаления: проверка наличия ucf до выполнения вызова |
| nvidia-graphics-drivers | Новая версия из основной ветки разработки (340.102), содержащая исправления безопасности [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; исправление сборки модуля на ядре Linux версии 4.10 и более новых |
| nvidia-graphics-drivers-legacy-304xx | Новая версия из основной ветки разработки (304.135), содержащая исправления безопасности [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; исправление сборки модуля на ядре Linux версии 4.10 и более новых |
| nvidia-graphics-modules | Повторная сборка, используя nvidia-kernel-source 340.102 |
| openchange | Исправление ошибки сборки с samba 4.2 |
| openmpi | libopenmpi1.6: исправление двух некорректных soname-ссылок, использование поля Conflicts: libopenmpi2 (<< 1.6) с указанием версий, чтобы это не мешало обновлению до выпуска stretch |
| plv8 | Проверка прав на вызов функций |
| postfix | Исправление ошибки сборки с ядрами Linux 4.x; добавление delmap в сценарий .prerm для всех пакетов, содержащих типы данных map, открытых через внешние so-файлы, чтобы это не мешало обновлению до выпуска stretch (в котором местонахождение связанных файлов было изменено) |
| postgresql-9.4 | Новый выпуск основной ветки разработки |
| python-cryptography | Исправление HKDF-проблемы с ключами небольшого размера [CVE-2016-9243]; исправление ошибки сборки из-за метода определения SSL2 |
| radare2 | Исправление отказа в обслуживании [CVE-2017-6197] |
| sane-backends | Исправление проблемы безопасности [CVE-2017-6318] |
| sendmail | Создание файлов в /var/run/sendmail/stampdir только от лица smmsp:smmsp, чтобы избежать возможного повышения привилегий; исправление lockfile-create (из lockfile-progs) вместо touch для управления файлами блокировки задач cron; sendmail-base: добавление поля Depends: netbase для /etc/services |
| sitesummary | Исправление сценария, выполняемого перед удалением пакета |
| smemstat | Исправление разыменования null-указателя в случае, если невозможно прочитать UID |
| spip | Исправление межсайтового скриптинга, подделки запросов на стороне сервера [CVE-2016-7999], обхода каталога [CVE-2016-7982], выполнения произвольного кода [CVE-2016-7998], подделки межсайтовых запросов [CVE-2016-7980], межсайтового скриптинга [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152] |
| sus | Обновление для SUSv4 TC2 |
| synergy | Исправление аварийной остановки при запуске synergyc |
| systemd | Исправление двоичных свойств, получаемых через sd-bus на архитектурах с порядком байтов от старшего к младшему; systemctl: добавление поддержки is-enabled для сценариев инициализации SysV; если команда start аннулируется во время исполнения, то не обрабатывать подтверждение; если установлена маска на автоматически монтируемое устройство, то не реагировать на включение этого устройства |
| transmissionrpc | Добавление в пакет python-six отсутствующей зависимости от модулей Python |
| tzdata | Обновление поставляемых данных до версии 2017b; включение частичных переводов шаблонов debconf |
| unzip | Исправление переполнений буфера в unzip [CVE-2014-9913] и zipinfo [CVE-2016-9844] |
| uwsgi | Исправление ошибки сборки с новыми версиями glibc |
| vim | Исправление переполнений буфера при чтении повреждённых undo-файлов [CVE-2017-6349 CVE-2017-6350] |
| vlc | Новый выпуск основной ветки разработки |
| webissues-server | Очистка после удаления: проверка наличия ucf до выполнения вызова |
| wget | Исправление CRLF-инъекции в части URL с указанием узла [CVE-2017-6508] |
| xmobar | Обновление URL для загрузки данных о погоде |
| xshisen | Исправление ошибки сегментирования при запуске |
| yara | Исправление нескольких проблем безопасности [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| cgiemail | Критические ошибки, не сопровождается |
| grive | Сломан из-за изменений Google API |
| libapache2-authenntlm-perl | Сломан при использовании Apache 2.4 |
| libwww-dict-leo-org-perl | Сломан из-за изменений в основной ветке разработки |
| live-f1 | Сломан из-за изменений на третьей стороне |
| owncloud | Не может поддерживаться |
| owncloud-apps | Не может поддерживаться |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.