Debian 8 更新:8.9 發佈

2017年07月22日

Debian 項目很高興地宣佈 Debian 8 穩定版本的第九次更新(代號 jessie)。此更新主要向穩定版本中添加了補丁以修復安全問題,以及為一些嚴重問題所做的調整。安全建議已經單獨出版,並會在適當的情況下予以引用。

請注意,此更新並不是 Debian 8 的新版本,其僅更新了所包含的一些套件。沒有必要丟棄舊的 jessie CD 或 DVD,只需在安裝後使用最新的 Debian 映射站台更新舊的套件即可。

經常從 security.debian.org 安裝更新的用户將不必更新許多套件,並且此更新中包含了 security.debian.org 的大多數更新。

包含更新包的新安裝媒體和 CD/DVD 映像即將於通常處提供。

透過將 aptitude(或 apt)包工具(請參閲 sources.list(5) 手冊頁)指向 Debian 的許多 FTP 或 HTTP 映射站台之一,通常可以進行此修訂。全面的映射站台列表可在以下網址獲得:

https://www.debian.org/mirror/list

雜項錯誤修正

此穩定版更新為以下套件添加了一些重要修正:

原因
3dchess 減少 CPU 佔用的浪費
apt-cacher 防止在請求中使用編碼的換行符拆分 HTTP 響應 [CVE-2017-7443];確保 /var/run/apt-cacher 存在
base-files 為 8.9 更新發布升級
boinc 改善 OOM 評分;修正 xhost 安全問題
c-ares 安全修正 [CVE-2017-1000381]
cfitsio 修正與不正確的記憶體處理有關的崩潰
chkrootkit 修正分段錯誤;修正缺失的對 openssh-client 的依賴;添加 Built-Using 字段
cqrlog tools/cqrlog-apparmor-fix, debian/postrm:在重啓 apparmor 前檢查 /etc/init.d/apparmor 存在
debconf 在 Debconf::TmpFile 中用 File::Temp 替代已廢棄的 POSIX::tmpnam()
debian-archive-keyring 添加 stretch 密鑰,將 squeeze 密鑰移動到已刪除的密鑰
debian-installer 用 proposed-updates 重編譯
debian-installer-netboot-images 用 proposed-updates 重編譯
debian-security-support 更新各種套件的支持狀態;更新翻譯
debootstrap 添加對 Buster 和 Bullseye 的支持
eterm 修正整數溢出,使得 shell 正常啓動/停止
flightgear Prevent overriding arbitrary files from the save-flightplan FGCommand [CVE-2017-8921]
galternatives 修正空白屬性頁
gitolite3 修正缺失的對 openssh-client 的依賴
gnats gnats-user:如果 /var/lib/gnats/gnats-db 非空,不讓清除失敗
gnutls28 改進 /dev/urandom 的唯一性檢查
gtk+2.0 Backport patch from GTK+3 to fix stuck grabs in some situations
init-select 在調用前檢查 /usr/lib/init-select/get-init 存在
intel-microcode 更新包含的微碼
libapache2-mod-perl2 Fix test suite for compatibility with latest Apache 2 updates
libcgi-application-plugin-anytemplate-perl Fix missing dependency on one of libclone-perl and libclone-pp-perl
libclamunrar 修正任意記憶體寫入 [CVE-2012-6706]
libdata-faker-perl 在特定區域設置下運行測試套件
libdvdnav Use proper error handling when position cannot be detected
libhtml-microformats-perl 修正缺失的對 libmodule-pluggable-perl 的依賴
libhttp-proxy-perl 修正損壞的 'via' 處理
libonig 修正多個無效指針解引用,超範圍寫入記憶體損壞和堆棧緩衝區溢出問題 [CVE-2017-9224 CVE-2017-9226 CVE-2017-9227 CVE-2017-9228 CVE-2017-9229]
libosinfo 添加對 jessie 和 stretch 的支持
libsys-syscall-perl 添加對更多架構的支持
libterralib Remove superfluous Conflicts/Replaces: libterralib3 since that causes problems upgrading to stretch which has that package
libx11-protocol-other-perl 禁用有問題的測試
lxterminal 安全修正:不正確地為套接字文件使用 /tmp
netcfg IPv6 自動配置:修正 NTP 伺服器名稱處理;stop queueing rdnssd's installation with IPv6 setups
offlineimap 防止使用 maxage(已損壞,並可能導致數據丟失)
os-prober EFI:修正對 ID_PART_ENTRY_SCHEME 的檢查,以查找 dos 而不是 msdos; 使對 Windows Vista 的檢測更加可靠;添加對 Windows 10 的支持
pam 重編譯修正不同架構的差異
partman-ext3 Force ext3|ext4 filesystem creation with -F so that D-I doesn't hang when re-using an existing partition in some situations
perl 應用上游 base.pm no-dot-in-inc 修正
polarssl Fix freeing of memory allocated on stack when validating a public key with a secp224k1 curve [CVE-2017-2784]
proftpd-dfsg Fix TLSDHParamFile directive appears ignored because unexpected DH is chosen [CVE-2016-3125], AllowChrootSymlinks off does not check entire DefaultRoot path for symlinks [CVE-2017-7418]
python-colorlog 修正 python3 依賴
python-plumbum 修正 python3 依賴
rkhunter 禁用遠程更新 [CVE-2017-7480]
shutter 修正不安全的使用 perl exec() [CVE-2016-10081] 和 system()
tcpdf 安全修正:禁止 HTML 中的 tcpdf 調用 [CVE-2017-6100]
unrar-nonfree 安全修正:為 VMSF_DELTA,VMSF_RGB 和 VMSF_AUDIO 參數添加邊界檢查 [CVE-2012-6706]
w3m 修正多個緩衝區溢出,釋放後使用問題和一個無限循環
xarchiver 修正潛在的由於 shell 元字符造成的數據丟失
xfce4-weather-plugin 適應新的天氣網站 API

安全更新

此修訂版將以下安全更新添加到了穩定版本。安全小組已經分別為這些更新發布了通告:

通告 ID
DSA-3742 flightgear
DSA-3793 shadow
DSA-3840 mysql-connector-java
DSA-3841 libxstream-java
DSA-3842 tomcat7
DSA-3843 tomcat8
DSA-3844 tiff
DSA-3845 libtirpc
DSA-3845 rpcbind
DSA-3846 libytnef
DSA-3847 xen
DSA-3848 git
DSA-3849 kde4libs
DSA-3850 rtmpdump
DSA-3851 postgresql-9.4
DSA-3852 squirrelmail
DSA-3853 bitlbee
DSA-3854 bind9
DSA-3855 jbig2dec
DSA-3856 deluge
DSA-3857 mysql-connector-java
DSA-3859 dropbear
DSA-3860 samba
DSA-3861 libtasn1-6
DSA-3862 puppet
DSA-3863 imagemagick
DSA-3864 fop
DSA-3865 mosquitto
DSA-3866 strongswan
DSA-3867 sudo
DSA-3868 openldap
DSA-3869 tnef
DSA-3870 wordpress
DSA-3871 zookeeper
DSA-3872 nss
DSA-3873 perl
DSA-3874 ettercap
DSA-3875 libmwaw
DSA-3876 otrs2
DSA-3877 tor
DSA-3878 zziplib
DSA-3879 libosip2
DSA-3880 libgcrypt20
DSA-3882 request-tracker4
DSA-3883 rt-authen-externalauth
DSA-3884 gnutls28
DSA-3885 irssi
DSA-3886 linux
DSA-3887 glibc
DSA-3888 exim4
DSA-3889 libffi
DSA-3891 tomcat8
DSA-3892 tomcat7
DSA-3893 jython
DSA-3894 graphite2
DSA-3896 apache2
DSA-3897 drupal7
DSA-3898 expat
DSA-3899 vlc
DSA-3900 openvpn
DSA-3901 libgcrypt20
DSA-3903 tiff
DSA-3904 bind9
DSA-3905 xorg-server
DSA-3907 spice
DSA-3910 knot
DSA-3911 evince
DSA-3912 heimdal

已刪除的套件

由於我們無法控制的情況,以下套件已被刪除:

原因
ears 需要不可用的 python-musicbrainz
gnuvd 由於上游網站更改而損壞
hbro 一切用法都段錯誤
hbro-contrib 構建時依賴於將要移除的 hbro
lshell 安全原因
pgsnap 不兼容當前的 PostgreSQL 版本
python-django-authority 不兼容 Django 1.7
rant 損壞

Debian 安裝程序

安裝程序已經更新,以配合發佈時包含在穩定版本中的修正內容。

URL

此修訂版中更改套件的完整列表:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

當前穩定發行版:

http://ftp.debian.org/debian/dists/oldstable/

擬議的穩定發行版更新:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

穩定發行版信息(發行説明,勘誤表等):

https://www.debian.org/releases/oldstable/

安全公告及信息:

https://www.debian.org/security/

關於 Debian

Debian 項目是一個自由軟件開發者組織,為製作完全免費的 Debian 操作系統而自願貢獻時間和精力。

聯繫信息

更多信息,請訪問 Debian 主頁 https://www.debian.org/,發送郵件至 <press@debian.org>,或聯繫穩定版本團隊 <debian-release@lists.debian.org>。