Opdateret Debian 9: 9.2 udgivet

7. oktober 2017

Debian-projektet er stolt over at kunne annoncere den andet opdatering af dets stabile distribution, Debian 9 (kodenavn stretch). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den stabile udgave, sammen med nogle få rettelser af alvorlige problemer. Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til dem, hvor de er tilgængelige.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 9, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide gamle stretch-medier væk. Efter en installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et ajourført Debian-filspejl.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:

https://www.debian.org/mirror/list

Særligt ved denne punktopdatering, skal dem der benytter værktøjet apt-get til at udføre opgraderingen, sørge for at kommandoen dist-upgrade benyttes, for at opgradere til de seneste kernepakker. Brugere af andre værktøjer, for eksempel apt og aptitude, skal anvende kommandoen upgrade.

Forskellige fejlrettelser

På grund af en forglemmelse mens punktopdateringen blev forberedt, blev den sædvanlige opdatering af pakken base-files til at afspejle den nye version, desværre ikke medtaget. En opdateret pakke vil indenfor den nærmeste fremtid blive gjort tilgængelig gennem stretch-updates.

Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
apt Retter problemer i apt-daily-upgrade; retter muligt nedbrud i spejlingsmetoden
at-spi2-core Retter nedbrud ved skift af vinduer
bareos Retter rettigheder på bareos-dir-logrotate-config ved opgradering; retter filkorruption når der anvendes en SHA1-signatur
bind9 Importerer understøttelse af DNSSEC KSK-2017
bridge-utils Retter et problem med at nogle vlan-interfaces ikke oprettes
caja Retter alt for stort CPU-forbrug mens baggrundsbillede indlæses
chrony Overfør ikke kommandoen burst til chronyc
cross-gcc Retter forældet understøttelse af gcc 6.3.0-18
cvxopt Fjerner det unødvendige og ikke-fungerende kompabilitetslag for lpx_main()
db5.3 Tilgå ikke DB_CONFIG når db_home ikke er opsat [CVE-2017-10140]
dbus Ny stabil opstrømsudgave
debian-edu-doc Medtager stretch-relateret dokumentation og oversættelsesopdateringer; opdaterer Debian Edu Stretchs vejledning fra wikien; erstatter eksisterende bootmenuscreenshot med nogle nyere fra wikien
debian-installer Opdaterer Linux-kernens ABI til 4
debian-installer-netboot-images Genopbygger mod proposed-updates
desktop-base Retter XML-syntaksfejl i beskrivelsesfiler til gnome-tapeter, som gjorde tapeteret Joy utilgængeligt som standard; sikrer at postinst ikke fejler ved opgradering, selv når en ufuldstændig temapakke er aktiv
dns-root-data Opdaterer root.hints til version 2017072601; ændrer tilstanden af KSK-2017 til VALID
dnsdist Sikkerhedsrettelser [CVE-2016-7069 CVE-2017-7557]
dnsviz Udvælger opstrømsrettelser relateret til ændringer af root.hints og root.keys
dose3 Retter versioneret provides-understøttelse - pakker der tilbyder den samme virtuelle pakke i forskellige versioner, eller som tilbyder den samme versionerede virtuelle pakke som en rigtig pakke, er installerbare på samme tid
ecl Tilføjger manglende afhængighed af libffi-dev
erlang-p1-tls Retter ECDH-kurver
evolution Retter hængning ved højreklik i composervindue
expect Tjekker på korrekt vis for EOF, for at undgå at miste inddata
fife Retter hukommelseslækage
flatpak Ny stabile opstrømsudgave; forhindrer udrulning af filer med upassende rettigheder; genindfører kompabilitet med libostree 2017.7
freerdp Aktiverer understøttelse af TLS >= 1.1
gnome-exe-thumbnailer Skifter til msitools' msiinfo til hentning af ProductVersion, erstatter den usikre VBScript-baserede fortolkning [CVE-2017-11421]; retter ikke-læsbar hvid på hvid-tekst i versionslabels
gnupg2 Retter problemer i dirmngr med defekt reverse-DNS, assertion når tofu-default-policy ask anvendes, adskillige problemer med scdaemon, undgår forkerte advarsler når der deles en keybox med gpg >= 2.1.20
gnutls28 Retter OCSP-verifikationsfejl, særligt med ECDSA-signaturer
gosa-plugin-mailaddress Retter kald til parent constructor, for kompatibilitet med PHP7
gsoap Retter heltalsoverløb med stort XML-dokument [CVE-2017-9765]
haveged Starter haveged.service efter systemd-tmpfiles-setup.service har været kørt
ipsec-tools Sikkerhedsrettelse [CVE-2016-10396]
irssi Retter nullpointerdereference [CVE-2017-10965], anvendelse efter frigivelse-tilstand i nicklist [CVE-2017-10966]
kanatest Fjernet DISABLE_DEPRECATED-flagene, da de medfører implicit pointerkonvertering, og dermed en segmenteringsfejl ved start
kdepim Retter send Later with Delay bypasses OpenPGP [CVE-2017-9604]
kf5-messagelib Retter send Later with Delay bypasses OpenPGP [CVE-2017-9604]
krb5 Retter sikkerhedsproblemer, hvor fjernautentificerede angribere kunne få KDC'en til at gå ned [CVE-2017-11368]; retter start hvis getaddrinfo() returnerer en v6-wildcardadresse, og håndtering af eksplicit angivet v4-wildcardadresse; retter SRV-opslag så udp_preference_limit respekteres
lava-tool Tilføjer manglende afhængighed af python-simplejson
librsb Retter nogle få alvorlige fejl, førende til numerisk forkerte resultater
libselinux Genopbygger med ny sbuild for at rette changelog-dato
libsolv Retter afhængigheder af Python 3-moduler
libwpd Retter lammelsesangrebsproblem [CVE-2017-14226]
linux Ny stabil opstrømsversion
linux-latest Opdaterer til 4.9.0-4
lzma Genopbygger med ny sbuild for at rette changelog-dato
mailman Retter defekte afhængigheder i contrib/SpamAssassin.py
mate-power-manager Afbryd ikke ved ukendt DBus-signalnavn
mate-themes Retter URL-bjælkens fontfarve i Google Chrome
mate-tweak Tilføjer manglende afhængighed af python3-gi
ncurses Retter forskellige nedbrudsfejl i tic-biblioteket og den binære tic-fil [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle Genopbygger med ny sbuild for at rette changelog-dato
node-brace-expansion Retter problem med lammelsesangreb i regulært udtryk
node-dateformat Opsætter TZ=UTC til tests, for at rette opbygningsfejl
ntp Opbygger og installerer /usr/bin/sntp
nvidia-graphics-drivers Ny langlivet forgreningsudgave 375.82 - sikkerhedsrettelser [CVE-2017-6257 CVE-2017-6259], tilføjer understøttelse af følgende GPU'er: GeForce GTX 1080 med Max-Q Design, GeForce GTX 1070 med Max-Q Design, GeForce GTX 1060 med Max-Q Design; nvidia-kernel-dkms: Respekterer parallelopsætning fra dkms
open-vm-tools Genererer et tilfældigt, midlertidigt mappenavn [CVE-2015-5191]
opendkim Start som root og smid rettigheder i opendkim væk, for korrekt nøglefilsejerskab
openldap Løsner libldap-2.4-2's afhængighed af libldap-common til også at tillade senere versioner; retter opgraderingsfejl når olcSuffix indeholder en backslash; undgår læsning af værdien af valgmuligheden LDAP_OPT_X_TLS_REQUIRE_CERT fra tidligere frigivet hukommelse; retter potentiel uendelig replikeringsløkke i en situation med multi-master delta-syncrepl med tre eller flere noder; retter hukommelseskorruption forårsaget af at kalde sasl_client_init() adskillige gange og muligvis samtidigt
openvpn Retter defekte reconnects på grund af forkert push digest-beregning
osinfo-db Opdaterer distributionsinformation
pcb-rnd Retter udførelse af kode gennem en ondsindet dannet designfil
postfix Ny stabil opstrømsversion - sender variablenavne bestående af enkelttegn til milters uden {}; forhindrer MIME-nedgradering af Postfix-genereret status på message/delivery; omgå at Berkeley DB forsøger at læse indstillinger fra filen DB_CONFIG
python-pampy Retter afhængigheder af Python 3-moduler
request-tracker4 Retter regression i tidligere sikkerhedsudgivelse hvor ukorrekte SHA256-adgangskoder kunne udløse en fejl
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler}: Tilføjer manglende afhængigheder
samba Sikrer at SMB-signering håndhæves [CVE-2017-12150]; bevarer påkrævet kryptering over SMB3 DFS-viderestillinger [CVE-2017-12151]; retter informationslækage af serverhukommelse over SMB1 [CVE-2017-12163]; ny opstrømsudgave; retter libpam-winbind.prerm til at være multiarch-sikker; tilføjer manglende logrotate for /var/log/samba/log.samba; retter forældede DNS Root-servere; retter Ikke-kerberos-logins fejler ved winbind 4.X når krb5_auth er opsat i PAM
smplayer Retter forbindelser til YouTube
speech-dispatcher Får spd-conf til at fungere igen
suricata Begrænset antallet af rekursive kald i DER/ASN.1-dekoderen for at undgå stakoverløb
swift Ny stabil opstrømsudgave
tbdialout Medtager foranstillet plustegn når URI-modellen tel: benyttes
tiny-initramfs Tilføjer manglende afhængighed af cpio
topal Retter forkert brug af syntaks for sed-tegnklasse
torsocks Retter check_addr() til at returnere enten 0 eller 1
trace-cmd Retter segmenteringsfejl når visse trace-filer behandles
unbound Retter installering af trust-anchor når to anchors er tilstede; gør afhænging af dns-root-data (>= 2017072601~) for KSK-2017
unknown-horizons Retter hukommelseslækage
up-imapproxy Korrrekt systemd-servicefil
vim Retter flere nedbrud / ulovlige hukommelsestilgange [CVE-2017-11109]
waagent Ny opstrømsudgave, med understøttelse af Azure Stack
webkit2gtk Opstrømsudgave med sikkerheds- og fejlrettelser [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois Retter whois-referencer til .com, .net, .jobs, .bz, .cc og .tv; tilføjer flere nye indiske TLD-servere; opdaterer listen over gTLD'er
wrk Retter opbygningsfejl
xfonts-ayu Retter generering af fontene bold og italic
xkeyboard-config Flytter indiske layouts tilbage til hovedlayoutlisten, og aktiverer igen brugen af dem
yadm Retter kapløbstilstand hvilken kunne muliggøre adgang til private PGP- og SSH-nøgler [CVE-2017-11353]

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r)
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0

Fjernede pakker

Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:

Pakke Årsag
clapack Forældet og ikke vedligehold forgrening af lapack

Debian Installer

Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.

URL'er

Den komplette liste over pakker, som er ændret i forbindelse med denne revision:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Den aktuelle stabile distribution:

http://ftp.debian.org/debian/dists/stable/

Foreslåede opdateringer til den stabile distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):

https://www.debian.org/releases/stable/

Sikkerhedsannonceringer og -oplysninger:

https://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.