Opdateret Debian 9: 9.2 udgivet
7. oktober 2017
Debian-projektet er stolt over at kunne annoncere den anden opdatering af
dets stabile distribution, Debian 9 (kodenavn stretch
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux
9, den indeholder blot opdateringer af nogle af de medfølgende pakker.
Der er ingen grund til at smide gamle stretch
-medier væk. Efter en
installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et
ajourført Debian-filspejl.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:
Særligt ved denne punktopdatering, skal dem der benytter værktøjet
apt-get
til at udføre opgraderingen, sørge for at kommandoen
dist-upgrade
benyttes, for at opgradere til de seneste kernepakker.
Brugere af andre værktøjer, for eksempel apt
og aptitude
,
skal anvende kommandoen upgrade
.
Forskellige fejlrettelser
På grund af en forglemmelse mens punktopdateringen blev forberedt, blev den
sædvanlige opdatering af pakken base-files
til at afspejle den nye
version, desværre ikke medtaget. En opdateret pakke vil indenfor den nærmeste
fremtid blive gjort tilgængelig gennem stretch-updates
.
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
| Pakke | Årsag |
|---|---|
| apt | Retter problemer i apt-daily-upgrade; retter muligt nedbrud i spejlingsmetoden |
| at-spi2-core | Retter nedbrud ved skift af vinduer |
| bareos | Retter rettigheder på bareos-dir-logrotate-config ved opgradering; retter filkorruption når der anvendes en SHA1-signatur |
| bind9 | Importerer understøttelse af DNSSEC KSK-2017 |
| bridge-utils | Retter et problem med at nogle vlan-interfaces ikke oprettes |
| caja | Retter alt for stort CPU-forbrug mens baggrundsbillede indlæses |
| chrony | Overfør ikke kommandoen bursttil chronyc |
| cross-gcc | Retter forældet understøttelse af gcc 6.3.0-18 |
| cvxopt | Fjerner det unødvendige og ikke-fungerende kompabilitetslag for lpx_main() |
| db5.3 | Tilgå ikke DB_CONFIG når db_home ikke er opsat [CVE-2017-10140] |
| dbus | Ny stabil opstrømsudgave |
| debian-edu-doc | Medtager stretch-relateret dokumentation og oversættelsesopdateringer; opdaterer Debian Edu Stretchs vejledning fra wikien; erstatter eksisterende bootmenuscreenshot med nogle nyere fra wikien |
| debian-installer | Opdaterer Linux-kernens ABI til 4 |
| debian-installer-netboot-images | Genopbygger mod proposed-updates |
| desktop-base | Retter XML-syntaksfejl i beskrivelsesfiler til gnome-tapeter, som gjorde tapeteret Joy utilgængeligt som standard; sikrer at postinst ikke fejler ved opgradering, selv når en ufuldstændig temapakke er aktiv |
| dns-root-data | Opdaterer root.hints til version 2017072601; ændrer tilstanden af KSK-2017 til VALID |
| dnsdist | Sikkerhedsrettelser [CVE-2016-7069 CVE-2017-7557] |
| dnsviz | Udvælger opstrømsrettelser relateret til ændringer af root.hints og root.keys |
| dose3 | Retter versioneret provides-understøttelse - pakker der tilbyder den samme virtuelle pakke i forskellige versioner, eller som tilbyder den samme versionerede virtuelle pakke som en rigtig pakke, er installerbare på samme tid |
| ecl | Tilføjger manglende afhængighed af libffi-dev |
| erlang-p1-tls | Retter ECDH-kurver |
| evolution | Retter hængning ved højreklik i composervindue |
| expect | Tjekker på korrekt vis for EOF, for at undgå at miste inddata |
| fife | Retter hukommelseslækage |
| flatpak | Ny stabile opstrømsudgave; forhindrer udrulning af filer med upassende rettigheder; genindfører kompabilitet med libostree 2017.7 |
| freerdp | Aktiverer understøttelse af TLS >= 1.1 |
| gnome-exe-thumbnailer | Skifter til msitools' msiinfo til hentning af ProductVersion, erstatter den usikre VBScript-baserede fortolkning [CVE-2017-11421]; retter ikke-læsbar hvid på hvid-tekst i versionslabels |
| gnupg2 | Retter problemer i dirmngr med defekt reverse-DNS, assertion når tofu-default-policy askanvendes, adskillige problemer med scdaemon, undgår forkerte advarsler når der deles en keybox med gpg >= 2.1.20 |
| gnutls28 | Retter OCSP-verifikationsfejl, særligt med ECDSA-signaturer |
| gosa-plugin-mailaddress | Retter kald til parent constructor, for kompatibilitet med PHP7 |
| gsoap | Retter heltalsoverløb med stort XML-dokument [CVE-2017-9765] |
| haveged | Starter haveged.service efter systemd-tmpfiles-setup.service har været kørt |
| ipsec-tools | Sikkerhedsrettelse [CVE-2016-10396] |
| irssi | Retter nullpointerdereference [CVE-2017-10965], anvendelse efter frigivelse-tilstand i nicklist [CVE-2017-10966] |
| kanatest | Fjernet DISABLE_DEPRECATED-flagene, da de medfører implicit pointerkonvertering, og dermed en segmenteringsfejl ved start |
| kdepim | Retter send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
| kf5-messagelib | Retter send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
| krb5 | Retter sikkerhedsproblemer, hvor fjernautentificerede angribere kunne få KDC'en til at gå ned [CVE-2017-11368]; retter start hvis getaddrinfo() returnerer en v6-wildcardadresse, og håndtering af eksplicit angivet v4-wildcardadresse; retter SRV-opslag så udp_preference_limit respekteres |
| lava-tool | Tilføjer manglende afhængighed af python-simplejson |
| librsb | Retter nogle få alvorlige fejl, førende til numerisk forkerte resultater |
| libselinux | Genopbygger med ny sbuild for at rette changelog-dato |
| libsolv | Retter afhængigheder af Python 3-moduler |
| libwpd | Retter lammelsesangrebsproblem [CVE-2017-14226] |
| linux | Ny stabil opstrømsversion |
| linux-latest | Opdaterer til 4.9.0-4 |
| lzma | Genopbygger med ny sbuild for at rette changelog-dato |
| mailman | Retter defekte afhængigheder i contrib/SpamAssassin.py |
| mate-power-manager | Afbryd ikke ved ukendt DBus-signalnavn |
| mate-themes | Retter URL-bjælkens fontfarve i Google Chrome |
| mate-tweak | Tilføjer manglende afhængighed af python3-gi |
| ncurses | Retter forskellige nedbrudsfejl i tic-biblioteket og den binære tic-fil [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
| nettle | Genopbygger med ny sbuild for at rette changelog-dato |
| node-brace-expansion | Retter problem med lammelsesangreb i regulært udtryk |
| node-dateformat | Opsætter TZ=UTC til tests, for at rette opbygningsfejl |
| ntp | Opbygger og installerer /usr/bin/sntp |
| nvidia-graphics-drivers | Ny langlivet forgreningsudgave 375.82 - sikkerhedsrettelser [CVE-2017-6257 CVE-2017-6259], tilføjer understøttelse af følgende GPU'er: GeForce GTX 1080 med Max-Q Design, GeForce GTX 1070 med Max-Q Design, GeForce GTX 1060 med Max-Q Design; nvidia-kernel-dkms: Respekterer parallelopsætning fra dkms |
| open-vm-tools | Genererer et tilfældigt, midlertidigt mappenavn [CVE-2015-5191] |
| opendkim | Start som root og smid rettigheder i opendkim væk, for korrekt nøglefilsejerskab |
| openldap | Løsner libldap-2.4-2's afhængighed af libldap-common til også at tillade senere versioner; retter opgraderingsfejl når olcSuffix indeholder en backslash; undgår læsning af værdien af valgmuligheden LDAP_OPT_X_TLS_REQUIRE_CERT fra tidligere frigivet hukommelse; retter potentiel uendelig replikeringsløkke i en situation med multi-master delta-syncrepl med tre eller flere noder; retter hukommelseskorruption forårsaget af at kalde sasl_client_init() adskillige gange og muligvis samtidigt |
| openvpn | Retter defekte reconnects på grund af forkert push digest-beregning |
| osinfo-db | Opdaterer distributionsinformation |
| pcb-rnd | Retter udførelse af kode gennem en ondsindet dannet designfil |
| postfix | Ny stabil opstrømsversion - sender variablenavne bestående af enkelttegn til milters uden {}; forhindrer MIME-nedgradering af Postfix-genereret status på message/delivery; omgå at Berkeley DB forsøger at læse indstillinger fra filen DB_CONFIG |
| python-pampy | Retter afhængigheder af Python 3-moduler |
| request-tracker4 | Retter regression i tidligere sikkerhedsudgivelse hvor ukorrekte SHA256-adgangskoder kunne udløse en fejl |
| ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: Tilføjer manglende afhængigheder |
| samba | Sikrer at SMB-signering håndhæves [CVE-2017-12150]; bevarer påkrævet kryptering over SMB3 DFS-viderestillinger [CVE-2017-12151]; retter informationslækage af serverhukommelse over SMB1 [CVE-2017-12163]; ny opstrømsudgave; retter libpam-winbind.prerm til at være multiarch-sikker; tilføjer manglende logrotate for /var/log/samba/log.samba; retter forældede DNS Root-servere; retter Ikke-kerberos-logins fejler ved winbind 4.X når krb5_auth er opsat i PAM |
| smplayer | Retter forbindelser til YouTube |
| speech-dispatcher | Får spd-conf til at fungere igen |
| suricata | Begrænset antallet af rekursive kald i DER/ASN.1-dekoderen for at undgå stakoverløb |
| swift | Ny stabil opstrømsudgave |
| tbdialout | Medtager foranstillet plustegn når URI-modellen tel: benyttes |
| tiny-initramfs | Tilføjer manglende afhængighed af cpio |
| topal | Retter forkert brug af syntaks for sed-tegnklasse |
| torsocks | Retter check_addr() til at returnere enten 0 eller 1 |
| trace-cmd | Retter segmenteringsfejl når visse trace-filer behandles |
| unbound | Retter installering af trust-anchor når to anchors er tilstede; gør afhænging af dns-root-data (>= 2017072601~) for KSK-2017 |
| unknown-horizons | Retter hukommelseslækage |
| up-imapproxy | Korrrekt systemd-servicefil |
| vim | Retter flere nedbrud / ulovlige hukommelsestilgange [CVE-2017-11109] |
| waagent | Ny opstrømsudgave, med understøttelse af Azure Stack |
| webkit2gtk | Opstrømsudgave med sikkerheds- og fejlrettelser [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
| whois | Retter whois-referencer til .com, .net, .jobs, .bz, .cc og .tv; tilføjer flere nye indiske TLD-servere; opdaterer listen over gTLD'er |
| wrk | Retter opbygningsfejl |
| xfonts-ayu | Retter generering af fontene bold og italic |
| xkeyboard-config | Flytter indiske layouts tilbage til hovedlayoutlisten, og aktiverer igen brugen af dem |
| yadm | Retter kapløbstilstand hvilken kunne muliggøre adgang til private PGP- og SSH-nøgler [CVE-2017-11353] |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
| Pakke | Årsag |
|---|---|
| clapack | Forældet og ikke vedligehold forgrening af lapack |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.