Обновлённый Debian 8: выпуск 8.10

09 Декабря 2017

Проект Debian с радостью сообщает о десятом обновлении своего предыдущего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском jessie. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
bareos	Исправление прав доступа настроек bareos-dir logrotate; исправление повреждения файлов при использовании подписей SHA1
base-files	Обновление для данной редакции
bind9	Импорт готовящегося набор расширений DNSSEC KSK-2017
cups	Отключение по умолчанию SSLv3 и RC4 для противодействия уязвимости POODLE
db	Не обращаться к DB_CONFIG, если не установлена опция db_home [CVE-2017-10140]
db5.3	Не обращаться к DB_CONFIG, если не установлена опция db_home [CVE-2017-10140]
debian-installer	Повторная сборка для данной редакции
debian-installer-netboot-images	Повторная сборка для данной редакции
debmirror	Допущение неизвестных строк в *.diff/Index; зеркалирование файлов метаданных DEP-11; предпочение xz над gz, реагирование в случае, если оба отсутствуют; зеркалирование и проверка файлов InRelease
dns-root-data	Обновление root.hints до версии 2017072601; добавление KSK-2017 в файл root.key
dput	dput.cf: замена security-master.debian.org на ftp.upload.security.debian.org
dwww	Исправление имени заголовка Last-Modified
elog	Обновление заплаты 0005_elogd_CVE-2016-6342_fix для предоставления доступа от лица обычного пользователя
flightgear	Исправление перезаписи произвольных файлов [CVE-2017-13709]
gsoap	Исправление переполнения целых чисел при обработке большого документа в формате XML [CVE-2017-9765]
hexchat	Исправление ошибки сегментирования после команды /server
icu	Исправление двойного освобождения памяти в функции createMetazoneMappings() [CVE-2017-14952]
kdepim	Исправление ошибки отправка позже с задержкой приводит к обходу OpenPGP [CVE-2017-9604]
kedpm	Исправление утечки информации из-за файла истории команд [CVE-2017-8296]
keyringer	Обработка подключей без даты истечения срока использования и открытых ключей, указанных в списке несколько раз
krb5	Исправления безопасности — удалённые аутентифицированные злоумышленники могут аварийно завершить работу KDC [CVE-2017-11368]; аварийная остановка kdc при restrict_anon_to_tgt [CVE-2016-3120]; удалённый отказ в обслуживании ldap для аутентифицированных злоумышленников [CVE-2016-3119]; предотвращение обхода requires_preauth [CVE-2015-2694]
libdatetime-timezone-perl	Обновление данных, входящих в состав пакета
libdbi	Повторное включение вызова обработчика ошибок в функции dbi_result_next_row()
libembperl-perl	Изменение жёсткой зависимости от mod_perl в zembperl.load на рекомендуемую зависимость, исправление ошибок установки, когда не установлен пакет libapache2-mod-perl2
libio-socket-ssl-perl	Исправление ошибок сегментирования при использовании специально сформированных клиентских сертификатов
liblouis	Исправление многочисленных переполнений буфера [CVE-2014-8184]
libofx	Исправления безопасности [CVE-2017-2816 CVE-2017-14731]
libwnckmm	Усиление зависимостей между пакетами; использование jquery.js из пакета libjs-jquery
libwpd	Исправления безопасности [CVE-2017-14226]
libx11	Исправление ошибки недостаточная проверка данных от X-сервера может приводить к чтению (XGetImage()) или записи (XListFonts()) за пределами выделенного буфера памяти [CVE-2016-7942 CVE-2016-7943]
libxfixes	Исправление переполнения целых чисел при получении некорректного ответа сервера [CVE-2016-7944]
libxi	Исправление ошибки недостаточная проверка данных от X-сервера может приводить к обращениям за пределами выделенного буфера памяти или бесконечным циклами [CVE-2016-7945 CVE-2016-7946]
libxrandr	Исправление обращений за пределами выделенного буфера памяти при некорректных ответах [CVE-2016-7947 CVE-2016-7948]
libxtst	Исправление ошибки недостаточная проверка данных от X-сервера может приводить к обращениям за пределами выделенного буфера памяти или бесконечным циклами [CVE-2016-7951 CVE-2016-7952]
libxv	Исправление ошибок обработки протокола в libXv [CVE-2016-5407]
libxvmc	Исправление отрицательного переполнения буфера при работе с пустыми строками [CVE-2016-7953]
linux	Новая стабильная версия ядра 3.16.51
ncurses	Исправление различных ошибок, приводящих к аварийным остановкам, в библиотеке tic и двоичном файле tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
openssh	Проверка настроек до запуска или перезагрузки настроек sshd под systemd; теперь -- до имени узла завершает обработку аргументов после имени узла
pdns	Добавление отсутствующей проверки API-операций [CVE-2017-15091]
pdns-recursor	Исправление добавления файла настроек в API [CVE-2017-15093]
postgresql-9.4	Новая версия из основной ветки разработки с исправлениями ошибок
python-tablib	Безопасная загрузка YAML [CVE-2017-2810]
request-tracker4	Исправление регрессии в предыдущем исправлении безопасности, при которой неправильные пароли SHA256 могут вызывать ошибку
ruby-ox	Исправление аварийной остановки при выполнении грамматического разбора XML, передаваемого Oj.parse_obj() [CVE-2017-15928]
sam2p	Исправление нескольких переполнений буфера или переполнений динамической памяти [CVE-2017-14628 CVE-2017-14629 CVE-2017-14630 CVE-2017-14631 CVE-2017-14636 CVE-2017-14637 CVE-2017-16663]
slurm-llnl	Исправление проблемы безопасности, вызываемой небезопасной обработкой пути к файлу и проявляющейся при ошибке в сценарии на языке Prolog [CVE-2016-10030]
sudo	Исправление произвольного доступа к терминалу [CVE-2017-1000368]
syslinux	Исправление проблем загрузки при использовании старых прошивок BIOS путём исправления порядка C/H/S
tor	Добавление авторитета каталога Bastet; обновление geoip и geoip6 до версии от 4 октября 2017 из базы данных стран Maxmind GeoLite2; исправление выхода за пределы массива в memset() при паковке ячеек
transfig	Добавление очистки выходных данных для файлов FIG [CVE-2017-16899]; sanitize input of fill patterns
tzdata	Новый выпуск из основной ветки разработки
unbound	Исправление установки доверенного якоря, если имеются два якоря; добавление якоря доверия корню с идентификатором 20326
weechat	logger: вызов strftime до замены локальных переменных буфера [CVE-2017-14727]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-3904	bind9
DSA-3908	nginx
DSA-3909	samba
DSA-3913	apache2
DSA-3914	imagemagick
DSA-3916	atril
DSA-3917	catdoc
DSA-3921	enigmail
DSA-3922	mysql-5.5
DSA-3924	varnish
DSA-3928	firefox-esr
DSA-3929	libsoup2.4
DSA-3930	freeradius
DSA-3932	subversion
DSA-3933	pjproject
DSA-3934	git
DSA-3935	postgresql-9.4
DSA-3937	zabbix
DSA-3938	libgd2
DSA-3939	botan1.10
DSA-3940	cvs
DSA-3942	supervisor
DSA-3943	gajim
DSA-3945	linux
DSA-3946	libmspack
DSA-3947	newsbeuter
DSA-3948	ioquake3
DSA-3949	augeas
DSA-3950	libraw
DSA-3951	smb4k
DSA-3952	libxml2
DSA-3956	connman
DSA-3958	fontforge
DSA-3960	gnupg
DSA-3961	libgd2
DSA-3962	strongswan
DSA-3963	mercurial
DSA-3964	asterisk
DSA-3969	xen
DSA-3970	emacs24
DSA-3971	tcpdump
DSA-3972	bluez
DSA-3973	wordpress-shibboleth
DSA-3974	tomcat8
DSA-3976	freexl
DSA-3977	newsbeuter
DSA-3978	gdk-pixbuf
DSA-3979	pyjwt
DSA-3980	apache2
DSA-3981	linux
DSA-3982	perl
DSA-3983	samba
DSA-3984	git
DSA-3986	ghostscript
DSA-3987	firefox-esr
DSA-3988	libidn2-0
DSA-3989	dnsmasq
DSA-3990	asterisk
DSA-3992	curl
DSA-3995	libxfont
DSA-3997	wordpress
DSA-3998	nss
DSA-3999	wpa
DSA-4000	xorg-server
DSA-4002	mysql-5.5
DSA-4004	jackson-databind
DSA-4006	mupdf
DSA-4007	curl
DSA-4008	wget
DSA-4011	quagga
DSA-4012	libav
DSA-4013	openjpeg2
DSA-4016	irssi
DSA-4018	openssl
DSA-4021	otrs2
DSA-4022	libreoffice
DSA-4025	libpam4j
DSA-4026	bchunk
DSA-4027	postgresql-9.4
DSA-4029	postgresql-common
DSA-4033	konversation
DSA-4035	firefox-esr
DSA-4037	jackson-databind
DSA-4038	shibboleth-sp2
DSA-4039	opensaml2
DSA-4040	imagemagick
DSA-4041	procmail
DSA-4042	libxml-libxml-perl
DSA-4043	samba
DSA-4045	vlc
DSA-4046	libspring-ldap-java
DSA-4047	otrs2
DSA-4051	curl
DSA-4052	bzr

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет	Причина
libnet-ping-external-perl	Не сопровождается, проблемы безопасности
aiccu	Бесполезен в связи с прекращением работы SixXS

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий предыдущий стабильный выпуск:

http://ftp.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.