Обновлённый Debian 7: выпуск 7.4

08 Февраля 2014

Проект Debian с радостью сообщает о четвёртом обновлении своего стабильного выпуска Debian 7 (кодовое имя wheezy). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 7, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском 7, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующи пакетов:

Пакет Причина
apache2 Исправление экранирования журнала mod_rewrite (CVE-2013-1862), отказа в обслуживании mod_dav (CVE-2013-1896) и ошибок сегментирования при определённых состояниях ошибок
base-files Обновлённая для редакции версия
ctdb Исправление невозможности остановки и перезапуска службы при попытке удаления публичного IP адреса, не назначенного локально
debian-handbook Обновление для wheezy
debian-installer Пересобран для новой редакции
eglibc Несколько исправлений безопасности; исправление SIGFPE, возникающего при повреждении locale-archive, повреждение: заполнение нулями; kfreebsd: всегда помещать поставляемый дополнительный идентификатор группы (gid) в качестве первого пункта списка групп в setgroups(); исправление sys_ktimer_settime
gatling Восстановлена совместимость с обновлениями безопасности PolarSSL
gnash Исправление проигрывания видео с youtube с использованием обработчика ffmpeg
kexec-tools Обработка версий x.y ядра
kfreebsd-8 Несколько исправлений безопасности
kfreebsd-9 Отключение RNG на оборудовании VIA по умолчанию; исправление состояния ошибки lseek ENXIO с ZFS
lazr.restfulclient Исправление некоторых проблем параллелизма
libapache2-mod-rpaf Восстановление случайно удалённой заплаты IPv6
libglib-object-introspection-perl Исправление недостаточного выделения памяти, приводящего к возникновению ошибок сегментирования при обратных зависимостях
libhtml-formhandler-perl Исправление FTBFS
libmicrohttpd Различных проблемы безопасности
libnet-mac-vendor-perl Исправление FTBFS из-за неудачного выполнения проверки t/fetch_oui.t
libotr Отключение небезопасного протокола OTRv1
linux Обновление до стабильного выпуска 3.2.54; обновление drm, agp до 3.4.76; исправление CVE-2013-4579, CVE-2013-6368, CVE-2014-1446
localepurge Исправление CVE-2014-1638, небезопасное создание временного файла
lxc Использование последней версии из основной ветки разработки, предоставляемой lxc-debian; добавление rsync в поле Recommends
mapserver Исправление CVE-2013-7262, SQL-инъекция в функции msPostGISLayerSetTimeFilter
nut Сброс таймера USB до стандартного значения в 5 секунд
openssl Включение ассемблера для arm; включение ec_nistp_64_gcc_128 на *-amd64
pdns Исправление длины столбцов records.content и supermasters.ip
ruby-gsl Удаление несвободной документации
ruby-opengl Удаление примера с неясной лицензией
rush Исправление CVE-2013-6889, повышение прав доступа к файлам
samhain Отключение dnmalloc для всех архитектур за исключением тех, на которых она, как это известно, работает; исправление отправки почты при настройках по умолчанию
spip Исправление XSS подписи автора [CVE-2013-7303]
tuxguitar Обновление списка поддерживаемых версий xulrunner
tzdata Новая версия из основной ветки разработки
user-mode-linux Сборка относительно ядра Linux версии 3.2.54-2
vips Исправление аварийного завершения при обработке TIFF с JPEG сжатием
wget Добавление поддержки SNI
whois Новая версия из основной ветки разработки; обновление различных TLD
xfce4-weather-plugin Исправление отмены работы, если элемент <hi> пуст

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет Исправление(-я)
DSA-2749 asteriskМногочисленные проблемы
DSA-2757 wordpressМногочисленные проблемы
DSA-2793 libavМногочисленные проблемы
DSA-2812 sambaМногочисленные проблемы
DSA-2813 gimpМногочисленные проблемы
DSA-2814 varnishОтказ в обслуживании
DSA-2815 muninОтказ в обслуживании
DSA-2816 php5Многочисленные проблемы
DSA-2817 libtarМногочисленные переполнения целых чисел
DSA-2818 mysql-5.5Многочисленные проблемы
DSA-2820 nsprПереполнение целых чисел
DSA-2821 gnupgАтака по стороннему каналу
DSA-2822 xorg-serverИсчезновение порядка
DSA-2823 pixmanИсчезновение порядка
DSA-2824 curlНепроверенное имя узла сертификата TLS/SSL
DSA-2825 wiresharkМногочисленные проблемы
DSA-2826 denyhostsОтказ в обслуживании ssh, вызываемый удалённо
DSA-2827 libcommons-fileupload-javaЗагрузка произвольного файла через десериализацию
DSA-2829 hplipМногочисленные проблемы
DSA-2830 ruby-i18nМежсайтовый скриптинг
DSA-2831 puppetНебезопасные временные файлы
DSA-2832 memcachedМногочисленные проблемы
DSA-2833 opensslМногочисленные проблемы
DSA-2834 typo3-srcМногочисленные проблемы
DSA-2835 asteriskПереполнение буфера
DSA-2836 devscriptsВыполнение произвольного кода
DSA-2837 opensslОшибка программирования
DSA-2838 libxfontПереполнение буфера
DSA-2839 spiceОтказ в обслуживании
DSA-2840 srtpПереполнение буфера
DSA-2841 movabletype-opensourceМежсайтовый скриптинг
DSA-2842 libspring-javaМногочисленные проблемы
DSA-2843 graphvizПереполнение буфера
DSA-2846 libvirtМногочисленные проблемы
DSA-2847 drupal7Многочисленные проблемы
DSA-2849 curlРаскрытие информации
DSA-2850 libyamlПереполнение динамической памяти

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
iceape Прекращение поддержки безопасности

Программа установки Debian

Программа установки была пересобрана для включения исправлений, добавленных в стабильный выпуск данной редакцией.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/wheezy/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

http://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.