Opdateret Debian 8: 8.3 udgivet
23. januar 2016
Debian-projektet er stolt over at kunne annoncere den tredje opdatering af
dets stabile distribution, Debian 8 (kodenavn jessie
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 8, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide jessie-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsmedier samt cd- og dvd-aftryk indeholdende opdaterede pakker, vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade
pakkehåndteringsværktøjet aptitude
(eller apt
, se
manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller
http-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
Pakke | Årsag |
---|---|
android-platform-frameworks-base | [i386] Genopbygger for at rette afhængighed af android-libhost |
apache2 | Retter split-logfile til at fungere med aktuel perl, secondary-init-script til ikke at indlede det primære skript med 'set -e', kigger efter udskudt MPM-switch; tilføjer versionsafhængig Replaces / Breaks for libapache2-mod-macro |
apt | Skjuler debugfejlmeddelelse ved første pdiff-merge; retter markering af deps ved pkgs i APT::Never-MarkAuto-Sections som manuel; fortolk ikke Status-felter fra fjerne kilder |
apt-dater-host | Retter genkendelse af kerneversion |
apt-offline | Tilføjer manglende afhængighed af python-apt |
arb | Springer over kontrol af compilerversion |
augeas | HTTPD lense: medtager mappen /etc/apache2/conf-available, tillader EOL-kommenterer efter section-tags |
base-files | Opdaterer til punktudgave 8.3; os-release: dropper afsluttende skråstreg i SUPPORT_URL-variabel |
bcfg2 | Understøtter Django 1.7 |
ben | Retter kompakte links til buildd.debian.org; ignorerer potenielle fejl når lockfil slettes; kalder dose-debcheck med --deb-native-arch |
ca-certificates | Opdaterer Mozilla-certificatauthoritybundle til version 2.6 |
ceph | URL-indkapsler bucketnavn [CVE-2015-5245] |
charybdis | Sikkerhedsrettelse [CVE-2015-5290]; initialiserer gnutls på korrekt vis |
chrony | Opbygning afhængig af libcap-dev for at tillade at rettigheder smides væk |
commons-httpclient | Sikrer at HTTPS-kald anvender http.socket.timeout under SSL Handshake [CVE-2015-5262] |
cpuset | Opdaterer præfikspatch af filsystemsnavnerum |
curlftpfs | Ungår usikker cast i getpass() på 64 bit-arkitekturer |
dbconfig-common | Retter rettigheder hørende til PostgreSQL's backupfiler |
debian-handbook | Opdaterer til Jessie |
debian-installer | Genindfører installerfilaftryk for QNAP TS-x09; leverer u-boot-filaftryk til plugcomputere; tilføjer modulet part_gpt til grubs corefilaftryk; tilføjer bip til UEFI x86-startmenu; filer 's'-genvej til tale i UEFI x86-startmenu; fjerner usb-serial-modules fra armels network-console-filaftryk og usb-modules eksplicit fra armel/orion5x network-console; dropper filudvidelsen fra initrd for QNAP-enheder; tilpasser p-u-understøttelse til at håndtere file:// i stedet for kun (f|ht)tp:// |
debian-installer-netboot-images | Genopbygget til denne punktudgave |
docbook2x | Installer ikke info/dir.gz-filer |
doctrine | Retter mapperettighedsproblem [CVE-2015-5723] |
drbd-utils | Retter justeret drbdadm med IPv6-peeradresser |
ejabberd | Retter defekte LDAP-forespørgsler |
exfat-utils | Retter bufferoverløb og uendelig løkke |
exim4 | Retter nogle nedbrud i forbindelse med MIME ACL; retter en fejl som forårsagede duplikerede leveringer, særligt ved TLS-forbindelser |
fglrx-driver | Ny opstrømsudgave; retter sikkerhedsproblem [CVE-2015-7724] |
file | Retter håndtering af --parameter |
flash-kernel | Undgår af vente på Ctrl-C hvis en debconf-frontend anvendes |
fuse-exfat | Retter bufferoverløb og uendelig løkke |
ganglia-modules-linux | Genstart kun ganglia-servicen efter installeringen, hvis den kørte tidligere |
getmail4 | Opsætter poplib._MAXLINE=1MB |
glance | Forhindrer af imagestatus ændres direkte gennem v1 API [CVE-2015-5251] |
glibc | Retter at getaddrinfo nogle gange leverede uinitialiserede data med nscd; retter datakorruption ved læsning af NSS-fildatabase [CVE-2015-5277]; retter bufferoverløb (læsning ud over slutningen af bufferen) i internal_fnmatch; retter heltalsoverløb i _IO_wstr_overflow; retter uventet lukning af nss_files-databaser efter opslag, medførende lammelsesangreb [CVE-2014-8121]; retter NSCD-netgroupcache; deaktiverer betingelsesløst LD_POINTER_GUARD; forvrænger funktionspointere i tls_dtor_list; retter hukommelsesallokeringsproblemer som kunne føre til bufferoverløb i stakken; opdaterer TSX-sortlisten til også at indeholde nogle af Broadwells CPU'er |
gnome-orca | Sikrer korrekt fokus på indtastning af adgangskode, så tegnene ikke gentages |
gnome-shell-extension-weather | Viser en advarsel hvis API-nøgle ikke er leveret af brugeren, da opslag hos openweathermap.org ikke længere fungerer uden en sådan nøgle |
gummi | Undgår forudsigelig navngivning af midlertidige filer [CVE 2015-7758] |
human-icon-theme | debian/clean-up.sh: Kør ikke processer i baggrunden |
ieee-data | Opdaterer medfølgende datafiler, tilføjer mam.txt og oui36.txt; stopper download via HTTPS fordi hverken wget eller curl understøtter TLS-AIA, som nu anvendes af standards.ieee.org |
intel-microcode | Opdaterer medfølgende mikrokode |
iptables-persistent | Stopper at rules-filer kan læses af alle; omskriver README |
isc-dhcp | Retter fejl når makimal lejetid anvendes på 64 bit-systemer |
keepassx | Fix storage of passwords in clear text [CVE-2015-8378] |
libapache-mod-fastcgi | Flytter B-D fra libtool til libtool-bin for at rette buildfejl |
libapache2-mod-perl2 | Retter nedbrud i modperl_interp_unselect() |
libcgi-session-perl | Untaint rå data kommende fra sessionstoragebackends, retter en regression forårsaget af CVE-2015-8607, rettelser i perl |
libdatetime-timezone-perl | Ny opstrømsudgave |
libencode-perl | Håndterer på korrekt vis manglende BOM ved dekodning |
libhtml-scrubber-perl | Retter sårbarhed i forbindelse med udførelse af skripter på tværs af websteder i comments [CVE-2015-5667] |
libinfinity | Retter mulige nedbrud når en post blev fjernet fra dokumentbrowseren og når adgangskontrollister var aktiveret |
libiptables-parse-perl | Retter anvendelse af forudsigelige navne på midlertidige filer [CVE-2015-8326] |
libraw | Retter indeksoverløb i smal_decode_segment [CVE-2015-8366]; retter at hukommelsesobjekter ikke var initialiseret korrekt [CVE-2015-8367] |
libssh | Retter null-pointerdereference på grund af logisk fejl i behandlingen af SSH_MSG_NEWKEYS- og KEXDH_REPLY-pakker[CVE-2015-3146] |
linux | Opdaterer til opstrømsudgaven 3.16.7-ctk20; nbd: genindfører genkendelse af forespørgselstimeout; [x86] aktiverer PINCTRL_BAYTRAIL; [mips*/octeon] aktiverer CAVIUM_CN63XXP1; firmware_class: retter betingelse i mappesøgningsløkke; [x86] KVM: svm: opfanger betingelsesløst #DB [CVE-2015-8104] |
linux-tools | Tilføjer ny hyperv-daemons-pakke |
lldpd | Retter segfault og assertionfejl ved modtagelse af ukorrekt formaterede LLDP-managementadresser |
madfuload | Anvender autoreconf -fi til at rette opbygningsfejl med automake 1.14 |
mdadm | Deaktiverer inkrementiel samling, da det kan medføre problemer med at starte et nedgraderet RAID |
mkvmlinuz | Dirigerer uddata fra run-parts til stderr |
monit | Retter regression med relation til umask i 5.8.1 |
mpm-itk | Retter et problem hvor lukning af forbindelser blev forsøgt i forælderent. Det medførte Connection: closeikke blev respekteret, samt forskellige underlige bivirkninger med SSL-keepalive i visse browsere |
multipath-tools | Retter opdagelse af enheder med blank sysfs-attribut; tilføjer dokumentation af yderligere friendly names-scenarier; init: retter stopfejl når der ikke findes en rootenhed; anvender 'SCSI_IDENT_.*' som standard egenskabshvidliste |
netcfg | Retter is_layer3_qeth på s390x til at udgå af afbryde hvis netværksdriveren ikke er qeth |
nvidia-graphics-drivers | Retter opstrømsudgave [CVE-2015-5950]; retter problem med Unsanitized User Mode Input [CVE-2015-7869] |
nvidia-graphics-drivers-legacy-304xx | Ny opstrømsudgave; retter problem med ikke-fornuftighedskontrolleret User Mode Input [CVE-2015-7869] |
nvidia-graphics-modules | Genopbygger mod nvidia-kernel-source 340.96 |
openldap | Retter et nedbrud når der tilføjes en stor attributværdi med aktiveret auditlog-overlay |
openvpn | Tilføjer --no-block til skriptet if-up.d for at forhindre hængende boot ved interfaces med openvpn-instanser |
owncloud | Retter lokal filmedtagelse på Microsoft Windows Platform [CVE-2015-4716], ressourceudmattelse når filnavne fornuftighedskontrolleres [CVE-2015-4717], kommandoindsprøjtning når ekstern SMB-storage anvendes [CVE-2015-4718], kalendereksport: Authorization Bypass Through User-Controlled Key [CVE-2015-6670]; retter reflekteret XSS i OCS-provideropdagelse [oc-sa-2016-001] [CVE-2016-1498], afsløring af filer som begynder med \.v\på grund af ukontrolleret returværdi [oc-sa-2016-003] [CVE-2016-1500], informationsblotlæggelse gemme mappeliste filskanneren [oc-sa-2016-002] [CVE-2016-1499], afsløring af installeringssti gennem fejlmeddelelse [oc-sa-2016-004] [CVE-2016-1501] |
pam | Retter DoS / brugeroptælling på grund af blokerende pipe i pam_unix [CVE-2015-3238] |
pcre3 | Retter sikkerhedsproblemer [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
pdns | Retter opgraderinger med standardopsætning |
perl | Håndterer på korrekt vis manglende BOM ved dekodning |
php-auth-sasl | Genopbygger med pkg-php-tools 1.28 til korrekte PHP-afhængigheder |
php-doctrine-annotations | Retter problem med mapperettigheder [CVE-2015-5723] |
php-doctrine-cache | Retter problem med fil-/mapperettigheder [CVE-2015-5723] |
php-doctrine-common | Retter filrettighedsproblem [CVE-2015-5723] |
php-dropbox | Nægter at håndtere alle filer indeholdende en @ [CVE-2015-4715] |
php-mail-mimedecode | Genopbygger med pkg-php-tools 1.28 til korrekte PHP-afhængigheder |
php5 | Ny opstrømsudgave |
plowshare4 | Deaktiverer understøttelse af Javascript |
postgresql-9.1 | Ny opstrømsudgave |
pykerberos | Tilføjer understøttelse af KDC-autencitetskontrol [CVE-2015-3206] |
python-yaql | Fjerner defekt python3-yaql-pakke |
qpsmtpd | Retter kompatibilitetsproblem med nyere versioner af Net::DNS |
quassel | Retter fjern-DoS i quasselcore, ved hjælp af kommandoen /op * [CVE-2015-8547] |
redis | Sikrer at en gyldig runtimemappe oprettes når der køres under systemd |
redmine | Retter opgraderinger hvor der er lokalt installerede plugins; retter flytning af problemer på tværs af projekter |
rsyslog | Retter nedbrud i modulet imfile når der anvendes inotify-tilstand; forhindrer en segfault i oprettelse af dynafile |
ruby-bson | Retter DoS og mulig indsprøjtning [CVE-2015-4410] |
s390-dasd | Hvis der ikke findes en kanal, så afslut pænt. Dermed kan s390-dasd træde af vejen på VM'er med virtio-diske |
shadow | Retter fejlhåndtering i genkendelse af optaget bruger |
sparse | Retter buildfejl med llvm-3.5 |
spip | Retter problem med udførelse af skripter på tværs af websteder |
stk | Installerer manglende includefiler, SKINI.{msg,tbl} |
sus | Opdaterer opstrøms tarballs kontrolsummer |
swift | Retter uautoriseret sletning af versioneret Swift-objekt [CVE-2015-1856]; retter informationslækage gennem Swift-tempurls [CVE-2015-5223]; retter servicenavn på object-expirer i initsckipt; tilføjer initskriptet container-sync; standardisererbrugertilføjelse |
systemd | Retter defekt navnerum på grund af ukorrekt stisortering; foretage ikke timeout efter 90 sekunder når der ikke er angivet en adgangskode til cryptsetup-enheder; opsæt kun kernens tidezone når RTC'en kører med lokal tid, hvilket forhindrer mulige spring tilbage i tiden; retter forkert håndtering af kommaseparater i systemd-delta; gør det muligt at indstille DHCP-broadcastvirkemåde i systemd-networkd |
tangerine-icon-theme | debian/clean-up.sh: kør ikke processer i baggrunden |
torbrowser-launcher | Tilføj virkelig patches fra 0.1.9-1+deb8u1; stopoper indespærring af skriptet start-tor-browser med AppArmor; opsætter AppArmor-profiler i usr.bin.torbrowser-launcher til complain-tilstand |
ttylog | Retter trunkering af enhedsnavn når der vælges enhed |
tzdata | Retter opstrømsudgave |
uqm | Tilføjer manglende -lm-flag, retter buildfejl |
vlc | Ny stabile opstrømsudgave |
webkitgtk | Ny stabile opstrømsudgave; retter send verifikering af TLS-certifikat[CVE-2015-2330] |
wxmaxima | Forhindrer nedbrud når der stødes på parenteser i dialoger |
zendframework | Retter entropiproblem med captcha [ZF2015-09] |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
Pakke | Årsag |
---|---|
core-network | Sikkerhedsproblemer |
elasticsearch | Understøttes ikke længere |
googlecl | Defekt på grund af afhængighed af forældede API'er |
libnsbmp | Sikkerhedsproblemer, vedligeholdes ikke |
libnsgif | Sikkerhedsproblemer, vedligeholdes ikke |
vimperator | Ikke kompatibel med nyere versioner af iceweasel |
Debian Installer
Installeringsprogrammet er opdateret for at genindføre understørrelse af QNAP TS-x09-enhed og for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.