Debian 8 更新: 8.3 リリース
2016 年 1 月 23 日
Debian プロジェクトは安定版 (stable) ディストリビューション Debian
8 (コード名 jessie
) の3回目の更新を発表できることを嬉しく思います。
この更新は主にセキュリティ問題の修正を安定版 (stable)
リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。
セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。
この更新は Debian 8 の新しいバージョンを構成するといった性質のものではなく、
収録されているパッケージの一部を更新するだけであることに注意してください。
古い jessie
のCDやDVDを投げ捨てる必要はなく、インストール後に最新の
Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。
頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。
新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。
オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:
様々なバグ修正
この安定版 (stable) の更新では以下のパッケージに重要な修正が加えられています:
パッケージ | 理由 |
---|---|
android-platform-frameworks-base | [i386] 再ビルドして android-libhost への依存を修正 |
apache2 | split-logfile を現在の perl で動作するように修正。メインの初期化スクリプトを「set -e」でソースとしないように secondary-init-script を修正。先送りした MPM 切り替え時のテストを修正。libapache2-mod-macro への バージョンを指定した 置換 (Replaces) / 破壊 (Breaks) を追加 |
apt | 最初の pdiff マージ失敗デバッグ用メッセージを出さないように。APT::Never-MarkAuto-Sections にあるパッケージの依存を手動でインストールしたと設定する処理を修正。リモートから取得したソースの Status フィールドを解析しないように |
apt-dater-host | カーネルバージョン検出を修正 |
apt-offline | 欠けている python-apt への依存を追加 |
arb | コンパイラのバージョン確認を省略 |
augeas | HTTPD lense: /etc/apache2/conf-available ディレクトリを含めるように。節タグ以降のコメントに改行を使えるように |
base-files | 8.3 ポイントリリース向けに更新。os-release: SUPPORT_URL 変数末尾のスラッシュを除去 |
bcfg2 | Django 1.7 をサポート |
ben | buildd.debian.org の小型表示版へのリンクを修正。ロックファイル削除時に出る可能性があるエラーを無視。dose-debcheck を --deb-native-arch を指定して呼び出し |
ca-certificates | 同梱の Mozilla CA をバージョン 2.6 に更新 |
ceph | バケット名をURLエンコード [CVE-2015-5245] |
charybdis | セキュリティ修正 [CVE-2015-5290]。gnutls を適切に初期化 |
chrony | libcap-dev にビルド依存し、権限を落とせるように |
commons-httpclient | HTTPS の呼び出しでSSLハンドシェイク時に必ず http.socket.timeout を使うように [CVE-2015-5262] |
cpuset | ファイルシステム名前空間の接頭辞パッチを更新 |
curlftpfs | 64ビットアーキテクチャで getpass() の安全でない呼び方を回避 |
dbconfig-common | PostgreSQL バックアップファイルの権限を修正 |
debian-handbook | Jessie 向けに更新 |
debian-installer | QNAP TS-x09 向けインストーラのイメージを再導入。プラグコンピュータ向けに U-Boot イメージを提供。part_gpt モジュールをコアの grub イメージに追加。UEFI の x86 ブートメニューにビープ音を追加。UEFI の x86 ブートメニューに音声合成のショートカットとして「s」キーを追加。armel の network-console イメージから usb-serial-modules を、armel/orion5x の network-console イメージから usb-modules を明示的に除外。QNAP デバイス向けの initrd からファイルの拡張子を除去。(f|ht)tp:// だけでなく file:// を扱えるように p-u サポートを調整。 |
debian-installer-netboot-images | ポイントリリース向けに再ビルド |
docbook2x | info/dir.gz ファイルをインストールしないように |
doctrine | ディレクトリ権限の問題を修正 [CVE-2015-5723] |
drbd-utils | IPv6 ピアアドレスを調整して drbdadm を修正 |
ejabberd | LDAP クエリーが壊れていたのを修正 |
exfat-utils | バッファオーバーフローと無限ループを修正 |
exim4 | MIME ACL 関連のクラッシュをいくらか修正。特にTLS接続で多重配送を引き起こすバグを修正 |
fglrx-driver | 新しい上流リリース、セキュリティ問題を修正 [CVE-2015-7724] |
file | --parameter の処理を修正 |
flash-kernel | debconf フロントエンドが他に動作している場合に Ctrl-C を待たないように |
fuse-exfat | バッファオーバーフローと無限ループを修正 |
ganglia-modules-linux | 以前に実行されていた場合にのみ ganglia サービスをインストール後に再起動 |
getmail4 | poplib._MAXLINE=1MB をセット |
glance | イメージの状態がv1 API 経由で直接変更されないように [CVE-2015-5251] |
glibc | nscd で初期化されていないデータを getaddrinfo が返すことがあるのを修正。NSS ファイルデータベースを読み込む際のデータ破損を修正 [CVE-2015-5277]。internal_fnmatch でのバッファオーバーフロー (過去のバッファ終端を読み取る) を修正。_IO_wstr_overflow での整数オーバーフローを修正。nss_files データベースを予期せず閉じてサービス拒否を引き起こすのを修正 [CVE-2014-8121]。NSCD ネットグループのキャッシュを修正。LD_POINTER_GUARD を無条件で無効化。関数ポインタを tls_dtor_list で変更するように。スタックでのバッファオーバーフローにつながる可能性のあるメモリ割り当ての問題を修正。TSX ブラックリストを更新し、Broadwell CPU の一部を収録 |
gnome-orca | パスワードの入力時に正しいフォーカスを確保し、文字を反復しないように |
gnome-shell-extension-weather | openweathermap.org は API キーがないと機能しなくなっているため、ユーザからキーが提供されない場合に警告を表示 |
gummi | 一時ファイルに予測可能な名前を付けないように [CVE 2015-7758] |
human-icon-theme | debian/clean-up.sh: プロセスをバックグラウンドで実行しないように |
ieee-data | 収録しているデータファイルを更新し、mam.txt と oui36.txt を追加。現在 standards.ieee.org で採用している TLS AIA を wget も curl もサポートしないため、HTTPS 経由でダウンロードするのを廃止 |
intel-microcode | 収録しているマイクロコードを更新 |
iptables-persistent | rules ファイルを誰でも書き込める状態にするのを廃止。README を書き直し |
isc-dhcp | 64ビットのシステムで最大リース時間を使っている場合のエラーを修正 |
keepassx | パスワードを平文のテキストで保存していたのを修正 [CVE-2015-8378] |
libapache-mod-fastcgi | 構築依存を libtool から libtool-bin に切り替え、ビルドに失敗するのを修正 |
libapache2-mod-perl2 | modperl_interp_unselect() でのクラッシュを修正 |
libcgi-session-perl | セッションストレージバックエンドから送られたデータの汚染を除去し、perl の CVE-2015-8607 の修正によるリグレッションを修正 |
libdatetime-timezone-perl | 新しい上流リリース |
libencode-perl | デコード時に BOM がない場合に正しく処理 |
libhtml-scrubber-perl | コメントのクロスサイトスクリプティング脆弱性を修正 [CVE-2015-5667] |
libinfinity | 文書ブラウザから項目が削除された場合とアクセス制御リストが有効になっている場合にクラッシュする可能性を修正 |
libiptables-parse-perl | 一時ファイルに予測可能な名前を使うのを修正 [CVE-2015-8326] |
libraw | smal_decode_segment での索引オーバーフローを修正 [CVE-2015-8366]。メモリオブジェクトが適切に初期化されていないのを修正 [CVE-2015-8367] |
libssh | SSH_MSG_NEWKEYS 及び KEXDH_REPLY パケットの処理にある論理エラーによる NULL ポインタ参照を修正[CVE-2015-3146] |
linux | 上流リリース 3.16.7-ctk20 に更新。nbd: リクエストタイムアウトの検出を復旧。[x86] PINCTRL_BAYTRAIL を有効化。[mips*/octeon] CAVIUM_CN63XXP1 を有効化。firmware_class: ディレクトリ検索ループの条件を修正。[x86] KVM: svm: #DB (デバッグ例外) に無条件で割り込み [CVE-2015-8104] |
linux-tools | 新しい hyperv-daemons パッケージを追加 |
lldpd | 誤った形式の LLDP 管理アドレスを受け取った場合のセグメンテーション違反とアサート失敗を修正 |
madfuload | autoreconf -fi を使い、automake 1.14 でのビルド失敗を修正 |
mdadm | グレードを下げた RAID のブートで問題を引き起こす可能性があるため増分アセンブリを無効化 |
mkvmlinuz | run-parts の出力を表示されるエラーにリダイレクト |
monit | 5.8.1 からの umask 関連のリグレッションを修正 |
mpm-itk | 親側で接続を閉じようとした場合の問題を修正。これによりConnection: closeを守らない他、特定のブラウザでの SSL keepalive に変な影響がいろいろとあるかもしれません |
multipath-tools | sysfs 属性の値がないデバイスの検出を修正。わかりやすい名前を使う場合を対象とする文言を追加。init: root デバイスが見つからない場合に停止に失敗するのを修正。デフォルトのプロパティのホワイトリストとして「SCSI_IDENT_.*」を使用 |
netcfg | s390x の is_layer3_qeth を修正し、ネットワークドライバが qeth でない場合に放置しないように |
nvidia-graphics-drivers | 新しい上流リリース [CVE-2015-5950]。ユーザモードの入力がサニタイズされない問題を修正 [CVE-2015-7869] |
nvidia-graphics-drivers-legacy-304xx | 新しい上流リリース。ユーザモードの入力がサニタイズされない問題を修正 [CVE-2015-7869] |
nvidia-graphics-modules | nvidia-kernel-source 340.96 に対して再ビルド |
openldap | 監査ログオーバーレイが有効化されている場合に巨大な属性値を追加するとクラッシュするのを修正 |
openvpn | if-up.d スクリプトに --no-block を追加し、openvpn のインターフェイスでブートがハングするのを回避 |
owncloud | Microsoft Windows プラットフォームでのローカルファイル取り込み [CVE-2015-4716]、ファイル名を無害化する際にリソースを使い果たす [CVE-2015-4717]、外部 SMB ストレージ利用時のコマンドインジェクション [CVE-2015-4718]、カレンダーのエクスポート: User-Controlled Key を経由した認証の迂回 [CVE-2015-6670]、OCS プロバイダー検出での反射型XSS [oc-sa-2016-001] [CVE-2016-1498]、戻り値を確認していないことによる、.vから始まるファイルの漏洩 [oc-sa-2016-003] [CVE-2016-1500]、ファイルスキャナでのディレクトリ一覧を経由した情報漏洩 [oc-sa-2016-002] [CVE-2016-1499]、エラーメッセージからのインストールパス公開 [oc-sa-2016-004] [CVE-2016-1501] を修正 |
pam | pam_unix でのパイプをブロックすることによる DoS / ユーザ列挙を修正 [CVE-2015-3238] |
pcre3 | セキュリティ問題を修正 [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
pdns | デフォルト設定でのアップグレードを修正 |
perl | デコード時に BOM がない場合に正しく処理 |
php-auth-sasl | pkg-php-tools 1.28 に対して再ビルドし、PHP依存を修正 |
php-doctrine-annotations | ディレクトリ権限の問題を修正 [CVE-2015-5723] |
php-doctrine-cache | ファイル / ディレクトリ権限の問題を修正 [CVE-2015-5723] |
php-doctrine-common | ファイル権限の問題を修正 [CVE-2015-5723] |
php-dropbox | @ を含んでいるファイルの処理を全て拒否 [CVE-2015-4715] |
php-mail-mimedecode | pkg-php-tools 1.28 で再ビルドし、PHP依存を修正 |
php5 | 新しい上流リリース |
plowshare4 | Javascript サポートを無効化 |
postgresql-9.1 | 新しい上流リリース |
pykerberos | KDC 信頼性検証のサポートを追加 [CVE-2015-3206] |
python-yaql | 壊れている python3-yaql パッケージを削除 |
qpsmtpd | Net::DNS の新しいバージョンとの互換性の問題を修正 |
quassel | /op * コマンドによる quassel コアのリモートDoSを修正 [CVE-2015-8547] |
redis | systemd で使っている場合に有効な実行ディレクトリが必ず作成されるように |
redmine | プラグインがローカルにインストールされている場合のアップグレードを修正。プロジェクトをまたぐ移動の問題を修正 |
rsyslog | inotify モードを使っている場合に imfile モジュールでクラッシュするのを修正。dynafile 作成時のセグメンテーション違反を修正 |
ruby-bson | DoS と潜在的なインジェクションを修正 [CVE-2015-4410] |
s390-dasd | チャンネルが見つからない場合にきれいに終了するように。これにより s390-dasd で virtio ディスクを使っているVMでの異常から離脱できるように |
shadow | ユーザ検出が立て込んでいるときのエラー処理を修正 |
sparse | llvm-3.5 でのビルド失敗を修正 |
spip | クロスサイトスクリプティングの問題を修正 |
stk | 欠けている SKINI.{msg,tbl} インクルードファイルをインストール |
sus | 上流 tar アーカイブのチェックサムを更新 |
swift | バージョン付き Swift オブジェクトを承認なく削除するのを修正 [CVE-2015-1856]。Swift の一時URLを経由した情報漏洩を修正 [CVE-2015-5223]。初期化スクリプト中の objec-expirer のサービス名を修正。container-sync 初期化スクリプトを追加。ユーザの追加を標準化 |
systemd | パスのソートが誤っていることによる名前空間の破損を修正。デバイス用のパスワードが入力されていなかった場合に90秒後までタイムアウトしないように。RTC がローカルタイムで動作している場合にのみカーネルのタイムゾーンをセットするようにし、時間が巻き戻る可能性を回避。systemd-delta の区切り文字であるコンマの処理が誤っていたのを修正。DHCP ブロードキャストの挙動を systemd-networkd で設定できるように |
tangerine-icon-theme | debian/clean-up.sh: プロセスをバックグラウンドで実行しないように |
torbrowser-launcher | 0.1.9-1+deb8u1 のパッチを本当に適用。スクリプトを AppArmor で制限するのを一旦廃止。usr.bin.torbrowser-launcher の AppArmor プロファイルに「complain」モードをセット |
ttylog | デバイス選択時にデバイス名が切り詰められるのを修正 |
tzdata | 新しい上流リリース |
uqm | 欠けていた -lm フラグを追加してビルド失敗を修正 |
vlc | 新しい上流安定版リリース |
webkitgtk | 新しい上流安定版リリース。TLS証明書の検証が遅れるのを修正 [CVE-2015-2330] |
wxmaxima | ダイアログに「(」「)」があるとクラッシュするのを回避 |
zendframework | captcha の無秩序さの問題を修正 [ZF2015-09] |
セキュリティ更新
この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:
削除されたパッケージ
以下のパッケージが私たちの力の及ばない事情により削除されました:
パッケージ | 理由 |
---|---|
core-network | セキュリティ問題 |
elasticsearch | サポートされなくなっている |
googlecl | 時代遅れのAPIに依存しているため使えない |
libnsbmp | セキュリティ問題、保守されていない |
libnsgif | セキュリティ問題、保守されていない |
vimperator | iceweasel の新しいバージョンとの互換性がない |
Debian インストーラ
インストーラが更新され、QNAP TS-x09 機器のサポートが再び導入されるとともにこのポイントリリースまでに安定版 (stable) に盛り込まれた修正が収録されています。
URL
このリリースで変更されたパッケージの完全なリスト:
現在の安定版 (stable) ディストリビューション:
安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):
安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):
セキュリティ関連のアナウンスと情報について:
Debian について
Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。
連絡先について
より詳細な情報については、https://www.debian.org/ を訪れるか、 <press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。