Обновлённый Debian 8: выпуск 8.3

23 Января 2016

Проект Debian с радостью сообщает о третьем обновлении своего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском jessie, для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.

Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
android-platform-frameworks-base [i386] повторная сборка с целью исправления зависимости от android-libhost
apache2 Исправление split-logfile для работы с текущей версией perl, исправление secondary-init-script, чтобы для основного сценария инициализации не использовалась команда 'set -e', тесты отложенного переключения MPM; добавление зависимостей вида Replaces / Breaks с указанием версий для libapache2-mod-macro
apt Скрытие первого отладочного сообщения об ошибке слияния pdiff; исправление отметок зависимостей пакетов в APT::Never-MarkAuto-Sections в качестве установленных вручную; отключение грамматического разбора полей Status с удалённых источников
apt-dater-host Исправление определения версии ядра
apt-offline Добавление отсутствующей зависимости от python-apt
arb Пропуск проверки версии компилятора
augeas Линза HTTPD: добавление каталога /etc/apache2/conf-available, разрешение комментариев EOL после раздела тегов
base-files Обновление для редакции 8.3; os-release: сброс косой черты в конце значения переменной SUPPORT_URL
bcfg2 Поддержка Django 1.7
ben Исправление компактных ссылок buildd.debian.org; игнорирование потенциальных ошибок при удалении файла блокировки; вызов dose-debcheck с опцией --deb-native-arch
ca-certificates Обновление набора сертификатов Mozilla до версии 2.6
ceph Кодирующее URL имя участка памяти [CVE-2015-5245]
charybdis Исправление безопасности [CVE-2015-5290]; корректная инициализация gnutls
chrony Сборочная зависимость от libcap-dev, что позволяет сбрасывать привилегии
commons-httpclient Отслеживание того, чтоб вызовы HTTPS использовали http.socket.timeout во время рукопожатия SSL [CVE-2015-5262]
cpuset Обновление заплаты префикса пространства имён файловой системы
curlftpfs Исключение небезопасного приведения типов для getpass() на 64-битных архитектурах
dbconfig-common Исправление прав доступа к файлам резервного копирования PostgreSQL
debian-handbook Обновление для выпуска Jessie
debian-installer Повторное включение в состав установочных образов для QNAP TS-x09; предоставление образов u-boot для штепсельных компьютеров; добавление модуля part_gpt в базовый образ grub; добавление звукового сигнала для меню загрузки UEFI x86; добавление горячей клавиши 's' для речевой функции загрузочного меню UEFI x86; исключение usb-serial-modules из сетевого образа armel с поддержкой консоли и usb-modules из сетевых образом armel/orion5x с поддержкой консоли; игнорирование расширения файла initrd для устройств QNAP; настройка поддержки p-u для работы с файлами file://, а не только с (f|ht)tp://
debian-installer-netboot-images Повторная сборка для данной редакции
docbook2x Отмена установки файлов info/dir.gz
doctrine Исправление проблемы с правами доступа к каталогам [CVE-2015-5723]
drbd-utils Исправление настройки drbdadm с одноранговыми адресами IPv6
ejabberd Исправление некорректных запросов LDAP
exfat-utils Исправление переполнения буфера и бесконечного цикла
exim4 Исправление некоторых связанных с MIME ACL аварийных остановок работы; исправление ошибки, приводящей к доставке дубликатов (в особенности при соединении TLS)
fglrx-driver Новая версия основной ветки разработки; исправление проблемы безопасности [CVE-2015-7724]
file Исправление обработки --parameter
flash-kernel Прекращение ожидания Ctrl-C в случае использования какого-либо интерфейса debconf
fuse-exfat Исправление переполнения буфера и бесконечного цикла
ganglia-modules-linux Перезапуск службы ganglia только после её установки (в случае, если ранее служба работала)
getmail4 Установка poplib._MAXLINE=1MB
glance Предотвращение прямого изменения статуса изображения через API версии 1 [CVE-2015-5251]
glibc Исправление случаев, когда getaddrinfo возвращает неинициализированные данные с nscd; исправление повреждения данных при выполнении чтения файлов базы данных NSS [CVE-2015-5277]; исправление переполнения буфера (чтение за пределами выделенного буфера) в internal_fnmatch; исправление переполнения целых чисел в _IO_wstr_overflow; исправление неожиданного закрытия баз данных nss_files после выполнения поиска, приводящего к отказу в обслуживании [CVE-2014-8121]; исправление кэша сетевой группы NSCD; обязательное отключение LD_POINTER_GUARD; деформация указателей функций в tls_dtor_list; исправление проблем выделения памяти, которые могут приводить к переполнениям буфера в стеке; обновление чёрного списка TSX с целью добавления некоторых ЦП Broadwell
gnome-orca Отслеживание правильного фокуса ввода при вводе пароля с целью недопущения экранирования символов
gnome-shell-extension-weather Отображение предупреждения в случае, если API-ключ не передан пользователем, поскольку запросы к openweathermap.org более не работают без такого ключа
gummi Недопущение предсказуемых имён для временных файлов [CVE 2015-7758]
human-icon-theme debian/clean-up.sh: не запускать процессы в фоне
ieee-data Обновление включённых в пакет файлов данных, добавление mam.txt и oui36.txt; прекращение загрузки через HTTPS, поскольку ни wget, ни curl не поддерживают TLS AIA, используемый сейчас на standards.ieee.org
intel-microcode Обновление микрокода
iptables-persistent Прекращение ситуации, при которой файлы правил открыты для чтения всем пользователям; повторное написание README
isc-dhcp Исправление ошибки, при которой максимальное время аренды адреса использовалось на 64-битных системах
keepassx Исправление хранения паролей в незашифрованном виде [CVE-2015-8378]
libapache-mod-fastcgi Переход B-D с libtool на libtool-bin с целью исправления ошибки сборки
libapache2-mod-perl2 Исправление аварийных остановок в modperl_interp_unselect()
libcgi-session-perl Незаразные необработанные данные приходят от движков хранения сессии, что исправляет регресс, вызванный исправлением CVE-2015-8607 в perl
libdatetime-timezone-perl Новый выпуск основной ветки разработки
libencode-perl Корректная обработка отсутствия BOM при декодировании
libhtml-scrubber-perl Исправление межсайтового скриптинга в комментариях [CVE-2015-5667]
libinfinity Исправление возможных аварийных остановок работы в случае, когда сущность удаляется из программы просмотра документа, а списки управления доступом включены
libiptables-parse-perl Исправление использования предсказуемых имён для временных файлов [CVE-2015-8326]
libraw Исправление переполнения указателя в smal_decode_segment [CVE-2015-8366]; исправление ситуации, при которой объекты памяти инициализировались неправильно [CVE-2015-8367]
libssh Исправление разыменования null-указателя из-за логической ошибки в коде обработки пакетов SSH_MSG_NEWKEYS и KEXDH_REPLY [CVE-2015-3146]
linux Обновление от выпуска 3.16.7-ctk20 из основной ветки разработки; nbd: восстановление обнаружения истечения срока ожидания по времени для запроса; [x86] включение PINCTRL_BAYTRAIL; [mips*/octeon] включение CAVIUM_CN63XXP1; firmware_class: исправление цикла в поиске в каталоге; [x86] KVM: svm: обязательный перехват #DB [CVE-2015-8104]
linux-tools Новый пакет hyperv-daemons
lldpd Исправление ошибки сегментирования и ошибки утверждения при получении некорректно сформированных управляющих адресов LLDP
madfuload Использование autoreconf -fi для исправления ошибки сборки с automake 1.14
mdadm Отключение инкрементального ассемблера, поскольку это может приводить к проблемам загрузки на повреждённом RAID
mkvmlinuz Направление вывода run-parts в stderr
monit Исправление связанного с umask регресса из версии 5.8.1
mpm-itk Исправление проблемы, при которой попытка закрытия соединений производилась в родительском процессе. Это может приводить к тому, что сообщение Connection: close не выводится, а также к некоторым странным эффектам, связанным с keepalive-сообщениями SSL, в некоторых браузерах
multipath-tools Исправление обнаружения устройств с пустым атрибутом sysfs; добавление документации по ряду дополнительных сценариев именования; init: исправление ошибки остановки в случае невозможности обнаружения корневого устройства; использование 'SCSI_IDENT_.*' в качестве разрешённого списка свойств по умолчанию
netcfg Исправление is_layer3_qeth на s390x с целью избежать ситуации, когда используется отличный от qeth сетевой драйвер
nvidia-graphics-drivers Новый выпуск основной ветки разработки [CVE-2015-5950]; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx Новый выпуск основной ветки разработки; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869]
nvidia-graphics-modules Повторная сборка с использованием пакета nvidia-kernel-source 340.96
openldap Исправление аварийной остановки при добавлении большого значения атрибута при условии включенного оверлея auditlog
openvpn Добавлении --no-block к сценарию if-up.d с целью избежать зависания при загрузке системы на интерфейсах с openvpn
owncloud Исправление включения локального файла на платформе Microsoft Windows [CVE-2015-4716], истощение ресурсов при очистке имён файлов [CVE-2015-4717], инъекция команд с использованием внешнего хранилища SMB [CVE-2015-4718], экспорт календаря: обход авторизации через контролируемый пользователем ключ [CVE-2015-6670]; исправление отображённого XSS в коде обнаружения поставщика OCS [oc-sa-2016-001] [CVE-2016-1498], раскрытие файлов, начинающихся с \.v\, из-за возвращаемого значения без проверки последнего [oc-sa-2016-003] [CVE-2016-1500], раскрытие информации через листинг каталога в сканере файлов [oc-sa-2016-002] [CVE-2016-1499], раскрытие пути установки через сообщение об ошибке [oc-sa-2016-004] [CVE-2016-1501]
pam Исправление DoS / перечисления пользователей из-за блокировки канала в pam_unix [CVE-2015-3238]
pcre3 Исправление проблем безопасности [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388]
pdns Исправление обновления с настройками по умолчанию
perl Правильная обработка отсутствия BOM при выполнении декодирования
php-auth-sasl Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP
php-doctrine-annotations Исправление проблемы с правами доступа к каталогам [CVE-2015-5723]
php-doctrine-cache Исправление проблемы с правами доступа к файлам / каталогам [CVE-2015-5723]
php-doctrine-common Исправление проблемы с правами доступа к файлам [CVE-2015-5723]
php-dropbox Отказ от обработки файлов, содержащих @ [CVE-2015-4715]
php-mail-mimedecode Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP
php5 Новый выпуск основной ветки разработки
plowshare4 Отключения поддержки Javascript
postgresql-9.1 Новый выпуск основной ветки разработки
pykerberos Добавление поддержки проверки подлинности KDC [CVE-2015-3206]
python-yaql Удаление сломанного пакета python3-yaql
qpsmtpd Исправление проблемы совместимости с более новыми версиями Net::DNS
quassel Исправление удалённого DoS в базовой части quassel, использующего команду /op * [CVE-2015-8547]
redis Проверка того, чтобы каталог времени исполнения создавался при запуске из-под systemd
redmine Исправление обновлений при наличии локально установленных дополнений; исправление проблем с перемещениями между проектами
rsyslog Исправление аварийной остановки в модуле imfile при использовании режима inotify; предотвращение ошибки сегментирования при создании dynafile
ruby-bson Исправление DoS и возможной инъекции [CVE-2015-4410]
s390-dasd При отсутствии канала осуществлять выход. Это позволяет s390-dasd не мешать виртуальным машинам с дисками virtio
shadow Исправление обработки ошибок в коде определения занятых пользователей
sparse Исправление ошибок сборки с использованием llvm-3.5
spip Исправление межсайтового скриптинга
stk Установка отсутствующих файлов SKINI.{msg,tbl}
sus Обновление контрольной суммы для архива из основной ветки разработки
swift Исправление неавторизованного удаления версионированного объекта Swift [CVE-2015-1856]; исправление утечки информации через временные адреса Swift [CVE-2015-5223]; исправление имени службы object-expirer в сценарии инициализации; добавление сценария инициализации container-sync; стандартизация пользовательских дополнений
systemd Исправление поломки пространства имён из-за неправильной сортировки пути; не использовать истечение срока ожидания после 90 секунд в случае, если для устройств cryptsetup не был введён пароль; устанавливать временную зону ядра только в том случае, если RTC работает в режиме локального времени, что позволяет избегать перемещение во времени назад; исправление некорректной обработки запятой в качестве разделителя в systemd-delta; позволить осуществлять настройки DHCP в systemd-networkd
tangerine-icon-theme debian/clean-up.sh: не запускать процессы в фоне
torbrowser-launcher Применение заплат из 0.1.9-1+deb8u1; прекращение изолирования сценария start-tor-browser с помощью AppArmor; установка профиля usr.bin.torbrowser-launcher для AppArmor в режим вывода предупреждений
ttylog Исправление усечения имени устройства при выборе устройства
tzdata Новый выпуск основной ветки разработки
uqm Добавление отсутствующего флага -lm, исправление ошибки сборки
vlc Новый стабильный выпуск основной ветки разработки
webkitgtk Новый стабильный выпуск основной ветки разработки; исправление поздней проверки сертификата TLS [CVE-2015-2330]
wxmaxima Предотвращение аварийной остановки при обнаружении в диалогах скобок
zendframework Исправление проблемы с энтропией в каптче [ZF2015-09]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3208 freexl
DSA-3235 openjdk-7
DSA-3280 php5
DSA-3311 mariadb-10.0
DSA-3316 openjdk-7
DSA-3324 icedove
DSA-3327 squid3
DSA-3332 wordpress
DSA-3337 gdk-pixbuf
DSA-3344 php5
DSA-3346 drupal7
DSA-3347 pdns
DSA-3348 qemu
DSA-3350 bind9
DSA-3351 chromium-browser
DSA-3352 screen
DSA-3353 openslp-dfsg
DSA-3354 spice
DSA-3355 libvdpau
DSA-3356 openldap
DSA-3357 vzctl
DSA-3358 php5
DSA-3359 virtualbox
DSA-3360 icu
DSA-3361 qemu
DSA-3363 owncloud-client
DSA-3364 linux
DSA-3365 iceweasel
DSA-3366 rpcbind
DSA-3367 wireshark
DSA-3368 cyrus-sasl2
DSA-3369 zendframework
DSA-3370 freetype
DSA-3371 spice
DSA-3373 owncloud
DSA-3374 postgresql-9.4
DSA-3375 wordpress
DSA-3376 chromium-browser
DSA-3377 mysql-5.5
DSA-3378 gdk-pixbuf
DSA-3379 miniupnpc
DSA-3380 php5
DSA-3381 openjdk-7
DSA-3382 phpmyadmin
DSA-3384 virtualbox
DSA-3385 mariadb-10.0
DSA-3386 unzip
DSA-3387 openafs
DSA-3388 ntp
DSA-3390 xen
DSA-3391 php-horde
DSA-3392 freeimage
DSA-3393 iceweasel
DSA-3394 libreoffice
DSA-3395 krb5
DSA-3397 wpa
DSA-3398 strongswan
DSA-3399 libpng
DSA-3400 lxc
DSA-3401 openjdk-7
DSA-3402 symfony
DSA-3403 libcommons-collections3-java
DSA-3404 python-django
DSA-3405 smokeping
DSA-3406 nspr
DSA-3407 dpkg
DSA-3409 putty
DSA-3411 cups-filters
DSA-3412 redis
DSA-3413 openssl
DSA-3414 xen
DSA-3415 chromium-browser
DSA-3416 libphp-phpmailer
DSA-3417 bouncycastle
DSA-3418 chromium-browser
DSA-3419 cups-filters
DSA-3420 bind9
DSA-3421 grub2
DSA-3422 iceweasel
DSA-3423 cacti
DSA-3424 subversion
DSA-3425 tryton-server
DSA-3426 linux
DSA-3427 blueman
DSA-3428 tomcat8
DSA-3429 foomatic-filters
DSA-3430 libxml2
DSA-3431 ganeti
DSA-3433 ldb
DSA-3433 samba
DSA-3434 linux
DSA-3435 git
DSA-3438 xscreensaver
DSA-3439 prosody
DSA-3440 sudo
DSA-3441 perl
DSA-3442 isc-dhcp
DSA-3443 libpng
DSA-3444 wordpress
DSA-3445 pygments
DSA-3446 openssh

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
core-network Проблемы безопасности
elasticsearch Более не поддерживается
googlecl Сломан из-за использование устаревшего API
libnsbmp Проблемы безопасности, не сопровождается
libnsgif Проблемы безопасности, не сопровождается
vimperator Несовместим со свежими версиями iceweasel

Программа установки Debian

Программа установки была обновлена с целью повторного добавления поддержки устройств QNAP TS-x09, а также для включения исправлений стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.