Обновлённый Debian 8: выпуск 8.3
23 Января 2016
Проект Debian с радостью сообщает о третьем обновлении своего
стабильного выпуска Debian 8 (кодовое имя jessie
).
Это обновление в основном содержит исправления проблем безопасности стабильного
выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
8, но лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать компакт-диски и DVD с выпуском jessie
, для обновления
устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian
после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
android-platform-frameworks-base | [i386] повторная сборка с целью исправления зависимости от android-libhost |
apache2 | Исправление split-logfile для работы с текущей версией perl, исправление secondary-init-script, чтобы для основного сценария инициализации не использовалась команда 'set -e', тесты отложенного переключения MPM; добавление зависимостей вида Replaces / Breaks с указанием версий для libapache2-mod-macro |
apt | Скрытие первого отладочного сообщения об ошибке слияния pdiff; исправление отметок зависимостей пакетов в APT::Never-MarkAuto-Sections в качестве установленных вручную; отключение грамматического разбора полей Status с удалённых источников |
apt-dater-host | Исправление определения версии ядра |
apt-offline | Добавление отсутствующей зависимости от python-apt |
arb | Пропуск проверки версии компилятора |
augeas | Линза HTTPD: добавление каталога /etc/apache2/conf-available, разрешение комментариев EOL после раздела тегов |
base-files | Обновление для редакции 8.3; os-release: сброс косой черты в конце значения переменной SUPPORT_URL |
bcfg2 | Поддержка Django 1.7 |
ben | Исправление компактных ссылок buildd.debian.org; игнорирование потенциальных ошибок при удалении файла блокировки; вызов dose-debcheck с опцией --deb-native-arch |
ca-certificates | Обновление набора сертификатов Mozilla до версии 2.6 |
ceph | Кодирующее URL имя участка памяти [CVE-2015-5245] |
charybdis | Исправление безопасности [CVE-2015-5290]; корректная инициализация gnutls |
chrony | Сборочная зависимость от libcap-dev, что позволяет сбрасывать привилегии |
commons-httpclient | Отслеживание того, чтоб вызовы HTTPS использовали http.socket.timeout во время рукопожатия SSL [CVE-2015-5262] |
cpuset | Обновление заплаты префикса пространства имён файловой системы |
curlftpfs | Исключение небезопасного приведения типов для getpass() на 64-битных архитектурах |
dbconfig-common | Исправление прав доступа к файлам резервного копирования PostgreSQL |
debian-handbook | Обновление для выпуска Jessie |
debian-installer | Повторное включение в состав установочных образов для QNAP TS-x09; предоставление образов u-boot для штепсельныхкомпьютеров; добавление модуля part_gpt в базовый образ grub; добавление звукового сигнала для меню загрузки UEFI x86; добавление горячей клавиши 's' для речевой функции загрузочного меню UEFI x86; исключение usb-serial-modules из сетевого образа armel с поддержкой консоли и usb-modules из сетевых образом armel/orion5x с поддержкой консоли; игнорирование расширения файла initrd для устройств QNAP; настройка поддержки p-u для работы с файлами file://, а не только с (f|ht)tp:// |
debian-installer-netboot-images | Повторная сборка для данной редакции |
docbook2x | Отмена установки файлов info/dir.gz |
doctrine | Исправление проблемы с правами доступа к каталогам [CVE-2015-5723] |
drbd-utils | Исправление настройки drbdadm с одноранговыми адресами IPv6 |
ejabberd | Исправление некорректных запросов LDAP |
exfat-utils | Исправление переполнения буфера и бесконечного цикла |
exim4 | Исправление некоторых связанных с MIME ACL аварийных остановок работы; исправление ошибки, приводящей к доставке дубликатов (в особенности при соединении TLS) |
fglrx-driver | Новая версия основной ветки разработки; исправление проблемы безопасности [CVE-2015-7724] |
file | Исправление обработки --parameter |
flash-kernel | Прекращение ожидания Ctrl-C в случае использования какого-либо интерфейса debconf |
fuse-exfat | Исправление переполнения буфера и бесконечного цикла |
ganglia-modules-linux | Перезапуск службы ganglia только после её установки (в случае, если ранее служба работала) |
getmail4 | Установка poplib._MAXLINE=1MB |
glance | Предотвращение прямого изменения статуса изображения через API версии 1 [CVE-2015-5251] |
glibc | Исправление случаев, когда getaddrinfo возвращает неинициализированные данные с nscd; исправление повреждения данных при выполнении чтения файлов базы данных NSS [CVE-2015-5277]; исправление переполнения буфера (чтение за пределами выделенного буфера) в internal_fnmatch; исправление переполнения целых чисел в _IO_wstr_overflow; исправление неожиданного закрытия баз данных nss_files после выполнения поиска, приводящего к отказу в обслуживании [CVE-2014-8121]; исправление кэша сетевой группы NSCD; обязательное отключение LD_POINTER_GUARD; деформация указателей функций в tls_dtor_list; исправление проблем выделения памяти, которые могут приводить к переполнениям буфера в стеке; обновление чёрного списка TSX с целью добавления некоторых ЦП Broadwell |
gnome-orca | Отслеживание правильного фокуса ввода при вводе пароля с целью недопущения экранирования символов |
gnome-shell-extension-weather | Отображение предупреждения в случае, если API-ключ не передан пользователем, поскольку запросы к openweathermap.org более не работают без такого ключа |
gummi | Недопущение предсказуемых имён для временных файлов [CVE 2015-7758] |
human-icon-theme | debian/clean-up.sh: не запускать процессы в фоне |
ieee-data | Обновление включённых в пакет файлов данных, добавление mam.txt и oui36.txt; прекращение загрузки через HTTPS, поскольку ни wget, ни curl не поддерживают TLS AIA, используемый сейчас на standards.ieee.org |
intel-microcode | Обновление микрокода |
iptables-persistent | Прекращение ситуации, при которой файлы правил открыты для чтения всем пользователям; повторное написание README |
isc-dhcp | Исправление ошибки, при которой максимальное время аренды адреса использовалось на 64-битных системах |
keepassx | Исправление хранения паролей в незашифрованном виде [CVE-2015-8378] |
libapache-mod-fastcgi | Переход B-D с libtool на libtool-bin с целью исправления ошибки сборки |
libapache2-mod-perl2 | Исправление аварийных остановок в modperl_interp_unselect() |
libcgi-session-perl | Незаразные необработанные данные приходят от движков хранения сессии, что исправляет регресс, вызванный исправлением CVE-2015-8607 в perl |
libdatetime-timezone-perl | Новый выпуск основной ветки разработки |
libencode-perl | Корректная обработка отсутствия BOM при декодировании |
libhtml-scrubber-perl | Исправление межсайтового скриптинга в комментариях [CVE-2015-5667] |
libinfinity | Исправление возможных аварийных остановок работы в случае, когда сущность удаляется из программы просмотра документа, а списки управления доступом включены |
libiptables-parse-perl | Исправление использования предсказуемых имён для временных файлов [CVE-2015-8326] |
libraw | Исправление переполнения указателя в smal_decode_segment [CVE-2015-8366]; исправление ситуации, при которой объекты памяти инициализировались неправильно [CVE-2015-8367] |
libssh | Исправление разыменования null-указателя из-за логической ошибки в коде обработки пакетов SSH_MSG_NEWKEYS и KEXDH_REPLY[CVE-2015-3146] |
linux | Обновление от выпуска 3.16.7-ctk20 из основной ветки разработки; nbd: восстановление обнаружения истечения срока ожидания по времени для запроса; [x86] включение PINCTRL_BAYTRAIL; [mips*/octeon] включение CAVIUM_CN63XXP1; firmware_class: исправление цикла в поиске в каталоге; [x86] KVM: svm: обязательный перехват #DB [CVE-2015-8104] |
linux-tools | Новый пакет hyperv-daemons |
lldpd | Исправление ошибки сегментирования и ошибки утверждения при получении некорректно сформированных управляющих адресов LLDP |
madfuload | Использование autoreconf -fi для исправления ошибки сборки с automake 1.14 |
mdadm | Отключение инкрементального ассемблера, поскольку это может приводить к проблемам загрузки на повреждённом RAID |
mkvmlinuz | Направление вывода run-parts в stderr |
monit | Исправление связанного с umask регресса из версии 5.8.1 |
mpm-itk | Исправление проблемы, при которой попытка закрытия соединений производилась в родительском процессе. Это может приводить к тому, что сообщение Connection: closeне выводится, а также к некоторым странным эффектам, связанным с keepalive-сообщениями SSL, в некоторых браузерах |
multipath-tools | Исправление обнаружения устройств с пустым атрибутом sysfs; добавление документации по ряду дополнительных сценариев именования; init: исправление ошибки остановки в случае невозможности обнаружения корневого устройства; использование 'SCSI_IDENT_.*' в качестве разрешённого списка свойств по умолчанию |
netcfg | Исправление is_layer3_qeth на s390x с целью избежать ситуации, когда используется отличный от qeth сетевой драйвер |
nvidia-graphics-drivers | Новый выпуск основной ветки разработки [CVE-2015-5950]; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869] |
nvidia-graphics-drivers-legacy-304xx | Новый выпуск основной ветки разработки; исправление проблемы с неочищенным входными данными в пользовательском режиме [CVE-2015-7869] |
nvidia-graphics-modules | Повторная сборка с использованием пакета nvidia-kernel-source 340.96 |
openldap | Исправление аварийной остановки при добавлении большого значения атрибута при условии включенного оверлея auditlog |
openvpn | Добавлении --no-block к сценарию if-up.d с целью избежать зависания при загрузке системы на интерфейсах с openvpn |
owncloud | Исправление включения локального файла на платформе Microsoft Windows [CVE-2015-4716], истощение ресурсов при очистке имён файлов [CVE-2015-4717], инъекция команд с использованием внешнего хранилища SMB [CVE-2015-4718], экспорт календаря: обход авторизации через контролируемый пользователем ключ [CVE-2015-6670]; исправление отображённого XSS в коде обнаружения поставщика OCS [oc-sa-2016-001] [CVE-2016-1498], раскрытие файлов, начинающихся с \.v\, из-за возвращаемого значения без проверки последнего [oc-sa-2016-003] [CVE-2016-1500], раскрытие информации через листинг каталога в сканере файлов [oc-sa-2016-002] [CVE-2016-1499], раскрытие пути установки через сообщение об ошибке [oc-sa-2016-004] [CVE-2016-1501] |
pam | Исправление DoS / перечисления пользователей из-за блокировки канала в pam_unix [CVE-2015-3238] |
pcre3 | Исправление проблем безопасности [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
pdns | Исправление обновления с настройками по умолчанию |
perl | Правильная обработка отсутствия BOM при выполнении декодирования |
php-auth-sasl | Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP |
php-doctrine-annotations | Исправление проблемы с правами доступа к каталогам [CVE-2015-5723] |
php-doctrine-cache | Исправление проблемы с правами доступа к файлам / каталогам [CVE-2015-5723] |
php-doctrine-common | Исправление проблемы с правами доступа к файлам [CVE-2015-5723] |
php-dropbox | Отказ от обработки файлов, содержащих @ [CVE-2015-4715] |
php-mail-mimedecode | Повторная сборка с использованием pkg-php-tools 1.28 для исправления зависимостей PHP |
php5 | Новый выпуск основной ветки разработки |
plowshare4 | Отключения поддержки Javascript |
postgresql-9.1 | Новый выпуск основной ветки разработки |
pykerberos | Добавление поддержки проверки подлинности KDC [CVE-2015-3206] |
python-yaql | Удаление сломанного пакета python3-yaql |
qpsmtpd | Исправление проблемы совместимости с более новыми версиями Net::DNS |
quassel | Исправление удалённого DoS в базовой части quassel, использующего команду /op * [CVE-2015-8547] |
redis | Проверка того, чтобы каталог времени исполнения создавался при запуске из-под systemd |
redmine | Исправление обновлений при наличии локально установленных дополнений; исправление проблем с перемещениями между проектами |
rsyslog | Исправление аварийной остановки в модуле imfile при использовании режима inotify; предотвращение ошибки сегментирования при создании dynafile |
ruby-bson | Исправление DoS и возможной инъекции [CVE-2015-4410] |
s390-dasd | При отсутствии канала осуществлять выход. Это позволяет s390-dasd не мешать виртуальным машинам с дисками virtio |
shadow | Исправление обработки ошибок в коде определения занятых пользователей |
sparse | Исправление ошибок сборки с использованием llvm-3.5 |
spip | Исправление межсайтового скриптинга |
stk | Установка отсутствующих файлов SKINI.{msg,tbl} |
sus | Обновление контрольной суммы для архива из основной ветки разработки |
swift | Исправление неавторизованного удаления версионированного объекта Swift [CVE-2015-1856]; исправление утечки информации через временные адреса Swift [CVE-2015-5223]; исправление имени службы object-expirer в сценарии инициализации; добавление сценария инициализации container-sync; стандартизацияпользовательских дополнений |
systemd | Исправление поломки пространства имён из-за неправильной сортировки пути; не использовать истечение срока ожидания после 90 секунд в случае, если для устройств cryptsetup не был введён пароль; устанавливать временную зону ядра только в том случае, если RTC работает в режиме локального времени, что позволяет избегать перемещение во времени назад; исправление некорректной обработки запятой в качестве разделителя в systemd-delta; позволить осуществлять настройки DHCP в systemd-networkd |
tangerine-icon-theme | debian/clean-up.sh: не запускать процессы в фоне |
torbrowser-launcher | Применение заплат из 0.1.9-1+deb8u1; прекращение изолирования сценария start-tor-browser с помощью AppArmor; установка профиля usr.bin.torbrowser-launcher для AppArmor в режим вывода предупреждений |
ttylog | Исправление усечения имени устройства при выборе устройства |
tzdata | Новый выпуск основной ветки разработки |
uqm | Добавление отсутствующего флага -lm, исправление ошибки сборки |
vlc | Новый стабильный выпуск основной ветки разработки |
webkitgtk | Новый стабильный выпуск основной ветки разработки; исправление поздней проверки сертификата TLS[CVE-2015-2330] |
wxmaxima | Предотвращение аварийной остановки при обнаружении в диалогах скобок |
zendframework | Исправление проблемы с энтропией в каптче [ZF2015-09] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
core-network | Проблемы безопасности |
elasticsearch | Более не поддерживается |
googlecl | Сломан из-за использование устаревшего API |
libnsbmp | Проблемы безопасности, не сопровождается |
libnsgif | Проблемы безопасности, не сопровождается |
vimperator | Несовместим со свежими версиями iceweasel |
Программа установки Debian
Программа установки была обновлена с целью повторного добавления поддержки устройств QNAP TS-x09, а также для включения исправлений стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.