Debian 8 更新:8.7 发布

2017年01月14日

Debian 项目很高兴地宣布 Debian 8 稳定版本的第七次更新(代号 jessie)。此更新主要向稳定版本中添加了补丁以修正安全问题,以及为一些严重问题所做的调整。安全建议已经单独出版,并会在适当的情况下予以引用。

请注意,此更新并不是 Debian 8 的新版本,其仅更新了所包含的一些软件包。没有必要丢弃旧的 jessie CD 或 DVD,只需在安装后使用最新的 Debian 镜像更新旧的软件包即可。

经常从 security.debian.org 安装更新的用户将不必更新许多软件包,并且此更新中包含了 security.debian.org 的大多数更新。

包含更新包的新安装媒体和 CD/DVD 映像即将于通常处提供。

通过将 aptitude(或 apt)包工具(请参阅 sources.list(5) 手册页)指向 Debian 的许多 FTP 或 HTTP 镜像之一,通常可以进行此修订。全面的镜像列表可在以下网址获得:

https://www.debian.org/mirror/list

杂项错误修正

此稳定版更新为以下软件包添加了一些重要修正:

原因
ark 当仅用作 KPart 时,不再在退出时崩溃
asterisk 修正由于不可打印的 ASCII 字符被视为空格引发的安全问题 [CVE-2016-9938]
asused 使用创建的字段而不是更改,与源数据的更改一致
base-files 更改 /etc/debian_version 至 8.7
bash 修正使用恶意主机名的任意代码执行 [CVE-2016-0634],及特制 SHELLOPTS+PS4 变量允许命令替换 [CVE-2016-7543]
ca-certificates 更新 Mozilla 证书颁发机构软件包至版本 2.9; postinst:运行没有钩子的 update-certificates 来初始化填充 /etc/ssl/certs
cairo 修正使用 SVG 生成无效指针的 DoS [CVE-2016-9082]
ccache [amd64] 在干净的环境中重新编译
ceph 修正短 CORS 请求问题 [CVE-2016-9579],mon DoS [CVE-2016-5009],匿名读取 ACL [CVE-2016-7031],RGW DoS [CVE-2016-8626]
chirp 默认情况下禁用遥测报告
cyrus-imapd-2.4 修复 LIST GROUP 支持
darktable 修正 ljpeg_start() 中的整数溢出 [CVE-2015-3885]
dbus 修正潜在的格式化字符串漏洞; dbus.prerm:确保在删除前停止 dbus.socket
debian-edu-doc 从 wiki 更新 Debian Edu Jessie 手册; 修正 (da|nl) Jessie 手册 PO 文件以构建 PDF 手册; 翻译更新
debian-edu-install 更新版本号至 8+edu1
debian-installer 为更新发布重编译
debian-installer-netboot-images 为更新发布重编译
duck 修正从不受信任的位置加载代码 [CVE-2016-1239]
e2fsprogs 用 dietlibc 0.33~cvs20120325-6+deb8u1 重编译,以使用包含的安全修正
ebook-speaker 修正安装 html2text 时读取 html 文件的提示
elog 修正以任意用户名发布条目 [CVE-2016-6342]
evolution-data-server 修正 TCP 窗口尺寸缩小时连接过早失效问题及其导致的数据丢失
exim4 修正 GnuTLS 内存泄漏
file 修正幻数加载器中的内存泄漏
ganeti-instance-debootstrap 修正 losetup 调用,通过替换 -show 为 -s
glibc 不要无条件地在 64 位 PowerPC CPU 上使用 fsqrt 指令;fix a regression introduced by cvs-resolv-ipv6-nameservers.diff in hesiod; disable lock elision (aka Intel TSX) on x86 architectures
glusterfs 配额:修正无法启动辅助挂载的问题
gnutls28 Fix incorrect certificate validation when using OCSP responses [GNUTLS-SA-2016-3 / CVE-2016-7444]; ensure compatibility with CVE-2016-6489-patched nettle
hplip 从密钥服务器获取密钥时,使用完整的 gpg 密钥指纹 [CVE-2015-0839]
ieee-data 禁用 cron 的每月更新作业
intel-microcode 更新微码
irssi Fix information exposure issue via buf.pl and /upgrade [CVE-2016-7553]; fix NULL pointer dereference in the nickcmp function [CVE-2017-5193], use-after-free when receiving invalid nick message [CVE-2017-5194] and out-of-bounds read in certain incomplete control codes [CVE-2017-5195]
isenkram 使用 curl 下载固件;下载 modaliases 时使用 HTTPS;将镜像从 http.debian.net 更改为 httpredir.debian.org
jq 修正堆缓冲区溢出 [CVE-2015-8863] 和堆栈耗尽 [CVE-2016-4074]
libclamunrar 修正带外访问
libdatetime-timezone-perl 更新至 2016h;数据更新至 2016i;更新至 2016j;更新至 2016g
libfcgi-perl 修正海量连接导致段错误的 DoS [CVE-2012-6687]
libio-socket-ssl-perl Fix issue with incorrect unreadable SSL_key_file error when using filesystem ACLs
libmateweather 从不再工作的 weather.noaa.gov 切换到 aviationweather.gov
libphp-adodb 修正 XSS 漏洞 [CVE-2016-4855] 和 SQL 注入问题 [CVE-2016-7405]
libpng 修正空指针解引用问题 [CVE-2016-10087]
libwmf 修正分配巨大内存 [CVE-2016-9011]
linkchecker 修正 HTTPS 检查
linux Update to stable 3.16.39; add chaoskey driver, backported from 4.8, support for n25q256a11 SPI flash device; security,perf: Allow unprivileged use of perf_event_open to be disabled; several bug and 安全修正
lxc Attach: do not send procfd to attached process [CVE-2016-8649]; remount bind mounts if read-only flag is provided; fix Alpine Linux container creation
mapserver 修正 php >= 5.6.25 上的 FTBFS;修正错误消息导致的信息泄漏 [CVE-2016-9839]
mdadm Allow '--grow --continue' to successfully reshape an array when using backup space on a 'spare' device
metar 更新回报 URL
minissdpd 修正数组索引不正确验证的漏洞 [CVE-2016-3178 CVE-2016-3179]
monotone Change the sigpipe test case to write 1M of test data to increase chances of overflowing the pipe buffer
most 修正打开 lzma 压缩文件时的 shell 注入攻击 [CVE-2016-1253]
mpg123 修正通过构造 ID3v2 标签的 DoS
musl 修正整数溢出 [CVE-2016-8859]
nbd Stop mixing global flags into the flags field that gets sent to the kernel, so that connecting to nbd-server >= 3.9 does not cause every export to be (incorrectly) marked as read-only
nettle Protect against potential side-channel attacks against exponentiation operations [CVE-2016-6489]
nss-pam-ldapd Have init script stop action only return when nslcd has actually stopped
nvidia-graphics-drivers 更新到新版本的驱动程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-drivers-legacy-304xx 更新到新版本的驱动程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-modules 用 nvidia-kernel-source 340.101 重编译
openbox Add libxcursor-dev build-dependency to fix loading of startup notifications; replace getgrent with getgroups so as not to enumerate all groups at startup
opendkim Fix relaxed canonicalization of folded headers, which broke signatures
pam 修正在容器中 loginuid 的处理
pgpdump Fix endless loop parsing specially crafted input in read_binary [CVE-2016-4021] and buffer overrun in read_radix64
postgresql-9.4 新上游版本
postgresql-common Pg_upgradecluster: Properly upgrade databases with non-login role owners; pg_ctlcluster: Protect against symlink in /var/log/postgresql/ allowing the creation of arbitrary files elsewhere [CVE-2016-1255]
potrace 安全修正 [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703]
python-crypto Raise a warning when IV is used with ECB or CTR and ignore the IV [CVE-2013-7459]
python-werkzeug 修正调试器中的 XSS 问题
qtbase-opensource-src Prevent bad-ptrs deref in QNetworkConfigurationManagerPrivate; fix X11 tray icons on some desktops
rawtherapee 修正 dcraw 中的缓冲区溢出 [CVE-2015-8366]
redmine Handle dependency check failure when triggered, to avoid breaking in the middle of dist-upgrades; avoid opening database configuration that are not readable
samba Fix client side SMB2/3 required signing can be downgraded [CVE-2016-2119], various regressions introduced by the 4.2.10 安全修正, segfault with clustering
sed 使用不同的 umask 确保一致的权限
shutter 修正不安全的 system() 用法 [CVE-2015-0854]
sniffit 安全修正 [CVE-2014-5439]
suckless-tools Fix SEGV in slock when user's account has been disabled [CVE-2016-6866]
sympa Fix logrotate configuration so that sympa is not left in a confused state when systemd is used
systemd Don't return any error in manager_dispatch_notify_fd() [CVE-2016-7796]; core: Rework logic to determine when we decide to add automatic deps for mounts; various ordering fixes for ifupdown; systemctl: Fix argument handling when invoked as shutdown; localed: tolerate absence of /etc/default/keyboard; systemctl, loginctl, etc.: Don't start polkit agent when running as root
tevent 新的上游版本,由 samba 需要
tre 修正在缓冲区大小计算中的正则表达式整数溢出 [CVE-2016-8859]
tzdata 数据更新至 2016h;更新至 2016g;更新至 2016j;数据更新至 2016i
unrtf 修正各种 cmd_ 函数中的缓冲区溢出 [CVE-2016-10091]
w3m 多个安全修正 [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633]
wireless-regdb 更新包含的数据
wot 由于隐私问题删除插件
xwax 用 libav-tools 里的 avconv 替换 ffmpeg
zookeeper Fix buffer overflow via the input command when using the cmd: batch mode syntax [CVE-2016-5017]

安全更新

此修订版将以下安全更新添加到了稳定版本。安全小组已经分别为这些更新发布了通告:

通告 ID
DSA-3636 collectd
DSA-3665 openjpeg2
DSA-3666 mysql-5.5
DSA-3667 chromium-browser
DSA-3668 mailman
DSA-3669 tomcat7
DSA-3670 tomcat8
DSA-3671 wireshark
DSA-3672 irssi
DSA-3673 openssl
DSA-3674 firefox-esr
DSA-3675 imagemagick
DSA-3676 unadf
DSA-3677 libarchive
DSA-3678 python-django
DSA-3679 jackrabbit
DSA-3680 bind9
DSA-3681 wordpress
DSA-3682 c-ares
DSA-3683 chromium-browser
DSA-3684 libdbd-mysql-perl
DSA-3685 libav
DSA-3686 icedove
DSA-3687 nspr
DSA-3688 nss
DSA-3689 php5
DSA-3691 ghostscript
DSA-3692 freeimage
DSA-3693 libgd2
DSA-3694 tor
DSA-3695 quagga
DSA-3696 linux
DSA-3697 kdepimlibs
DSA-3698 php5
DSA-3700 asterisk
DSA-3701 nginx
DSA-3702 tar
DSA-3703 bind9
DSA-3704 memcached
DSA-3705 curl
DSA-3706 mysql-5.5
DSA-3709 libxslt
DSA-3710 pillow
DSA-3712 terminology
DSA-3713 gst-plugins-bad0.10
DSA-3714 akonadi
DSA-3715 moin
DSA-3716 firefox-esr
DSA-3717 gst-plugins-bad0.10
DSA-3717 gst-plugins-bad1.0
DSA-3718 drupal7
DSA-3719 wireshark
DSA-3720 tomcat8
DSA-3721 tomcat7
DSA-3722 vim
DSA-3723 gst-plugins-good1.0
DSA-3724 gst-plugins-good0.10
DSA-3725 icu
DSA-3726 imagemagick
DSA-3727 hdf5
DSA-3728 firefox-esr
DSA-3729 xen
DSA-3731 chromium-browser
DSA-3732 php-ssh2
DSA-3732 php5
DSA-3733 apt
DSA-3734 firefox-esr
DSA-3735 game-music-emu
DSA-3736 libupnp
DSA-3737 php5
DSA-3738 tomcat7
DSA-3739 tomcat8
DSA-3740 samba
DSA-3741 tor
DSA-3743 python-bottle
DSA-3744 libxml2
DSA-3745 squid3
DSA-3747 exim4
DSA-3748 libcrypto++
DSA-3749 dcmtk
DSA-3750 libphp-phpmailer
DSA-3751 libgd2
DSA-3752 pcsc-lite
DSA-3753 libvncserver
DSA-3754 tomcat7
DSA-3755 tomcat8

已删除的软件包

由于我们无法控制的情况,以下软件包已被删除:

原因
dotclear 安全问题
sogo 安全问题

Debian 安装程序

安装程序已经更新,以配合发布时包含在稳定版本中的修正内容。

URL

此修订版中更改软件包的完整列表:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

当前稳定发行版:

http://ftp.debian.org/debian/dists/stable/

拟议的稳定发行版更新:

http://ftp.debian.org/debian/dists/proposed-updates

稳定发行版信息(发行说明,勘误表等):

https://www.debian.org/releases/stable/

安全公告及信息:

https://www.debian.org/security/

关于 Debian

Debian 项目是一个自由软件开发者组织,为制作完全免费的 Debian 操作系统而自愿贡献时间和精力。

联系信息

更多信息,请访问 Debian 主页 https://www.debian.org/,发送邮件至 <press@debian.org>,或联系稳定版本团队 <debian-release@lists.debian.org>。