Debian 8 更新:8.7 發佈

2017年01月14日

Debian 項目很高興地宣佈 Debian 8 穩定版本的第七次更新(代號 jessie)。此更新主要向穩定版本中添加了補丁以修正安全問題,以及為一些嚴重問題所做的調整。安全建議已經單獨出版,並會在適當的情況下予以引用。

請注意,此更新並不是 Debian 8 的新版本,其僅更新了所包含的一些套件。沒有必要丟棄舊的 jessie CD 或 DVD,只需在安裝後使用最新的 Debian 映射站台更新舊的套件即可。

經常從 security.debian.org 安裝更新的使用者將不必更新許多套件,並且此更新中包含了 security.debian.org 的大多數更新。

包含更新包的新安裝媒體和 CD/DVD 映像即將於通常處提供。

透過將 aptitude(或 apt)包工具(請參閱 sources.list(5) 手冊頁)指向 Debian 的許多 FTP 或 HTTP 映射站台之一,通常可以進行此修訂。全面的映射站台列表可在以下網址獲得:

https://www.debian.org/mirror/list

雜項錯誤修正

此穩定版更新為以下套件添加了一些重要修正:

原因
ark 當僅用作 KPart 時,不再在退出時崩潰
asterisk 修正由於不可列印的 ASCII 字符被視為空格引發的安全問題 [CVE-2016-9938]
asused 使用創建的字段而不是更改,與源數據的更改一致
base-files 更改 /etc/debian_version 至 8.7
bash 修正使用惡意主機名的任意代碼執行 [CVE-2016-0634],及特製 SHELLOPTS+PS4 變量允許命令替換 [CVE-2016-7543]
ca-certificates 更新 Mozilla 證書頒發機構套件至版本 2.9; postinst:運行沒有鉤子的 update-certificates 來初始化填充 /etc/ssl/certs
cairo 修正使用 SVG 生成無效指針的 DoS [CVE-2016-9082]
ccache [amd64] 在乾淨的環境中重新編譯
ceph 修正短 CORS 請求問題 [CVE-2016-9579],mon DoS [CVE-2016-5009],匿名讀取 ACL [CVE-2016-7031],RGW DoS [CVE-2016-8626]
chirp 默認情況下禁用遙測報告
cyrus-imapd-2.4 修復 LIST GROUP 支持
darktable 修正 ljpeg_start() 中的整數溢出 [CVE-2015-3885]
dbus 修正潛在的格式化字符串漏洞; dbus.prerm:確保在刪除前停止 dbus.socket
debian-edu-doc 從 wiki 更新 Debian Edu Jessie 手冊; 修正 (da|nl) Jessie 手冊 PO 文件以構建 PDF 手冊; 翻譯更新
debian-edu-install 更新版本號至 8+edu1
debian-installer 為更新發布重編譯
debian-installer-netboot-images 為更新發布重編譯
duck 修正從不受信任的位置加載代碼 [CVE-2016-1239]
e2fsprogs 用 dietlibc 0.33~cvs20120325-6+deb8u1 重編譯,以使用包含的安全修正
ebook-speaker 修正安裝 html2text 時讀取 html 文件的提示
elog 修正以任意使用者名發佈條目 [CVE-2016-6342]
evolution-data-server 修正 TCP 視窗尺寸縮小時連接過早失效問題及其導致的數據丟失
exim4 修正 GnuTLS 記憶體洩漏
file 修正幻數加載器中的記憶體洩漏
ganeti-instance-debootstrap 修正 losetup 調用,透過替換 -show 為 -s
glibc 不要無條件地在 64 位 PowerPC CPU 上使用 fsqrt 指令;fix a regression introduced by cvs-resolv-ipv6-nameservers.diff in hesiod; disable lock elision (aka Intel TSX) on x86 architectures
glusterfs 配額:修正無法啟動輔助掛載的問題
gnutls28 Fix incorrect certificate validation when using OCSP responses [GNUTLS-SA-2016-3 / CVE-2016-7444]; ensure compatibility with CVE-2016-6489-patched nettle
hplip 從密鑰伺服器獲取密鑰時,使用完整的 gpg 密鑰指紋 [CVE-2015-0839]
ieee-data 禁用 cron 的每月更新作業
intel-microcode 更新微碼
irssi Fix information exposure issue via buf.pl and /upgrade [CVE-2016-7553]; fix NULL pointer dereference in the nickcmp function [CVE-2017-5193], use-after-free when receiving invalid nick message [CVE-2017-5194] and out-of-bounds read in certain incomplete control codes [CVE-2017-5195]
isenkram 使用 curl 下載固件;下載 modaliases 時使用 HTTPS;將映射站台從 http.debian.net 更改為 httpredir.debian.org
jq 修正堆緩衝區溢出 [CVE-2015-8863] 和堆棧耗盡 [CVE-2016-4074]
libclamunrar 修正帶外訪問
libdatetime-timezone-perl 更新至 2016h;數據更新至 2016i;更新至 2016j;更新至 2016g
libfcgi-perl 修正海量連接導致段錯誤的 DoS [CVE-2012-6687]
libio-socket-ssl-perl Fix issue with incorrect unreadable SSL_key_file error when using filesystem ACLs
libmateweather 從不再工作的 weather.noaa.gov 切換到 aviationweather.gov
libphp-adodb 修正 XSS 漏洞 [CVE-2016-4855] 和 SQL 注入問題 [CVE-2016-7405]
libpng 修正空指針解引用問題 [CVE-2016-10087]
libwmf 修正分配巨大記憶體 [CVE-2016-9011]
linkchecker 修正 HTTPS 檢查
linux Update to stable 3.16.39; add chaoskey driver, backported from 4.8, support for n25q256a11 SPI flash device; security,perf: Allow unprivileged use of perf_event_open to be disabled; several bug and 安全修正
lxc Attach: do not send procfd to attached process [CVE-2016-8649]; remount bind mounts if read-only flag is provided; fix Alpine Linux container creation
mapserver 修正 php >= 5.6.25 上的 FTBFS;修正錯誤消息導致的信息洩漏 [CVE-2016-9839]
mdadm Allow '--grow --continue' to successfully reshape an array when using backup space on a 'spare' device
metar 更新回報 URL
minissdpd 修正數組索引不正確驗證的漏洞 [CVE-2016-3178 CVE-2016-3179]
monotone Change the sigpipe test case to write 1M of test data to increase chances of overflowing the pipe buffer
most 修正打開 lzma 壓縮文件時的 shell 注入攻擊 [CVE-2016-1253]
mpg123 修正透過構造 ID3v2 標籤的 DoS
musl 修正整數溢出 [CVE-2016-8859]
nbd Stop mixing global flags into the flags field that gets sent to the kernel, so that connecting to nbd-server >= 3.9 does not cause every export to be (incorrectly) marked as read-only
nettle Protect against potential side-channel attacks against exponentiation operations [CVE-2016-6489]
nss-pam-ldapd Have init script stop action only return when nslcd has actually stopped
nvidia-graphics-drivers 更新到新版本的驅動程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-drivers-legacy-304xx 更新到新版本的驅動程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389]
nvidia-graphics-modules 用 nvidia-kernel-source 340.101 重編譯
openbox Add libxcursor-dev build-dependency to fix loading of startup notifications; replace getgrent with getgroups so as not to enumerate all groups at startup
opendkim Fix relaxed canonicalization of folded headers, which broke signatures
pam 修正在容器中 loginuid 的處理
pgpdump Fix endless loop parsing specially crafted input in read_binary [CVE-2016-4021] and buffer overrun in read_radix64
postgresql-9.4 新上游版本
postgresql-common Pg_upgradecluster: Properly upgrade databases with non-login role owners; pg_ctlcluster: Protect against symlink in /var/log/postgresql/ allowing the creation of arbitrary files elsewhere [CVE-2016-1255]
potrace 安全修正 [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703]
python-crypto Raise a warning when IV is used with ECB or CTR and ignore the IV [CVE-2013-7459]
python-werkzeug 修正調試器中的 XSS 問題
qtbase-opensource-src Prevent bad-ptrs deref in QNetworkConfigurationManagerPrivate; fix X11 tray icons on some desktops
rawtherapee 修正 dcraw 中的緩衝區溢出 [CVE-2015-8366]
redmine Handle dependency check failure when triggered, to avoid breaking in the middle of dist-upgrades; avoid opening database configuration that are not readable
samba Fix client side SMB2/3 required signing can be downgraded [CVE-2016-2119], various regressions introduced by the 4.2.10 安全修正, segfault with clustering
sed 使用不同的 umask 確保一致的權限
shutter 修正不安全的 system() 用法 [CVE-2015-0854]
sniffit 安全修正 [CVE-2014-5439]
suckless-tools Fix SEGV in slock when user's account has been disabled [CVE-2016-6866]
sympa Fix logrotate configuration so that sympa is not left in a confused state when systemd is used
systemd Don't return any error in manager_dispatch_notify_fd() [CVE-2016-7796]; core: Rework logic to determine when we decide to add automatic deps for mounts; various ordering fixes for ifupdown; systemctl: Fix argument handling when invoked as shutdown; localed: tolerate absence of /etc/default/keyboard; systemctl, loginctl, etc.: Don't start polkit agent when running as root
tevent 新的上游版本,由 samba 需要
tre 修正在緩衝區大小計算中的正則表達式整數溢出 [CVE-2016-8859]
tzdata 數據更新至 2016h;更新至 2016g;更新至 2016j;數據更新至 2016i
unrtf 修正各種 cmd_ 函數中的緩衝區溢出 [CVE-2016-10091]
w3m 多個安全修正 [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633]
wireless-regdb 更新包含的數據
wot 由於隱私問題刪除插件
xwax 用 libav-tools 裡的 avconv 替換 ffmpeg
zookeeper Fix buffer overflow via the input command when using the cmd: batch mode syntax [CVE-2016-5017]

安全更新

此修訂版將以下安全更新添加到了穩定版本。安全小組已經分別為這些更新發布了通告:

通告 ID
DSA-3636 collectd
DSA-3665 openjpeg2
DSA-3666 mysql-5.5
DSA-3667 chromium-browser
DSA-3668 mailman
DSA-3669 tomcat7
DSA-3670 tomcat8
DSA-3671 wireshark
DSA-3672 irssi
DSA-3673 openssl
DSA-3674 firefox-esr
DSA-3675 imagemagick
DSA-3676 unadf
DSA-3677 libarchive
DSA-3678 python-django
DSA-3679 jackrabbit
DSA-3680 bind9
DSA-3681 wordpress
DSA-3682 c-ares
DSA-3683 chromium-browser
DSA-3684 libdbd-mysql-perl
DSA-3685 libav
DSA-3686 icedove
DSA-3687 nspr
DSA-3688 nss
DSA-3689 php5
DSA-3691 ghostscript
DSA-3692 freeimage
DSA-3693 libgd2
DSA-3694 tor
DSA-3695 quagga
DSA-3696 linux
DSA-3697 kdepimlibs
DSA-3698 php5
DSA-3700 asterisk
DSA-3701 nginx
DSA-3702 tar
DSA-3703 bind9
DSA-3704 memcached
DSA-3705 curl
DSA-3706 mysql-5.5
DSA-3709 libxslt
DSA-3710 pillow
DSA-3712 terminology
DSA-3713 gst-plugins-bad0.10
DSA-3714 akonadi
DSA-3715 moin
DSA-3716 firefox-esr
DSA-3717 gst-plugins-bad0.10
DSA-3717 gst-plugins-bad1.0
DSA-3718 drupal7
DSA-3719 wireshark
DSA-3720 tomcat8
DSA-3721 tomcat7
DSA-3722 vim
DSA-3723 gst-plugins-good1.0
DSA-3724 gst-plugins-good0.10
DSA-3725 icu
DSA-3726 imagemagick
DSA-3727 hdf5
DSA-3728 firefox-esr
DSA-3729 xen
DSA-3731 chromium-browser
DSA-3732 php-ssh2
DSA-3732 php5
DSA-3733 apt
DSA-3734 firefox-esr
DSA-3735 game-music-emu
DSA-3736 libupnp
DSA-3737 php5
DSA-3738 tomcat7
DSA-3739 tomcat8
DSA-3740 samba
DSA-3741 tor
DSA-3743 python-bottle
DSA-3744 libxml2
DSA-3745 squid3
DSA-3747 exim4
DSA-3748 libcrypto++
DSA-3749 dcmtk
DSA-3750 libphp-phpmailer
DSA-3751 libgd2
DSA-3752 pcsc-lite
DSA-3753 libvncserver
DSA-3754 tomcat7
DSA-3755 tomcat8

已刪除的套件

由於我們無法控制的情況,以下套件已被刪除:

原因
dotclear 安全問題
sogo 安全問題

Debian 安裝程序

安裝程序已經更新,以配合發佈時包含在穩定版本中的修正內容。

URL

此修訂版中更改套件的完整列表:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

當前穩定發行版:

http://ftp.debian.org/debian/dists/stable/

擬議的穩定發行版更新:

http://ftp.debian.org/debian/dists/proposed-updates

穩定發行版信息(發行說明,勘誤表等):

https://www.debian.org/releases/stable/

安全公告及信息:

https://security.debian.org/

關於 Debian

Debian 項目是一個自由軟體開發者組織,為製作完全免費的 Debian 作業系統而自願貢獻時間和精力。

聯繫信息

更多信息,請訪問 Debian 主頁 https://www.debian.org/,發送郵件至 <press@debian.org>,或聯繫穩定版本團隊 <debian-release@lists.debian.org>。