Debian 8 aktualisiert: 8.8 veröffentlicht
6. Mai 2017
Das Debian-Projekt freut sich, die achte Aktualisierung seiner
Stable-Veröffentlichung Debian 8 (Codename Jessie
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 8 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Jessie-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.
Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.
Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine umfassende Liste der Spiegelserver findet sich unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
activemq | DoS durch Herunterfahr-Befehl in activemq-core behoben [CVE-2015-7559] |
apf-firewall | Kompatibilität mit Kerneln >= 3.X hinzugefügt |
apt-xapian-index | Aufruf von update-python-modules entfernt |
base-files | Auf die Zwischenveröffentlichung aktualisiert |
binutils | Patch der Originalautoren angewandt, um gold auf AMD64 zu reparieren |
ca-certificates | Update-ca-certificates: aktualisiert bei Benutzung von --fresh das lokale Zertifikatsverzeichnis; unterstützt jetzt die Ausführung ohne Hooks |
commons-daemon | ppc64el-Unterstützung optimiert |
crafty | Keinen CPU-spezifischen Code generieren |
debian-edu-doc | Übersetzungen aktualisiert |
debian-installer | Neubau für die Zwischenveröffentlichung |
debian-installer-netboot-images | Neubau für die Zwischenveröffentlichung |
dropbear | Umgehung von Befehlsbegrenzungen in authorized_keys behoben [CVE-2016-3116], Format-String-Injektion [CVE-2016-7406] und Ausführung von Fremdcode [CVE-2016-7407 CVE-2016-7408] |
erlang | Anfälligkeit für Heap-Überlauf beim Auswerten von regulären Ausdrücken behoben [CVE-2016-10253] |
glibc | Ungenauigkeit beim Quadratwurzelziehen auf PowerPC behoben |
gnome-media | Fehlende »beschädigt« hinzugefügt, damit sie zu den »ersetzt« passen: gnome-media-common, libgnome-media-dev, libgnome-media0 |
gnome-screenshot | Bindestrich als Zeitformats-Trenner benutzen |
gnome-settings-daemon | Bindestrich als Zeitformats-Trenner benutzen |
gnutls28 | Kürzungsproblem bei der PKCS#12-Passwortkodierung behoben; doppeltes »free« bei der Ausgabe von Zertifikatsinformationen behoben [CVE-2017-5334]; Speicherleck im serverseitigen Fehlerpfad gestopft; Speicherlecks und endlose Schleife in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337]; Ganzzahlüberlauf in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-7869]; Lesen über das Pufferende hinaus in der OpenPGP-Zertifikatsverarbeitung behoben; Abstürze in der OpenPGP-Zertifikatsverarbeitung behoben, die mit der Auswertung von privaten Schlüsseln in Verbindung stehen [GNUTLS-SA-2017-3B]; mögliches OOM in der OpenPGP-Zertifikatsverarbeitung behoben [GNUTLS-SA-2017-3C] |
groovy | Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814] |
groovy2 | Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814] |
guile-2.0 | REPL-Server-Schwachstelle behoben [CVE-2016-8606], mkdir umask-basierte Schwachstelle behoben [CVE-2016-8605] |
initramfs-tools | Treiber für alle Tastaturen einbinden, wenn MODULES=dep; die meisten USB-Hosttreiber und alle Bustreibermodule einbinden; Code entfernen, der 'defekte' Symlinks und manchmal /etc/mtab ausmistet; alle I2C-Bus- und Mux-Treiber einbinden, wenn MODULES=most; mit dem zwangsweisen Laden von im sysfs gefundenen Treibern aufhören, wenn MODULES=dep |
installation-guide | Anweisungen zum Erstellen der syslinux.cfg so angepasst, dass sie mit syslinux 5 funktionieren |
irqbalance | Nur einmal vor IRQs mit leerem Affinity-Hint-Subset warnen |
kup | Änderungen zurückportiert, die nötig sind, um zukünftig mit kernel.org zu arbeiten |
libdatetime-timezone-perl | Inkludierte Daten auf 2017b aktualisiert |
libindicate | libindicate-gtk3-dev: von libindicate-gtk3-3 anstelle von libindicate-gtk3 abhängen |
libmateweather | Zeitzone Rangoon auf Yangon umbenannt (so wie tzdata in 2016g) |
libvirt | Kompatibilität mit qemu v2.6+ verbessert |
libvorbisidec | libogg-dev-Abhängigkeit zu libvorbisidec-dev hinzugefügt |
libxslt | In xsltAddTextString auf Ganzzahlüberlauf prüfen[CVE-2017-5029] |
linux | Aktualisierung auf neue stabile Version 3.16.43; mm/huge_memory.c: Rückportierung von mm/huge_memory.c: FOLL_FORCE/FOLL_COW für thp respektirenrepariert |
logback | Keine Daten von vertrauensunwürdigen Sockets deserialisieren [CVE-2017-5929] |
lxc | Sicherstellen, dass das Ziel-netns dem Aufrufer gehört [CVE-2017-5985] |
minicom | Schreiben außerhalb der Grenzen in vt100.c behoben [CVE-2017-7467] |
modsecurity-crs | Tippfehler in modsecurity_crs_16_session_hijacking.conf behoben |
mongodb | Berechtigungen von .dbshell angepasst [CVE-2016-6494]; Schlüssel und Nonce aus den Protokollen mit den Verbindungsversuchen entfernen |
ndisc6 | Vorgabe-Merge-Hook der Originalautoren benutzen, falls resolvconf nicht verfügbar ist |
ndoutils | Postrm-Löschung: ucf vor dem Aufruf überprüfen |
nvidia-graphics-drivers | Neue Version der Originalautoren (340.102) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert |
nvidia-graphics-drivers-legacy-304xx | Neue Version der Originalautoren (304.135) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert |
nvidia-graphics-modules | Neubau mit nvidia-kernel-source 340.102 |
openchange | Baufehlschlag mit samba 4.2 behoben |
openmpi | libopenmpi1.6: Zwei inkorrekte soname-Links nachgebessert, versionsabhängigen Pakektkonflikt mit libopenmpi2 (<< 1.6) eingeführt, um keine Upgrades auf Stretch zu stören |
plv8 | Bei Funktionsaufrufen Berechtigungen abprüfen |
postfix | Bauprobleme mit Linux-4.x-Kernels behoben; delmap für alle Pakete mit Mapdaten, die durch externe .so-Dateien freigelegt werden, zu .prerm hinzugefügt, damit Upgrades auf Stretch (bei dem die zugehörigen Dateien woanders liegen), funktionieren |
postgresql-9.4 | Neue Version der Originalautoren |
python-cryptography | HKDF-Problem mit kleinen Schlüsselgrößen behoben [CVE-2016-9243]; Baufehlschlag wegen SSL2-Methodenfeststellung behoben |
radare2 | Anfälligkeit für Dienstblockaden behoben [CVE-2017-6197] |
sane-backends | Sicherheitsproblem behoben [CVE-2017-6318] |
sendmail | Datieien nur als smmsp:smmsp in /var/run/sendmail/stampdir betouchen, um mögliche Privilegieneskalation zu verhindern; anstelle von touch lockfile-create (aus lockfile-progs) für die Sperrdateien des Cronjobs benutzen; sendmail-base: jetzt für /etc/services von netbase abhängig |
sitesummary | Der Paktlöschung vorauslaufendes Skript korrigiert |
smemstat | Nullzeiger-Dereferenzierung in dem Fall behoben, in dem die UID nicht gelesen werden kann |
spip | Mehrere Cross-Site-Scripting-Probleme behoben, serverseitige Request-Forgery-Attacken [CVE-2016-7999], Verzeichnisüberschreitung [CVE-2016-7982], Ausführung von Fremdcode [CVE-2016-7998], Cross-Site-Request-Forgery [CVE-2016-7980], Cross-Site-Scripting-Anfälle [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152] |
sus | Aktualisierung auf SUSv4 TC2 |
synergy | Absturz beim Start von Synergyc behoben |
systemd | Boolsche Eigenschaften, die via sd-bus auf Big-Endian-Architekturen abgerufen werden, korrigiert; systemctl: Unterstützung für »is-enabled« für SysV-Initskripte hinzugefügt; falls das Startkommando während der Ausführung verschwindet, nicht in einen Assert laufen; wenn eine Automount-Unit maskiert ist, nicht auf Aktivieung reagieren |
transmissionrpc | Fügt python-six die fehlende Abhängigkeit von den Python-Modulen hinzu |
tzdata | Enthaltene Daten auf 2017b aktualisieren; teilweise Übersetzung von debconf-Templates ermöglichen |
unzip | Behebt Pufferüberläufe in unzip [CVE-2014-9913] und zipinfo [CVE-2016-9844] |
uwsgi | Behebt Baufehlschlag mit aktuellem glibc |
vim | Behebt Pufferüberläufe beim Lesen von korrumpierten »Undo«-Dateien [CVE-2017-6349 CVE-2017-6350] |
vlc | Neue Version der Originalautoren |
webissues-server | postrm-Leerung: Vor dem Aufruf auf ucf überprüfen |
wget | CRLF-Injektion in Host-Teile von URLs [CVE-2017-6508] |
xmobar | Neuer Wetter-Feed-URL |
xshisen | Behebt häufigen Speicherzugriffsfehler beim Starten |
yara | Behebt mehrere Sicherheitsprobleme [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
cgiemail | RC-Fehler, unbetreut |
grive | Defekt wegen Google-API-Änderungen |
libapache2-authenntlm-perl | Defekt seit Apache 2.4 |
libwww-dict-leo-org-perl | Defekt wegen Änderungen bei den Originalautoren |
live-f1 | Defekt wegen Änderungen durch Drittpartei |
owncloud | Nicht unterstützungsfähig |
owncloud-apps | Nicht unterstützungsfähig |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.