Debian 8 更新:8.9 发布
2017年07月22日
Debian 项目很高兴地宣布 Debian 8 稳定版本的第九次更新(代号 jessie
)。此更新主要向稳定版本中添加了补丁以修复安全问题,以及为一些严重问题所做的调整。安全建议已经单独出版,并会在适当的情况下予以引用。
请注意,此更新并不是 Debian 8 的新版本,其仅更新了所包含的一些软件包。没有必要丢弃旧的 jessie
CD 或 DVD,只需在安装后使用最新的 Debian 镜像更新旧的软件包即可。
经常从 security.debian.org 安装更新的用户将不必更新许多软件包,并且此更新中包含了 security.debian.org 的大多数更新。
包含更新包的新安装媒体和 CD/DVD 映像即将于通常处提供。
通过将 aptitude(或 apt)包工具(请参阅 sources.list(5) 手册页)指向 Debian 的许多 FTP 或 HTTP 镜像之一,通常可以进行此修订。全面的镜像列表可在以下网址获得:
杂项错误修正
此稳定版更新为以下软件包添加了一些重要修正:
包 | 原因 |
---|---|
3dchess | 减少 CPU 占用的浪费 |
apt-cacher | 防止在请求中使用编码的换行符拆分 HTTP 响应 [CVE-2017-7443];确保 /var/run/apt-cacher 存在 |
base-files | 为 8.9 更新发布升级 |
boinc | 改善 OOM 评分;修正 xhost 安全问题 |
c-ares | 安全修正 [CVE-2017-1000381] |
cfitsio | 修正与不正确的内存处理有关的崩溃 |
chkrootkit | 修正分段错误;修正缺失的对 openssh-client 的依赖;添加 Built-Using 字段 |
cqrlog | tools/cqrlog-apparmor-fix, debian/postrm:在重启 apparmor 前检查 /etc/init.d/apparmor 存在 |
debconf | 在 Debconf::TmpFile 中用 File::Temp 替代已废弃的 POSIX::tmpnam() |
debian-archive-keyring | 添加 stretch 密钥,将 squeeze 密钥移动到已删除的密钥 |
debian-installer | 用 proposed-updates 重编译 |
debian-installer-netboot-images | 用 proposed-updates 重编译 |
debian-security-support | 更新各种软件包的支持状态;更新翻译 |
debootstrap | 添加对 Buster 和 Bullseye 的支持 |
eterm | 修正整数溢出,使得 shell 正常启动/停止 |
flightgear | Prevent overriding arbitrary files from the save-flightplanFGCommand [CVE-2017-8921] |
galternatives | 修正空白属性页 |
gitolite3 | 修正缺失的对 openssh-client 的依赖 |
gnats | gnats-user:如果 /var/lib/gnats/gnats-db 非空,不让清除失败 |
gnutls28 | 改进 /dev/urandom 的唯一性检查 |
gtk+2.0 | Backport patch from GTK+3 to fix stuck grabs in some situations |
init-select | 在调用前检查 /usr/lib/init-select/get-init 存在 |
intel-microcode | 更新包含的微码 |
libapache2-mod-perl2 | Fix test suite for compatibility with latest Apache 2 updates |
libcgi-application-plugin-anytemplate-perl | Fix missing dependency on one of libclone-perl and libclone-pp-perl |
libclamunrar | 修正任意内存写入 [CVE-2012-6706] |
libdata-faker-perl | 在特定区域设置下运行测试软件包 |
libdvdnav | Use proper error handling when position cannot be detected |
libhtml-microformats-perl | 修正缺失的对 libmodule-pluggable-perl 的依赖 |
libhttp-proxy-perl | 修正损坏的 'via' 处理 |
libonig | 修正多个无效指针解引用,超范围写入内存损坏和堆栈缓冲区溢出问题 [CVE-2017-9224 CVE-2017-9226 CVE-2017-9227 CVE-2017-9228 CVE-2017-9229] |
libosinfo | 添加对 jessie 和 stretch 的支持 |
libsys-syscall-perl | 添加对更多架构的支持 |
libterralib | Remove superfluous Conflicts/Replaces: libterralib3 since that causes problems upgrading to stretch which has that package |
libx11-protocol-other-perl | 禁用有问题的测试 |
lxterminal | 安全修正:不正确地为套接字文件使用 /tmp |
netcfg | IPv6 自动配置:修正 NTP 服务器名称处理;stop queueing rdnssd's installation with IPv6 setups |
offlineimap | 防止使用 maxage(已损坏,并可能导致数据丢失) |
os-prober | EFI:修正对 ID_PART_ENTRY_SCHEME 的检查,以查找 dos而不是 msdos; 使对 Windows Vista 的检测更加可靠;添加对 Windows 10 的支持 |
pam | 重编译修正不同架构的差异 |
partman-ext3 | Force ext3|ext4 filesystem creation with -Fso that D-I doesn't hangwhen re-using an existing partition in some situations |
perl | 应用上游 base.pm no-dot-in-inc 修正 |
polarssl | Fix freeing of memory allocated on stack when validating a public key with a secp224k1 curve [CVE-2017-2784] |
proftpd-dfsg | Fix TLSDHParamFile directive appears ignored because unexpected DH is chosen[CVE-2016-3125], AllowChrootSymlinks off does not check entire DefaultRoot path for symlinks[CVE-2017-7418] |
python-colorlog | 修正 python3 依赖 |
python-plumbum | 修正 python3 依赖 |
rkhunter | 禁用远程更新 [CVE-2017-7480] |
shutter | 修正不安全的使用 perl exec() [CVE-2016-10081] 和 system() |
tcpdf | 安全修正:禁止 HTML 中的 tcpdf 调用 [CVE-2017-6100] |
unrar-nonfree | 安全修正:为 VMSF_DELTA,VMSF_RGB 和 VMSF_AUDIO 参数添加边界检查 [CVE-2012-6706] |
w3m | 修正多个缓冲区溢出,释放后使用问题和一个无限循环 |
xarchiver | 修正潜在的由于 shell 元字符造成的数据丢失 |
xfce4-weather-plugin | 适应新的天气网站 API |
安全更新
此修订版将以下安全更新添加到了稳定版本。安全小组已经分别为这些更新发布了通告:
已删除的软件包
由于我们无法控制的情况,以下软件包已被删除:
包 | 原因 |
---|---|
ears | 需要不可用的 python-musicbrainz |
gnuvd | 由于上游网站更改而损坏 |
hbro | 一切用法都段错误 |
hbro-contrib | 构建时依赖于将要删除的 hbro |
lshell | 安全原因 |
pgsnap | 不兼容当前的 PostgreSQL 版本 |
python-django-authority | 不兼容 Django 1.7 |
rant | 损坏 |
Debian 安装程序
安装程序已经更新,以配合发布时包含在稳定版本中的修正内容。
URL
此修订版中更改软件包的完整列表:
当前稳定发行版:
拟议的稳定发行版更新:
稳定发行版信息(发行说明,勘误表等):
安全公告及信息:
关于 Debian
Debian 项目是一个自由软件开发者组织,为制作完全免费的 Debian 操作系统而自愿贡献时间和精力。
联系信息
更多信息,请访问 Debian 主页 https://www.debian.org/,发送邮件至 <press@debian.org>,或联系稳定版本团队 <debian-release@lists.debian.org>。