Debian 8 更新:8.9 發佈
2017年07月22日
Debian 項目很高興地宣佈 Debian 8 穩定版本的第九次更新(代號 jessie
)。此更新主要向穩定版本中添加了補丁以修復安全問題,以及為一些嚴重問題所做的調整。安全建議已經單獨出版,並會在適當的情況下予以引用。
請注意,此更新並不是 Debian 8 的新版本,其僅更新了所包含的一些套件。沒有必要丟棄舊的 jessie
CD 或 DVD,只需在安裝後使用最新的 Debian 映射站台更新舊的套件即可。
經常從 security.debian.org 安裝更新的使用者將不必更新許多套件,並且此更新中包含了 security.debian.org 的大多數更新。
包含更新包的新安裝媒體和 CD/DVD 映像即將於通常處提供。
透過將 aptitude(或 apt)包工具(請參閱 sources.list(5) 手冊頁)指向 Debian 的許多 FTP 或 HTTP 映射站台之一,通常可以進行此修訂。全面的映射站台列表可在以下網址獲得:
雜項錯誤修正
此穩定版更新為以下套件添加了一些重要修正:
包 | 原因 |
---|---|
3dchess | 減少 CPU 佔用的浪費 |
apt-cacher | 防止在請求中使用編碼的換行符拆分 HTTP 響應 [CVE-2017-7443];確保 /var/run/apt-cacher 存在 |
base-files | 為 8.9 更新發布升級 |
boinc | 改善 OOM 評分;修正 xhost 安全問題 |
c-ares | 安全修正 [CVE-2017-1000381] |
cfitsio | 修正與不正確的記憶體處理有關的崩潰 |
chkrootkit | 修正分段錯誤;修正缺失的對 openssh-client 的依賴;添加 Built-Using 字段 |
cqrlog | tools/cqrlog-apparmor-fix, debian/postrm:在重啟 apparmor 前檢查 /etc/init.d/apparmor 存在 |
debconf | 在 Debconf::TmpFile 中用 File::Temp 替代已廢棄的 POSIX::tmpnam() |
debian-archive-keyring | 添加 stretch 密鑰,將 squeeze 密鑰移動到已刪除的密鑰 |
debian-installer | 用 proposed-updates 重編譯 |
debian-installer-netboot-images | 用 proposed-updates 重編譯 |
debian-security-support | 更新各種套件的支持狀態;更新翻譯 |
debootstrap | 添加對 Buster 和 Bullseye 的支持 |
eterm | 修正整數溢出,使得 shell 正常啟動/停止 |
flightgear | Prevent overriding arbitrary files from the save-flightplanFGCommand [CVE-2017-8921] |
galternatives | 修正空白屬性頁 |
gitolite3 | 修正缺失的對 openssh-client 的依賴 |
gnats | gnats-user:如果 /var/lib/gnats/gnats-db 非空,不讓清除失敗 |
gnutls28 | 改進 /dev/urandom 的唯一性檢查 |
gtk+2.0 | Backport patch from GTK+3 to fix stuck grabs in some situations |
init-select | 在調用前檢查 /usr/lib/init-select/get-init 存在 |
intel-microcode | 更新包含的微碼 |
libapache2-mod-perl2 | Fix test suite for compatibility with latest Apache 2 updates |
libcgi-application-plugin-anytemplate-perl | Fix missing dependency on one of libclone-perl and libclone-pp-perl |
libclamunrar | 修正任意記憶體寫入 [CVE-2012-6706] |
libdata-faker-perl | 在特定區域設置下運行測試套件 |
libdvdnav | Use proper error handling when position cannot be detected |
libhtml-microformats-perl | 修正缺失的對 libmodule-pluggable-perl 的依賴 |
libhttp-proxy-perl | 修正損壞的 'via' 處理 |
libonig | 修正多個無效指針解引用,超範圍寫入記憶體損壞和堆棧緩衝區溢出問題 [CVE-2017-9224 CVE-2017-9226 CVE-2017-9227 CVE-2017-9228 CVE-2017-9229] |
libosinfo | 添加對 jessie 和 stretch 的支持 |
libsys-syscall-perl | 添加對更多架構的支持 |
libterralib | Remove superfluous Conflicts/Replaces: libterralib3 since that causes problems upgrading to stretch which has that package |
libx11-protocol-other-perl | 禁用有問題的測試 |
lxterminal | 安全修正:不正確地為套接字文件使用 /tmp |
netcfg | IPv6 自動配置:修正 NTP 伺服器名稱處理;stop queueing rdnssd's installation with IPv6 setups |
offlineimap | 防止使用 maxage(已損壞,並可能導致數據丟失) |
os-prober | EFI:修正對 ID_PART_ENTRY_SCHEME 的檢查,以查找 dos而不是 msdos; 使對 Windows Vista 的檢測更加可靠;添加對 Windows 10 的支持 |
pam | 重編譯修正不同架構的差異 |
partman-ext3 | Force ext3|ext4 filesystem creation with -Fso that D-I doesn't hangwhen re-using an existing partition in some situations |
perl | 應用上游 base.pm no-dot-in-inc 修正 |
polarssl | Fix freeing of memory allocated on stack when validating a public key with a secp224k1 curve [CVE-2017-2784] |
proftpd-dfsg | Fix TLSDHParamFile directive appears ignored because unexpected DH is chosen[CVE-2016-3125], AllowChrootSymlinks off does not check entire DefaultRoot path for symlinks[CVE-2017-7418] |
python-colorlog | 修正 python3 依賴 |
python-plumbum | 修正 python3 依賴 |
rkhunter | 禁用遠程更新 [CVE-2017-7480] |
shutter | 修正不安全的使用 perl exec() [CVE-2016-10081] 和 system() |
tcpdf | 安全修正:禁止 HTML 中的 tcpdf 調用 [CVE-2017-6100] |
unrar-nonfree | 安全修正:為 VMSF_DELTA,VMSF_RGB 和 VMSF_AUDIO 參數添加邊界檢查 [CVE-2012-6706] |
w3m | 修正多個緩衝區溢出,釋放後使用問題和一個無限循環 |
xarchiver | 修正潛在的由於 shell 元字符造成的數據丟失 |
xfce4-weather-plugin | 適應新的天氣網站 API |
安全更新
此修訂版將以下安全更新添加到了穩定版本。安全小組已經分別為這些更新發布了通告:
已刪除的套件
由於我們無法控制的情況,以下套件已被刪除:
包 | 原因 |
---|---|
ears | 需要不可用的 python-musicbrainz |
gnuvd | 由於上游網站更改而損壞 |
hbro | 一切用法都段錯誤 |
hbro-contrib | 構建時依賴於將要移除的 hbro |
lshell | 安全原因 |
pgsnap | 不兼容當前的 PostgreSQL 版本 |
python-django-authority | 不兼容 Django 1.7 |
rant | 損壞 |
Debian 安裝程序
安裝程序已經更新,以配合發佈時包含在穩定版本中的修正內容。
URL
此修訂版中更改套件的完整列表:
當前穩定發行版:
擬議的穩定發行版更新:
穩定發行版信息(發行說明,勘誤表等):
安全公告及信息:
關於 Debian
Debian 項目是一個自由軟體開發者組織,為製作完全免費的 Debian 作業系統而自願貢獻時間和精力。
聯繫信息
更多信息,請訪問 Debian 主頁 https://www.debian.org/,發送郵件至 <press@debian.org>,或聯繫穩定版本團隊 <debian-release@lists.debian.org>。