Uppdaterad Debian 9: 9.2 utgiven
7 oktober 2017
Debianprojektet presenterar stolt den andra uppdateringen av sin
stabila distribution Debian 9 (med kodnamn Stretch
).
Denna punktutgåva lägger huvudsakligen till rättningar för säkerhetsproblem,
tillsammans med ytterligare rättningar av allvarliga problem.
Säkerhetsbulletiner har redan publicerats separat och refereras när de finns
tillgängliga.
Vänligen notera att punktutgåvan inte innebär en ny version av Debian
9 utan endast uppdaterar några av de inkluderade paketen. Det behövs
inte kastas bort gamla media av Stretch
. Efter installationen
kan paket uppgraderas till de aktuella versionerna genom att använda en
uppdaterad Debianspegling.
De som frekvent installerar uppdateringar från security.debian.org kommer inte att behöva uppdatera många paket, och de flesta av sådana uppdateringar finns inkluderade i punktutgåvan.
Nya installationsavbildningar kommer snart att finnas tillgängliga på de vanliga platserna.
En uppgradering av en existerande installation till denna revision kan utföras genom att peka pakethanteringssystemet på en av Debians många HTTP-speglingar. En utförlig lista på speglingar finns på:
Som ett specialfall för denna punktutgåva, är de som använder verktyget
apt-get
för att utföra uppgraderingen tvungna att säkerställa att
kommandot dist-upgrade
används, för att uppdatera till de senaste
kärnpaketen. Användare av andra verktyg som apt
och aptitude
bör
använda kommandot upgrade
.
Blandade felrättningar
På grund av ett förbiseende vid prepareringen av punktutgåvan inkluderades
oturligt nog inte den vanliga uppdateringen av paketet base-files
för
att reflektera den nya versionen. Ett uppdaterat paket kommer att göras
tillgängligt via stretch-updates
inom en snar framtid.
Denna uppdatering av den stabila utgåvan lägger till några viktiga felrättningar till följande paket:
Paket | Orsak |
---|---|
apt | Fix issues in apt-daily-upgrade; fix a possible crash in the mirror method |
at-spi2-core | Fix crash on switching windows |
bareos | Fix permissions of bareos-dir logrotate config on upgrade; fix file corruption when using SHA1 signature |
bind9 | Import support for DNSSEC KSK-2017 |
bridge-utils | Fix a problem with some vlan interfaces not being created |
caja | Fix excessive CPU use while loading background image |
chrony | Do not pass 'burst' command to chronyc |
cross-gcc | Fix outdated support for gcc 6.3.0-18 |
cvxopt | Remove the unneccessary and non-working compatibility layer for lpx_main() |
db5.3 | Do not access DB_CONFIG when db_home is not set [CVE-2017-10140] |
dbus | New upstream stable release |
debian-edu-doc | Merge stretch related documentation and translation updates; update Debian Edu Stretch manual from the wiki; replace existing boot menu screenshots with recent ones from the wiki |
debian-installer | Update Linux kernel ABI to 4 |
debian-installer-netboot-images | Rebuild against proposed-updates |
desktop-base | Fix XML syntax errors in gnome wallpaper description files making Joy wallpapers unavailable by default; ensure postinst doesn’t fail on upgrade even when an incomplete theme pack is active |
dns-root-data | Update root.hints to 2017072601 version; change the state of KSK-2017 to VALID |
dnsdist | Security fixes [CVE-2016-7069 CVE-2017-7557] |
dnsviz | Cherry-pick upstream fixes related to root.hints and root.keys changes |
dose3 | Fix versioned provides support - packages that provide the same virtual package in different versions, or that provide the same versioned virtual package as a real package, are co-installable |
ecl | Add missing dependency on libffi-dev |
erlang-p1-tls | Fix ECDH curves |
evolution | Fix hang on right click in composer window |
expect | Properly check for EOF, to avoid losing input |
fife | Fix memory leak |
flatpak | New upstream stable release; prevent deploying files with inappropriate permissions; restore compatibility with libostree 2017.7 |
freerdp | Enable TLS >= 1.1 support |
gnome-exe-thumbnailer | Switch to msitools' msiinfo for ProductVersion fetching, replacing the insecure VBScript-based parsing [CVE-2017-11421]; fix unreadable white-on-white text on version labels |
gnupg2 | Fix dirmngr issues with broken reverse DNS, assertion when using tofu-default-policy ask, multiple issues with scdaemon, avoid spurious warnings when sharing a keybox with gpg >= 2.1.20 |
gnutls28 | Fix OCSP verification errors, especially with ECDSA signatures |
gosa-plugin-mailaddress | Fix parent constructor calls, for compatibility with PHP7 |
gsoap | Fix integer overflow via large XML document [CVE-2017-9765] |
haveged | Start haveged.service after systemd-tmpfiles-setup.service has been run |
ipsec-tools | Security fix [CVE-2016-10396] |
irssi | Fix null pointer dereference [CVE-2017-10965], use-after-free condition for nicklist [CVE-2017-10966] |
kanatest | Remove DISABLE_DEPRECATED flags, they cause implicit pointer conversion and thus a segmentation fault on startup |
kdepim | Fix send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
kf5-messagelib | Fix send Later with Delay bypasses OpenPGP[CVE-2017-9604] |
krb5 | Fix security issue where remote authenticated attackers can crash the KDC [CVE-2017-11368]; fix startup if getaddrinfo() returns a wildcard v6 address and handling of explicitly specified v4 wildcard address; fix SRV lookups to respect udp_preference_limit |
lava-tool | Add missing dependency on python-simplejson |
librsb | Fix a few severe bugs leading to numerically wrong results |
libselinux | Rebuild with new sbuild to fix changelog date |
libsolv | Fix dependencies on Python 3 modules |
libwpd | Fix denial of service issue [CVE-2017-14226] |
linux | New upstream stable version |
linux-latest | Update to 4.9.0-4 |
lzma | Rebuild with new sbuild to fix changelog date |
mailman | Fix broken dependencies in contrib/SpamAssassin.py |
mate-power-manager | Don't abort on unknown DBus signal name |
mate-themes | Fix font colour of URL bar in Google Chrome |
mate-tweak | Add missing dependency on python3-gi |
ncurses | Fix various crash bugs in the tic library and the tic binary [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
nettle | Rebuild with new sbuild to fix changelog date |
node-brace-expansion | Fix regular expression denial of service issue |
node-dateformat | Set TZ=UTC for tests to fix build failure |
ntp | Build and install /usr/bin/sntp |
nvidia-graphics-drivers | New upstream long lived branch release 375.82 - security fixes [CVE-2017-6257 CVE-2017-6259], add support for the following GPUs: GeForce GTX 1080 with Max-Q Design, GeForce GTX 1070 with Max-Q Design, GeForce GTX 1060 with Max-Q Design; nvidia-kernel-dkms: Honor parallel setting from dkms |
open-vm-tools | Randomly generate temporary directory name [CVE-2015-5191] |
opendkim | Start as root and drop privileges in opendkim for proper key file ownership |
openldap | Relax the dependency of libldap-2.4-2 on libldap-common to also permit later versions; fix upgrade failure when olcSuffix contains a backslash; avoid reading the value of the LDAP_OPT_X_TLS_REQUIRE_CERT option from previously freed memory; fix potential endless replication loop in a multi-master delta-syncrepl scenario with 3 or more nodes; fix memory corruption caused by calling sasl_client_init() multiple times and possibly concurrently |
openvpn | Fix broken reconnects due to wrong push digest calculation |
osinfo-db | Update distribution information |
pcb-rnd | Fix execution of code via a maliciously formed design file |
postfix | New upstream stable version - send single character variable names to milters without {}; prevent MIME downgrade of Postfix-generated message/delivery status; work around Berkeley DB attempting to read settings from DB_CONFIGfile |
python-pampy | Fix dependencies on Python 3 modules |
request-tracker4 | Fix regression in previous security release where incorrect SHA256 passwords could trigger an error |
ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: Add missing dependencies |
samba | Ensure SMB signing enforced [CVE-2017-12150]; keep required encryption across SMB3 DFS redirects [CVE-2017-12151]; fix server memory information leak over SMB1 [CVE-2017-12163]; new upstream release; fix libpam-winbind.prerm to be multiarch-safe; add missing logrotate for /var/log/samba/log.samba; fix outdated DNS Root servers; fix Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM |
smplayer | Fix connections to YouTube |
speech-dispatcher | Make spd-conf work again |
suricata | Limit the number of recursive calls in the DER/ASN.1 decoder to avoid stack overflows |
swift | New upstream stable release |
tbdialout | Include leading plus symbol when using tel: URI scheme |
tiny-initramfs | Add missing dependency on cpio |
topal | Fix misuse of sed character class syntax |
torsocks | Fix check_addr() to return either 0 or 1 |
trace-cmd | Fix segfault while processing certain trace files |
unbound | Fix install of trust anchor when two anchors are present; depend on dns-root-data (>= 2017072601~) for KSK-2017 |
unknown-horizons | Fix memory leak |
up-imapproxy | Correct systemd service file |
vim | Fix several crashes / illegal memory accesses [CVE-2017-11109] |
waagent | New upstream release, with support for Azure Stack |
webkit2gtk | Upstream security and bugfix release [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
whois | Fix whois referrals for .com, .net, .jobs, .bz, .cc and .tv; add several new Indian TLD servers; update the list of gTLDs |
wrk | Fix build failures |
xfonts-ayu | Fix generation of bold and italic fonts |
xkeyboard-config | Move Indic layouts back to the main layout list, enabling their use again |
yadm | Fix race condition which could allow access to private PGP and SSH keys [CVE-2017-11353] |
Säkerhetsuppdateringar
Denna revision lägger till följande säkerhetsuppdateringar till den stabila utgåvan. Säkerhetsgruppen har redan givit ut bulletiner för var och en av dessa uppdateringar
Borttagna paket
Följande paket har tagits bort på grund av omständigheter utom vår kontroll:
Paket | Orsak |
---|---|
clapack | Föråldrad och icke underhållen fork av lapack |
Debianinstalleraren
Installeraren har uppdaterats för att inkludera rättningarna som har inkluderats i den stabila utgåvan med denna punktutgåva.
URLer
Den fullständiga listan på paket som har förändrats med denna revision:
Den nuvarande stabila utgåvan:
Föreslagna uppdateringar till den stabila utgåvan:
Information om den stabila utgåvan (versionsfakta, kända problem, osv.):
Säkerhetsbulletiner och information:
Om Debian
Debianprojektet är en grupp utvecklare av Fri mjukvara som donerar sin tid och kraft för att producera det helt fria operativsystemet Debian.
Kontaktinformation
För mer information, besök Debians webbplats på https://www.debian.org/, skicka e-post till <press@debian.org>, eller kontakta gruppen för stabila utgåvor på <debian-release@lists.debian.org>.