Debian 8 aktualisiert: 8.10 veröffentlicht

9. Dezember 2017

Das Debian-Projekt freut sich, die zehnte Aktualisierung seiner Oldstable-Veröffentlichung Debian 8 (Codename Jessie) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 8 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Jessie-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
bareos Berechtigungen auf die braseros-dir-Logrotate-Konfiguration korrigiert; Dateikorrumption bei Verwendung von SHA1-Signaturen behoben
base-files Aktualisierung auf die Zwischenveröffentlichung
bind9 Kommenden DNSSEC KSK-2017 importiert
cups Als Maßnahme gegen POODLE SSLv3 und RC4 standardmäßig deaktiviert
db Nicht auf DB_CONFIG zugreifen, wenn db_home nicht gesetzt ist [CVE-2017-10140]
db5.3 Nicht auf DB_CONFIG zugreifen, wenn db_home nicht gesetzt ist [CVE-2017-10140]
debian-installer Neubau für Zwischenveröffentlichung
debian-installer-netboot-images Neubau für Zwischenveröffentlichung
debmirror Unbekannte Zeilen in *.diff/Index tolerieren; DEP-11-Metadaten-Dateien widerspiegeln; xz gz vorziehen und nicht aufhalten lassen, wenn beide fehlen; InRelease-Dateien widerspiegeln und validieren
dns-root-data root.hints auf Version 2017072601 aktualisiert; KSK-2017 zu root.key-Datei hinzugefügt
dput dput.cf: security-master.debian.org mit ftp.upload.security.debian.org ersetzen
dwww Namen des Last-Modified-Headers (zuletzt modifiziert) korrigieren
elog Fehlerkorrektur 0005_elogd_CVE-2016-6342_fix überarbeitet, damit normale Benutzer Zugriff haben
flightgear Anfälligkeit für eigenmächtige Dateiüberschreibungen behoben [CVE-2017-13709]
gsoap Ganzzahl-Überläufe durch große XML-Dokumente behoben [CVE-2017-9765]
hexchat Speicherzugriffsfehler nach /server-Befehl behoben
icu Doppel-Free in createMetazoneMappings() [CVE-2017-14952]
kdepim Später senden mit Verzögerung umgeht OpenPGP behoben [CVE-2017-9604]
kedpm Informationsleck durch Befehlshistorien-Datei behoben [CVE-2017-8296]
keyringer Unterschlüssel ohne Ablaufdatum und mehrmals aufgelistete öffentliche Schlüssel handhaben
krb5 Sicherheitskorrekturen – über Ferne authentifizierte Angreifer können den KDC abschießen [CVE-2017-11368]; kdc-Absturz bei restrict_anon_to_tgt [CVE-2016-3120]; Fern-DOS mit ldap für authentifizierte Angreifer [CVE-2016-3119]; Umgehung von requires_preauth blockieren [CVE-2015-2694]
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libdbi Fehler-Handler-Aufruf in dbi_result_next_row() wieder aktiviert
libembperl-perl Harte Abhängigkeit von mod_perl in zembperl.load auf Empfiehlt geändert, um Installationsprobleme durch fehlendes libapache2-mod-perl2 zu lösen
libio-socket-ssl-perl Speicherzugriffsfehler wegen falsch formatierten Client-Zertifikaten behoben
liblouis Mehrere Stack-basierte Pufferüberläufe behoben [CVE-2014-8184]
libofx Sicherheitskorrekturen [CVE-2017-2816 CVE-2017-14731]
libwnckmm Abhängigkeiten zwischen Paketen verstärken; jquery.js aus libjs-jquery benutzen
libwpd Sicherheitskorrektur [CVE-2017-14226]
libx11 Unzureichende Validierung von Daten aus dem Xserver kann ein Schreiben (XGetImage()) oder Lesen (XListFonts()) außerhalb der Speichergrenzen verursachen [CVE-2016-7942 CVE-2016-7943] behoben
libxfixes Ganzzahlüberlauf bei illegaler Server-Antwort behoben [CVE-2016-7944]
libxi Unzureichende Validierung von Daten aus dem Xserver kann Speicherzugriff außerhalb der Grenzen oder Endlosschleifen verursachen [CVE-2016-7945 CVE-2016-7946] behoben
libxrandr Zugriffe außerhalb von Grenzen bei illegalen Rückmeldungen vermeiden [CVE-2016-7947 CVE-2016-7948]
libxtst Unzureichende Validierung von Daten aus dem Xserver kann Speicherzugriff außerhalb der Grenzen oder Endlosschleifen verursachen [CVE-2016-7951 CVE-2016-7952]
libxv Protokollhandhabungsprobleme in libXv [CVE-2016-5407] behoben
libxvmc Pufferunterlauf bei leeren Zeichenketten verhindern [CVE-2016-7953]
linux Neue stabile Kernel-Version 3.16.51
ncurses Verschiedene Absturzfehler in der tic-Bibliothek und in der tic-Binärdatei behoben [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
openssh Vor dem Starten oder Neuladen von sshd unter systemd Konfiguration testen; bei -- vor dem Hostnamen die Argumentauswertung nach dem Hostnamen beenden
pdns Fehlende Prüfung von API-Operationen nachgetragen [CVE-2017-15091]
pdns-recursor Konfigurationsdatei-Injektion in der API [CVE-2017-15093] behoben
postgresql-9.4 Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
python-tablib YAML auf sichere Weise laden [CVE-2017-2810]
request-tracker4 Rückschritt in vorheriger Sicherheitsveröffentlichung, durch den inkorrekte SHA256-Passwörter einen Fehler auslösen konnten, behoben
ruby-ox Absturz bei der Übergabe von ungültigem XML an Oj.parse_obj() behoben [CVE-2017-15928]
sam2p Mehrere Ganzzahlüberläufe oder Heap-basierte Pufferüberläufe behoben [CVE-2017-14628 CVE-2017-14629 CVE-2017-14630 CVE-2017-14631 CVE-2017-14636 CVE-2017-14637 CVE-2017-16663]
slurm-llnl Sicherheitsproblem durch unsichere Handhabung von Pfaden, die durch Fehlschlagen eines Prolog-Skripts aufgetreten ist, behoben [CVE-2016-10030]
sudo Eigenmächtigen Terminal-Zugriff behoben [CVE-2017-1000368]
syslinux Boot-Problem bei alter BIOS-Firmware durch Korrigieren der C/H/S-Reihenfolge behoben
tor Bastet-Verzeichnisautorität hinzugefügt; geoip und geoip6 auf die Maxmind-GeoLite2-Länderdatenbank vom 4. Oktober 2017 aktualisiert; memset() am Ende eines Arrays beim Packen von Zellen behoben
transfig Eingabeverifizierung für FIG-Dateien hinzugefügt [CVE-2017-16899]; eingegebene Füllmuster überprüfen
tzdata Neue Veröffentlichung der Originalautoren
unbound Installation des Vertrauensankers, wenn zwei Anker vorhanden sind, überarbeitet; Root-Trust-Anker-ID 20326 hinzugefügt
weechat logger: strftime vor dem Ersetzen von pufferlokalen Variablen aufrufen [CVE-2017-14727]

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-3904 bind9
DSA-3908 nginx
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3916 atril
DSA-3917 catdoc
DSA-3921 enigmail
DSA-3922 mysql-5.5
DSA-3924 varnish
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3932 subversion
DSA-3933 pjproject
DSA-3934 git
DSA-3935 postgresql-9.4
DSA-3937 zabbix
DSA-3938 libgd2
DSA-3939 botan1.10
DSA-3940 cvs
DSA-3942 supervisor
DSA-3943 gajim
DSA-3945 linux
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3951 smb4k
DSA-3952 libxml2
DSA-3956 connman
DSA-3958 fontforge
DSA-3960 gnupg
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3981 linux
DSA-3982 perl
DSA-3983 samba
DSA-3984 git
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0
DSA-3989 dnsmasq
DSA-3990 asterisk
DSA-3992 curl
DSA-3995 libxfont
DSA-3997 wordpress
DSA-3998 nss
DSA-3999 wpa
DSA-4000 xorg-server
DSA-4002 mysql-5.5
DSA-4004 jackson-databind
DSA-4006 mupdf
DSA-4007 curl
DSA-4008 wget
DSA-4011 quagga
DSA-4012 libav
DSA-4013 openjpeg2
DSA-4016 irssi
DSA-4018 openssl
DSA-4021 otrs2
DSA-4022 libreoffice
DSA-4025 libpam4j
DSA-4026 bchunk
DSA-4027 postgresql-9.4
DSA-4029 postgresql-common
DSA-4033 konversation
DSA-4035 firefox-esr
DSA-4037 jackson-databind
DSA-4038 shibboleth-sp2
DSA-4039 opensaml2
DSA-4040 imagemagick
DSA-4041 procmail
DSA-4042 libxml-libxml-perl
DSA-4043 samba
DSA-4045 vlc
DSA-4046 libspring-ldap-java
DSA-4047 otrs2
DSA-4051 curl
DSA-4052 bzr

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
libnet-ping-external-perl Unbetreut, Sicherheitsprobleme
aiccu Nutzlos, seit SixXS abgeschaltet wurde

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Die derzeitige Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Kraft und Zeit dafür opfern, das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Oldstable-Release-Team auf Englisch über <debian-release@lists.debian.org>.