Обновлённый Debian 8: выпуск 8.10

09 Декабря 2017

Проект Debian с радостью сообщает о десятом обновлении своего предыдущего стабильного выпуска Debian 8 (кодовое имя jessie). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 8, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском jessie. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
bareos Исправление прав доступа настроек bareos-dir logrotate; исправление повреждения файлов при использовании подписей SHA1
base-files Обновление для данной редакции
bind9 Импорт готовящегося набор расширений DNSSEC KSK-2017
cups Отключение по умолчанию SSLv3 и RC4 для противодействия уязвимости POODLE
db Не обращаться к DB_CONFIG, если не установлена опция db_home [CVE-2017-10140]
db5.3 Не обращаться к DB_CONFIG, если не установлена опция db_home [CVE-2017-10140]
debian-installer Повторная сборка для данной редакции
debian-installer-netboot-images Повторная сборка для данной редакции
debmirror Допущение неизвестных строк в *.diff/Index; зеркалирование файлов метаданных DEP-11; предпочение xz над gz, реагирование в случае, если оба отсутствуют; зеркалирование и проверка файлов InRelease
dns-root-data Обновление root.hints до версии 2017072601; добавление KSK-2017 в файл root.key
dput dput.cf: замена security-master.debian.org на ftp.upload.security.debian.org
dwww Исправление имени заголовка Last-Modified
elog Обновление заплаты 0005_elogd_CVE-2016-6342_fix для предоставления доступа от лица обычного пользователя
flightgear Исправление перезаписи произвольных файлов [CVE-2017-13709]
gsoap Исправление переполнения целых чисел при обработке большого документа в формате XML [CVE-2017-9765]
hexchat Исправление ошибки сегментирования после команды /server
icu Исправление двойного освобождения памяти в функции createMetazoneMappings() [CVE-2017-14952]
kdepim Исправление ошибки отправка позже с задержкой приводит к обходу OpenPGP [CVE-2017-9604]
kedpm Исправление утечки информации из-за файла истории команд [CVE-2017-8296]
keyringer Обработка подключей без даты истечения срока использования и открытых ключей, указанных в списке несколько раз
krb5 Исправления безопасности — удалённые аутентифицированные злоумышленники могут аварийно завершить работу KDC [CVE-2017-11368]; аварийная остановка kdc при restrict_anon_to_tgt [CVE-2016-3120]; удалённый отказ в обслуживании ldap для аутентифицированных злоумышленников [CVE-2016-3119]; предотвращение обхода requires_preauth [CVE-2015-2694]
libdatetime-timezone-perl Обновление данных, входящих в состав пакета
libdbi Повторное включение вызова обработчика ошибок в функции dbi_result_next_row()
libembperl-perl Изменение жёсткой зависимости от mod_perl в zembperl.load на рекомендуемую зависимость, исправление ошибок установки, когда не установлен пакет libapache2-mod-perl2
libio-socket-ssl-perl Исправление ошибок сегментирования при использовании специально сформированных клиентских сертификатов
liblouis Исправление многочисленных переполнений буфера [CVE-2014-8184]
libofx Исправления безопасности [CVE-2017-2816 CVE-2017-14731]
libwnckmm Усиление зависимостей между пакетами; использование jquery.js из пакета libjs-jquery
libwpd Исправления безопасности [CVE-2017-14226]
libx11 Исправление ошибки недостаточная проверка данных от X-сервера может приводить к чтению (XGetImage()) или записи (XListFonts()) за пределами выделенного буфера памяти [CVE-2016-7942 CVE-2016-7943]
libxfixes Исправление переполнения целых чисел при получении некорректного ответа сервера [CVE-2016-7944]
libxi Исправление ошибки недостаточная проверка данных от X-сервера может приводить к обращениям за пределами выделенного буфера памяти или бесконечным циклами [CVE-2016-7945 CVE-2016-7946]
libxrandr Исправление обращений за пределами выделенного буфера памяти при некорректных ответах [CVE-2016-7947 CVE-2016-7948]
libxtst Исправление ошибки недостаточная проверка данных от X-сервера может приводить к обращениям за пределами выделенного буфера памяти или бесконечным циклами [CVE-2016-7951 CVE-2016-7952]
libxv Исправление ошибок обработки протокола в libXv [CVE-2016-5407]
libxvmc Исправление отрицательного переполнения буфера при работе с пустыми строками [CVE-2016-7953]
linux Новая стабильная версия ядра 3.16.51
ncurses Исправление различных ошибок, приводящих к аварийным остановкам, в библиотеке tic и двоичном файле tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
openssh Проверка настроек до запуска или перезагрузки настроек sshd под systemd; теперь -- до имени узла завершает обработку аргументов после имени узла
pdns Добавление отсутствующей проверки API-операций [CVE-2017-15091]
pdns-recursor Исправление добавления файла настроек в API [CVE-2017-15093]
postgresql-9.4 Новая версия из основной ветки разработки с исправлениями ошибок
python-tablib Безопасная загрузка YAML [CVE-2017-2810]
request-tracker4 Исправление регрессии в предыдущем исправлении безопасности, при которой неправильные пароли SHA256 могут вызывать ошибку
ruby-ox Исправление аварийной остановки при выполнении грамматического разбора XML, передаваемого Oj.parse_obj() [CVE-2017-15928]
sam2p Исправление нескольких переполнений буфера или переполнений динамической памяти [CVE-2017-14628 CVE-2017-14629 CVE-2017-14630 CVE-2017-14631 CVE-2017-14636 CVE-2017-14637 CVE-2017-16663]
slurm-llnl Исправление проблемы безопасности, вызываемой небезопасной обработкой пути к файлу и проявляющейся при ошибке в сценарии на языке Prolog [CVE-2016-10030]
sudo Исправление произвольного доступа к терминалу [CVE-2017-1000368]
syslinux Исправление проблем загрузки при использовании старых прошивок BIOS путём исправления порядка C/H/S
tor Добавление авторитета каталога Bastet; обновление geoip и geoip6 до версии от 4 октября 2017 из базы данных стран Maxmind GeoLite2; исправление выхода за пределы массива в memset() при паковке ячеек
transfig Добавление очистки выходных данных для файлов FIG [CVE-2017-16899]; sanitize input of fill patterns
tzdata Новый выпуск из основной ветки разработки
unbound Исправление установки доверенного якоря, если имеются два якоря; добавление якоря доверия корню с идентификатором 20326
weechat logger: вызов strftime до замены локальных переменных буфера [CVE-2017-14727]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3904 bind9
DSA-3908 nginx
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3916 atril
DSA-3917 catdoc
DSA-3921 enigmail
DSA-3922 mysql-5.5
DSA-3924 varnish
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3932 subversion
DSA-3933 pjproject
DSA-3934 git
DSA-3935 postgresql-9.4
DSA-3937 zabbix
DSA-3938 libgd2
DSA-3939 botan1.10
DSA-3940 cvs
DSA-3942 supervisor
DSA-3943 gajim
DSA-3945 linux
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3951 smb4k
DSA-3952 libxml2
DSA-3956 connman
DSA-3958 fontforge
DSA-3960 gnupg
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3981 linux
DSA-3982 perl
DSA-3983 samba
DSA-3984 git
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0
DSA-3989 dnsmasq
DSA-3990 asterisk
DSA-3992 curl
DSA-3995 libxfont
DSA-3997 wordpress
DSA-3998 nss
DSA-3999 wpa
DSA-4000 xorg-server
DSA-4002 mysql-5.5
DSA-4004 jackson-databind
DSA-4006 mupdf
DSA-4007 curl
DSA-4008 wget
DSA-4011 quagga
DSA-4012 libav
DSA-4013 openjpeg2
DSA-4016 irssi
DSA-4018 openssl
DSA-4021 otrs2
DSA-4022 libreoffice
DSA-4025 libpam4j
DSA-4026 bchunk
DSA-4027 postgresql-9.4
DSA-4029 postgresql-common
DSA-4033 konversation
DSA-4035 firefox-esr
DSA-4037 jackson-databind
DSA-4038 shibboleth-sp2
DSA-4039 opensaml2
DSA-4040 imagemagick
DSA-4041 procmail
DSA-4042 libxml-libxml-perl
DSA-4043 samba
DSA-4045 vlc
DSA-4046 libspring-ldap-java
DSA-4047 otrs2
DSA-4051 curl
DSA-4052 bzr

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
libnet-ping-external-perl Не сопровождается, проблемы безопасности
aiccu Бесполезен в связи с прекращением работы SixXS

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Текущий предыдущий стабильный выпуск:

http://ftp.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.