Debian 8 更新:8.10 發佈

2017年12月09日

Debian 項目很高興地宣佈 Debian 8 舊穩定版本的第十次更新(代號jessie)。此次小版本更新主要添加了對安全問題的修正補丁,以及為一些嚴重問題所作的調整。 安全通告已單獨發佈,並會在適當的情況下予以引用。

請注意,此更新並不是 Debian 8 的新版本,其僅更新了所包含的一些套件。沒有必要丟棄舊的jessie的安裝介質。在安裝之後,只需使用最新的 Debian 映射站台更新舊的套件即可。

經常從 security.debian.org 安裝更新的使用者將不必更新許多套件,因本更新中包含了 security.debian.org 的大多數更新。

新的安裝映射站台即將於常規的位置予以提供。

透過將套件管理系統指向 Debian 的許多 HTTP 映射站台之一,您可以將已有的系統升級至本次更新版本。詳盡的映射站台列表可以在以下網址處獲得:

https://www.debian.org/mirror/list

雜項錯誤修正

本次舊穩定版更新為以下套件添加了一些重要的修正:

套件 原因
bareos 修復 bareos-dir logrotate 配置權限;修復使用 SHA1 簽名時的文件破壞
base-files 為小版本更新提供文件
bind9 導入即將啟用的 DNSSEC KSK-2017
cups 默認禁用 SSLv3 和 RC4 以解決 POODLE 問題
db 在 db_home 未設置時不要訪問 DB_CONFIG [CVE-2017-10140]
db5.3 在 db_home 未設置時不要訪問 DB_CONFIG [CVE-2017-10140]
debian-installer 為小版本更新重新構建
debian-installer-netboot-images 為小版本更新重新構建
debmirror 容忍 *.diff/Index 文件中的未知行;映射站台 DEP-11 元數據文件;更偏好 xz 文件而非 gz 文件,處理兩者均不存在的情況;映射站台並驗證 InRelease 文件
dns-root-data 更新 root.hints 至 2017072601 版本;將 KSK-2017 添加至 root.key 文件
dput dput.cf:替換 security-master.debian.org 為 ftp.upload.security.debian.org
dwww 修復 Last-Modified 頭名稱
elog 更新補丁 0005_elogd_CVE-2016-6342_fix 以授予普通使用者以訪問權限
flightgear 修復任意文件覆寫問題 [CVE-2017-13709]
gsoap 修復大型 XML 文件導致的整數溢出 [CVE-2017-9765]
hexchat 修復 /server 指令帶來的段錯誤問題
icu 修復 createMetazoneMappings() 中的重複 free() 問題 [CVE-2017-14952]
kdepim 修復send Later with Delay bypasses OpenPGP [CVE-2017-9604]
kedpm 修復命令歷史文件帶來的信息洩漏問題 [CVE-2017-8296]
keyringer Handle subkeys without expiration date and public keys listed multiple times
krb5 Security fixes - remote authenticated attackers can crash the KDC [CVE-2017-11368]; kdc crash on restrict_anon_to_tgt [CVE-2016-3120]; remote DOS with ldap for authenticated attackers [CVE-2016-3119]; prevent requires_preauth bypass [CVE-2015-2694]
libdatetime-timezone-perl 更新包含的數據
libdbi Re-enable error handler call in dbi_result_next_row()
libembperl-perl Change hard dependency on mod_perl in zembperl.load to Recommends, fixing an installation failure when libapache2-mod-perl2 is not installed
libio-socket-ssl-perl Fix segfault using malformed client certificates
liblouis Fix multiple stack-based buffer overflows [CVE-2014-8184]
libofx 安全修復 [CVE-2017-2816 CVE-2017-14731]
libwnckmm 收緊套件之間的依賴關係;使用來自 libjs-jquery 包的 jquery.js
libwpd 安全修復 [CVE-2017-14226]
libx11 Fix insufficient validation of data from the X server can cause out of boundary memory read (XGetImage()) or write (XListFonts()) [CVE-2016-7942 CVE-2016-7943]
libxfixes Fix integer overflow on illegal server response [CVE-2016-7944]
libxi Fix insufficient validation of data from the X server can cause out of boundary memory access or endless loops [CVE-2016-7945 CVE-2016-7946]
libxrandr Avoid out of boundary accesses on illegal responses [CVE-2016-7947 CVE-2016-7948]
libxtst Fix insufficient validation of data from the X server can cause out of boundary memory access or endless loops [CVE-2016-7951 CVE-2016-7952]
libxv Fix protocol handling issues in libXv [CVE-2016-5407]
libxvmc Avoid buffer underflow on empty strings [CVE-2016-7953]
linux New stable kernel version 3.16.51
ncurses Fix various crash bugs in the tic library and the tic binary [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
openssh Test configuration before starting or reloading sshd under systemd; make -- before the hostname terminate argument processing after the hostname too
pdns Add missing check on API operations [CVE-2017-15091]
pdns-recursor Fix configuration file injection in the API [CVE-2017-15093]
postgresql-9.4 新上游漏洞修復版本
python-tablib 安全地加載 YAML [CVE-2017-2810]
request-tracker4 Fix regression in previous security release where incorrect SHA256 passwords could trigger an error
ruby-ox Avoid crash with invalid XML passed to Oj.parse_obj() [CVE-2017-15928]
sam2p Fix several integer overflow or heap-based buffer overflow issues [CVE-2017-14628 CVE-2017-14629 CVE-2017-14630 CVE-2017-14631 CVE-2017-14636 CVE-2017-14637 CVE-2017-16663]
slurm-llnl Fix security issue caused by insecure file path handling triggered by the failure of a Prolog script [CVE-2016-10030]
sudo 修復任意終端訪問 [CVE-2017-1000368]
syslinux Fix boot problem for old BIOS firmware by correcting C/H/S order
tor Add Bastet directory authority; update geoip and geoip6 to the October 4 2017 Maxmind GeoLite2 country database; fix a memset() off the end of an array when packing cells
transfig Add input sanitisation on FIG files [CVE-2017-16899]; sanitize input of fill patterns
tzdata 上游新版本
unbound Fix install of trust anchor when two anchors are present; include root trust anchor id 20326
weechat logger: call strftime before replacing buffer local variables [CVE-2017-14727]

安全更新

此修訂版本將以下安全更新添加到了舊穩定發行版本中。安全團隊已經分別為這些更新發布了通告:

通告編號 套件
DSA-3904 bind9
DSA-3908 nginx
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3916 atril
DSA-3917 catdoc
DSA-3921 enigmail
DSA-3922 mysql-5.5
DSA-3924 varnish
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3932 subversion
DSA-3933 pjproject
DSA-3934 git
DSA-3935 postgresql-9.4
DSA-3937 zabbix
DSA-3938 libgd2
DSA-3939 botan1.10
DSA-3940 cvs
DSA-3942 supervisor
DSA-3943 gajim
DSA-3945 linux
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3951 smb4k
DSA-3952 libxml2
DSA-3956 connman
DSA-3958 fontforge
DSA-3960 gnupg
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3981 linux
DSA-3982 perl
DSA-3983 samba
DSA-3984 git
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0
DSA-3989 dnsmasq
DSA-3990 asterisk
DSA-3992 curl
DSA-3995 libxfont
DSA-3997 wordpress
DSA-3998 nss
DSA-3999 wpa
DSA-4000 xorg-server
DSA-4002 mysql-5.5
DSA-4004 jackson-databind
DSA-4006 mupdf
DSA-4007 curl
DSA-4008 wget
DSA-4011 quagga
DSA-4012 libav
DSA-4013 openjpeg2
DSA-4016 irssi
DSA-4018 openssl
DSA-4021 otrs2
DSA-4022 libreoffice
DSA-4025 libpam4j
DSA-4026 bchunk
DSA-4027 postgresql-9.4
DSA-4029 postgresql-common
DSA-4033 konversation
DSA-4035 firefox-esr
DSA-4037 jackson-databind
DSA-4038 shibboleth-sp2
DSA-4039 opensaml2
DSA-4040 imagemagick
DSA-4041 procmail
DSA-4042 libxml-libxml-perl
DSA-4043 samba
DSA-4045 vlc
DSA-4046 libspring-ldap-java
DSA-4047 otrs2
DSA-4051 curl
DSA-4052 bzr

已刪除的套件

由於我們無法控制的情況,以下套件已被刪除:

套件 原因
libnet-ping-external-perl 無人維護,有安全漏洞
aiccu SixXS 停止服務後無用

Debian 安裝器

安裝器已經更新,以配合發佈時包含在舊穩定版本中的修正內容。

鏈接

此修訂版本中有更改的套件的完整列表:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

當前舊穩定發行版:

http://ftp.debian.org/debian/dists/oldstable/

擬議的舊穩定發行版更新:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

舊穩定發行版信息(發行說明,勘誤等):

https://www.debian.org/releases/oldstable/

安全公告及信息:

https://www.debian.org/security/

關於 Debian

Debian 項目是一個自由軟體開發者組織,這些志願者為製作完全自由免費的 Debian 作業系統而自願貢獻時間和精力。

聯繫信息

更多信息,請訪問 Debian 主頁 https://www.debian.org/,發送郵件至 <press@debian.org>,或聯繫穩定版本發佈團隊 <debian-release@lists.debian.org>。