Updated Debian 9: 9.4 udgivet
10. marts 2018
Debian-projektet er stolt over at kunne annoncere den fjerde opdatering af
dets stabile distribution, Debian 9 (kodenavn stretch
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux
9, den indeholder blot opdateringer af nogle af de medfølgende pakker.
Der er ingen grund til at smide gamle stretch
-medier væk. Efter en
installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et
ajourført Debian-filspejl.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
| Pakke | Årsag |
|---|---|
| acme-tiny | Retter forældet udgave af tilmeldingsaftale |
| activity-log-manager | Tilføjer manglende afhængighed af python-zeitgeist |
| agenda.app | Retter oprettelse af opgaver og aftaler |
| apparmor | Flytter features-filen til /usr/share/apparmor-features; knytter AppArmor-funktionalitet til Stretchs kernel |
| auto-apt-proxy | Flytter apt-opsætning væk ved fjernelse, og flytter den tilbage ved geninstallering |
| bareos | Retter fejlende sikkerhedskopier med No Volume name given |
| base-files | Opdaterer til denne punktopdatering |
| cappuccino | Tilføjer manglende afhængighed af gir1.2-gtk-3.0 |
| cerealizer | Retter Python3-afhængigheder |
| clamav | Ny opstrømsudgave; sikkerhedsopdatering [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] |
| cron | Transitionerer på korrekt vis systemjob til system_cronjob_t SELinux-kontakt og holder op med at være afhængig af refpolicy-specifikke indentifikatorer |
| cups | Retter udførelse af vilkårlig IPP-kommander ved at sende POST-forespørgsler til CUPS-dæmonen i forbindelse med DNS-rebinding [CVE-2017-18190] |
| dbus | Ny opstrømsudgave; forøger tidligere antal fildeskriptorer, retter en regression i rettelse af lokalt lammesesangreb |
| debian-edu-config | Præ-opsætter Chromium Webbrowser på hele systemet til at automatisk at genkende http-proxyindstillinger gennem WPAD; tillader at Windows 10-klienter kan tilknytte sig til Samba NT4-domænet |
| debian-installer | Ændrer Linux-kerneversion fra 4.9.0-4 til 4.9.0-6 |
| debian-installer-netboot-images | Opdaterer til 20170615+deb9u3-aftryk fra stretch-proposed-updates |
| directfb | Retter arkitekturbaseret filter til faktisk at installere drivere |
| dpdk | Opdaterer til ny stabil punktudgave |
| espeakup | udeb: retter situation hvor card 0 ikke havde en id eller hvor card ikke har fortløbende indeks; anvender som standard engelsk; anvender card-id på installeret system for at undgå problemer med card-genkendelsesrækkefølge |
| exam | Retter Python3-afhængigheder |
| flatpak | Ny opstrømsudgave; retter en D-Bus-filtreringsomgåelse i flatpak-dbus-proxy; ignorerer ikke genkendte rettighedsstrenge, i stedet for at fejle; tillad ikke legacy-aflytning på D-Bus-sessionsbussen |
| fuse-zip | Retter tilbageskrivningsfejl med libzip 1.0 |
| glade | Retter mulig uendelig løkke |
| glibc | Opdater ikke /etc/nsswitch.conf når indholdet allerede svarer til standarden; debian/script.in/nohwcap.sh: tjek altid for alle optimerede pakker som multiarch, gør det muligt at installere fremmede arkiktekturer; undgår anvendelse efter frigivelse-læseadgang i clntudp_call [CVE-2017-12133]; definerer kollation for Malayalam chillu-tegn med korrekt kollation af U+0D36 og U+0D37 Malayalam-tegn; retter ugyldig cast i gruppemergen, som påvirker ppc64 og s390x; retter kompabilitet med Intel C++ __regcall-kaldkonvention; installerer libc-otherbuild postinst og postrm i den transtitionelle pakke libc6-i686, for at sikre at /etc/ld.so.nohwcap er korrekt fjernet efter en opgradering |
| global | Gozilla: sætter URL'er i citationstegn før de overføres til BROWSER [CVE-2017-17531] |
| gnumail | Stopper linkning til OpenSSL |
| golang-github-go-ldap-ldap | Kræver eksplicit hensigt vedrørende tomme adgangskoder |
| gosa-plugin-pwreset | Retter udfaset constructor-kald |
| grilo-plugins | Retter Radio France-kilde |
| hdf5 | Retter javahelper-invocation |
| inputlirc | Medtager input-event-codes.h i stedet for input.h, retter buildfejl |
| intercal | Genkompilerer med PIE |
| java-atk-wrapper | Retter iteratorinitialisering; retter manglende reference til børn |
| kildclient | Dropper understøttelse af brugerdefinerede browsere [CVE-2017-17511] |
| libdate-holidays-de-perl | Markerer Reformationsdag som en helligdag i Hamburg og Schleswig-Holstein fra 2018 og frem |
| libdatetime-timezone-perl | Ny opstrømsudgave |
| libhibernate-validator-java | Retter potentielt rettighedsforøgelse ved at omgå security manager-tilladelser [CVE-2017-7536] |
| libperlx-assert-perl | Tilføjer manglende afhængigheder af libkeyword-simple-perl, libdevel-declare-perl |
| libreoffice | Lader FunctionAccess udføre WEBSERVICE; anvender den rette fejlkode ved WEBSERVICE()-fejl |
| libvhdi | Tilføjer manglende Python3-afhængighed |
| libvirt | QEMU: delte diske med cache=directsync bør være sikre til migrering; undgår lammelsesangreb ved læsning fra QEMU-monitor [CVE-2018-5748] |
| linux | Ny opstrømsudgave |
| lxc | Retter oprettelse af testing- og unstable-containere ved at medtage iproute2frem for iproute |
| mapproxy | Retter problem med udførelse af skripter på tværs af websteder (XSS) i demoservice [CVE-2017-1000426] |
| mosquitto | Retter persistence-fil så den ikke er skrivbar for alle [CVE-2017-9868] |
| mpi4py | Understøtter aktuel version af libmpi |
| ncurses | Retter bufferoverløb i funktionen _nc_write_entry [CVE-2017-16879] |
| needrestart | Retter skift til listetilstand hvis debconf ikke køres interaktivet |
| ntp | Forøger stakstørrelsen til mindst 32 kB |
| nvidia-graphics-drivers-legacy-304xx | Ny opstrømsudgave |
| nvidia-graphics-drivers-legacy-340xx | Ny opstrømsudgave |
| nvidia-modprobe | Ny opstrømsudgave; kører setuid(0) før forgrening af modprobe for at bevare rettigheder gennem shell-kald og rekursive modprobe-kald |
| nvidia-persistenced | Ny opstrømsudgave |
| nvidia-settings | Ny opstrømsudgave; retter en fejl som forhindrede ændringer til stereoøjetildeling i at blive udført fra nvidia-settings' kontrolpanel |
| nvidia-xconfig | Ny opstrømsudgave; retter en regression som forhindrede nvidia-xconfig i at udspørge nogle GPU'er, fx når der køres `nvidia-xconfig -a` |
| ocfs2-tools | Migrerer fra at bruge rcS til standardrunlevels |
| opendmarc | Opdaterer opendmarc-servicefil så ændringer i opendmarc.conf benyttes |
| openssh | Retter i kun læsning-tilstand tillod sftp-server på ukorrekt vis at der blev oprettet filer med en størrelse på nul bytes [CVE-2017-15906] |
| osinfo-db | Opdaterer medfølgende data |
| pdns-recursor | Genopbygger mod publicsuffix 20171028.2055-0+deb9u1 |
| postfix | Ny fejlrettelsesudgave fra opstrøm; log ikke advarsler om at nogle begrænsninger returnerer OK, når acess map DISCARD-funktionen er i kraft; tilføjer manglende understøttelse af dynamicmaps i Postfix-sendmailkommando; retter afsendelse til nogle steder med TLSA 2 X X-poster |
| postgresql-9.6 | Ny opstrømsudgave |
| publicsuffix | Opdaterer medfølgende data |
| python-evtx | Retter manglende Python3-afhængighed |
| python-hacking | Retter Python3-afhængigheder |
| python-hkdf | Retter Python3-afhængigheder |
| python-mimeparse | Retter Python3-afhængigheder |
| python-pyperclip | Retter Python3-afhængigheder |
| python-spake2 | Retter Python3-afhængigheder |
| qtpass | Retter usikker indbygget adgangskodegenerator [CVE-2017-18021] |
| quota | Forhindrer kvotetjek i at gå i en uendelig løkke |
| reportbug | Send ikke længere mail til secure-testing-team@lists.alioth.debian.org |
| rpy | Genopbygger mod r-base 3.3 |
| ruby-redis-store | Tillader usikre objekter kan indlæses fra redis [CVE-2017-1000248] |
| salt | Retter mappegennemløbssårbarhed ved salt-master gennem fabrikerede minion-ID'er [CVE-2017-12791], mappegennemløbssårbarhed i validering af minion-id i SaltStack [CVE-2017-14695], fjernudført lammelsesangreb med en særligt fabrikeret autentifikationsforespørgsel [CVE-2017-14696]; kontroller hvorvidt data[return] er en dict-type |
| slic3r | Patcher use lib-linje i alle installerede binære filer; omgår manglende GL_MULTISAMPLE-makro; retter import af binære STL'er på big-endian-arkitekturer |
| soundtouch | Sikkerhedsrettelser [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] |
| systemd | networkd: Håndterer MTU-felt i IPv6 RA; tilføjer et linkerskript til at hjælpe med at forhindre symbolkollisioner, særligt med PAM-moduler; resolved: Retter løkke ved pakker med pseudo-dns-typer [CVE-2017-15908]; machinectl: Skriv ikke No machines.med parameteret --no-legend |
| tzdata | Ny opstrømsudgave |
| ust | Retter indlæses af Python-agentbibliotek |
| uwsgi | Retter stakbaseret bufferoverløb i funktionen uwsgi_expand_path [CVE-2018-6758] |
| vagrant | Downloadboxe fra app.vagrantcloud.com i stedet for den udfasede atlas.hashicorp.com |
| vdirsyncer | Retter genkendelse af Google-kontakter |
| virt-what | Får virt-genkendelse til at fungere igen på arm/aarch64 |
| w3m | Retter stakoverløb [CVE-2018-6196], null-dereference [CVE-2018-6197], /tmp-filkapløb [CVE-2018-6198] |
| waagent | Ny opstrømsudgave |
| webkit2gtk | Ny stabil opstrømsudgave |
| xchain | Retter afhængighed af wish |
| xrdp | Retter sikkerhedsproblem [CVE-2017-16927]; retter stor CPU-belastning ved ssl_tls_accept |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
| Pakke | Årsag |
|---|---|
| dolibarr | For meget arbejde at vedligeholde ordentligt i Debian |
| electrum | Sikkerhedsproblemer; defekt på grund af opstrømsændringer |
| jirc | Defekt sammen med stretchs libpoe-filter-xml-perl |
| pgmodeler | Inkompatibel med stretchs Postgresql |
| seelablet | Opgivet af opstrøm; defekt |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.