Updated Debian 9: 9.4 udgivet

10. marts 2018

Debian-projektet er stolt over at kunne annoncere den fjerde opdatering af dets stabile distribution, Debian 9 (kodenavn stretch). Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den stabile udgave, sammen med nogle få rettelser af alvorlige problemer. Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til dem, hvor de er tilgængelige.

Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 9, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide gamle stretch-medier væk. Efter en installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et ajourført Debian-filspejl.

Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.

Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.

Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:

https://www.debian.org/mirror/list

Forskellige fejlrettelser

Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:

Pakke Årsag
acme-tiny Retter forældet udgave af tilmeldingsaftale
activity-log-manager Tilføjer manglende afhængighed af python-zeitgeist
agenda.app Retter oprettelse af opgaver og aftaler
apparmor Flytter features-filen til /usr/share/apparmor-features; knytter AppArmor-funktionalitet til Stretchs kernel
auto-apt-proxy Flytter apt-opsætning væk ved fjernelse, og flytter den tilbage ved geninstallering
bareos Retter fejlende sikkerhedskopier med No Volume name given
base-files Opdaterer til denne punktopdatering
cappuccino Tilføjer manglende afhængighed af gir1.2-gtk-3.0
cerealizer Retter Python3-afhængigheder
clamav Ny opstrømsudgave; sikkerhedsopdatering [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron Transitionerer på korrekt vis systemjob til system_cronjob_t SELinux-kontakt og holder op med at være afhængig af refpolicy-specifikke indentifikatorer
cups Retter udførelse af vilkårlig IPP-kommander ved at sende POST-forespørgsler til CUPS-dæmonen i forbindelse med DNS-rebinding [CVE-2017-18190]
dbus Ny opstrømsudgave; forøger tidligere antal fildeskriptorer, retter en regression i rettelse af lokalt lammesesangreb
debian-edu-config Præ-opsætter Chromium Webbrowser på hele systemet til at automatisk at genkende http-proxyindstillinger gennem WPAD; tillader at Windows 10-klienter kan tilknytte sig til Samba NT4-domænet
debian-installer Ændrer Linux-kerneversion fra 4.9.0-4 til 4.9.0-6
debian-installer-netboot-images Opdaterer til 20170615+deb9u3-aftryk fra stretch-proposed-updates
directfb Retter arkitekturbaseret filter til faktisk at installere drivere
dpdk Opdaterer til ny stabil punktudgave
espeakup udeb: retter situation hvor card 0 ikke havde en id eller hvor card ikke har fortløbende indeks; anvender som standard engelsk; anvender card-id på installeret system for at undgå problemer med card-genkendelsesrækkefølge
exam Retter Python3-afhængigheder
flatpak Ny opstrømsudgave; retter en D-Bus-filtreringsomgåelse i flatpak-dbus-proxy; ignorerer ikke genkendte rettighedsstrenge, i stedet for at fejle; tillad ikke legacy-aflytning på D-Bus-sessionsbussen
fuse-zip Retter tilbageskrivningsfejl med libzip 1.0
glade Retter mulig uendelig løkke
glibc Opdater ikke /etc/nsswitch.conf når indholdet allerede svarer til standarden; debian/script.in/nohwcap.sh: tjek altid for alle optimerede pakker som multiarch, gør det muligt at installere fremmede arkiktekturer; undgår anvendelse efter frigivelse-læseadgang i clntudp_call [CVE-2017-12133]; definerer kollation for Malayalam chillu-tegn med korrekt kollation af U+0D36 og U+0D37 Malayalam-tegn; retter ugyldig cast i gruppemergen, som påvirker ppc64 og s390x; retter kompabilitet med Intel C++ __regcall-kaldkonvention; installerer libc-otherbuild postinst og postrm i den transtitionelle pakke libc6-i686, for at sikre at /etc/ld.so.nohwcap er korrekt fjernet efter en opgradering
global Gozilla: sætter URL'er i citationstegn før de overføres til BROWSER [CVE-2017-17531]
gnumail Stopper linkning til OpenSSL
golang-github-go-ldap-ldap Kræver eksplicit hensigt vedrørende tomme adgangskoder
gosa-plugin-pwreset Retter udfaset constructor-kald
grilo-plugins Retter Radio France-kilde
hdf5 Retter javahelper-invocation
inputlirc Medtager input-event-codes.h i stedet for input.h, retter buildfejl
intercal Genkompilerer med PIE
java-atk-wrapper Retter iteratorinitialisering; retter manglende reference til børn
kildclient Dropper understøttelse af brugerdefinerede browsere [CVE-2017-17511]
libdate-holidays-de-perl Markerer Reformationsdag som en helligdag i Hamburg og Schleswig-Holstein fra 2018 og frem
libdatetime-timezone-perl Ny opstrømsudgave
libhibernate-validator-java Retter potentielt rettighedsforøgelse ved at omgå security manager-tilladelser [CVE-2017-7536]
libperlx-assert-perl Tilføjer manglende afhængigheder af libkeyword-simple-perl, libdevel-declare-perl
libreoffice Lader FunctionAccess udføre WEBSERVICE; anvender den rette fejlkode ved WEBSERVICE()-fejl
libvhdi Tilføjer manglende Python3-afhængighed
libvirt QEMU: delte diske med cache=directsync bør være sikre til migrering; undgår lammelsesangreb ved læsning fra QEMU-monitor [CVE-2018-5748]
linux Ny opstrømsudgave
lxc Retter oprettelse af testing- og unstable-containere ved at medtage iproute2 frem for iproute
mapproxy Retter problem med udførelse af skripter på tværs af websteder (XSS) i demoservice [CVE-2017-1000426]
mosquitto Retter persistence-fil så den ikke er skrivbar for alle [CVE-2017-9868]
mpi4py Understøtter aktuel version af libmpi
ncurses Retter bufferoverløb i funktionen _nc_write_entry [CVE-2017-16879]
needrestart Retter skift til listetilstand hvis debconf ikke køres interaktivet
ntp Forøger stakstørrelsen til mindst 32 kB
nvidia-graphics-drivers-legacy-304xx Ny opstrømsudgave
nvidia-graphics-drivers-legacy-340xx Ny opstrømsudgave
nvidia-modprobe Ny opstrømsudgave; kører setuid(0) før forgrening af modprobe for at bevare rettigheder gennem shell-kald og rekursive modprobe-kald
nvidia-persistenced Ny opstrømsudgave
nvidia-settings Ny opstrømsudgave; retter en fejl som forhindrede ændringer til stereoøjetildeling i at blive udført fra nvidia-settings' kontrolpanel
nvidia-xconfig Ny opstrømsudgave; retter en regression som forhindrede nvidia-xconfig i at udspørge nogle GPU'er, fx når der køres `nvidia-xconfig -a`
ocfs2-tools Migrerer fra at bruge rcS til standardrunlevels
opendmarc Opdaterer opendmarc-servicefil så ændringer i opendmarc.conf benyttes
openssh Retter i kun læsning-tilstand tillod sftp-server på ukorrekt vis at der blev oprettet filer med en størrelse på nul bytes [CVE-2017-15906]
osinfo-db Opdaterer medfølgende data
pdns-recursor Genopbygger mod publicsuffix 20171028.2055-0+deb9u1
postfix Ny fejlrettelsesudgave fra opstrøm; log ikke advarsler om at nogle begrænsninger returnerer OK, når acess map DISCARD-funktionen er i kraft; tilføjer manglende understøttelse af dynamicmaps i Postfix-sendmailkommando; retter afsendelse til nogle steder med TLSA 2 X X-poster
postgresql-9.6 Ny opstrømsudgave
publicsuffix Opdaterer medfølgende data
python-evtx Retter manglende Python3-afhængighed
python-hacking Retter Python3-afhængigheder
python-hkdf Retter Python3-afhængigheder
python-mimeparse Retter Python3-afhængigheder
python-pyperclip Retter Python3-afhængigheder
python-spake2 Retter Python3-afhængigheder
qtpass Retter usikker indbygget adgangskodegenerator [CVE-2017-18021]
quota Forhindrer kvotetjek i at gå i en uendelig løkke
reportbug Send ikke længere mail til secure-testing-team@lists.alioth.debian.org
rpy Genopbygger mod r-base 3.3
ruby-redis-store Tillader usikre objekter kan indlæses fra redis [CVE-2017-1000248]
salt Retter mappegennemløbssårbarhed ved salt-master gennem fabrikerede minion-ID'er [CVE-2017-12791], mappegennemløbssårbarhed i validering af minion-id i SaltStack [CVE-2017-14695], fjernudført lammelsesangreb med en særligt fabrikeret autentifikationsforespørgsel [CVE-2017-14696]; kontroller hvorvidt data[return] er en dict-type
slic3r Patcher use lib-linje i alle installerede binære filer; omgår manglende GL_MULTISAMPLE-makro; retter import af binære STL'er på big-endian-arkitekturer
soundtouch Sikkerhedsrettelser [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd networkd: Håndterer MTU-felt i IPv6 RA; tilføjer et linkerskript til at hjælpe med at forhindre symbolkollisioner, særligt med PAM-moduler; resolved: Retter løkke ved pakker med pseudo-dns-typer [CVE-2017-15908]; machinectl: Skriv ikke No machines. med parameteret --no-legend
tzdata Ny opstrømsudgave
ust Retter indlæses af Python-agentbibliotek
uwsgi Retter stakbaseret bufferoverløb i funktionen uwsgi_expand_path [CVE-2018-6758]
vagrant Downloadboxe fra app.vagrantcloud.com i stedet for den udfasede atlas.hashicorp.com
vdirsyncer Retter genkendelse af Google-kontakter
virt-what Får virt-genkendelse til at fungere igen på arm/aarch64
w3m Retter stakoverløb [CVE-2018-6196], null-dereference [CVE-2018-6197], /tmp-filkapløb [CVE-2018-6198]
waagent Ny opstrømsudgave
webkit2gtk Ny stabil opstrømsudgave
xchain Retter afhængighed af wish
xrdp Retter sikkerhedsproblem [CVE-2017-16927]; retter stor CPU-belastning ved ssl_tls_accept

Sikkerhedsopdateringer

Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:

Bulletin-id Pakke(r)
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx

Fjernede pakker

Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:

Pakke Årsag
dolibarr For meget arbejde at vedligeholde ordentligt i Debian
electrum Sikkerhedsproblemer; defekt på grund af opstrømsændringer
jirc Defekt sammen med stretchs libpoe-filter-xml-perl
pgmodeler Inkompatibel med stretchs Postgresql
seelablet Opgivet af opstrøm; defekt

Debian Installer

Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.

URL'er

Den komplette liste over pakker, som er ændret i forbindelse med denne revision:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Den aktuelle stabile distribution:

http://ftp.debian.org/debian/dists/stable/

Foreslåede opdateringer til den stabile distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):

https://www.debian.org/releases/stable/

Sikkerhedsannonceringer og -oplysninger:

https://security.debian.org/

Om Debian

Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.