Opdateret Debian 9: 9.5 udgivet
14. juli 2018
Debian-projektet er stolt over at kunne annoncere den femte opdatering af
dets stabile distribution, Debian 9 (kodenavn stretch
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux
9, den indeholder blot opdateringer af nogle af de medfølgende pakker.
Der er ingen grund til at smide gamle stretch
-medier væk. Efter en
installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et
ajourført Debian-filspejl.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
| Pakke | Årsag |
|---|---|
| 2ping | Tilføjer manglende afhængighed af python-pkg-resources |
| abiword | Løser binær fil-konflikt mellem abiword-dbgsym og abiword-plugin-grammar-dbgsym |
| adminer | Tillad ikke forbindelser til priviligerede porte [CVE-2018-7667] |
| animals | Retter ukorrekte filrettigheder, som gjorde spillet ubrugeligt |
| apache2 | Opgraderer mod_http og mod_proxy_http2 til versionerne fra 2.4.33, retter segmenteringsfejl, højt hukommelsesforbrug og potentielt nedbrud [CVE-2018-1302]; får initskriptet apache-htcacheclean til faktisk at bruge /etc/default/apache-htcacheclean til sin opsætning |
| auto-complete-el | Tilføjer opstrømsrettelse af emacs25; justerer emacs-afhængighederne til emacs-versionerne i stretch; opsætter auto-complete-el.emacsen-compat til at komme med installeringsadvarsel i stilhed |
| awffull | Benyt ikke fjernede valgmuligheder i /etc/cron.daily/awffull |
| ax25-tools | Undgå segmenteringsfejl på kørselstidspunktet |
| base-files | Opdaterer til denne punktopdatering |
| blktrace | Retter bufferoverløb i btt [CVE-2018-10689] |
| ca-certificates | Opdaterer Mozilla CA-bundt til version 2.22; fejlrettelser |
| camo | Tilføjer manglende afhængighed af openssl |
| cffi | Tilføjer filer til cffi-libffi og cffi-toolchain; tilføjer flere manglende afhængigheder |
| check-postgres | Opdaterer testsuite til at håndtere pg_get_indexdef(), medtager nu altid schema-navnet |
| clamav | Ny opstrømsversion; afbryd ikke med fejl ved nyligt fjernede opsætningsvalgmuligheder |
| clustershell | Tilføjer manglende afhængighed af python-pkg-resources |
| debian-installer | Opdaterer til kerne-ABI -7 |
| debian-installer-netboot-images | Genopbygger til denne punktopdatering |
| debian-security-support | Opdaterer medfølgende data |
| dehydrated | Retter mislykket oprettelse af fullchain.pem |
| devscripts | uscan: retter den nye pakkeversions regex for filenamemangle; debsign: retter bash-fuldførelse; bts: understøtter det nye tag ftbfs; uscan: understøtter HTTPS i sf.net-viderestilleren; debcheckout: understøtter salsa.debian.org; debdiff: sorterer shlibs-filer før de sammenlignes, hvilket reducerer diff-støj; uscan: faktisk understøttelse af --copy |
| disc-cover | Retter perl-fejl når disc-cover køres |
| discover | Anvender korrekt type for længdeparameteret hørende til kaldet getline() |
| django-xmlrpc | Retter python3-afhængigheder |
| dosbox | Retter nedbrud med core=dynamic |
| dpdk | Ny stabil optrømsopdatering |
| dpkg | Retter heltalsoverløb i formatversionsfortolkeren af deb(5); retter mappegennemløb med dpkg-deb --raw-extract; tilføjer understøttelse af riscv64-CPU; normaliser ikke parametre forbi et videreførselsstopord i Dpkg::Getopt; fortolker på korrekt vis bruger- og gruppenavne i start-stop-daemon, som begynder med cifre; anvend altid den binære version for .buildinfo-filnavnet |
| dput-ng | Tilføjer målene jessie-backports-sloppy og stretch-backports; medtager 'testing' i rm-managed-samlingerne og 'oldstable' i protected distributions(beskyttede distributioner); tilføjer ports-master-profiler; FTP: fortolker og anvender valgfri [:port]-del til fqdn |
| elastix | Genopbygger med ITK, som er opbygget med gcc 6 |
| email2trac | Retter genkendelse af Trac 1.2 |
| faad2 | Retter flere lammelsesangrebsproblemer gennem fabrikerede MP4-filer [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257] |
| faker | Tilføjer manglende afhængighed af python-ipaddress |
| fastkml | Tilføjer manglende afhængighed af pkg-resources |
| file | Undgår at læse forbi slutningen af bufferen [CVE-2018-10360] |
| freedink-dfarc | Retter mappegennemløb i D-Mod-extractor [CVE-2018-0496] |
| ganeti | Verificerer på korrekt vis SSL-certifikater under VM-eksport |
| ghostscript | Retter segmenteringsfejl med fuzzing-fil i gxht_thresh_image_init(); retter bufferløb i fill_threshold_buffer [CVE-2016-10317]; pdfwrite - beskytter mod forsøg på at sende et uendelig tal som uddata [CVE-2018-10194] |
| git-annex | Sikkerhedsrettelser [CVE-2018-10857 CVE-2018-10859] |
| glx-alternatives | Ny opstrømsversion |
| gridengine | Anvender korrekte stier til qmon-pixmaps; retter FTBFS på armhf |
| intel-microcode | Opdaterer medfølgende mikrokode, medfølgende rettelser af Spectre v2 [CVE-2017-5715] |
| jdresolve | Retter inkompatibilitet med libnet-dns-perl i Debian 8 og senere |
| libb64 | Genopbygger med PIE |
| libdate-holidays-de-perl | Markerer reformationsdag som helligdag i Niedersachsen og Bremen |
| libdatetime-timezone-perl | Opdaterer medfølgende data |
| libextractor | Forskellige sikkerhedsrettelser [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440] |
| libipc-run-perl | Retter hukommelseslækage |
| liblouis | Retter bufferoverløb [CVE-2018-11410]; retter flere bufferoverløb [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085] |
| libosmium | Send koordinat med værdien -2^31 som uddata på korrekt vis; retter buffere størrend 2^32 bytes |
| linux | Ny stabil opstrømsudgave 4.9.110 |
| linux-latest | Opdaterer til kerne-ABI -7 |
| llvm-toolchain-4.0 | Nye pakker til rust-backports; retter opbygning på s390x |
| local-apt-repository | Stopper at apt afbrydes når pakken er fjernet men ikke tømt |
| loook | Retter håndtering af filer beskyttet med adgangskode |
| miniupnpd | Retter lammelsesangreb [CVE-2017-1000494] |
| nss-pam-ldapd | Forøger størrelse på hostname-buffer |
| nvidia-graphics-drivers | Ny opstrømsversion |
| obfsproxy | Installer ikke den defekte AppArmor-profil |
| openldap | Retter et problem med manglende synkronisering ved delta-syncrepl-replikering i miljøer med flere mastere; ret virkelig opgraderinger når opsætningen indeholder særlige tegn indkapslet af backslash |
| openstack-debian-images | Opsætter CloudStack efter OpenStack i datasource_list, for at undgå en forsinkelse på 120 sekunder i cloud-init, når en maskine i OpenStack-skyen bootes |
| patch | Retter udførelse af vilkårlig kommando i ed-style-patches [CVE-2018-1000156] |
| piglit | Retter manglende afhængighed af python-mako |
| postgresql-9.6 | Ny opstrømsudgave |
| postgresql-common | Forhindrer opgradering/fjernelse af serverpakker i at stoppe andre større versionsklynger, når der benyttes systemd |
| psad | Tilføjer manglende afhængigheder af net-tools og iproute2 |
| pysurfer | Tilføjer manglende afhængighed af python-matplotlib |
| python-cluster | Tilføjer manglende afhængighed af pkg-resources |
| python-pyorick | Retter importfejl vved at tilføje manglende afhængighed af python3-numpy |
| python-scruffy | Tilføjer manglende afhængighed af pkg-resources |
| r-cran-mi | Tilføjer manglende afhængighed af r-cran-arm |
| redis | Korrigerer slåfejl vedrørende RunTimeDirectory -> RuntimeDirectory i systemd-.service-filer |
| reportbug | Giver sikkerhedsholdet eller LTS-holder besked om en mulig regression, hvis der rapporteres en fejl mod en pakke, som indeholder en sikkerhedsrettelse |
| rustc | Ny opstrømsudgave til understøttelse af Firefox ESR |
| salt | Retter salt-ssh-minion kopieret oven i opsætning fra Salt Master, uden at justere rettigheder [CVE-2017-8109] |
| shared-mime-info | Skifter dpkg-trigger til noawait, retter opgraderingsproblemer fra jessie |
| showq | Retter prefix så applikationen faktisk kan fungere |
| source-highlight | Retter afhængighed af libboost-regex-dev |
| starplot | Retter nedbrud ved start |
| subversion | Afviser commits der kan medføre hashkollisioner med eksisterende data, dermed løses problemet med SHA1/shattered |
| sus | Opdaterer til ny version, teknisk identisk med SUSv4 + TC1 + TC2 |
| systemd | networkd-ndisc: håndterer manglende MTU på en pæn måde; tillader at RemoveIPC= kan opsættes i unit-filen, ikke kun gennem D-Bus; nspawn: tilføjer manglende -E til getopt_long'; login: respekterer --no-wall når en nedlukning afbrydes |
| tclreadline | Retter opbygning af delt bibliotek på ppc64el |
| thefuck | Tilføjer manglende afhængighed af pkg-resources |
| tinyproxy | Hold ikke op med at lytte efter SIGHUP; retter filsti til opsætning; tilføjer manglende afhængighed af adduser |
| tlslite-ng | Verificerer MAC selv når paddingen er 1 byte lang |
| tzdata | Ny opstrømsudgave |
| unison | Genopbygger med stretchs ocaml |
| variety | Retter shell-indsprøjtning ved slet af filer til affaldsspanden; retter shell-indsprøjtning i filer og clock med særligt fabrikerede filnavne; hærder kald til ImageMagick mod potentiel shell-indsprøjtning |
| xapian-core | Retter MSet::snippet() to escape HTML in all cases [CVE-2018-499] |
| xerces-c | Retter lammelsesangreb gennem ekstern DTD-reference [CVE-2017-12627]; retter en regression der tvang gcc til at benytte SSE2, selv på platforme der ikke understøtter det |
| xrdp | Retter forskudt med én-fejl, der kunne føre til nedbrud |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
| Pakke | Årsag |
|---|---|
| libnet-whois-perl | Fungerer ikke |
| mlbviewer | Fungerer ikke længere på grund af indholdsændringer hos leverandør |
| python-uniconvertor | Ubrugelig; kræver ikke-pakkede afhængigheder |
| singularity-container | Ikke mulig at sikkerhedsunderstøtte |
| undertow | Ikke mulig at understøtte; flere sikkerhedsproblemer; alternativer findes |
| visionegg | Ubrugelig; kræver ikke længere tilgængelig numpy.oldnumeric |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.