Opdateret Debian 9: 9.6 udgivet
10. november 2018
Debian-projektet er stolt over at kunne annoncere den sjette opdatering af
dets stabile distribution, Debian 9 (kodenavn stretch
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux
9, den indeholder blot opdateringer af nogle af de medfølgende pakker.
Der er ingen grund til at smide gamle stretch
-medier væk. Efter en
installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et
ajourført Debian-filspejl.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
Pakke | Årsag |
---|---|
accerciser | Retter tilgang til elementer uden en compositor; retter Python-konsol; tilføjer manglende afhængighed af python3-xlib |
apache2 | mod_http2: Retter lammelsesgreb i form af workerudmattelse [CVE-2018-1333] og ved løbende SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: Retter segmenteringsfejl |
base-files | Opdaterer /etc/debian_version til denne punktopdatering |
brltty | Retter polkit-autentifikation |
canna | Retter filkonlikt mellem canna-dbgsym og canna-utils-dbgsym |
cargo | Ny pakke til understøttelse af Firefox ESR60-opbygning |
clamav | Ny opstrømsudgave; retter HWP-heltalsoverløb, uendelig løkke-sårbarhed [CVE-2018-0360]; retter problem med tjek af PDF-objektlængde, bruger alt for lang tid på at fortolke relativ lille fil [CVE-2018-0361]; nye opstrømsversion; retter lammelsesangrebsproblem [CVE-2018-15378]; retter uendelig løkke i dpkg-reconfigure |
confuse | Retter en læsning udenfor grænserne i trim_whitespace [CVE-2018-14447] |
debian-installer | Opdaterer til -8-kerne-ABI |
debian-installer-netboot-images | Genopbygger til denne punktopdatering |
dnsmasq | trust-anchors.conf: Medtager seneste DNS-trustanchor KSK-2017 |
dom4j | Retter XML-indsprøjtningsangreb [CVE-2018-1000632]; kompile med source/target 1.5 for at rette kompileringsproblem med String.format |
dpdk | Ny stabil opstrømsudgave |
dropbear | Retter brugeroptællingssårbarhed [CVE-2018-15599] |
easytag | Retter OGG-korruption |
enigmail | Tilføjer kompatibilitet med nyere versioner af Thunderbird |
espeakup | espeakup.service: Indlæser automatisk speakup_soft ved start af dæmon |
fastforward | Retter segmenteringsfejl på 64 bit-arkitekturer |
firetray | Tilføjer kompatibilitet med nyere versioner af Thunderbird |
firmware-nonfree | Retter sikkerhedsproblemer i Broadcom-wififirmware [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; gentilføjer transitionspakker til firmware-{adi,ralink} |
fofix-dfsg | Retter fejl ved start |
fuse | Hvidlister autofs og FAT som gyldige mountpointfilsystemer |
ganeti | Verificer på korrekt vis SSL-certifikater under VM-eksport; signér genererede certifikater ved hjælp af SHA256 i stedet for SHA1; gør bash-completions automatisk indlæsbare |
globus-gsi-credential | Retter problem med voms-proxy og openssl 1.1 |
gnupg2 | Sikkerhedsrettelser; tilbagefører funktionalitet krævet af ny enigmail |
gnutls28 | Retter sikkerhedsproblemer [CVE-2018-10844 CVE-2018-10845] |
gphoto2-cffi | Får python3-gphoto2cffi til at fungere igen |
grub2 | grub-mknetdir: Tilføjer understøttelse af ARM64 EFI; ændrer standardmetoden for TSC-kalibrering til pmtimer på EFI-systemer |
hdparm | Aktiver kun APM på diske, som udstiller det |
https-everywhere | Tilbagefører ny opstrømsversion, af hensyn til kompatibilitet med Firefox ESR 60 |
i3-wm | Retter nedbrud ved genstart når der anvendes marks |
iipimage | Retter Apache-opsætning |
jhead | Retter sikkerhedsproblemer [CVE-2018-17088 CVE-2018-16554] |
lastpass-cli | Tilbagefører hårdkodede certifikatpins fra lastpass-cli 1.3.1 for at afspejle ændringer i den hostede Lastpass.com-tjeneste |
ldap2zone | Retter uendelig løkke ved tjek af zoneløbenummer |
libcgroup | Retter logfiler som var tilgængelige (og skrivbare) for alle [CVE-2018-14348] |
libclamunrar | Ny opstrømsugave |
libdap | Retter indhold i libdap-doc |
libdatetime-timezone-perl | Opdaterer medfølgende data |
libgd2 | Bmp: Tjek returværdi i gdImageBmpPtr [CVE-2018-1000222]; retter potentiel uendelig løkke i gdImageCreateFromGifCtx [CVE-2018-5711] |
libmail-deliverystatus-bounceparser-perl | Fjerner ikke-distribuerbare eksempler på spam og virus |
libmspack | Retter skrivning udenfor grænserne [CVE-2018-18584] og accept af blankefilnavne [CVE-2018-18585] |
libopenmpt | Retter up11: Out-of-bounds read loading IT / MO3 files with many pattern loops[CVE-2018-10017] |
libseccomp | Tilføjer understøttelse af Linux 4.9-syscalls: preadv2, pwritev2, pkey_mprotect, pkey_alloc og pkey_free; tilføjer understøttelse af statx |
libtirpc | rendezvous_request: Kontrollerer returværdi fra makefd_xprt [CVE-2018-14622] |
libx11 | Retter flere sikkerhedsproblemer [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600] |
libxcursor | Retter et lammelsesangreb eller potentiel kodeudførsel gennem et en-byte-heapoverløb [CVE-2015-9262] |
libxml-stream-perl | Leverer en standard-CA-sti |
libxml-structured-perl | Tilføjer manglende build- og runtimeafhængighed af libxml-parser-perl |
linux | Xen: Retter bootregression i PV-domæner; xen-netfront: Retter regressioner; ext4: retter falske negative *og* falske positive i ext4_check_descriptors(); udeb: Tilføjer virtio_console til virtio-modules; cdc_ncm: undgår padding ud over slutningen af skb; tilbageruller sit: genindlæs iphdr i ipip6_rcv; ny opstrømsudgave |
lxcfs | Tilbageruller oppetidsvirtualisering, retter processtarttider |
magicmaze | Afhænger af fonts-isabella nu hvor ttf-isabella er en virtuell pakke |
mailman | Retter sårbarhed i forbindelse med indspøjtning af vilkårlig tekst i Mailman-CGI'er [CVE-2018-13796] |
multipath-tools | Undgår deadlock i udev-triggere |
nagstamon | Løser problem med IcingaWeb2 Basic-autentifikation |
network-manager | libnm: Retter adgang til aktiverede og optalte egenskaber; retter heapskrivning udenfor grænserne i håndteringen af dhcpv6-valgmulighed [CVE-2018-15688] og forskellige andre problemer i den sd-network-baserede dhcp=internal-plugin |
network-manager-applet | libnma/pygobject: libnma/NMA skal anvende libnm/NM i stedet for forældede biblioteker |
ola | Retter slåfejl i /etc/init.d/rdm_test_server; retter jquery-filnavn i rdm-testservers statiske HTML-filer |
opensc | Retter grænseløs rekursion samt flere læsninger eller skrivninger udenfor grænserne [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] |
pkgsel | Installerer nye afhængigheder når safe-upgrade (standard) er valgt |
publicsuffix | Opdaterer medfølgende data |
python-django | Understøt som standard Spatialite >= 4.2 |
python-imaplib2 | Installer det korrekte modul til Python 3; anvend ikke TIMEOUT_MAX |
rustc | Aktiverer opbygning på flere arkitekturer: arm64, armel, armhf, i386, ppc64el, s390x |
sddm | Efterkommer PAM's ambient suppleringsgrupper; tilføjer manglende håndtering af utmp/wtmp/btmp |
serf | Retter NULL-pointerdereference |
soundconverter | Retter opus vbr-indstilling |
spamassassin | Ny opstrømsudgave; retter lammelsesangreb [CVE-2017-15705], fjernudførsel af kode [CVE-2018-11780], kodeindsprøjtning [CVE-2018-11781] og usikker anvendelse af .i @INC [CVE-2016-1238]; retter håndtering af spamd-service ved pakkeopgraderinger |
spice-gtk | Retter bufferoverløb i fleksibelt array [CVE-2018-10873] |
sqlcipher | Undgår nedbrud ved åbning af en fil |
subversion | Retter en regression opstået ved rettelserne af SHA1-kollisioner, hvor commits fejlede på ukorrekt vis med en Filesystem is corrupt-fejlmeddelelse, hvis deltalængden er et multiplum af 16K |
systemd | networkd: Lad ikke manager_connect_bus() fejle hvis dbus endnu ikke er aktiv; dhcp6: Sørg for at vi har plads nok til DHCP6-optionheader [CVE-2018-15688] |
systraq | Vend logikken om for at afslutte med succes i tilfælde af at /e/s/Makefile mangler |
tomcat-native | Retter problem med OSCP-responder, som gjorde det muligt for brugere at autentificere sig med tilbagetrukne certifikater, når der benyttes mutual TLS [CVE-2018-8019 CVE-2018-8020] |
tor | Mappeautoritetsændringer: pensionerer Bifroest-broautoriteten, til fordel for Serge; tilføjer en IPv6-adresse til dannenberg-mappeautoriteten |
tzdata | Nye opstrømsudgave |
ublock-origin | Tilbagefører ny opstrømsversion, af hensyn til kompatibility med Firefox ESR 60 |
unbound | Retter sårbarhed i behandlingen af syntentiserede wildcard-NSEC-poster [CVE-2017-15105] |
vagrant | Understøtter VirtualBox 5.2 |
vmtk | python-vmtk: Tilføjer den manglende afhængighed af python-vtk6 |
wesnoth-1.12 | Tillad ikke indlæsning af lua-bytecode gennem load/dofile [CVE-2018-1999023] |
wpa | Ignorer uautentificeret, krypteret EAPOL-Key-data [CVE-2018-14526] |
x11vnc | Retter to bufferoverløb |
xapian-core | Retter glass-backendfejl med langlivede markører i en tabel med WritableDatabase, hvilket på ukorrekt vis kunne føre til kastelse af DatabaseCorruptError, når databasen faktisk var i orden |
xmotd | Undgår nedbrud med hardening-flags |
xorg-server | GLX: Vælg ikke sRGB-opsætning for 32 bit-RGBA visual - retter forskellige blendingproblemer med kwin og Mesa >= 18.0 (dvs. Mesa fra stretch-backports) |
zutils | Retter et bufferoverløb i zcat [CVE-2018-1000637] |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
Pakke | Årsag |
---|---|
adblock-plus-element-hiding-helper | Ikke kompatibel med nyere versioner af firefox-esr |
all-in-one-sidebar | Ikke kompatibel med nyere versioner af firefox-esr |
autofill-forms | Ikke kompatibel med nyere versioner af firefox-esr |
automatic-save-folder | Ikke kompatibel med nyere versioner af firefox-esr |
classic-theme-restorer | Ikke kompatibel med nyere versioner af firefox-esr |
colorfultabs | Ikke kompatibel med nyere versioner af firefox-esr |
custom-tab-width | Ikke kompatibel med nyere versioner af firefox-esr |
dactyl | Ikke kompatibel med nyere versioner af firefox-esr |
downthemall | Ikke kompatibel med nyere versioner af firefox-esr |
dvips-fontdata-n2bk | Tom pakke |
firebug | Ikke kompatibel med nyere versioner af firefox-esr |
firegestures | Ikke kompatibel med nyere versioner af firefox-esr |
firexpath | Ikke kompatibel med nyere versioner af firefox-esr |
flashgot | Ikke kompatibel med nyere versioner af firefox-esr |
form-history-control | Ikke kompatibel med nyere versioner af firefox-esr |
foxyproxy | Ikke kompatibel med nyere versioner af firefox-esr |
gitlab | Åbne sikkerhedsproblemer, svært at tilbageføre rettelser |
greasemonkey | Ikke kompatibel med nyere versioner af firefox-esr |
intel-processor-trace | [s390x] Kun nyttig på Intel-arkitekturer |
itsalltext | Ikke kompatibel med nyere versioner af firefox-esr |
knot-resolver | Sikkerhedsproblemer, svært at tilbageføre rettelser |
lightbeam | Ikke kompatibel med nyere versioner af firefox-esr |
livehttpheaders | Ikke kompatibel med nyere versioner af firefox-esr |
lyz | Ikke kompatibel med nyere versioner af firefox-esr |
npapi-vlc | Ikke kompatibel med nyere versioner af firefox-esr |
nukeimage | Ikke kompatibel med nyere versioner af firefox-esr |
openinbrowser | Ikke kompatibel med nyere versioner af firefox-esr |
perspectives-extension | Ikke kompatibel med nyere versioner af firefox-esr |
pwdhash | Ikke kompatibel med nyere versioner af firefox-esr |
python-facebook | Defekt på grund af opstrømsændringer |
python-tvrage | Nytteløs efter lukningen af tvrage.com |
reloadevery | Ikke kompatibel med nyere versioner af firefox-esr |
sage-extension | Ikke kompatibel med nyere versioner af firefox-esr |
scrapbook | Ikke kompatibel med nyere versioner af firefox-esr |
self-destructing-cookies | Ikke kompatibel med nyere versioner af firefox-esr |
spdy-indicator | Ikke kompatibel med nyere versioner af firefox-esr |
status-4-evar | Ikke kompatibel med nyere versioner af firefox-esr |
stylish | Ikke kompatibel med nyere versioner af firefox-esr |
tabmixplus | Ikke kompatibel med nyere versioner af firefox-esr |
tree-style-tab | Ikke kompatibel med nyere versioner af firefox-esr |
ubiquity-extension | Ikke kompatibel med nyere versioner af firefox-esr |
uppity | Ikke kompatibel med nyere versioner af firefox-esr |
useragentswitcher | Ikke kompatibel med nyere versioner af firefox-esr |
video-without-flash | Ikke kompatibel med nyere versioner af firefox-esr |
webdeveloper | Ikke kompatibel med nyere versioner af firefox-esr |
xul-ext-monkeysphere | Ikke kompatibel med nyere versioner af firefox-esr |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.