Opdateret Debian 8: 8.7 udgivet
14. januar 2017
Debian-projektet er stolt over at kunne annoncere den syvende opdatering af
dets stabile distribution, Debian 8 (kodenavn jessie
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux 8, den indeholder blot opdateringer af nogle af de medfølgende pakker. Der er ingen grund til at smide jessie-cd'er eller -dvd'er væk, opdatér i stedet mod et ajourført Debian-filspejl efter en nyinstallering, for at få de seneste ændringer med.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsmedier samt cd- og dvd-aftryk indeholdende opdaterede pakker, vil snart være tilgængelige fra de sædvanlige steder.
Online-opdatering til denne revision gøres normalt ved at lade
pakkehåndteringsværktøjet aptitude
(eller apt
, se
manualsiden sources.list(5) ) pege på et af Debians mange ftp- eller
http-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
Pakke | Årsag |
---|---|
ark | Stopper nedbrud ved afslutning, når kun anvendelse som en KPart |
asterisk | Retter sikkerhedsproblem på grund af ikke-skrivbare ASCII-tegn, der behandles som whitespace [CVE-2016-9938] |
asused | Anvender oprettede felter i stedet for ændrede, i overenesstemmelse med ændringer til kildedata |
base-files | Ændrer /etc/debian_version til 8.7 |
bash | Retter vilkårlig udførelse af kode gennem ondsindet værtsnavn [CVE-2016-0634] og særligt fremstillet SHELLOPTS+PS4-variabler som tillod kommandoerstatning [CVE-2016-7543] |
ca-certificates | Opdaterer Mozilla-certifikatmyndighedsbund til version 2.9; postinst: kører update-certificates uden hooks til indledende udfyldelse af /etc/ssl/certs |
cairo | Retter lammelsesangreb gennem brug af SVG til generering af ugyldige pointere [CVE-2016-9082] |
ccache | [amd64] Genopbygger i et rent miljø |
ceph | Retter problem med kort CORS-forespørgsel [CVE-2016-9579], lammelsesangreb i mon [CVE-2016-5009], anoynm læsning ved ACL [CVE-2016-7031], lammelsesangreb i RGW [CVE-2016-8626] |
chirp | Deaktiverer rapportering af telemetri som standard |
cyrus-imapd-2.4 | Retter understøttelse af LIST GROUP |
darktable | Retter heltalsoverløb i ljpeg_start() [CVE-2015-3885] |
dbus | Retter potentiel formatstrengssårbarhed; dbus.prerm: sikrer at dbus.socket er stoppet før fjernelse |
debian-edu-doc | Opdaterer Debian Edu Jessie-vejledning fra wikien; retter (da|nl) Jessie-vejlednings PO-filer for at PDF-håndbøgerne opbygget; oversættelsesopdateringer |
debian-edu-install | Opdaterer versionsnummer til 8+edu1 |
debian-installer | Genopbygger til punktopdateringen |
debian-installer-netboot-images | Genopbygger til punktopdateringen |
duck | Retter indlæsning af kode fra placeringer, der ikke er tillid til [CVE-2016-1239] |
e2fsprogs | Genopbygger mod dietlibc 0.33~cvs20120325-6+deb8u1, for at komme ajour med indeholdte sikkerhedsrettelser |
ebook-speaker | Retter tip om installering af html2text for at læse html-filer |
elog | Retter indsendelse af post som vilkårlig brugernavn [CVE-2016-6342] |
evolution-data-server | Retter præmatur bortkastelse af forbindelse med reducerede TCP-vinduestørrelse og medførende tab af data |
exim4 | Retter hukommelseslækage i GnuTLS |
file | Retter hukommelseslækage i magic loader |
ganeti-instance-debootstrap | Retter losetup-kald ved at erstatte -s med --show |
glibc | Benyt ikke betingelsesløst fsqrt-instruktionen på 64 bit-PowerPC-CPU'er; retter en regression opstået i cvs-resolv-ipv6-nameservers.diff i hesiod; deaktiverer lock-elision (også kendt som Intel TSX) på x86-arkitekturer |
glusterfs | Quota: Retter problem med at hjælpemount ikke kunne startes |
gnutls28 | Retter ukorrekt certifikatvalidering når der anvendes OCSP-svar [GNUTLS-SA-2016-3 / CVE-2016-7444]; sikrer kompatibilitet med CVE-2016-6489-patched nettle |
hplip | Anvender fuldstændigt gpg-nøglefingeraftryk når der hentes en nøgle fra nøgleservere [CVE-2015-0839] |
ieee-data | Deaktiverer cronjob til månedlig opdatering |
intel-microcode | Opdaterer microcode |
irssi | Retter informationsblotlæggelsesproblem gennem buf.pl og /upgrade [CVE-2016-7553]; retter NULL-pointerdereference i funktionen nickcmp [CVE-2017-5193], anvendelse efter frigivelse ved modtagelse af ugyldig nick-besked [CVE-2017-5194] og læsning uden for grænserne i visse ufuldstændige kontrolkoder [CVE-2017-5195] |
isenkram | Download firmware vha. curl; anvend HTTPS når modaliases downloades; ændrer filspejl fra http.debian.net til httpredir.debian.org |
jq | Retter heapbufferoverløb [CVE-2015-8863] og stakudmattelse [CVE-2016-4074] |
libclamunrar | Retter tilgang uden grænsen |
libdatetime-timezone-perl | Opdaterer til 2016h; opdaterer medfølgende data til 2016i; opdaterer til 2016j; opdaterer til 2016g |
libfcgi-perl | Retter talrige forbindelser forårsage segmenteringsfejlslammelsesangreb[CVE-2012-6687] |
libio-socket-ssl-perl | Retter problem med ukorrekt unreadable SSL_key_file-fejl når der anvendes filsystem-ACL'er |
libmateweather | Skifter fra nedlagt weather.noaa.gov til aviationweather.gov |
libphp-adodb | Retter XSS-sårbarhed [CVE-2016-4855] og SQL-indsprøjtningsproblem [CVE-2016-7405] |
libpng | Retter problem med null-pointerdereference [CVE-2016-10087] |
libwmf | Retter allokering af enorm hukommelsesblok [CVE-2016-9011] |
linkchecker | Retter HTTPS-kontroller |
linux | Opdaterer til stabil 3.16.39; tilføjer chaoskey-driver, tilbageført fra 4.8, understøtter n25q256a11 SPI-flashenhed; security,perf: tillader upriviligeret brug af perf_event_open kan slås fra; flere fejl og sikkerhedsrettelser |
lxc | Attach: send ikke procfd til attachede processer [CVE-2016-8649]; remount bind mounter hvis kun læsning-flaget leveres; retter oprettelse af Alpine Linux-container |
mapserver | Retter FTBFS med php >= 5.6.25; retter informationslækage gennem fejlmeddelelser [CVE-2016-9839] |
mdadm | Tillader at '--grow --continue' med succes reshape'r et array når der anvendes backupplads på en 'spare'-enhed |
metar | Opdaterer rapport-URL |
minissdpd | Retter ukorrekt validering af arrayindekssårbarhed [CVE-2016-3178 CVE-2016-3179] |
monotone | Ændrer sigpipe-testcasen til at skrive 1M testdata for at forøge chancen for at pipebufferen løber over |
most | Retter shell-indsprøjtningsangreb når der åbnes filer af typen lzma-compressed [CVE-2016-1253] |
mpg123 | Retter lammelsesangreb med fabrikerede ID3v2-tags |
musl | Retter heltalsoverløb [CVE-2016-8859] |
nbd | Stopper sammenblanding af global flag i flags-feltet som bliver sendt til kernen, således at forbindelser til nbd-server >= 3.9 ikke medfører at enhver eksport bliver (ukorrekt) markeret som kun læsbar |
nettle | Beskytter mod potentielle sidekanalsangreb mod eksponentieringsoperationer [CVE-2016-6489] |
nss-pam-ldapd | Får initskript-stophandling til kun at returnere når nslcd faktisk er stoppet |
nvidia-graphics-drivers | Opdaterer til ny driverversion, indeholdende sikkerhedsrettelser [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-drivers-legacy-304xx | Opdaterer til ny driverversion, indeholdende sikkerhedsrettelser [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-modules | Genopbygger mod nvidia-kernel-source 340.101 |
openbox | Tilføjer libxcursor-dev buildafhængighed for at rette indlæsning af startupnotifikationer erstatter getgrent med getgroups for ikke at enumerere alle grupper ved start |
opendkim | Retter afslappet kanonikalisering af folded headers, hvilket fik siganturer til at gå i stykker |
pam | Retter håndtering af loginuid i containere |
pgpdump | Retter uendelig løkke ved fortolkning af særligt fabrikerede inddata i read_binary [CVE-2016-4021] og bufferoverløb i read_radix64 |
postgresql-9.4 | Ny opstrømsudgave |
postgresql-common | Pg_upgradecluster: Opgrader databaser på korrekt vis med ikke-login-rolleejere; pg_ctlcluster: beskyttelse mod symlink i /var/log/postgresql/ muliggør oprettelse af vilkårlige filer andre steder [CVE-2016-1255] |
potrace | Sikkerhedsrettelser [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
python-crypto | Advarer når IV anvendes med ECB eller CTR, og ignorerer IV'en [CVE-2013-7459] |
python-werkzeug | Retter XSS-problem i debugger |
qtbase-opensource-src | Forhindrer bad-ptrs-dereference i QNetworkConfigurationManagerPrivate; retter X11-trayikoner på nogle skriveborde |
rawtherapee | Retter bufferoverløb i dcraw [CVE-2015-8366] |
redmine | Håndterer afhængighedskontrolfejl når udløst, for at undgå nedbrud midt i dist-upgrades; undgår åbning af databaseopsætninger som ikke er læsbare |
samba | Retter klientside-SMB2/3-krævet signering kan nedgraderes[CVE-2016-2119], forskellige regressioner opstået i sikkerhedsrettelsener i 4.2.10, segmenteringsfejl med clustering |
sed | Sikrer konsistente rettigheder med forskellige umasks |
shutter | Retter usikker brug af system() [CVE-2015-0854] |
sniffit | Sikkerhedsrettelse [CVE-2014-5439] |
suckless-tools | Retter SEGV i slock når brugerens konto er deaktiveret [CVE-2016-6866] |
sympa | Retter logrotate-opsætning således at sympa ikke efterlades i en forvirret tilstand når systemd anvendes |
systemd | Returner ikke nogen fejl i manager_dispatch_notify_fd() [CVE-2016-7796]; core: omarbejd logik til at afgøre hvornår vi beslutter os for at tilføje automatiske afhængigheder vedr. mounts; forskellige rækkefølgerettelser til ifupdown; systemctl: retter parameterhåndtering når kaldt som shutdown; localed: tolerer fravær af /etc/default/keyboard; systemctl, loginctl, osv.: start ikke polkitagent når der køres som root |
tevent | Ny opstrømsversion, krævet af samba |
tre | Retter regex-heltalsoverløb i beregninger af bufferstørrelser [CVE-2016-8859] |
tzdata | Opdaterer medfølgende data til 2016h; opdaterer til 2016g; opdaterer til 2016j; opdaterer medfølgende data til 2016i |
unrtf | Retter bufferoverløb i forskellige cmd_-funktioner [CVE-2016-10091] |
w3m | Flere sikkerhedsrettelser [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
wireless-regdb | Opdaterer mefølgende data |
wot | Fjerner plugin på grund af privatlivsproblemer |
xwax | Erstatter ffmpeg med avconv fra libav-tools |
zookeeper | Retter bufferoverløb gennem indatakommandoen når syntaksen for cmd:-batchtilstand anvendes [CVE-2016-5017] |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Fjernede pakker
Følgende pakker er blevet fjernet på grund af omstændigheder uden for vores kontrol:
Pakke | Årsag |
---|---|
dotclear | Sikkerhedsproblemer |
sogo | Sikkerhedsproblemer |
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.