Debian 8 更新: 8.6 リリース
2016 年 9 月 17 日
Debian プロジェクトは安定版 (stable) ディストリビューション Debian
8 (コード名 jessie
) の6回目の更新を発表できることを嬉しく思います。
この更新は主にセキュリティ問題の修正を安定版 (stable)
リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。
セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。
この更新は Debian 8 の新しいバージョンを構成するといった性質のものではなく、
収録されているパッケージの一部を更新するだけであることに注意してください。
古い jessie
のCDやDVDを投げ捨てる必要はなく、インストール後に最新の
Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。
頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。
新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。
オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:
様々なバグ修正
この安定版 (stable) の更新では以下のパッケージに重要な修正が加えられています:
パッケージ | 理由 |
---|---|
adblock-plus | firefox-esr と互換性のある新しい上流リリース |
apache2 | init スクリプトの競合状態と論理エラーを修正。デフォルトの index.html から manpages.debian.org へのリンクを削除。mod_socache_memcache: 無通信タイムアウトを15秒に増やし、キープアライブ接続できるように。mod_proxy_fcgi: 304 応答の誤った挙動を修正。 systemd-sysv-generator の挙動を修正。mod_proxy_html: 欠けている設定ファイル mods-available/proxy_html.conf を追加 |
audiofile | サンプリングのフォーマットとチャンネル数を両方とも変更した場合のバッファオーバーフローを修正 [CVE-2015-7747] |
automake-1.14 | install-sh での安全でない /tmp/ の利用を回避 |
backintime | python-dbus への欠けている依存を追加 |
backuppc | samba の 4.2 への更新でのリグレッションを修正 |
base-files | ポイントリリース向けに更新 |
biber | ポイントリリースでの perl の更新で壊れていたのを修正 |
cacti | SQLインジェクションを修正: tree.php [CVE-2016-3172]、graph_view.php [CVE-2016-3659]。認証の迂回を修正 [CVE-2016-2313] |
ccache | 上流のバグ修正リリース |
clamav | AllowSupplementaryGroups が設定ファイルで未だにセットされている場合に失敗しないように |
cmake | OpenSSL 1.0.1t を検出できるように FindOpenSSL モジュールを修正 |
conkeror | Firefox 44 以降をサポート |
debian-edu-config | Iceweasel から Firefox ESR に移行。ldap-tools/ldap-debian-edu-install を調整し、samba.service ユニットがマスクされるようになっている systemd に追従。dhclient-exit-hooks.d/hostname: LTSP サーバがそれ専用の場合に合わせて調整。cf.krb5client を調整し、実行している cfengine が必ず同等のものになるように。待避した /usr/share/pam-configs/krb5 の掃除コードを postinst から preinst に移動し、古い wheezy 版からアップグレードしやすいように。cups がプリンタを自動検出するのに mdns が必要なっているため libnss-mdns を完全削除しないように |
debian-edu-doc | Debian Edu マニュアルを wiki から更新 |
debian-installer | proposed-updates に対して再ビルド |
debian-installer-netboot-images | ポイントリリース向けに再ビルド |
debian-security-support | 収録するサポートデータを更新。将来サポートを失うパッケージへの対応を追加 |
dietlibc | 安全でないデフォルトのパスを修正 |
dwarfutils | セキュリティ修正 [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042] |
e2fsprogs | e2fsck によりデタラメに扱われた時刻についてプロンプトを出さないように。Hurd ファイルシステムで e2fsck により潜在的に破損が起きる可能性と、e2fsck と resize2fs でクラッシュを引き起こす可能性のあるポインターバグを修正 |
exim4 | 本文中の「.」1字だけの行に関する cutthrough のバグを修正。exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'でクラッシュするのを修正。NEWS ファイルを改善。欠けている上流パッチをバックポートして $initial_cwd 展開が実際に機能するように |
file | 悪意のある magic ファイルによる finfo_open でのバッファ上書きを修正 [CVE-2015-8865] |
firegestures | firefox-esr と互換性のある新しい上流リリース |
flashplugin-nonfree | Update-flashplugin-nonfree: get-upstream-version.pl をキャッシュから削除 |
fusionforge | fusionforge-full メタパッケージから Mediawiki プラグインへの依存を削除 |
gdcm | 整数オーバーフロー [CVE-2015-8396] とサービス拒否 [CVE-2015-8397] を修正 |
glibc | 名前サーバのアドレスに接続できない場合のアサート失敗を修正 (CVE-2015-7547 の修正によるリグレッション)。s390x の *context 関数を修正。glob 関数でのバッファオーバーフロー [CVE-2016-1234]、nss_dns_getnetbyname_r でのスタックオーバーフロー [CVE-2016-3075]、getaddrinfo 関数でのスタックオーバーフロー [CVE-2016-3706]、Sun RPC clntudp_call() でのスタックオーバーフロー [CVE-2016-4429] を修正。上流の安定版ブランチから更新。O_TMPFILE を使って open 及び openat 関数を修正。armel/armhf で潜在的に軽いサービス拒否脆弱性を引き起こすバックトレースのハングを修正 [CVE-2016-6323]、IPv6 の名前サーバだけを使っているシステムの mtr を修正 |
gnome-maps | 新しい上流リリース。サポートされなくなった MapQuest サーバに代えて Mapbox タイルサーバを利用 |
gnome-sudoku | 生成するパズルが毎回同順にならないように |
gnupg | gpgv: デフォルトオプションを調整してセキュリティを向上。g10: 署名検証時の鍵の確認を修正 |
gnupg2 | gpgv: デフォルトオプションを調整してセキュリティを向上。g10: 署名検証時の鍵の確認を修正 |
greasemonkey | firefox-esr と互換性のある新しい上流リリース |
intel-microcode | 新しい上流リリース |
jakarta-jmeter | テンプレートを実際にインストール。バージョン 1.4.9 以降の libxstream-java でテンプレートを読み込んだ場合のエラーを修正 |
javatools | java-arch.sh で ppc64el の正しいアーキテクチャ文字列を返すように |
kamailio | libssl バージョンの確認を修正 |
libbusiness-creditcard-perl | 様々な企業のクレジットカード範囲と処理の変更に合わせて調整 |
libcss-dom-perl | perl と libencode-perl の安定版更新での Encode の変更に暫定対処 |
libdatetime-timezone-perl | 収録データを 2016e に更新。新しい上流リリース |
libdevel-declare-perl | perl の安定版更新による変更で壊れていたのを修正 |
libnet-ssleay-perl | openssl 1.0.1t-1+deb8u1 でビルドが失敗するのを修正 |
libquota-perl | プラットフォーム検出を Linux 4.x で機能するように変更 |
libtool | 複数アーキテクチャの相互インストール性を修正 [amd64 i386] |
libxml2 | qemu:///system のようなホスト部のないURIを解析しない問題を修正。これにより libvirt や libsys-virt-perl その他も直ります |
linux | 新しい上流安定版リリース |
lxc | stretch/sid コンテナに必ず init システムが含まれるように。init 1.34 以降では「Essential: yes」ヘッダが除かれています |
mariadb-10.0 | セキュリティ修正を収録する新しい上流リリース [CVE-2016-6662] |
mozilla-noscript | firefox-esr と互換性のある新しい上流リリース |
nullmailer | 厳密に必要な期間を超えて debconf データベースに relayhost データを保持しないように |
open-iscsi | 初期化スクリプト: iSCSI デバイスが現れてから少々待つようにし、udev の初期処理が安定した後になってから依存するデバイスが見えるようにすることで競合状態に暫定対処。open-iscsi-udeb: 設定を対象システムに複製した後に initramfs を更新 |
openssl | CRL の長さ確認を修正、s390x 向けに asm 最適化を有効化 |
ovirt-guest-agent | ovirt-guest-agent.py 実行可能ファイルをインストール。postinst でログディレクトリの所有者を ovirtagent に変更 |
piuparts | ビルド失敗を修正 (現在の Debian リリースの状況ではテストしていません。distro-info-data の問題を追跡しています) |
policykit-1 | 複数のバグ修正: ヒープ破損 [CVE-2015-3255]、ローカル認証済みサービス拒否 [CVE-2015-4625]、RegisterAuthenticationAgent のオブジェクトパスが不正である問題 [CVE-2015-3218] |
publicsuffix | 新しい上流リリース |
pypdf2 | readObject() 関数での無限ループを修正 |
python-django | 1.7.11 へのバグ修正更新 |
python2.7 | smtplib の StartTLS 追い剥ぎ攻撃に対処 [CVE-2016-0772]、zipimporter の整数オーバーフロー [CVE-2016-5636]、 HTTP ヘッダインジェクション [CVE-2016-5699] に対処 |
quassel | quassel コアでの不正なハンドシェイクデータによるリモートDoSを修正 [CVE-2016-4414] |
ruby-eventmachine | FD処理が原因でリモートからクラッシュを引き起こせるのを修正 |
ruby2.1 | 汚染された名前のライブラリを dl::dlopen のセーフモードで開かないように [CVE-2009-5147]。汚染された名前の関数から関数を呼ばないように処理を調整 [CVE-2015-7551] |
sendmail | LDAP サーバへの接続が失われた場合にアサート失敗で中止しないように。sendmail の {client_port} がリトルエンディアンのマシンで必ず正しくセットされるように |
sqlite3 | 一時ディレクトリ選択の脆弱性 [CVE-2016-6153] と SAVEPOINT の使用状況が逼迫した後にセグメンテーション違反を起こすのを修正 |
systemd | 分岐したプロセスを停止させる際のタイムアウトする時間を適切に。カーネルのコマンドラインで抑制が指示されている場合にログレベルを NOTICE に戻さないように。sd-event のキュー比較関数の優先付けを修正。kernel.org の cgroup 文書へのリンクを更新。/dev/console がない場合に console-getty.service を起動させないように。systemd-user-sessions.service を nss-user-lookup.target と network.target の後に配置 |
tabmixplus | firefox-esr と互換性のある新しい上流リリース |
tcpreplay | サイズが 65535 オクテットのフレームを処理、サイズの確認を追加 [CVE-2016-6160] |
tor | 承認用ディレクトリサーバ群を更新 |
tzdata | 新しい上流リリース 2016e に更新 |
unbound | 初期化スクリプト修正: 特別コメントpidfileを追加。停止操作について、再試行オプションを指定して start-stop-daemon を呼ぶように |
util-vserver | dietlibc 0.33~cvs20120325-6+deb8u1 に対して再ビルドし、デフォルトのパスが安全でないのを修正 |
vorbis-tools | oggenc への誤った AIFF 入力で巨大な alloca が発生するのを修正 [CVE-2015-6749]、ヘッダのチャンネル数を検証 [CVE-2014-9638 CVE-2014-9639]、vcut でのセグメンテーション違反を修正 |
vtk | 再ビルドして Java パスを修正 [ppc64el] |
wget | デフォルトで、サーバ上でのFTPリソースへのリダイレクト時にローカルファイル名の取得に元のURLを利用 [CVE-2016-4971] |
wpa | 無効な文字に関連するセキュリティ更新 [CVE-2016-4476、CVE-2016-4477] |
yaws | 「HTTP_PROXY」CGI環境変数インジェクションを修正 [CVE-2016-1000108] |
zabbix | zabbix-agent の mysql.size にあるシェルコマンドインジェクションを修正 [CVE-2016-4338] |
mariadb-10.0
パッケージは powerpc
アーキテクチャでのビルドに失敗していますが CVE-2016-6662
の修正を迅速にリリースできるよう、ポイントリリースに収録されています。
この勧告はアップロード時には公開されていませんでした。ビルド失敗の修正が次の
mariadb-10.0 のDSAよりも早く利用できるようになった場合、更新されたパッケージは
jessie-updates
経由でのリリースとなるかもしれません。
セキュリティ更新
この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:
削除されたパッケージ
以下のパッケージが私たちの力の及ばない事情により削除されました:
パッケージ | 理由 |
---|---|
minit | 保守されておらず古くなった |
trn | セキュリティ問題、trn4 に置き換え |
Debian インストーラ
インストーラが更新され、このポイントリリースまでに安定版 (stable) に盛り込まれた修正が収録されています。
URL
このリリースで変更されたパッケージの完全なリスト:
現在の安定版 (stable) ディストリビューション:
安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):
安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):
セキュリティ関連のアナウンスと情報について:
Debian について
Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。
連絡先について
より詳細な情報については、https://www.debian.org/ を訪れるか、 <press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。