Debian 8 更新:8.7 发布
2017年01月14日
Debian 项目很高兴地宣布 Debian 8 稳定版本的第七次更新(代号 jessie
)。此更新主要向稳定版本中添加了补丁以修正安全问题,以及为一些严重问题所做的调整。安全建议已经单独出版,并会在适当的情况下予以引用。
请注意,此更新并不是 Debian 8 的新版本,其仅更新了所包含的一些软件包。没有必要丢弃旧的 jessie
CD 或 DVD,只需在安装后使用最新的 Debian 镜像更新旧的软件包即可。
经常从 security.debian.org 安装更新的用户将不必更新许多软件包,并且此更新中包含了 security.debian.org 的大多数更新。
包含更新包的新安装媒体和 CD/DVD 映像即将于通常处提供。
通过将 aptitude(或 apt)包工具(请参阅 sources.list(5) 手册页)指向 Debian 的许多 FTP 或 HTTP 镜像之一,通常可以进行此修订。全面的镜像列表可在以下网址获得:
杂项错误修正
此稳定版更新为以下软件包添加了一些重要修正:
包 | 原因 |
---|---|
ark | 当仅用作 KPart 时,不再在退出时崩溃 |
asterisk | 修正由于不可打印的 ASCII 字符被视为空格引发的安全问题 [CVE-2016-9938] |
asused | 使用创建的字段而不是更改,与源数据的更改一致 |
base-files | 更改 /etc/debian_version 至 8.7 |
bash | 修正使用恶意主机名的任意代码执行 [CVE-2016-0634],及特制 SHELLOPTS+PS4 变量允许命令替换 [CVE-2016-7543] |
ca-certificates | 更新 Mozilla 证书颁发机构软件包至版本 2.9; postinst:运行没有钩子的 update-certificates 来初始化填充 /etc/ssl/certs |
cairo | 修正使用 SVG 生成无效指针的 DoS [CVE-2016-9082] |
ccache | [amd64] 在干净的环境中重新编译 |
ceph | 修正短 CORS 请求问题 [CVE-2016-9579],mon DoS [CVE-2016-5009],匿名读取 ACL [CVE-2016-7031],RGW DoS [CVE-2016-8626] |
chirp | 默认情况下禁用遥测报告 |
cyrus-imapd-2.4 | 修复 LIST GROUP 支持 |
darktable | 修正 ljpeg_start() 中的整数溢出 [CVE-2015-3885] |
dbus | 修正潜在的格式化字符串漏洞; dbus.prerm:确保在删除前停止 dbus.socket |
debian-edu-doc | 从 wiki 更新 Debian Edu Jessie 手册; 修正 (da|nl) Jessie 手册 PO 文件以构建 PDF 手册; 翻译更新 |
debian-edu-install | 更新版本号至 8+edu1 |
debian-installer | 为更新发布重编译 |
debian-installer-netboot-images | 为更新发布重编译 |
duck | 修正从不受信任的位置加载代码 [CVE-2016-1239] |
e2fsprogs | 用 dietlibc 0.33~cvs20120325-6+deb8u1 重编译,以使用包含的安全修正 |
ebook-speaker | 修正安装 html2text 时读取 html 文件的提示 |
elog | 修正以任意用户名发布条目 [CVE-2016-6342] |
evolution-data-server | 修正 TCP 窗口尺寸缩小时连接过早失效问题及其导致的数据丢失 |
exim4 | 修正 GnuTLS 内存泄漏 |
file | 修正幻数加载器中的内存泄漏 |
ganeti-instance-debootstrap | 修正 losetup 调用,通过替换 -show 为 -s |
glibc | 不要无条件地在 64 位 PowerPC CPU 上使用 fsqrt 指令;fix a regression introduced by cvs-resolv-ipv6-nameservers.diff in hesiod; disable lock elision (aka Intel TSX) on x86 architectures |
glusterfs | 配额:修正无法启动辅助挂载的问题 |
gnutls28 | Fix incorrect certificate validation when using OCSP responses [GNUTLS-SA-2016-3 / CVE-2016-7444]; ensure compatibility with CVE-2016-6489-patched nettle |
hplip | 从密钥服务器获取密钥时,使用完整的 gpg 密钥指纹 [CVE-2015-0839] |
ieee-data | 禁用 cron 的每月更新作业 |
intel-microcode | 更新微码 |
irssi | Fix information exposure issue via buf.pl and /upgrade [CVE-2016-7553]; fix NULL pointer dereference in the nickcmp function [CVE-2017-5193], use-after-free when receiving invalid nick message [CVE-2017-5194] and out-of-bounds read in certain incomplete control codes [CVE-2017-5195] |
isenkram | 使用 curl 下载固件;下载 modaliases 时使用 HTTPS;将镜像从 http.debian.net 更改为 httpredir.debian.org |
jq | 修正堆缓冲区溢出 [CVE-2015-8863] 和堆栈耗尽 [CVE-2016-4074] |
libclamunrar | 修正带外访问 |
libdatetime-timezone-perl | 更新至 2016h;数据更新至 2016i;更新至 2016j;更新至 2016g |
libfcgi-perl | 修正海量连接导致段错误的 DoS[CVE-2012-6687] |
libio-socket-ssl-perl | Fix issue with incorrect unreadable SSL_key_fileerror when using filesystem ACLs |
libmateweather | 从不再工作的 weather.noaa.gov 切换到 aviationweather.gov |
libphp-adodb | 修正 XSS 漏洞 [CVE-2016-4855] 和 SQL 注入问题 [CVE-2016-7405] |
libpng | 修正空指针解引用问题 [CVE-2016-10087] |
libwmf | 修正分配巨大内存 [CVE-2016-9011] |
linkchecker | 修正 HTTPS 检查 |
linux | Update to stable 3.16.39; add chaoskey driver, backported from 4.8, support for n25q256a11 SPI flash device; security,perf: Allow unprivileged use of perf_event_open to be disabled; several bug and 安全修正 |
lxc | Attach: do not send procfd to attached process [CVE-2016-8649]; remount bind mounts if read-only flag is provided; fix Alpine Linux container creation |
mapserver | 修正 php >= 5.6.25 上的 FTBFS;修正错误消息导致的信息泄漏 [CVE-2016-9839] |
mdadm | Allow '--grow --continue' to successfully reshape an array when using backup space on a 'spare' device |
metar | 更新回报 URL |
minissdpd | 修正数组索引不正确验证的漏洞 [CVE-2016-3178 CVE-2016-3179] |
monotone | Change the sigpipe test case to write 1M of test data to increase chances of overflowing the pipe buffer |
most | 修正打开 lzma 压缩文件时的 shell 注入攻击 [CVE-2016-1253] |
mpg123 | 修正通过构造 ID3v2 标签的 DoS |
musl | 修正整数溢出 [CVE-2016-8859] |
nbd | Stop mixing global flags into the flags field that gets sent to the kernel, so that connecting to nbd-server >= 3.9 does not cause every export to be (incorrectly) marked as read-only |
nettle | Protect against potential side-channel attacks against exponentiation operations [CVE-2016-6489] |
nss-pam-ldapd | Have init script stop action only return when nslcd has actually stopped |
nvidia-graphics-drivers | 更新到新版本的驱动程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-drivers-legacy-304xx | 更新到新版本的驱动程序,包括安全修正 [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
nvidia-graphics-modules | 用 nvidia-kernel-source 340.101 重编译 |
openbox | Add libxcursor-dev build-dependency to fix loading of startup notifications; replace getgrent with getgroups so as not to enumerate all groups at startup |
opendkim | Fix relaxed canonicalization of folded headers, which broke signatures |
pam | 修正在容器中 loginuid 的处理 |
pgpdump | Fix endless loop parsing specially crafted input in read_binary [CVE-2016-4021] and buffer overrun in read_radix64 |
postgresql-9.4 | 新上游版本 |
postgresql-common | Pg_upgradecluster: Properly upgrade databases with non-login role owners; pg_ctlcluster: Protect against symlink in /var/log/postgresql/ allowing the creation of arbitrary files elsewhere [CVE-2016-1255] |
potrace | 安全修正 [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
python-crypto | Raise a warning when IV is used with ECB or CTR and ignore the IV [CVE-2013-7459] |
python-werkzeug | 修正调试器中的 XSS 问题 |
qtbase-opensource-src | Prevent bad-ptrs deref in QNetworkConfigurationManagerPrivate; fix X11 tray icons on some desktops |
rawtherapee | 修正 dcraw 中的缓冲区溢出 [CVE-2015-8366] |
redmine | Handle dependency check failure when triggered, to avoid breaking in the middle of dist-upgrades; avoid opening database configuration that are not readable |
samba | Fix client side SMB2/3 required signing can be downgraded[CVE-2016-2119], various regressions introduced by the 4.2.10 安全修正, segfault with clustering |
sed | 使用不同的 umask 确保一致的权限 |
shutter | 修正不安全的 system() 用法 [CVE-2015-0854] |
sniffit | 安全修正 [CVE-2014-5439] |
suckless-tools | Fix SEGV in slock when user's account has been disabled [CVE-2016-6866] |
sympa | Fix logrotate configuration so that sympa is not left in a confused state when systemd is used |
systemd | Don't return any error in manager_dispatch_notify_fd() [CVE-2016-7796]; core: Rework logic to determine when we decide to add automatic deps for mounts; various ordering fixes for ifupdown; systemctl: Fix argument handling when invoked as shutdown; localed: tolerate absence of /etc/default/keyboard; systemctl, loginctl, etc.: Don't start polkit agent when running as root |
tevent | 新的上游版本,由 samba 需要 |
tre | 修正在缓冲区大小计算中的正则表达式整数溢出 [CVE-2016-8859] |
tzdata | 数据更新至 2016h;更新至 2016g;更新至 2016j;数据更新至 2016i |
unrtf | 修正各种 cmd_ 函数中的缓冲区溢出 [CVE-2016-10091] |
w3m | 多个安全修正 [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
wireless-regdb | 更新包含的数据 |
wot | 由于隐私问题删除插件 |
xwax | 用 libav-tools 里的 avconv 替换 ffmpeg |
zookeeper | Fix buffer overflow via the input command when using the cmd:batch mode syntax [CVE-2016-5017] |
安全更新
此修订版将以下安全更新添加到了稳定版本。安全小组已经分别为这些更新发布了通告:
已删除的软件包
由于我们无法控制的情况,以下软件包已被删除:
包 | 原因 |
---|---|
dotclear | 安全问题 |
sogo | 安全问题 |
Debian 安装程序
安装程序已经更新,以配合发布时包含在稳定版本中的修正内容。
URL
此修订版中更改软件包的完整列表:
当前稳定发行版:
拟议的稳定发行版更新:
稳定发行版信息(发行说明,勘误表等):
安全公告及信息:
关于 Debian
Debian 项目是一个自由软件开发者组织,为制作完全免费的 Debian 操作系统而自愿贡献时间和精力。
联系信息
更多信息,请访问 Debian 主页 https://www.debian.org/,发送邮件至 <press@debian.org>,或联系稳定版本团队 <debian-release@lists.debian.org>。