Debian 8 更新: 8.6 リリース

2016 年 9 月 17 日

Debian プロジェクトは安定版 (stable) ディストリビューション Debian 8 (コード名 jessie) の6回目の更新を発表できることを嬉しく思います。 この更新は主にセキュリティ問題の修正を安定版 (stable) リリースに加えるもので、重大な問題に対する若干の調整への対応を追加しています。 セキュリティ勧告はすでに個別に発表されており、利用可能なものは参照されています。

この更新は Debian 8 の新しいバージョンを構成するといった性質のものではなく、 収録されているパッケージの一部を更新するだけであることに注意してください。 古い jessie のCDやDVDを投げ捨てる必要はなく、インストール後に最新の Debian ミラーから更新を取得して古くなったパッケージを更新するだけです。

頻繁に security.debian.org から更新をインストールしている人は大量のパッケージ更新をする必要はありません。 security.debian.org での更新のほとんどが今回のアップデートに含まれています。

新規のインストールメディアや CD、DVD イメージには更新されたパッケージが含まれ、 いつもの場所で間もなく入手可能になります。

オンラインからの今回のリビジョンへのアップグレードは、通常 aptitude (または apt) パッケージツールで Debian の FTP/HTTP ミラーの多くのうちの一つを指定することで実施されます (sources.list(5) マニュアルページを参照してください)。 ミラーの完全なリストは以下から入手出来ます:

https://www.debian.org/mirror/list

様々なバグ修正

この安定版 (stable) の更新では以下のパッケージに重要な修正が加えられています:

パッケージ 理由
adblock-plusfirefox-esr と互換性のある新しい上流リリース
apache2init スクリプトの競合状態と論理エラーを修正。デフォルトの index.html から manpages.debian.org へのリンクを削除。mod_socache_memcache: 無通信タイムアウトを15秒に増やし、キープアライブ接続できるように。mod_proxy_fcgi: 304 応答の誤った挙動を修正。 systemd-sysv-generator の挙動を修正。mod_proxy_html: 欠けている設定ファイル mods-available/proxy_html.conf を追加
audiofileサンプリングのフォーマットとチャンネル数を両方とも変更した場合のバッファオーバーフローを修正 [CVE-2015-7747]
automake-1.14install-sh での安全でない /tmp/ の利用を回避
backintimepython-dbus への欠けている依存を追加
backuppcsamba の 4.2 への更新でのリグレッションを修正
base-filesポイントリリース向けに更新
biberポイントリリースでの perl の更新で壊れていたのを修正
cactiSQLインジェクションを修正: tree.php [CVE-2016-3172]、graph_view.php [CVE-2016-3659]。認証の迂回を修正 [CVE-2016-2313]
ccache上流のバグ修正リリース
clamavAllowSupplementaryGroups が設定ファイルで未だにセットされている場合に失敗しないように
cmakeOpenSSL 1.0.1t を検出できるように FindOpenSSL モジュールを修正
conkerorFirefox 44 以降をサポート
debian-edu-configIceweasel から Firefox ESR に移行。ldap-tools/ldap-debian-edu-install を調整し、samba.service ユニットがマスクされるようになっている systemd に追従。dhclient-exit-hooks.d/hostname: LTSP サーバがそれ専用の場合に合わせて調整。cf.krb5client を調整し、実行している cfengine が必ず同等のものになるように。待避した /usr/share/pam-configs/krb5 の掃除コードを postinst から preinst に移動し、古い wheezy 版からアップグレードしやすいように。cups がプリンタを自動検出するのに mdns が必要なっているため libnss-mdns を完全削除しないように
debian-edu-docDebian Edu マニュアルを wiki から更新
debian-installerproposed-updates に対して再ビルド
debian-installer-netboot-imagesポイントリリース向けに再ビルド
debian-security-support収録するサポートデータを更新。将来サポートを失うパッケージへの対応を追加
dietlibc安全でないデフォルトのパスを修正
dwarfutilsセキュリティ修正 [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogse2fsck によりデタラメに扱われた時刻についてプロンプトを出さないように。Hurd ファイルシステムで e2fsck により潜在的に破損が起きる可能性と、e2fsck と resize2fs でクラッシュを引き起こす可能性のあるポインターバグを修正
exim4本文中の「.」1字だけの行に関する cutthrough のバグを修正。exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'でクラッシュするのを修正。NEWS ファイルを改善。欠けている上流パッチをバックポートして $initial_cwd 展開が実際に機能するように
file悪意のある magic ファイルによる finfo_open でのバッファ上書きを修正 [CVE-2015-8865]
firegesturesfirefox-esr と互換性のある新しい上流リリース
flashplugin-nonfreeUpdate-flashplugin-nonfree: get-upstream-version.pl をキャッシュから削除
fusionforgefusionforge-full メタパッケージから Mediawiki プラグインへの依存を削除
gdcm整数オーバーフロー [CVE-2015-8396] とサービス拒否 [CVE-2015-8397] を修正
glibc名前サーバのアドレスに接続できない場合のアサート失敗を修正 (CVE-2015-7547 の修正によるリグレッション)。s390x の *context 関数を修正。glob 関数でのバッファオーバーフロー [CVE-2016-1234]、nss_dns_getnetbyname_r でのスタックオーバーフロー [CVE-2016-3075]、getaddrinfo 関数でのスタックオーバーフロー [CVE-2016-3706]、Sun RPC clntudp_call() でのスタックオーバーフロー [CVE-2016-4429] を修正。上流の安定版ブランチから更新。O_TMPFILE を使って open 及び openat 関数を修正。armel/armhf で潜在的に軽いサービス拒否脆弱性を引き起こすバックトレースのハングを修正 [CVE-2016-6323]、IPv6 の名前サーバだけを使っているシステムの mtr を修正
gnome-maps新しい上流リリース。サポートされなくなった MapQuest サーバに代えて Mapbox タイルサーバを利用
gnome-sudoku生成するパズルが毎回同順にならないように
gnupggpgv: デフォルトオプションを調整してセキュリティを向上。g10: 署名検証時の鍵の確認を修正
gnupg2gpgv: デフォルトオプションを調整してセキュリティを向上。g10: 署名検証時の鍵の確認を修正
greasemonkeyfirefox-esr と互換性のある新しい上流リリース
intel-microcode新しい上流リリース
jakarta-jmeterテンプレートを実際にインストール。バージョン 1.4.9 以降の libxstream-java でテンプレートを読み込んだ場合のエラーを修正
javatoolsjava-arch.sh で ppc64el の正しいアーキテクチャ文字列を返すように
kamailiolibssl バージョンの確認を修正
libbusiness-creditcard-perl様々な企業のクレジットカード範囲と処理の変更に合わせて調整
libcss-dom-perlperl と libencode-perl の安定版更新での Encode の変更に暫定対処
libdatetime-timezone-perl収録データを 2016e に更新。新しい上流リリース
libdevel-declare-perlperl の安定版更新による変更で壊れていたのを修正
libnet-ssleay-perlopenssl 1.0.1t-1+deb8u1 でビルドが失敗するのを修正
libquota-perlプラットフォーム検出を Linux 4.x で機能するように変更
libtool複数アーキテクチャの相互インストール性を修正 [amd64 i386]
libxml2qemu:///system のようなホスト部のないURIを解析しない問題を修正。これにより libvirt や libsys-virt-perl その他も直ります
linux新しい上流安定版リリース
lxcstretch/sid コンテナに必ず init システムが含まれるように。init 1.34 以降では「Essential: yes」ヘッダが除かれています
mariadb-10.0セキュリティ修正を収録する新しい上流リリース [CVE-2016-6662]
mozilla-noscriptfirefox-esr と互換性のある新しい上流リリース
nullmailer厳密に必要な期間を超えて debconf データベースに relayhost データを保持しないように
open-iscsi初期化スクリプト: iSCSI デバイスが現れてから少々待つようにし、udev の初期処理が安定した後になってから依存するデバイスが見えるようにすることで競合状態に暫定対処。open-iscsi-udeb: 設定を対象システムに複製した後に initramfs を更新
opensslCRL の長さ確認を修正、s390x 向けに asm 最適化を有効化
ovirt-guest-agentovirt-guest-agent.py 実行可能ファイルをインストール。postinst でログディレクトリの所有者を ovirtagent に変更
piupartsビルド失敗を修正 (現在の Debian リリースの状況ではテストしていません。distro-info-data の問題を追跡しています)
policykit-1複数のバグ修正: ヒープ破損 [CVE-2015-3255]、ローカル認証済みサービス拒否 [CVE-2015-4625]、RegisterAuthenticationAgent のオブジェクトパスが不正である問題 [CVE-2015-3218]
publicsuffix新しい上流リリース
pypdf2readObject() 関数での無限ループを修正
python-django1.7.11 へのバグ修正更新
python2.7smtplib の StartTLS 追い剥ぎ攻撃に対処 [CVE-2016-0772]、zipimporter の整数オーバーフロー [CVE-2016-5636]、 HTTP ヘッダインジェクション [CVE-2016-5699] に対処
quasselquassel コアでの不正なハンドシェイクデータによるリモートDoSを修正 [CVE-2016-4414]
ruby-eventmachineFD処理が原因でリモートからクラッシュを引き起こせるのを修正
ruby2.1汚染された名前のライブラリを dl::dlopen のセーフモードで開かないように [CVE-2009-5147]。汚染された名前の関数から関数を呼ばないように処理を調整 [CVE-2015-7551]
sendmailLDAP サーバへの接続が失われた場合にアサート失敗で中止しないように。sendmail の {client_port} がリトルエンディアンのマシンで必ず正しくセットされるように
sqlite3一時ディレクトリ選択の脆弱性 [CVE-2016-6153] と SAVEPOINT の使用状況が逼迫した後にセグメンテーション違反を起こすのを修正
systemd分岐したプロセスを停止させる際のタイムアウトする時間を適切に。カーネルのコマンドラインで抑制が指示されている場合にログレベルを NOTICE に戻さないように。sd-event のキュー比較関数の優先付けを修正。kernel.org の cgroup 文書へのリンクを更新。/dev/console がない場合に console-getty.service を起動させないように。systemd-user-sessions.service を nss-user-lookup.target と network.target の後に配置
tabmixplusfirefox-esr と互換性のある新しい上流リリース
tcpreplayサイズが 65535 オクテットのフレームを処理、サイズの確認を追加 [CVE-2016-6160]
tor承認用ディレクトリサーバ群を更新
tzdata新しい上流リリース 2016e に更新
unbound初期化スクリプト修正: 特別コメントpidfileを追加。停止操作について、再試行オプションを指定して start-stop-daemon を呼ぶように
util-vserverdietlibc 0.33~cvs20120325-6+deb8u1 に対して再ビルドし、デフォルトのパスが安全でないのを修正
vorbis-toolsoggenc への誤った AIFF 入力で巨大な alloca が発生するのを修正 [CVE-2015-6749]、ヘッダのチャンネル数を検証 [CVE-2014-9638 CVE-2014-9639]、vcut でのセグメンテーション違反を修正
vtk再ビルドして Java パスを修正 [ppc64el]
wgetデフォルトで、サーバ上でのFTPリソースへのリダイレクト時にローカルファイル名の取得に元のURLを利用 [CVE-2016-4971]
wpa無効な文字に関連するセキュリティ更新 [CVE-2016-4476、CVE-2016-4477]
yaws「HTTP_PROXY」CGI環境変数インジェクションを修正 [CVE-2016-1000108]
zabbixzabbix-agent の mysql.size にあるシェルコマンドインジェクションを修正 [CVE-2016-4338]

mariadb-10.0 パッケージは powerpc アーキテクチャでのビルドに失敗していますが CVE-2016-6662 の修正を迅速にリリースできるよう、ポイントリリースに収録されています。 この勧告はアップロード時には公開されていませんでした。ビルド失敗の修正が次の mariadb-10.0 のDSAよりも早く利用できるようになった場合、更新されたパッケージは jessie-updates経由でのリリースとなるかもしれません。

セキュリティ更新

この改訂では安定版 (stable) リリースに以下のセキュリティ更新が追加されます。 セキュリティチームはこれらの更新それぞれについての勧告をすでに発表しています:

勧告 IDパッケージ
DSA-3548 samba
DSA-3548 talloc
DSA-3548 tdb
DSA-3548 tevent
DSA-3548 ldb
DSA-3565 monotone
DSA-3588 symfony
DSA-3589 gdk-pixbuf
DSA-3590 chromium-browser
DSA-3591 imagemagick
DSA-3592 nginx
DSA-3593 libxml2
DSA-3594 chromium-browser
DSA-3595 mariadb-10.0
DSA-3596 spice
DSA-3597 expat
DSA-3598 vlc
DSA-3599 p7zip
DSA-3600 firefox-esr
DSA-3602 php5
DSA-3603 libav
DSA-3604 drupal7
DSA-3605 libxslt
DSA-3606 libpdfbox-java
DSA-3607 linux
DSA-3608 libreoffice
DSA-3609 tomcat8
DSA-3610 xerces-c
DSA-3611 libcommons-fileupload-java
DSA-3612 gimp
DSA-3613 libvirt
DSA-3614 tomcat7
DSA-3615 wireshark
DSA-3616 linux
DSA-3617 horizon
DSA-3618 php5
DSA-3619 libgd2
DSA-3620 pidgin
DSA-3621 mysql-connector-java
DSA-3622 python-django
DSA-3623 apache2
DSA-3624 mysql-5.5
DSA-3625 squid3
DSA-3626 openssh
DSA-3627 phpmyadmin
DSA-3628 libunicode-linebreak-perl
DSA-3628 debhelper
DSA-3628 libmime-encwords-perl
DSA-3628 perl
DSA-3628 libsys-syslog-perl
DSA-3628 libmodule-build-perl
DSA-3628 libnet-dns-perl
DSA-3628 libintl-perl
DSA-3628 cdbs
DSA-3628 libmime-charset-perl
DSA-3628 devscripts
DSA-3628 exim4
DSA-3629 ntp
DSA-3630 libgd2
DSA-3631 php5
DSA-3632 mariadb-10.0
DSA-3633 xen
DSA-3634 redis
DSA-3635 libdbd-mysql-perl
DSA-3637 chromium-browser
DSA-3638 curl
DSA-3639 wordpress
DSA-3640 firefox-esr
DSA-3641 openjdk-7
DSA-3642 lighttpd
DSA-3643 kde4libs
DSA-3644 fontconfig
DSA-3645 chromium-browser
DSA-3646 postgresql-9.4
DSA-3647 icedove
DSA-3648 wireshark
DSA-3649 gnupg
DSA-3650 libgcrypt20
DSA-3651 rails
DSA-3652 imagemagick
DSA-3653 flex
DSA-3653 bogofilter
DSA-3654 quagga
DSA-3655 mupdf
DSA-3656 tryton-server
DSA-3657 libarchive
DSA-3658 libidn
DSA-3659 linux
DSA-3660 chromium-browser
DSA-3661 charybdis
DSA-3662 inspircd
DSA-3663 xen
DSA-3664 pdns

削除されたパッケージ

以下のパッケージが私たちの力の及ばない事情により削除されました:

パッケージ理由
minit保守されておらず古くなった
trnセキュリティ問題、trn4 に置き換え

Debian インストーラ

インストーラが更新され、このポイントリリースまでに安定版 (stable) に盛り込まれた修正が収録されています。

URL

このリリースで変更されたパッケージの完全なリスト:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

現在の安定版 (stable) ディストリビューション:

http://ftp.debian.org/debian/dists/stable/

安定版 (stable) ディストリビューションへの更新提案中のパッケージ (Proposed updates):

http://ftp.debian.org/debian/dists/proposed-updates

安定版 (stable) ディストリビューション情報 (リリースノート、正誤表など):

https://www.debian.org/releases/stable/

セキュリティ関連のアナウンスと情報について:

https://www.debian.org/security/

Debian について

Debian プロジェクトはインターネットを介し、 時間と労力を費やして完全にフリーなオペレーティングシステムである Debian を開発しているフリーソフトウェア開発者らによる団体です。

連絡先について

より詳細な情報については、https://www.debian.org/ を訪れるか、 <press@debian.org> にメールを送るか、安定版リリースチーム <debian-release@lists.debian.org> に連絡を取ってください。