Debian 8 aktualisiert: 8.8 veröffentlicht

6. Mai 2017

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Stable-Veröffentlichung Debian 8 (Codename Jessie) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 8 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Jessie-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien sowie CD- und DVD-Abbilder mit den neuen Paketen können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Aptitude- (oder APT-) Paketverwaltung auf einen der vielen Debian-FTP- oder HTTP-Spiegel verwiesen (siehe auch die Handbuchseite zu sources.list(5)). Eine umfassende Liste der Spiegelserver findet sich unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
activemq	DoS durch Herunterfahr-Befehl in activemq-core behoben [CVE-2015-7559]
apf-firewall	Kompatibilität mit Kerneln >= 3.X hinzugefügt
apt-xapian-index	Aufruf von update-python-modules entfernt
base-files	Auf die Zwischenveröffentlichung aktualisiert
binutils	Patch der Originalautoren angewandt, um gold auf AMD64 zu reparieren
ca-certificates	Update-ca-certificates: aktualisiert bei Benutzung von --fresh das lokale Zertifikatsverzeichnis; unterstützt jetzt die Ausführung ohne Hooks
commons-daemon	ppc64el-Unterstützung optimiert
crafty	Keinen CPU-spezifischen Code generieren
debian-edu-doc	Übersetzungen aktualisiert
debian-installer	Neubau für die Zwischenveröffentlichung
debian-installer-netboot-images	Neubau für die Zwischenveröffentlichung
dropbear	Umgehung von Befehlsbegrenzungen in authorized_keys behoben [CVE-2016-3116], Format-String-Injektion [CVE-2016-7406] und Ausführung von Fremdcode [CVE-2016-7407 CVE-2016-7408]
erlang	Anfälligkeit für Heap-Überlauf beim Auswerten von regulären Ausdrücken behoben [CVE-2016-10253]
glibc	Ungenauigkeit beim Quadratwurzelziehen auf PowerPC behoben
gnome-media	Fehlende »beschädigt« hinzugefügt, damit sie zu den »ersetzt« passen: gnome-media-common, libgnome-media-dev, libgnome-media0
gnome-screenshot	Bindestrich als Zeitformats-Trenner benutzen
gnome-settings-daemon	Bindestrich als Zeitformats-Trenner benutzen
gnutls28	Kürzungsproblem bei der PKCS#12-Passwortkodierung behoben; doppeltes »free« bei der Ausgabe von Zertifikatsinformationen behoben [CVE-2017-5334]; Speicherleck im serverseitigen Fehlerpfad gestopft; Speicherlecks und endlose Schleife in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-5335 CVE-2017-5336 CVE-2017-5337]; Ganzzahlüberlauf in der OpenPGP-Zertifiaktsverarbeitung behoben [CVE-2017-7869]; Lesen über das Pufferende hinaus in der OpenPGP-Zertifikatsverarbeitung behoben; Abstürze in der OpenPGP-Zertifikatsverarbeitung behoben, die mit der Auswertung von privaten Schlüsseln in Verbindung stehen [GNUTLS-SA-2017-3B]; mögliches OOM in der OpenPGP-Zertifikatsverarbeitung behoben [GNUTLS-SA-2017-3C]
groovy	Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814]
groovy2	Anfälligkeit für Codeausführung aus der Ferne mittels selbstgebautem serialisiertem Objekt behoben [CVE-2016-6814]
guile-2.0	REPL-Server-Schwachstelle behoben [CVE-2016-8606], mkdir umask-basierte Schwachstelle behoben [CVE-2016-8605]
initramfs-tools	Treiber für alle Tastaturen einbinden, wenn MODULES=dep; die meisten USB-Hosttreiber und alle Bustreibermodule einbinden; Code entfernen, der 'defekte' Symlinks und manchmal /etc/mtab ausmistet; alle I2C-Bus- und Mux-Treiber einbinden, wenn MODULES=most; mit dem zwangsweisen Laden von im sysfs gefundenen Treibern aufhören, wenn MODULES=dep
installation-guide	Anweisungen zum Erstellen der syslinux.cfg so angepasst, dass sie mit syslinux 5 funktionieren
irqbalance	Nur einmal vor IRQs mit leerem Affinity-Hint-Subset warnen
kup	Änderungen zurückportiert, die nötig sind, um zukünftig mit kernel.org zu arbeiten
libdatetime-timezone-perl	Inkludierte Daten auf 2017b aktualisiert
libindicate	libindicate-gtk3-dev: von libindicate-gtk3-3 anstelle von libindicate-gtk3 abhängen
libmateweather	Zeitzone Rangoon auf Yangon umbenannt (so wie tzdata in 2016g)
libvirt	Kompatibilität mit qemu v2.6+ verbessert
libvorbisidec	libogg-dev-Abhängigkeit zu libvorbisidec-dev hinzugefügt
libxslt	In xsltAddTextString auf Ganzzahlüberlauf prüfen[CVE-2017-5029]
linux	Aktualisierung auf neue stabile Version 3.16.43; mm/huge_memory.c: Rückportierung von mm/huge_memory.c: FOLL_FORCE/FOLL_COW für thp respektiren repariert
logback	Keine Daten von vertrauensunwürdigen Sockets deserialisieren [CVE-2017-5929]
lxc	Sicherstellen, dass das Ziel-netns dem Aufrufer gehört [CVE-2017-5985]
minicom	Schreiben außerhalb der Grenzen in vt100.c behoben [CVE-2017-7467]
modsecurity-crs	Tippfehler in modsecurity_crs_16_session_hijacking.conf behoben
mongodb	Berechtigungen von .dbshell angepasst [CVE-2016-6494]; Schlüssel und Nonce aus den Protokollen mit den Verbindungsversuchen entfernen
ndisc6	Vorgabe-Merge-Hook der Originalautoren benutzen, falls resolvconf nicht verfügbar ist
ndoutils	Postrm-Löschung: ucf vor dem Aufruf überprüfen
nvidia-graphics-drivers	Neue Version der Originalautoren (340.102) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert
nvidia-graphics-drivers-legacy-304xx	Neue Version der Originalautoren (304.135) mit Sicherheitskorrekturen [CVE-2017-0309 CVE-2017-0310 CVE-2017-0311 CVE-2017-0318 CVE-2017-0321]; Modulbau unter Linux 4.10 und neuer repariert
nvidia-graphics-modules	Neubau mit nvidia-kernel-source 340.102
openchange	Baufehlschlag mit samba 4.2 behoben
openmpi	libopenmpi1.6: Zwei inkorrekte soname-Links nachgebessert, versionsabhängigen Pakektkonflikt mit libopenmpi2 (<< 1.6) eingeführt, um keine Upgrades auf Stretch zu stören
plv8	Bei Funktionsaufrufen Berechtigungen abprüfen
postfix	Bauprobleme mit Linux-4.x-Kernels behoben; delmap für alle Pakete mit Mapdaten, die durch externe .so-Dateien freigelegt werden, zu .prerm hinzugefügt, damit Upgrades auf Stretch (bei dem die zugehörigen Dateien woanders liegen), funktionieren
postgresql-9.4	Neue Version der Originalautoren
python-cryptography	HKDF-Problem mit kleinen Schlüsselgrößen behoben [CVE-2016-9243]; Baufehlschlag wegen SSL2-Methodenfeststellung behoben
radare2	Anfälligkeit für Dienstblockaden behoben [CVE-2017-6197]
sane-backends	Sicherheitsproblem behoben [CVE-2017-6318]
sendmail	Datieien nur als smmsp:smmsp in /var/run/sendmail/stampdir betouchen, um mögliche Privilegieneskalation zu verhindern; anstelle von touch lockfile-create (aus lockfile-progs) für die Sperrdateien des Cronjobs benutzen; sendmail-base: jetzt für /etc/services von netbase abhängig
sitesummary	Der Paktlöschung vorauslaufendes Skript korrigiert
smemstat	Nullzeiger-Dereferenzierung in dem Fall behoben, in dem die UID nicht gelesen werden kann
spip	Mehrere Cross-Site-Scripting-Probleme behoben, serverseitige Request-Forgery-Attacken [CVE-2016-7999], Verzeichnisüberschreitung [CVE-2016-7982], Ausführung von Fremdcode [CVE-2016-7998], Cross-Site-Request-Forgery [CVE-2016-7980], Cross-Site-Scripting-Anfälle [CVE-2016-7981 CVE-2016-9997 CVE-2016-9998 CVE-2016-9152]
sus	Aktualisierung auf SUSv4 TC2
synergy	Absturz beim Start von Synergyc behoben
systemd	Boolsche Eigenschaften, die via sd-bus auf Big-Endian-Architekturen abgerufen werden, korrigiert; systemctl: Unterstützung für »is-enabled« für SysV-Initskripte hinzugefügt; falls das Startkommando während der Ausführung verschwindet, nicht in einen Assert laufen; wenn eine Automount-Unit maskiert ist, nicht auf Aktivieung reagieren
transmissionrpc	Fügt python-six die fehlende Abhängigkeit von den Python-Modulen hinzu
tzdata	Enthaltene Daten auf 2017b aktualisieren; teilweise Übersetzung von debconf-Templates ermöglichen
unzip	Behebt Pufferüberläufe in unzip [CVE-2014-9913] und zipinfo [CVE-2016-9844]
uwsgi	Behebt Baufehlschlag mit aktuellem glibc
vim	Behebt Pufferüberläufe beim Lesen von korrumpierten »Undo«-Dateien [CVE-2017-6349 CVE-2017-6350]
vlc	Neue Version der Originalautoren
webissues-server	postrm-Leerung: Vor dem Aufruf auf ucf überprüfen
wget	CRLF-Injektion in Host-Teile von URLs [CVE-2017-6508]
xmobar	Neuer Wetter-Feed-URL
xshisen	Behebt häufigen Speicherzugriffsfehler beim Starten
yara	Behebt mehrere Sicherheitsprobleme [CVE-2016-10210 CVE-2016-10211 CVE-2017-5923 CVE-2017-5924]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Anweisungs-ID	Paket
DSA-3690	icedove
DSA-3711	mariadb-10.0
DSA-3730	icedove
DSA-3743	python-bottle
DSA-3756	icoutils
DSA-3757	icedove
DSA-3758	bind9
DSA-3759	python-pysaml2
DSA-3760	ikiwiki
DSA-3761	rabbitmq-server
DSA-3762	tiff
DSA-3763	pdns-recursor
DSA-3764	pdns
DSA-3765	icoutils
DSA-3766	mapserver
DSA-3767	mysql-5.5
DSA-3768	openjpeg2
DSA-3769	libphp-swiftmailer
DSA-3770	mariadb-10.0
DSA-3771	firefox-esr
DSA-3772	libxpm
DSA-3773	openssl
DSA-3774	lcms2
DSA-3775	tcpdump
DSA-3776	chromium-browser
DSA-3777	libgd2
DSA-3778	ruby-archive-tar-minitar
DSA-3779	wordpress
DSA-3780	ntfs-3g
DSA-3781	svgsalamander
DSA-3783	php5
DSA-3784	viewvc
DSA-3785	jasper
DSA-3786	vim
DSA-3787	tomcat7
DSA-3788	tomcat8
DSA-3789	libevent
DSA-3790	spice
DSA-3791	linux
DSA-3792	libreoffice
DSA-3793	shadow
DSA-3794	munin
DSA-3795	bind9
DSA-3796	apache2
DSA-3796	sitesummary
DSA-3797	mupdf
DSA-3798	tnef
DSA-3799	imagemagick
DSA-3800	libquicktime
DSA-3801	ruby-zip
DSA-3802	zabbix
DSA-3803	texlive-base
DSA-3804	linux
DSA-3805	firefox-esr
DSA-3806	pidgin
DSA-3807	icoutils
DSA-3808	imagemagick
DSA-3809	mariadb-10.0
DSA-3810	chromium-browser
DSA-3811	wireshark
DSA-3812	ioquake3
DSA-3813	r-base
DSA-3814	audiofile
DSA-3815	wordpress
DSA-3816	samba
DSA-3817	jbig2dec
DSA-3818	gst-plugins-bad1.0
DSA-3819	gst-plugins-base1.0
DSA-3820	gst-plugins-good1.0
DSA-3821	gst-plugins-ugly1.0
DSA-3822	gstreamer1.0
DSA-3823	eject
DSA-3824	firebird2.5
DSA-3825	jhead
DSA-3826	tryton-server
DSA-3827	jasper
DSA-3828	dovecot
DSA-3829	bouncycastle
DSA-3830	icu
DSA-3831	firefox-esr
DSA-3832	hunspell-en-us
DSA-3832	uzbek-wordlist
DSA-3832	icedove
DSA-3833	libav
DSA-3834	mysql-5.5
DSA-3835	python-django
DSA-3836	weechat
DSA-3837	libreoffice
DSA-3838	ghostscript
DSA-3839	freetype

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
cgiemail	RC-Fehler, unbetreut
grive	Defekt wegen Google-API-Änderungen
libapache2-authenntlm-perl	Defekt seit Apache 2.4
libwww-dict-leo-org-perl	Defekt wegen Änderungen bei den Originalautoren
live-f1	Defekt wegen Änderungen durch Drittpartei
owncloud	Nicht unterstützungsfähig
owncloud-apps	Nicht unterstützungsfähig

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.