Użytkownicy, którzy na bieżąco uaktualniają swój system (via security.debian.org), nie będą musieli aktualizować dużej ilości pakietów. Ponieważ Debian 8. został zastąpiony przez Debiana 9. ("Stretch") niektóre z obrazów instalacyjnych mogą nie być już dostępne lub mogą nie działać, więc aby zainstalować wydanie 8.9, należy pobrać dowolny z obrazów: debian-installer. Nie ma, będących do dyspozycji obrazów płyt CD/DVD, które zawierałyby wszystkie zmiany wprowadzone jako efekt tej aktualizacji. Dostępne do pobrania, są natomiast obrazy z poprzedniego wydania "point release", tj. 8.8 (zob. Oficjalne obrazy - "oldstable". Więcej informacji: Debian Archive/Current Releases oraz Index of /mirror/cdimage/archive/8.8.0. Niemniej, zaleca się instalację wydania "Stretch".

W tym wydaniu, ważne poprawki dotyczą, między innymi, pakietu gtk+2.0 w którym dodano łatki z GTK+3; bind9 - naprawiono szereg problemów związanych z bezpieczeństwem: CVE-2017-3042, CVE-2017-3043, CVE-2017-3136, CVE-2017-3137 (te luki związane są m.in. z błędami w certyfikacji TSIG. Atakujący jest w stanie, przypuszczalnie, fałszować ważny podpis TSIG lub SIG(0) etc.); rkhunter - wyłączono zdalne aktualizacje [CVE-2017-7480]; gnutls28 - ulepszono kontrolę dot. niepowtarzalności /dev/urandom, naprawiono podatność na dereferencję wskaźnika NULL, podczas dekodowania rozszerzenia TLS z ważną zawartością [CVE-2017-7507]; glibc - przede wszystkim dodano łatki w celu ochrony przed poważną luką - Stack Clash (technika, która może zostać wykorzystana przez atakującego do uszkodzenia pamięci i wykonania dowolnego kodu) oraz różnych problemów z tym związanych, m.in.: local-root exploit przeciwko sudo, /bin/su, ld.so oraz większości plików binarnych SUID-root, wyciekiem pamięci LD_AUDIT, LD_LIBRARY_PATH, LD_PRELOAD w części ld.so biblioteki GNU C etc. (w/w problemy zaindeksowano jako CVE-2017-1000366); imagemagick - naprawiono wiele luk (~27.) w zabezpieczeniach: wycieki pamięci w sgi, svg [CVE-2017-7941, CVE-2017-7943.] Funkcje: ReadAAIImage oraz ReadMNGImage znajdujące się w aai.c jak również png.c umożliwiają przeprowadzenie ataku DoS [CVE-2017-8343, CVE-2017-8345]; intel-microcode - nowe mikrokody (w skład aktualizacji wchodzą następujące tzw. datafile: 20170707, 20170511, 20161104, 20160714). Ta aktualizacja, rozwiązuje również błąd/errata: SKZ7/SKW144/SKL150/SKX150 (Skylake) KBL095/KBW095 (Kaby Lake) dla wszystkich afektowanych procesorów Kaby Lake oraz Skylake. (Procesory Skylake D0/R0 zostały naprawione w czasie poprzedniego wydania 20170511.); xorg-server - skorygowano luki bezpieczeństwa [CVE-2017-10971, CVE-2017-10972.]

Ponadto usunięto szereg pakietów: hbro (v1.1.2.2-2) - minimalną przeglądarkę internetową, napisaną i skonfigurowaną w języku programowania Haskell (libghc-hbro-dev, libghc-hbro-prof.) Powodem były naruszenia ochrony pamięci (ang. segfaults) we wszystkich zastosowaniach; pgsnap (v0.7.0-1) - niezgodność z aktualnymi wersjami PostgreSQL; django-authority (v0.5-2), python-django-authority (v0.5-2) - niezgodne z Django 1.7.

Oczywiście, nie są to wszystkie zmiany, które składają się na tę aktualizację. Więcej informacji znajduje się w oficjalnym ogłoszeniu.

Domyślna konfiguracja narzędzi służących do zarządzania pakietami (np. APT), pozwala na instalację aktualizacji etc., z wykorzystaniem głównych serwerów internetowych Debiana, ale istnieje możliwość modyfikacji pliku /etc/apt/sources.list w celu dodania tzw. serwera lustrzanego, znajdującego się bliżej lokalizacji użytkownika. Obszerna lista dostępna jest w tym miejscu: mirror/list. Serwery HTTP są generalnie szybsze niż FTP.

Przed aktualizacją systemu warto upewnić się, że mamy wystarczającą ilość miejsca na dysku twardym, ponieważ każdy pakiet potrzebny do instalacji, jest pobierany z sieci i przechowywany w katalogu /var/cache/apt/archives/. Należy więc sprawdzić, czy jest dostatecznie dużo miejsca na partycji systemowej /var (Oczywiście jeżeli została utworzona na etapie partycjonowania dysku, będącym niezbędnym krokiem podczas instalacji systemu.)

Narzędzie apt-get(8) może dostarczyć szczegółowych informacji o wolnej przestrzeni dyskowej. W tym celu należy skorzystać z polecenia (uruchomionego via sudo(8) bądź bezpośrednio z konta administratora, tj. root):

apt-get -o APT::Get::Trivial-Only=true dist-upgrade

Jeżeli nie ma wystarczającej ilości miejsca na dysku, apt-get(8) wyświetli odpowiednie ostrzeżenie, np.: E: You don't have enough free space in /var/cache/apt/archives/.

Przykładowy wpis, który należy dodać do pliku /etc/apt/sources.list, umożliwiający ww. aktualizację, może przyjąć następującą postać:

deb http://security.debian.org/ oldstable/updates main contrib non-free 

Przykład: Nazwa dystrybucji, może być albo nazwą/aliasem kodu wydania (jessie, stretch, buster, sid) lub typem wydania (oldstable, stable, testing, unstable). Rozważmy taką sytuację: jeżeli użytkownik korzysta, na przykład, z systemu Debian 9.1 aka "Stretch" i nie planuje uaktualnienia w momencie, gdy wydany zostanie Debian 10 aka "Buster" (kolejne Stabilne wydanie), winiem używać "strech" zamiast "stable".

Więcej informacji znajduje się w oficjalnym ogłoszeniu: Debian 8.9. Aktualizacje "point release" dla Stabilnej wersji, przygotowywane są przez tzw. Stable Release Managers (SRM) przy wsparciu Release Team.

SUPLEMENT (źródła, dodatki, informacje etc.)

1. The Stack Clash - obejmuje Linux, OpenBSD, FreeBSD, Solaris oraz Projekt Grsecurity/PaX
2. Point Release - informacje (zob.: szczegóły)
3. APT - Debian Wiki
4. source.list - Debian Wiki
5. Lista repozytoriów (autor: azhag)