Przejdź to tekstu

Debian "Jessie": kolejna aktualizacja 'point release' (8.8 → 8.9)

W dniu 22. Lipca, 2017 roku ukazała się kolejna - dziewiąta - aktualizacja, tzw. "point release", dla wydania oldstable, oznaczonego numerem 8 (nazwa kodowa "Jessie"). Uzupełnione zostały głównie poprawki związane z bezpieczeństwem, wydane do czasu tej aktualizacji wraz z kilkoma korektami dot. poważnych problemów w bieżącym wydaniu. Należy pamiętać, że owa aktualizacja nie jest kolejnym, nowym wydaniem systemu Debian.

Użytkownicy, którzy na bieżąco uaktualniają swój system (via security.debian.org), nie będą musieli aktualizować dużej ilości pakietów. Ponieważ Debian 8. został zastąpiony przez Debiana 9. ("Stretch") niektóre z obrazów instalacyjnych mogą nie być już dostępne lub mogą nie działać, więc aby zainstalować wydanie 8.9, należy pobrać dowolny z obrazów: debian-installer. Nie ma, będących do dyspozycji obrazów płyt CD/DVD, które zawierałyby wszystkie zmiany wprowadzone jako efekt tej aktualizacji. Dostępne do pobrania, są natomiast obrazy z poprzedniego wydania "point release", tj. 8.8 (zob. Oficjalne obrazy - "oldstable". Więcej informacji: Debian Archive/Current Releases oraz Index of /mirror/cdimage/archive/8.8.0. Niemniej, zaleca się instalację wydania "Stretch".

W tym wydaniu, ważne poprawki dotyczą, między innymi, pakietu gtk+2.0 w którym dodano łatki z GTK+3; bind9 - naprawiono szereg problemów związanych z bezpieczeństwem: CVE-2017-3042, CVE-2017-3043, CVE-2017-3136, CVE-2017-3137 (te luki związane są m.in. z błędami w certyfikacji TSIG. Atakujący jest w stanie, przypuszczalnie, fałszować ważny podpis TSIG lub SIG(0) etc.); rkhunter - wyłączono zdalne aktualizacje [CVE-2017-7480]; gnutls28 - ulepszono kontrolę dot. niepowtarzalności /dev/urandom, naprawiono podatność na dereferencję wskaźnika NULL, podczas dekodowania rozszerzenia TLS z ważną zawartością [CVE-2017-7507]; glibc - przede wszystkim dodano łatki w celu ochrony przed poważną luką - Stack Clash (technika, która może zostać wykorzystana przez atakującego do uszkodzenia pamięci i wykonania dowolnego kodu) oraz różnych problemów z tym związanych, m.in.: local-root exploit przeciwko sudo, /bin/su, ld.so oraz większości plików binarnych SUID-root, wyciekiem pamięci LD_AUDIT, LD_LIBRARY_PATH, LD_PRELOAD w części ld.so biblioteki GNU C etc. (w/w problemy zaindeksowano jako CVE-2017-1000366); imagemagick - naprawiono wiele luk (~27.) w zabezpieczeniach: wycieki pamięci w sgi, svg [CVE-2017-7941, CVE-2017-7943.] Funkcje: ReadAAIImage oraz ReadMNGImage znajdujące się w aai.c jak również png.c umożliwiają przeprowadzenie ataku DoS [CVE-2017-8343, CVE-2017-8345]; intel-microcode - nowe mikrokody (w skład aktualizacji wchodzą następujące tzw. datafile: 20170707, 20170511, 20161104, 20160714). Ta aktualizacja, rozwiązuje również błąd/errata: SKZ7/SKW144/SKL150/SKX150 (Skylake) KBL095/KBW095 (Kaby Lake) dla wszystkich afektowanych procesorów Kaby Lake oraz Skylake. (Procesory Skylake D0/R0 zostały naprawione w czasie poprzedniego wydania 20170511.); xorg-server - skorygowano luki bezpieczeństwa [CVE-2017-10971, CVE-2017-10972.]

Ponadto usunięto szereg pakietów: hbro (v1.1.2.2-2) - minimalną przeglądarkę internetową, napisaną i skonfigurowaną w języku programowania Haskell (libghc-hbro-dev, libghc-hbro-prof.) Powodem były naruszenia ochrony pamięci (ang. segfaults) we wszystkich zastosowaniach; pgsnap (v0.7.0-1) - niezgodność z aktualnymi wersjami PostgreSQL; django-authority (v0.5-2), python-django-authority (v0.5-2) - niezgodne z Django 1.7.

Oczywiście, nie są to wszystkie zmiany, które składają się na tę aktualizację. Więcej informacji znajduje się w oficjalnym ogłoszeniu.

Domyślna konfiguracja narzędzi służących do zarządzania pakietami (np. APT), pozwala na instalację aktualizacji etc., z wykorzystaniem głównych serwerów internetowych Debiana, ale istnieje możliwość modyfikacji pliku /etc/apt/sources.list w celu dodania tzw. serwera lustrzanego, znajdującego się bliżej lokalizacji użytkownika. Obszerna lista dostępna jest w tym miejscu: mirror/list. Serwery HTTP są generalnie szybsze niż FTP.

Przed aktualizacją systemu warto upewnić się, że mamy wystarczającą ilość miejsca na dysku twardym, ponieważ każdy pakiet potrzebny do instalacji, jest pobierany z sieci i przechowywany w katalogu /var/cache/apt/archives/. Należy więc sprawdzić, czy jest dostatecznie dużo miejsca na partycji systemowej /var (Oczywiście jeżeli została utworzona na etapie partycjonowania dysku, będącym niezbędnym krokiem podczas instalacji systemu.)

Narzędzie apt-get(8) może dostarczyć szczegółowych informacji o wolnej przestrzeni dyskowej. W tym celu należy skorzystać z polecenia (uruchomionego via sudo(8) bądź bezpośrednio z konta administratora, tj. root):

apt-get -o APT::Get::Trivial-Only=true dist-upgrade

Jeżeli nie ma wystarczającej ilości miejsca na dysku, apt-get(8) wyświetli odpowiednie ostrzeżenie, np.: E: You don't have enough free space in /var/cache/apt/archives/.

Przykładowy wpis, który należy dodać do pliku /etc/apt/sources.list, umożliwiający ww. aktualizację, może przyjąć następującą postać:

deb http://security.debian.org/ oldstable/updates main contrib non-free 

Przykład: Nazwa dystrybucji, może być albo nazwą/aliasem kodu wydania (jessie, stretch, buster, sid) lub typem wydania (oldstable, stable, testing, unstable). Rozważmy taką sytuację: jeżeli użytkownik korzysta, na przykład, z systemu Debian 9.1 aka "Stretch" i nie planuje uaktualnienia w momencie, gdy wydany zostanie Debian 10 aka "Buster" (kolejne Stabilne wydanie), winiem używać "strech" zamiast "stable".

Więcej informacji znajduje się w oficjalnym ogłoszeniu: Debian 8.9. Aktualizacje "point release" dla Stabilnej wersji, przygotowywane są przez tzw. Stable Release Managers (SRM) przy wsparciu Release Team.

SUPLEMENT (źródła, dodatki, informacje etc.)

  1. The Stack Clash - obejmuje Linux, OpenBSD, FreeBSD, Solaris oraz Projekt Grsecurity/PaX
  2. Point Release - informacje (zob.: szczegóły)
  3. APT - Debian Wiki
  4. source.list - Debian Wiki
  5. Lista repozytoriów (autor: azhag)

Dodany przez remi, 23 lip 2017 o 17:39

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks


Komentarze (RSS):

  1. Nie dodano jeszcze żadnych komentarzy

Dodaj komentarz jako gość lub zaloguj się.


Podpis: