Обновлённый Debian 9: выпуск 9.2

07 Октября 2017

Проект Debian с радостью сообщает о втором обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

При выполнении обновления до этой редакции тем, кто пользуется инструментом apt-get, следует убедиться, что используется команда dist-upgrade. В этом случае будут установлены последние версии пакетов с ядром. Пользователям других инструментов (таких как apt и aptitude) следует использовать команду upgrade.

Исправления различных ошибок

К сожалению, во время подготовки данной редакции по недосмотру не было добавлено обычное обновление пакета base-files, учитывающее новую версию редакции. Обновлённый пакет в ближайшее время будет доступен в разделе stretch-updates.

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
apt Исправление проблем в сценарии apt-daily-upgrade; исправление возможной аварийной остановки в методе mirror
at-spi2-core Исправление аварийной остановки при переключении окон
bareos Исправление прав доступа к настройкам bareos-dir logrotate при обновлении; исправление повреждения содержимого файла при использовании подписи SHA1
bind9 Добавление поддержки DNSSEC KSK-2017
bridge-utils Исправление проблемы с тем, что не создавались некоторые интерфейсы vlan
caja Исправление чрезмерного использования ресурсов ЦП при загрузке фонового изображения
chrony Не передавать команду 'burst' инструменту chronyc
cross-gcc Исправление устаревшей поддержки gcc 6.3.0-18
cvxopt Удаление ненужной и неработающей прослойки совместимости для lpx_main()
db5.3 Не обращаться к DB_CONFIG, если не установлено значение db_home [CVE-2017-10140]
dbus Новый стабильный выпуск основной ветки разработки
debian-edu-doc Объединение связанной с выпуском stretch документации и обновлений переводов; обновление руководства Debian Edu Stretch из вики; замена снимков экрана с меню загрузки на новые из вики
debian-installer Обновление ABI ядра Linux до версии 4
debian-installer-netboot-images Повторная сборка с учётом proposed-updates
desktop-base Исправление синтаксических ошибок XML в файлах описания обоев для Gnome, из-за которых обои Joy не были доступны по умолчанию; проверка, что сценарий postinst не завершается с ошибкой даже в том случае, когда активирован неполный пакет с темами
dns-root-data Обновление root.hints до версии 2017072601; изменение состояния KSK-2017, перевод в значение VALID
dnsdist Исправления безопасности [CVE-2016-7069 CVE-2017-7557]
dnsviz Выборочное применение исправлений из основной ветки разработки, связанных с изменениями root.hints и root.keys
dose3 Исправление поддержки поля Provides с указанием версий — пакеты, предоставляющие один и тот же виртуальный пакет, но в его разных версиях, либо предоставляют тот же виртуальный пакет с указанием версии как настоящий пакет, могут быть установлены вместе
ecl Добавление отсутствующей зависимости от libffi-dev
erlang-p1-tls Исправление кривых ECDH
evolution Исправление зависания при нажатии правой кнопки мыши в окне редактирования сообщения
expect Корректная проверка EOF с целью избежать потери входных данных
fife Исправление утечки памяти
flatpak Новый стабильный выпуск основной ветки разработки; предотвращение развёртывания файлов с неподходящими правами доступа; восстановление совместимости с libostree 2017.7
freerdp Включение поддержки TLS >= 1.1
gnome-exe-thumbnailer Переход на msiinfo из msitools для загрузки ProductVersion, замена небезопасного грамматического разбора на основе VBScript [CVE-2017-11421]; исправление нечитаемого белого текста на белом фоне при указании версий
gnupg2 Исправление проблем dirmngr со сломанными обратными DNS, отработки утверждения при использовании tofu-default-policy ask, многочисленных проблем с scdaemon, предотвращение ошибочных предупреждений при разделении контейнера ключей с gpg >= 2.1.20
gnutls28 Исправление ошибок проверки OCSP, в частности с подписями ECDSA
gosa-plugin-mailaddress Исправление вызовов родительского конструктора с целью обеспечения совместимости с PHP7
gsoap Исправление переполнения целых чисел из-за большого XML-документа [CVE-2017-9765]
haveged Запуск haveged.service после запуска systemd-tmpfiles-setup.service
ipsec-tools Исправление безопасности [CVE-2016-10396]
irssi Исправление разыменования null-указателя [CVE-2017-10965], использования указателей после освобождения памяти для списка псевдонимов [CVE-2017-10966]
kanatest Удаление флагов DISABLE_DEPRECATED, они вызывают неявное преобразование указателя, что приводит при запуске к ошибке сегментирования
kdepim Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604]
kf5-messagelib Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604]
krb5 Исправление проблемы безопасности, при которой удалённые аутентифицированные злоумышленники могут аварийно завершить работу KDC [CVE-2017-11368]; исправление запуска в случае, если getaddrinfo() возвращает шаблон адреса v6 и обрабатывает явно указанный шаблон адреса v4; исправление поиска SRV с учётом udp_preference_limit
lava-tool Добавление отсутствующей зависимости от python-simplejson
librsb Исправление нескольких серьёзных ошибок, приводящих к численно некорректным результатам
libselinux Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений
libsolv Исправление зависимостей от модулей Python 3
libwpd Исправление отказа в обслуживании [CVE-2017-14226]
linux Новая стабильная версия основной ветки разработки
linux-latest Обновление до версии 4.9.0-4
lzma Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений
mailman Исправление сломанных зависимостей в contrib/SpamAssassin.py
mate-power-manager Не прерывать работу при получении неизвестного имени сигнала DBus
mate-themes Исправление цвета шрифта строки URL в Google Chrome
mate-tweak Добавление отсутствующей зависимости от python3-gi
ncurses Исправление различных аварийных остановок в библиотеке tic и двоичном файле tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений
node-brace-expansion Исправление отказа в обслуживании в коде работы с регулярными выражениями
node-dateformat Установка TZ=UTC в тестах с целью исправления ошибок на этапе сборки
ntp Сборка и установка /usr/bin/sntp
nvidia-graphics-drivers Новый выпуск ветки с долгосрочной поддержкой 375.82 — исправления безопасности [CVE-2017-6257 CVE-2017-6259], добавление поддержки следующих видеочипов: GeForce GTX 1080 с Max-Q Design, GeForce GTX 1070 с Max-Q Design, GeForce GTX 1060 с Max-Q Design; nvidia-kernel-dkms: учёт опции параллельной обработки из dkms
open-vm-tools Поддержка создания случайного имени временного каталога [CVE-2015-5191]
opendkim Запуск от лица суперпользователя и сброс привилегий в opendkim для корректной установки владельца файла ключей
openldap Смягчение зависимости libldap-2.4-2 от libldap-common, чтобы можно было использовать и более поздние версии; исправление ошибки обновления в случае, если olcSuffix содержит обратную косую черту; предотвращение чтения значения опции LDAP_OPT_X_TLS_REQUIRE_CERT из ранее освобождённого буфера памяти; исправление потенциально бесконечного цикла репликации в сценарии multi-master delta-syncrepl с 3 или более нодами; исправление повреждения содержимого памяти, вызываемого из-за большого числа запусков sasl_client_init(), выполняемых, вероятно, одновременно
openvpn Исправление сломанных повторных подключений из-за некорректного вычисления push-дайджеста
osinfo-db Обновление информации о дистрибутиве
pcb-rnd Исправление выполнения кода из-за специально сформированного файла со схемой
postfix Новый стабильный выпуск основной ветки — отправка имён переменных из одного имени фильтрам Milter без {}; предотвращение снижения MIME-статуса созданного Postfix сообщения или доставки; обход попыток Berkeley DB считать настройки из файла DB_CONFIG
python-pampy Исправление зависимостей от модулей Python 3
request-tracker4 Исправление регрессии в предыдущем исправлении безопасности, при которой ввод неправильного пароля SHA256 мог приводить в ошибке
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler}: добавление отсутствующих зависимостей
samba Проверка того, что включено подписывание SMB [CVE-2017-12150]; сохранение требуемого уровня шифрования при любых перенаправлениях SMB3 DFS [CVE-2017-12151]; исправление утечки содержимого памяти сервера по SMB1 [CVE-2017-12163]; новый выпуск основной ветки разработки; исправление libpam-winbind.prerm с целью обеспечения корректной работы в мультиархитектурной среде; добавление отсутствующего правила logrotate для /var/log/samba/log.samba; исправление устаревших корневых серверов DNS; исправление Ошибка входа без Kerberos на winbind 4.X, если в PAM настроена поддержка krb5_auth
smplayer Исправление соединений с YouTube
speech-dispatcher Исправление с целью обеспечение работы spd-conf
suricata Ограничение числа рекурсивных вызовов в декодере DER/ASN.1 с целью предотвращения переполнения стека
swift Новый стабильный выпуск основной ветки
tbdialout Добавление символа плюс в начало при использовании схемы URI tel:
tiny-initramfs Добавление отсутствующей зависимости от cpio
topal Исправление некорректного использования синтаксиса классов символов sed
torsocks Исправление функции check_addr(), чтобы она возвращала 0 или 1
trace-cmd Исправление ошибки сегментирования при обработке определённых файлов трассировки
unbound Исправление установки доверенного якоря, если уже имеются два якоря; зависимость от dns-root-data (>= 2017072601~) для KSK-2017
unknown-horizons Исправление утечки памяти
up-imapproxy Использование корректного service-файла systemd
vim Исправление нескольких аварийных остановок / некорректных обращений к памяти [CVE-2017-11109]
waagent Новый выпуск основной ветки с поддержкой Azure Stack
webkit2gtk Обновление безопасности из основной ветки, а также исправление ошибок [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois Исправление whois-рефералов для .com, .net, .jobs, .bz, .cc и .tv; добавление нескольких новых индийских TLD-серверов; обновление списка gTLDs
wrk Исправление ошибок сборки
xfonts-ayu Исправление создания жирного шрифта и курсива
xkeyboard-config Перемещение индийских раскладок обратно в основной список раскладок, повторное включение их использования
yadm Исправление состояния гонки, которое позволяет получать доступ к закрытым ключам PGP и SSH [CVE-2017-11353]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
clapack Устарел, является заброшенным ответвлением lapack

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.