Aktualizacja Debiana 12: wersja 12.5 wydana

10. lutego 2024r

Projekt Debian ma zaszczyt ogłosić piątą aktualizację swojej stabilnej dystrybucji Debian 12 (nazwa kodowa bookworm). To wydanie głównie uzupełnia poprawki problemów z bezpieczeństwem, wraz z paroma ulepszeniami dla poważniejszych problemów. Porady dotyczące bezpieczeństwa zostały już osobno opublikowane i będą podlinkowane w miarę możliwości.

Proszę zauważyć, że to wydanie nie stanowi nowej wersji Debiana 12, a jedynie odświeża część dołączonych pakietów. Nie ma potrzeby wyrzucania starych nośników instalacyjnych bookworm. Po instalacji pakiety można zaktualizować do bieżących wersji używając aktualnego serwera lustrzanego Debiana.

Osoby na bieżąco instalujące aktualizacje z security.debian.org nie będą musiały aktualizować wielu pakietów, jednocześnie większość tych aktualizacji znajduje się w nowym wydaniu.

Nowe nośniki instalacyjne zostaną udostępnione wkrótce w zwykłych lokalizacjach.

Istniejącą instalację można zaktualizować do tego wydania wskazując systemowi zarządzania pakietami jeden z wielu serwerów lustrzanych HTTP Debiana. Kompletna lista serwerów jest dostępna na:

https://www.debian.org/mirror/list

Różne poprawki błędów

To stabilne wydanie dodaje kilka ważnych poprawek do następujących pakietów:

Pakiet	Powód
apktool	Uniemożliwienie pisania do dowolnych plików za pomocą złośliwych nazw zasobów [CVE-2024-21633]
atril	Naprawa awarii podczas otwierania niektórych plików epub; naprawa wczytywania indeksu dla niektórych dokumentów epub; dodanie awaryjnej obsługi źle zbudowanych plików epub w check_mime_type; użycie libarchive zamiast zewnętrznego polecenia od rozpakowywania dokumentów [CVE-2023-51698]
base-files	Aktualizacja dla wersji 12.5
caja	Naprawa artefaktów renderowania pulpitu po zmianie rozdzielczości; naprawa użycia nieformalnego formatu daty
calibre	Domyślnie uniemożliwenie dodawania zasobów umieszczonych poza hierarchią katalogów zakorzenioną w katalogu nadrzędnym wejściowego pliku HTML [CVE-2023-46303]
compton	Usunięcie rekomendacji picom
cryptsetup	cryptsetup-initramfs: dodanie obsługi kompresowanych modułów jądra; cryptsetup-suspend-wrapper: usunięcie błędu w przypadku brakującego katalogu /lib/systemd/system-sleep; add_modules(): dostosowanie logiki usuwania sufiksu do initramfs-tools
debian-edu-artwork	Dodanie oprawy graficznej opartej o motyw Emerald dla Debiana Edu 12
debian-edu-config	Nowe wydanie oryginalnego projektu
debian-edu-doc	Aktualizacja dołączonej dokumentacji i tłumaczeń
debian-edu-fai	Nowe wydanie oryginalnego projektu
debian-edu-install	Nowe wydanie oryginalnego projektu; naprawa wpisu security w sources.list
debian-installer	Podniesienie ABI jądra Linuksa do 6.1.0-18; przebudowanie dla proposed-updates
debian-installer-netboot-images	Przebudowanie dla proposed-updates
debian-ports-archive-keyring	Dodanie klucza Debian Ports Archive Automatic Signing Key (2025)
dpdk	Nowe wydanie stabilne oryginalnego projektu
dropbear	Poprawka na atak Terrapin [CVE-2023-48795]
engrampa	Naprawa kilku wycieków pamięci; naprawa funkcjonalności zapisz jako archiwum
espeak-ng	Naprawa błędów przepełnienia bufora [CVE-2023-49990 CVE-2023-49992 CVE-2023-49993], błędu niedomiaru bufora [CVE-2023-49991], problemu wyjątku liczb zmiennoprzecinkowych [CVE-2023-49994]
filezilla	Ochrona przed wykorzystaniem błędu w Terrapin [CVE-2023-48795]
fish	Bezpieczna obsługa niedrukowalnych znaków Unikodu gdy podane w podstawianiu wyników poleceń [CVE-2023-49284]
fssync	Wyłączenie zawodnych testów
gnutls28	Naprawa błędu asercji podczas weryfikacji łańcucha certyfikatów z cykliczną zależnością między podpisami [CVE-2024-0567]; naprawa problemu czasowego kanału bocznego [CVE-2024-0553]
indent	Naprawa problemu odczytu bufora [CVE-2024-0911]
isl	Naprawa działania na starszych procesorach
jtreg7	Nowy pakiet źródłowy do obsługi openjdk-17
libdatetime-timezone-perl	Aktualizacja dołączonych danych stref czasowych
libde265	Naprawa błędów przepełnienia bufora [CVE-2023-49465 CVE-2023-49467 CVE-2023-49468]
libfirefox-marionette-perl	Naprawa kompatybilności z nowszymi wersjami firefox-esr
libmateweather	Naprawa adresu URL aviationweather.gov
libspreadsheet-parsexlsx-perl	Naprawa potencjalnej bomby pamięciowej [CVE-2024-22368]; naprawa problemu z XML External Entity [CVE-2024-23525]
linux	Nowe wydanie stabilne oryginalnego projektu; podniesienie ABI do 18
linux-signed-amd64	Nowe wydanie stabilne oryginalnego projektu; podniesienie ABI do 18
linux-signed-arm64	Nowe wydanie stabilne oryginalnego projektu; podniesienie ABI do 18
linux-signed-i386	Nowe wydanie stabilne oryginalnego projektu; podniesienie ABI do 18
localslackirc	Wysyłanie nagłówków uwierzytelniania i ciasteczek do gniazda websocket
mariadb	Nowe wydanie stabilne oryginalnego projektu; naprawa problemu blokady usług [CVE-2023-22084]
mate-screensaver	Naprawa wycieków pamięci
mate-settings-daemon	Naprawa wycieków pamięci; złagodzenie ograniczeń wysokich rozdzielczości; naprawa obsługi wielu zdarzeń rfkill
mate-utils	Naprawa różnych wycieków pamięci
monitoring-plugins	Naprawa wtyczki check_http gdy jest użyty argument --no-body oraz oryginalna odpowiedź jest dzielona na kawałki
needrestart	Naprawa regresji sprawdzania mikrokodu na procesorach AMD
netplan.io	Naprawa autopkgtest przy nowszych wersjach systemd
nextcloud-desktop	Naprawa synchronizacji plików ze znakami specjalnymi jak ‘:’; naprawa powiadomień dwuskładnikowego uwierzytelniania
node-yarnpkg	Naprawa użycia z Commander 8
onionprobe	Naprawa inicjalizacji Tora przy użyciu haszowanych haseł
pipewire	Używanie malloc_trim() gdy dostępne do zwalniania pamięci
pluma	Naprawa wycieków pamięci; naprawa dwukrotnej aktywacji rozszerzeń
postfix	Nowe wydanie stabilne oryginalnego projektu; obsługa problemu SMTP smuggling [CVE-2023-51764]
proftpd-dfsg	Implementacja poprawki na atak Terrapin [CVE-2023-48795]; naprawa odczytu poza zakresem [CVE-2023-51713]
proftpd-mod-proxy	Implementacja poprawki na atak Terrapin [CVE-2023-48795]
pypdf	Naprawa problemu nieskończonej pętli [CVE-2023-36464]
pypdf2	Naprawa problemu nieskończonej pętli [CVE-2023-36464]
pypy3	Unikanie błędu asercji rpython w JIT gdy zakresy liczb nie nachodzą na siebie w pętli
qemu	Nowe wydanie stabilne oryginalnego projektu; virtio-net: prawidłowe kopiowanie nagłówka vnet podczas wypróżniania TX [CVE-2023-6693]; naprawa problemu dereferencji pustego wskaźnika [CVE-2023-6683]; wycofanie łatki powodującej regresje w funkcjonalności usypiania/wybudzania
rpm	Włączenie zaplecza tylko do odczytu BerkeleyDB
rss-glx	Instalacja wygaszaczy ekranu do /usr/libexec/xscreensaver; wywołanie GLFinish() przed glXSwapBuffers()
spip	Naprawa dwóch problemów cross-site scripting
swupdate	Ochrona przed uzyskaniem praw administratora poprzez nieodpowiedni tryb gniazda
systemd	Nowe wydanie stabilne oryginalnego projektu; naprawa brakującej weryfikacji w systemd-resolved [CVE-2023-7008]
tar	Naprawa sprawdzania granic w dekoderze base-256 [CVE-2022-48303], obsługa rozszerzonych prefiksów nagłówka [CVE-2023-39804]
tinyxml	Naprawa problemu asercji [CVE-2023-34194]
tzdata	Nowe wydanie stabilne oryginalnego projektu
usb.ids	Aktualizacja dołączonych danych
usbutils	Naprawa wyświetlania wszystkich urządzeń przez usb-devices
usrmerge	Czyszczenie wieloarchitekturowych katalogów gdy nie są potrzebne; pomijanie ponownego uruchamiania convert-etc-shells na skonwertowanych systemach; obsługa zamontowanego /lib/modules na systemach Xen; poprawione zgłaszanie błędów; dodanie wersjonowanych konfliktów z libc-bin, dhcpcd, libparted1.8-10 i lustre-utils
wolfssl	Naprawa błędu bezpieczeństwa gdy klient nie wysłał rozszerzeń PSK ani KSE [CVE-2023-3724]
xen	Nowe wydanie stabilne oryginalnego projektu; security fixes [CVE-2023-46837 CVE-2023-46839 CVE-2023-46840]

Aktualizacje bezpieczeństwa

To wydanie dodaje następujące aktualizacje bezpieczeństwa do wersji stabilnej. Zespół Bezpieczeństwa opublikował już porady do każdej z tych aktualizacji:

Identyfikator porady	Pakiet
DSA-5572	roundcube
DSA-5573	chromium
DSA-5574	libreoffice
DSA-5576	xorg-server
DSA-5577	chromium
DSA-5578	ghostscript
DSA-5579	freeimage
DSA-5581	firefox-esr
DSA-5582	thunderbird
DSA-5583	gst-plugins-bad1.0
DSA-5584	bluez
DSA-5585	chromium
DSA-5586	openssh
DSA-5587	curl
DSA-5588	putty
DSA-5589	node-undici
DSA-5590	haproxy
DSA-5591	libssh
DSA-5592	libspreadsheet-parseexcel-perl
DSA-5593	linux-signed-amd64
DSA-5593	linux-signed-arm64
DSA-5593	linux-signed-i386
DSA-5593	linux
DSA-5595	chromium
DSA-5597	exim4
DSA-5598	chromium
DSA-5599	phpseclib
DSA-5600	php-phpseclib
DSA-5601	php-phpseclib3
DSA-5602	chromium
DSA-5603	xorg-server
DSA-5605	thunderbird
DSA-5606	firefox-esr
DSA-5607	chromium
DSA-5608	gst-plugins-bad1.0
DSA-5609	slurm-wlm
DSA-5610	redis
DSA-5611	glibc
DSA-5612	chromium
DSA-5613	openjdk-17
DSA-5614	zbar
DSA-5615	runc

Instalator Debiana

Instalator został zaktualizowany i uwzględnia poprawki dołączone do dystrybucji stabilnej w nowej wersji.

Adresy URL

Kompletna lista pakietów, które zmieniły się w tej wersji:

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Aktualna dystrybucja stabilna:

https://deb.debian.org/debian/dists/stable/

Proponowane aktualizacje do dystrybucji stabilnej:

https://deb.debian.org/debian/dists/proposed-updates

Informacje o dystrybucji stabilnej (uwagi do wydania, erraty itd.):

https://www.debian.org/releases/stable/

Ogłoszenia i informacje dotyczące bezpieczeństwa:

https://www.debian.org/security/

O Debianie

Projekt Debian jest zrzeszeniem twórców Wolnego Oprogramowania, którzy poświęcają swój czas i wysiłek w celu stworzenia całkowicie wolnego systemu operacyjnego, Debiana.

Informacje kontaktowe

Więcej informacji można znaleźć na stronach internetowych Debiana pod adresem https://www.debian.org/, wysyłając wiadomość na adres <press@debian.org> lub kontaktując się z zespołem wydania stabilnego pod adresem <debian-release@lists.debian.org>.