Обновлённый Debian 9: выпуск 9.2
07 Октября 2017
Проект Debian с радостью сообщает о втором обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
При выполнении обновления до этой редакции тем, кто пользуется инструментом apt-get
,
следует убедиться, что используется команда dist-upgrade
. В этом случае
будут установлены последние версии пакетов с ядром. Пользователям других инструментов
(таких как apt
и aptitude
) следует использовать команду upgrade
.
Исправления различных ошибок
К сожалению, во время подготовки данной редакции по недосмотру не было добавлено
обычное обновление пакета base-files
, учитывающее новую версию редакции.
Обновлённый пакет в ближайшее время будет доступен в разделе
stretch-updates
.
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
apt | Исправление проблем в сценарии apt-daily-upgrade; исправление возможной аварийной остановки в методе mirror |
at-spi2-core | Исправление аварийной остановки при переключении окон |
bareos | Исправление прав доступа к настройкам bareos-dir logrotate при обновлении; исправление повреждения содержимого файла при использовании подписи SHA1 |
bind9 | Добавление поддержки DNSSEC KSK-2017 |
bridge-utils | Исправление проблемы с тем, что не создавались некоторые интерфейсы vlan |
caja | Исправление чрезмерного использования ресурсов ЦП при загрузке фонового изображения |
chrony | Не передавать команду 'burst' инструменту chronyc |
cross-gcc | Исправление устаревшей поддержки gcc 6.3.0-18 |
cvxopt | Удаление ненужной и неработающей прослойки совместимости для lpx_main() |
db5.3 | Не обращаться к DB_CONFIG, если не установлено значение db_home [CVE-2017-10140] |
dbus | Новый стабильный выпуск основной ветки разработки |
debian-edu-doc | Объединение связанной с выпуском stretch документации и обновлений переводов; обновление руководства Debian Edu Stretch из вики; замена снимков экрана с меню загрузки на новые из вики |
debian-installer | Обновление ABI ядра Linux до версии 4 |
debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
desktop-base | Исправление синтаксических ошибок XML в файлах описания обоев для Gnome, из-за которых обои Joy не были доступны по умолчанию; проверка, что сценарий postinst не завершается с ошибкой даже в том случае, когда активирован неполный пакет с темами |
dns-root-data | Обновление root.hints до версии 2017072601; изменение состояния KSK-2017, перевод в значение VALID |
dnsdist | Исправления безопасности [CVE-2016-7069 CVE-2017-7557] |
dnsviz | Выборочное применение исправлений из основной ветки разработки, связанных с изменениями root.hints и root.keys |
dose3 | Исправление поддержки поля Provides с указанием версий — пакеты, предоставляющие один и тот же виртуальный пакет, но в его разных версиях, либо предоставляют тот же виртуальный пакет с указанием версии как настоящий пакет, могут быть установлены вместе |
ecl | Добавление отсутствующей зависимости от libffi-dev |
erlang-p1-tls | Исправление кривых ECDH |
evolution | Исправление зависания при нажатии правой кнопки мыши в окне редактирования сообщения |
expect | Корректная проверка EOF с целью избежать потери входных данных |
fife | Исправление утечки памяти |
flatpak | Новый стабильный выпуск основной ветки разработки; предотвращение развёртывания файлов с неподходящими правами доступа; восстановление совместимости с libostree 2017.7 |
freerdp | Включение поддержки TLS >= 1.1 |
gnome-exe-thumbnailer | Переход на msiinfo из msitools для загрузки ProductVersion, замена небезопасного грамматического разбора на основе VBScript [CVE-2017-11421]; исправление нечитаемого белого текста на белом фоне при указании версий |
gnupg2 | Исправление проблем dirmngr со сломанными обратными DNS, отработки утверждения при использовании tofu-default-policy ask, многочисленных проблем с scdaemon, предотвращение ошибочных предупреждений при разделении контейнера ключей с gpg >= 2.1.20 |
gnutls28 | Исправление ошибок проверки OCSP, в частности с подписями ECDSA |
gosa-plugin-mailaddress | Исправление вызовов родительского конструктора с целью обеспечения совместимости с PHP7 |
gsoap | Исправление переполнения целых чисел из-за большого XML-документа [CVE-2017-9765] |
haveged | Запуск haveged.service после запуска systemd-tmpfiles-setup.service |
ipsec-tools | Исправление безопасности [CVE-2016-10396] |
irssi | Исправление разыменования null-указателя [CVE-2017-10965], использования указателей после освобождения памяти для списка псевдонимов [CVE-2017-10966] |
kanatest | Удаление флагов DISABLE_DEPRECATED, они вызывают неявное преобразование указателя, что приводит при запуске к ошибке сегментирования |
kdepim | Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604] |
kf5-messagelib | Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604] |
krb5 | Исправление проблемы безопасности, при которой удалённые аутентифицированные злоумышленники могут аварийно завершить работу KDC [CVE-2017-11368]; исправление запуска в случае, если getaddrinfo() возвращает шаблон адреса v6 и обрабатывает явно указанный шаблон адреса v4; исправление поиска SRV с учётом udp_preference_limit |
lava-tool | Добавление отсутствующей зависимости от python-simplejson |
librsb | Исправление нескольких серьёзных ошибок, приводящих к численно некорректным результатам |
libselinux | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
libsolv | Исправление зависимостей от модулей Python 3 |
libwpd | Исправление отказа в обслуживании [CVE-2017-14226] |
linux | Новая стабильная версия основной ветки разработки |
linux-latest | Обновление до версии 4.9.0-4 |
lzma | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
mailman | Исправление сломанных зависимостей в contrib/SpamAssassin.py |
mate-power-manager | Не прерывать работу при получении неизвестного имени сигнала DBus |
mate-themes | Исправление цвета шрифта строки URL в Google Chrome |
mate-tweak | Добавление отсутствующей зависимости от python3-gi |
ncurses | Исправление различных аварийных остановок в библиотеке tic и двоичном файле tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
nettle | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
node-brace-expansion | Исправление отказа в обслуживании в коде работы с регулярными выражениями |
node-dateformat | Установка TZ=UTC в тестах с целью исправления ошибок на этапе сборки |
ntp | Сборка и установка /usr/bin/sntp |
nvidia-graphics-drivers | Новый выпуск ветки с долгосрочной поддержкой 375.82 — исправления безопасности [CVE-2017-6257 CVE-2017-6259], добавление поддержки следующих видеочипов: GeForce GTX 1080 с Max-Q Design, GeForce GTX 1070 с Max-Q Design, GeForce GTX 1060 с Max-Q Design; nvidia-kernel-dkms: учёт опции параллельной обработки из dkms |
open-vm-tools | Поддержка создания случайного имени временного каталога [CVE-2015-5191] |
opendkim | Запуск от лица суперпользователя и сброс привилегий в opendkim для корректной установки владельца файла ключей |
openldap | Смягчение зависимости libldap-2.4-2 от libldap-common, чтобы можно было использовать и более поздние версии; исправление ошибки обновления в случае, если olcSuffix содержит обратную косую черту; предотвращение чтения значения опции LDAP_OPT_X_TLS_REQUIRE_CERT из ранее освобождённого буфера памяти; исправление потенциально бесконечного цикла репликации в сценарии multi-master delta-syncrepl с 3 или более нодами; исправление повреждения содержимого памяти, вызываемого из-за большого числа запусков sasl_client_init(), выполняемых, вероятно, одновременно |
openvpn | Исправление сломанных повторных подключений из-за некорректного вычисления push-дайджеста |
osinfo-db | Обновление информации о дистрибутиве |
pcb-rnd | Исправление выполнения кода из-за специально сформированного файла со схемой |
postfix | Новый стабильный выпуск основной ветки — отправка имён переменных из одного имени фильтрам Milter без {}; предотвращение снижения MIME-статуса созданного Postfix сообщения или доставки; обход попыток Berkeley DB считать настройки из файла DB_CONFIG |
python-pampy | Исправление зависимостей от модулей Python 3 |
request-tracker4 | Исправление регрессии в предыдущем исправлении безопасности, при которой ввод неправильного пароля SHA256 мог приводить в ошибке |
ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: добавление отсутствующих зависимостей |
samba | Проверка того, что включено подписывание SMB [CVE-2017-12150]; сохранение требуемого уровня шифрования при любых перенаправлениях SMB3 DFS [CVE-2017-12151]; исправление утечки содержимого памяти сервера по SMB1 [CVE-2017-12163]; новый выпуск основной ветки разработки; исправление libpam-winbind.prerm с целью обеспечения корректной работы в мультиархитектурной среде; добавление отсутствующего правила logrotate для /var/log/samba/log.samba; исправление устаревших корневых серверов DNS; исправление Ошибка входа без Kerberos на winbind 4.X, если в PAM настроена поддержка krb5_auth |
smplayer | Исправление соединений с YouTube |
speech-dispatcher | Исправление с целью обеспечение работы spd-conf |
suricata | Ограничение числа рекурсивных вызовов в декодере DER/ASN.1 с целью предотвращения переполнения стека |
swift | Новый стабильный выпуск основной ветки |
tbdialout | Добавление символа плюс в начало при использовании схемы URI tel: |
tiny-initramfs | Добавление отсутствующей зависимости от cpio |
topal | Исправление некорректного использования синтаксиса классов символов sed |
torsocks | Исправление функции check_addr(), чтобы она возвращала 0 или 1 |
trace-cmd | Исправление ошибки сегментирования при обработке определённых файлов трассировки |
unbound | Исправление установки доверенного якоря, если уже имеются два якоря; зависимость от dns-root-data (>= 2017072601~) для KSK-2017 |
unknown-horizons | Исправление утечки памяти |
up-imapproxy | Использование корректного service-файла systemd |
vim | Исправление нескольких аварийных остановок / некорректных обращений к памяти [CVE-2017-11109] |
waagent | Новый выпуск основной ветки с поддержкой Azure Stack |
webkit2gtk | Обновление безопасности из основной ветки, а также исправление ошибок [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
whois | Исправление whois-рефералов для .com, .net, .jobs, .bz, .cc и .tv; добавление нескольких новых индийских TLD-серверов; обновление списка gTLDs |
wrk | Исправление ошибок сборки |
xfonts-ayu | Исправление создания жирного шрифта и курсива |
xkeyboard-config | Перемещение индийских раскладок обратно в основной список раскладок, повторное включение их использования |
yadm | Исправление состояния гонки, которое позволяет получать доступ к закрытым ключам PGP и SSH [CVE-2017-11353] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
clapack | Устарел, является заброшенным ответвлением lapack |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.