Обновлённый Debian 9: выпуск 9.2
07 Октября 2017
Проект Debian с радостью сообщает о втором обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
При выполнении обновления до этой редакции тем, кто пользуется инструментом apt-get
,
следует убедиться, что используется команда dist-upgrade
. В этом случае
будут установлены последние версии пакетов с ядром. Пользователям других инструментов
(таких как apt
и aptitude
) следует использовать команду upgrade
.
Исправления различных ошибок
К сожалению, во время подготовки данной редакции по недосмотру не было добавлено
обычное обновление пакета base-files
, учитывающее новую версию редакции.
Обновлённый пакет в ближайшее время будет доступен в разделе
stretch-updates
.
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| apt | Исправление проблем в сценарии apt-daily-upgrade; исправление возможной аварийной остановки в методе mirror |
| at-spi2-core | Исправление аварийной остановки при переключении окон |
| bareos | Исправление прав доступа к настройкам bareos-dir logrotate при обновлении; исправление повреждения содержимого файла при использовании подписи SHA1 |
| bind9 | Добавление поддержки DNSSEC KSK-2017 |
| bridge-utils | Исправление проблемы с тем, что не создавались некоторые интерфейсы vlan |
| caja | Исправление чрезмерного использования ресурсов ЦП при загрузке фонового изображения |
| chrony | Не передавать команду 'burst' инструменту chronyc |
| cross-gcc | Исправление устаревшей поддержки gcc 6.3.0-18 |
| cvxopt | Удаление ненужной и неработающей прослойки совместимости для lpx_main() |
| db5.3 | Не обращаться к DB_CONFIG, если не установлено значение db_home [CVE-2017-10140] |
| dbus | Новый стабильный выпуск основной ветки разработки |
| debian-edu-doc | Объединение связанной с выпуском stretch документации и обновлений переводов; обновление руководства Debian Edu Stretch из вики; замена снимков экрана с меню загрузки на новые из вики |
| debian-installer | Обновление ABI ядра Linux до версии 4 |
| debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
| desktop-base | Исправление синтаксических ошибок XML в файлах описания обоев для Gnome, из-за которых обои Joy не были доступны по умолчанию; проверка, что сценарий postinst не завершается с ошибкой даже в том случае, когда активирован неполный пакет с темами |
| dns-root-data | Обновление root.hints до версии 2017072601; изменение состояния KSK-2017, перевод в значение VALID |
| dnsdist | Исправления безопасности [CVE-2016-7069 CVE-2017-7557] |
| dnsviz | Выборочное применение исправлений из основной ветки разработки, связанных с изменениями root.hints и root.keys |
| dose3 | Исправление поддержки поля Provides с указанием версий — пакеты, предоставляющие один и тот же виртуальный пакет, но в его разных версиях, либо предоставляют тот же виртуальный пакет с указанием версии как настоящий пакет, могут быть установлены вместе |
| ecl | Добавление отсутствующей зависимости от libffi-dev |
| erlang-p1-tls | Исправление кривых ECDH |
| evolution | Исправление зависания при нажатии правой кнопки мыши в окне редактирования сообщения |
| expect | Корректная проверка EOF с целью избежать потери входных данных |
| fife | Исправление утечки памяти |
| flatpak | Новый стабильный выпуск основной ветки разработки; предотвращение развёртывания файлов с неподходящими правами доступа; восстановление совместимости с libostree 2017.7 |
| freerdp | Включение поддержки TLS >= 1.1 |
| gnome-exe-thumbnailer | Переход на msiinfo из msitools для загрузки ProductVersion, замена небезопасного грамматического разбора на основе VBScript [CVE-2017-11421]; исправление нечитаемого белого текста на белом фоне при указании версий |
| gnupg2 | Исправление проблем dirmngr со сломанными обратными DNS, отработки утверждения при использовании tofu-default-policy ask, многочисленных проблем с scdaemon, предотвращение ошибочных предупреждений при разделении контейнера ключей с gpg >= 2.1.20 |
| gnutls28 | Исправление ошибок проверки OCSP, в частности с подписями ECDSA |
| gosa-plugin-mailaddress | Исправление вызовов родительского конструктора с целью обеспечения совместимости с PHP7 |
| gsoap | Исправление переполнения целых чисел из-за большого XML-документа [CVE-2017-9765] |
| haveged | Запуск haveged.service после запуска systemd-tmpfiles-setup.service |
| ipsec-tools | Исправление безопасности [CVE-2016-10396] |
| irssi | Исправление разыменования null-указателя [CVE-2017-10965], использования указателей после освобождения памяти для списка псевдонимов [CVE-2017-10966] |
| kanatest | Удаление флагов DISABLE_DEPRECATED, они вызывают неявное преобразование указателя, что приводит при запуске к ошибке сегментирования |
| kdepim | Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604] |
| kf5-messagelib | Исправление функции отправить позже с задержкой, которая обходит OpenPGP [CVE-2017-9604] |
| krb5 | Исправление проблемы безопасности, при которой удалённые аутентифицированные злоумышленники могут аварийно завершить работу KDC [CVE-2017-11368]; исправление запуска в случае, если getaddrinfo() возвращает шаблон адреса v6 и обрабатывает явно указанный шаблон адреса v4; исправление поиска SRV с учётом udp_preference_limit |
| lava-tool | Добавление отсутствующей зависимости от python-simplejson |
| librsb | Исправление нескольких серьёзных ошибок, приводящих к численно некорректным результатам |
| libselinux | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
| libsolv | Исправление зависимостей от модулей Python 3 |
| libwpd | Исправление отказа в обслуживании [CVE-2017-14226] |
| linux | Новая стабильная версия основной ветки разработки |
| linux-latest | Обновление до версии 4.9.0-4 |
| lzma | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
| mailman | Исправление сломанных зависимостей в contrib/SpamAssassin.py |
| mate-power-manager | Не прерывать работу при получении неизвестного имени сигнала DBus |
| mate-themes | Исправление цвета шрифта строки URL в Google Chrome |
| mate-tweak | Добавление отсутствующей зависимости от python3-gi |
| ncurses | Исправление различных аварийных остановок в библиотеке tic и двоичном файле tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
| nettle | Повторная сборка с новой версией sbuild с целью исправления данных в журнале изменений |
| node-brace-expansion | Исправление отказа в обслуживании в коде работы с регулярными выражениями |
| node-dateformat | Установка TZ=UTC в тестах с целью исправления ошибок на этапе сборки |
| ntp | Сборка и установка /usr/bin/sntp |
| nvidia-graphics-drivers | Новый выпуск ветки с долгосрочной поддержкой 375.82 — исправления безопасности [CVE-2017-6257 CVE-2017-6259], добавление поддержки следующих видеочипов: GeForce GTX 1080 с Max-Q Design, GeForce GTX 1070 с Max-Q Design, GeForce GTX 1060 с Max-Q Design; nvidia-kernel-dkms: учёт опции параллельной обработки из dkms |
| open-vm-tools | Поддержка создания случайного имени временного каталога [CVE-2015-5191] |
| opendkim | Запуск от лица суперпользователя и сброс привилегий в opendkim для корректной установки владельца файла ключей |
| openldap | Смягчение зависимости libldap-2.4-2 от libldap-common, чтобы можно было использовать и более поздние версии; исправление ошибки обновления в случае, если olcSuffix содержит обратную косую черту; предотвращение чтения значения опции LDAP_OPT_X_TLS_REQUIRE_CERT из ранее освобождённого буфера памяти; исправление потенциально бесконечного цикла репликации в сценарии multi-master delta-syncrepl с 3 или более нодами; исправление повреждения содержимого памяти, вызываемого из-за большого числа запусков sasl_client_init(), выполняемых, вероятно, одновременно |
| openvpn | Исправление сломанных повторных подключений из-за некорректного вычисления push-дайджеста |
| osinfo-db | Обновление информации о дистрибутиве |
| pcb-rnd | Исправление выполнения кода из-за специально сформированного файла со схемой |
| postfix | Новый стабильный выпуск основной ветки — отправка имён переменных из одного имени фильтрам Milter без {}; предотвращение снижения MIME-статуса созданного Postfix сообщения или доставки; обход попыток Berkeley DB считать настройки из файла DB_CONFIG |
| python-pampy | Исправление зависимостей от модулей Python 3 |
| request-tracker4 | Исправление регрессии в предыдущем исправлении безопасности, при которой ввод неправильного пароля SHA256 мог приводить в ошибке |
| ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: добавление отсутствующих зависимостей |
| samba | Проверка того, что включено подписывание SMB [CVE-2017-12150]; сохранение требуемого уровня шифрования при любых перенаправлениях SMB3 DFS [CVE-2017-12151]; исправление утечки содержимого памяти сервера по SMB1 [CVE-2017-12163]; новый выпуск основной ветки разработки; исправление libpam-winbind.prerm с целью обеспечения корректной работы в мультиархитектурной среде; добавление отсутствующего правила logrotate для /var/log/samba/log.samba; исправление устаревших корневых серверов DNS; исправление Ошибка входа без Kerberos на winbind 4.X, если в PAM настроена поддержка krb5_auth |
| smplayer | Исправление соединений с YouTube |
| speech-dispatcher | Исправление с целью обеспечение работы spd-conf |
| suricata | Ограничение числа рекурсивных вызовов в декодере DER/ASN.1 с целью предотвращения переполнения стека |
| swift | Новый стабильный выпуск основной ветки |
| tbdialout | Добавление символа плюс в начало при использовании схемы URI tel: |
| tiny-initramfs | Добавление отсутствующей зависимости от cpio |
| topal | Исправление некорректного использования синтаксиса классов символов sed |
| torsocks | Исправление функции check_addr(), чтобы она возвращала 0 или 1 |
| trace-cmd | Исправление ошибки сегментирования при обработке определённых файлов трассировки |
| unbound | Исправление установки доверенного якоря, если уже имеются два якоря; зависимость от dns-root-data (>= 2017072601~) для KSK-2017 |
| unknown-horizons | Исправление утечки памяти |
| up-imapproxy | Использование корректного service-файла systemd |
| vim | Исправление нескольких аварийных остановок / некорректных обращений к памяти [CVE-2017-11109] |
| waagent | Новый выпуск основной ветки с поддержкой Azure Stack |
| webkit2gtk | Обновление безопасности из основной ветки, а также исправление ошибок [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
| whois | Исправление whois-рефералов для .com, .net, .jobs, .bz, .cc и .tv; добавление нескольких новых индийских TLD-серверов; обновление списка gTLDs |
| wrk | Исправление ошибок сборки |
| xfonts-ayu | Исправление создания жирного шрифта и курсива |
| xkeyboard-config | Перемещение индийских раскладок обратно в основной список раскладок, повторное включение их использования |
| yadm | Исправление состояния гонки, которое позволяет получать доступ к закрытым ключам PGP и SSH [CVE-2017-11353] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| clapack | Устарел, является заброшенным ответвлением lapack |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.