Обновлённый Debian 9: выпуск 9.3

09 Декабря 2017

Проект Debian с радостью сообщает о третьем обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
abiword Исправление мигания изображения
base-files Обновление для данной редакции
berusky Исправление аварийной остановки при запуске при определённых настройках видеокарты
charmtimetracker Исправление отсутствия двоичной зависимости от libqt5sql5-sqlite
corebird Исправление максимальной длины твита до 280 символов
dbus Не задерживать загрузки при выполнении грамматического разбора настроек dbus-daemon, если энтропия высокого качества пока не доступна; при использовании интерфейса Monitoring корректно отождествлять фильтры сообщений, определяющие назначение; увеличить listen() незавершённых заданий сокетов AF_UNIX до максимально возможного значений, минимизируя ошибки соединения при высокой нагрузке
debian-edu-doc Обновление руководства и переводов для выпуска stretch из нестабильного выпуска и вики; documentation/common/edu.css.xml: улучшение читаемости руководства в формате HTML
debian-installer Повторная сборка для данной редакции
dehydrated Обновление URL соглашения подписчика с лицензией
doit Добавление поля Breaks: nikola (<< 7.6.0-1~), чтобы этот пакет быть удалён при обновлении с выпуска jessie
eclipse-titan Повторная сборка при использовании текущей версии GCC из stretch
fig2dev Добавление очистки входных данных для файлов FIG [CVE-2017-16899]; sanitize input of fill patterns
flickcurl Исправление загрузки токена oauth; предотвращение двойного освобождения и повреждения содержимого памяти в ходе аутентификации
flightgear Предотвращение ситуаций, при которых вредоносные дополнения использовались вместо произвольных файлов [CVE-2017-13709]
ganeti Обратный перенос поддержки отличных от DSA SSH-ключей из основной ветки; исправление восстановления после отказа из мёртвых нод при использовании extstorage; исправление импорта/экспорта/перемещения экземпляра с корректными версиями socat
gdm3 Обратный перенос некоторых заплат для исправления поддержки XDMCP
getmail4 Исправление проблемы, связанной со специально сформированными отпечатками ключей
grok Исправление смещения указателей; libgrok-dev: добавление отсутствующих зависимостей от пакетов libgrok1 и libtokyocabinet-dev
gunicorn Удаление ненужного поля Pre-Depends со значением dpkg-dev, которое приводит к тому, что пакеты gunicorn и python-gunicorn начинают зависеть от компилятора
icu Исправление двойного освобождения выделенной памяти в createMetazoneMappings() [CVE-2017-14952]
inn2 [i386] Повторная сборка с целью получения правильного пути к двоичному файлу gzip
iproute2 Исправление ошибки сегментирования в tc с iptables 1.6
jdcal Исправление зависимостей Python3
kde-gtk-config Исправление кнопок предварительного просмотра в пользовательском интерфейсе KDE-GTK-config
lasi liblasi-dev: добавление отсутствующих зависимостей от пакетов libpango1.0-dev и libfreetype6-dev
libdatetime-timezone-perl Обновление данных, входящих в пакет
libdbd-firebird-perl Исправление получения значений decimal(x,y) между -1 и 0
libdbi Повторное включения вызова обработчика ошибок в dbi_result_next_row()
liblog-log4perl-perl Решение проблемы, при которой Perl 5.24 более не позволяет одновременно использовать syswrite и utf8, обходным путём
liblouis Исправление переполнения буфера и использования указателей после освобождения памяти [CVE-2017-13738 CVE-2017-13739 CVE-2017-13740 CVE-2017-13741 CVE-2017-13742 CVE-2017-13743 CVE-2017-13744]
libmpd libmpd-dev: добавление отсутствующей зависимости от libglib2.0-dev
libofx Исправления безопасности [CVE-2017-2816 CVE-2017-14731]
libxkbcommon libxkbcommon-x11-dev: добавление отсутствующей зависимости от libxkbcommon-dev
libxsettings-client Добавление отсутствующей зависимости от libxsettings-client-dev -> libxsettings-dev
linux xen/time: не уменьшать навёрстывание упущенного времени после выполнения живой миграции на xen; новая стабильная версия ядра 4.9.65
live-config Настройка автоматического входа для живых образов KDE / Plasma
lxc Не задавать жёстко список корректных выпусков Debian, позволяя создание контейнеров для стабильного выпуска, выпуска buster, тестируемого и нестабильного выпусков; не вставлять локали C.* в /etc/locale.gen
mongodb Исправление ошибки сегментирования/ошибки сборки из исходных текстов на ARM64 с 48-битными виртуальными адресами, ошибка сегментирования spidermonkey GC при сборке с GCC 6; mongodb.service: запуск после network.target
openssh Проверка настроек до запуска или перезагрузки настроек sshd под systemd; корректировка шаблонов совместимости для WinSCP для правильного определения версий, реализующих только устаревшую схему обмена группами DH; теперь -- до имени узла завершает обработку аргументов после имени узла
pdns Исправление неправильной упаковки qname при создании NSEC3; добавление отсутствующей проверки API-операций [CVE-2017-15091]
pdns-recursor Обновления безопасности: недостаточная проверка подписей DNSSEC [CVE-2017-15090]; межсайтовый скриптинг в веб-интерфейсе [CVE-2017-15092]; добавление файлов настройки в API [CVE-2017-15093]; утечка памяти при грамматическом разборе DNSSEC [CVE-2017-15094]
postgresql-9.6 Новая версия из основной ветки разработки с исправлениями ошибок
publicsuffix Обновление данных, поставляемых в пакете
pyosmium Новая версия из основной ветки разработки с исправлениями ошибок: функции-обработчики не вызываются при использовании службы репликации или при использовании Reader вместо файла
python-diff-match-patch Добавление отсутствующей python3-зависимости от пакета Python 3
python-inflect Исправление зависимостей Python 3
python-tablib Безопасная загрузка YAML [CVE-2017-2810]
python2.7 Исправление переполнения целых чисел в PyString_DecodeEscape [CVE-2017-1000158]; поддержка всех групп при TLS-взаимодействии
qtcurve Исправление аварийных остановок при использовании strncmp() вместо memcmp()
ruby-httparty Ослабление версии зависимости в gem-зависимости от json
ruby-ox Предотвращение аварийной остановки при передаче некорректного XML методу Oj.parse_obj() [CVE-2017-15928]
ruby-pygments.rb Предотвращение закрытия слишком многих файлов при запуске mentos, что может вызвать ошибки сборки в других пакетах на более медленных системах
schroot Исправление файла автодополнений bash; добавление файла службы для systemd с Type=oneshot с тем, чтобы избежать проблем с истечением срока ожидания со слишком многими открытыми сессиями
simutrans Повторное включение звука в simutrans. Переход с SDL на движок mixer_sdl
sitesummary Корректировка модуля проверки версии ядра nagios с целью обеспечения работы с ядрами из ветки 4.x
slic3r Исправление отсутствующей зависимости от perlapi-*
spamassassin Отключение bb.barracudacentral.org; обновление unit-файла для systemd с целью использования того же pid-файла как и в сценарии sysvinit; обновление зависимостей службы systemd, чтобы они включали в себя network и syslog; исправление некорректного запуска invoke-rc.d в сценарии cron
sqldeveloper-package Исправление ошибки сборки
sqlite3 Исправление переполнения динамической памяти из-за RTree-объектов слишком малого размера [CVE-2017-10989]
syslinux Исправление отображения логически в физические блоки для btrfs; исправление проблем загрузки при использовании старых прошивок BIOS путём исправления порядка C/H/S; поддержка ext4 64bit
tdbcodbc Исправление ошибки в библиотечном поиске ODBC
tor Добавление авторитета каталога Bastet; обновление geoip и geoip6 до версии от 4 октября 2017 из базы данных стран Maxmind GeoLite2
tzdata Новая версия из основной ветки разработки
udftools Исправление пути к pktsetup в сценарии инициализации udftools
weechat logger: вызов strftime до замены локальных переменных буфера [CVE-2017-14727]
xml2 Исправление повреждения данных при работу с файлами в кодировке UTF-8, строка использования для инструмента 2csv
xrdp Исправление высокой нагрузки на ЦП при отключении SSL
zsh Повторная сборка с целью включения обновлённых библиотек для zsh-static

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-3989 dnsmasq
DSA-3990 asterisk
DSA-3991 qemu
DSA-3992 curl
DSA-3993 tor
DSA-3994 nautilus
DSA-3995 libxfont
DSA-3996 ffmpeg
DSA-3997 wordpress
DSA-3998 nss
DSA-3999 wpa
DSA-4000 xorg-server
DSA-4001 yadifa
DSA-4003 libvirt
DSA-4004 jackson-databind
DSA-4006 mupdf
DSA-4007 curl
DSA-4008 wget
DSA-4009 shadowsocks-libev
DSA-4011 quagga
DSA-4013 openjpeg2
DSA-4014 thunderbird
DSA-4015 openjdk-8
DSA-4016 irssi
DSA-4017 openssl1.0
DSA-4018 openssl
DSA-4019 imagemagick
DSA-4020 chromium-browser
DSA-4021 otrs2
DSA-4023 slurm-llnl
DSA-4024 chromium-browser
DSA-4025 libpam4j
DSA-4026 bchunk
DSA-4028 postgresql-9.6
DSA-4029 postgresql-common
DSA-4030 roundcube
DSA-4031 ruby2.3
DSA-4032 imagemagick
DSA-4033 konversation
DSA-4034 varnish
DSA-4035 firefox-esr
DSA-4036 mediawiki
DSA-4037 jackson-databind
DSA-4038 shibboleth-sp2
DSA-4039 opensaml2
DSA-4041 procmail
DSA-4042 libxml-libxml-perl
DSA-4043 samba
DSA-4044 swauth
DSA-4045 vlc
DSA-4047 otrs2
DSA-4049 ffmpeg
DSA-4050 xen
DSA-4051 curl
DSA-4052 bzr
DSA-4053 exim4

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
libnet-ping-external-perl Не сопровождается, проблема безопасности

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.