Обновлённый Debian 9: выпуск 9.4

10 Марта 2018

Проект Debian с радостью сообщает о четвёртом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
acme-tiny	Исправление устаревшей версии соглашения подписчика
activity-log-manager	Добавление отсутствующей зависимости от python-zeitgeist
agenda.app	Исправление создания задач и встреч
apparmor	Перемещение файла возможностей в /usr/share/apparmor-features; прикрепление набора возможностей AppArmor к ядру Stretch
auto-apt-proxy	Перемещение настроек apt при удалении и возвращение их при повторной установке
bareos	Исправление ошибок резервного копирования с сообщением Не указан том
base-files	Обновление для данной редакции
cappuccino	Добавление отсутствующей зависимости от gir1.2-gtk-3.0
cerealizer	Исправление Python3-зависимостей
clamav	Новый выпуск основной ветки разработки; обновление безопасности [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron	Корректный перенос системных задач в SELinux-контекст system_cronjob_t и прекращение использования конкретных идентификаторов refpolicy
cups	Исправление выполнения произвольных IPP-команд путём отправки POST-запросов службе CUPS вместе с перепривязыванием DNS [CVE-2017-18190]
dbus	Новый выпуск основной ветки разработки; раннее возбуждение ограничения файловых дескрипторов, что исправляет регрессию в исправлении локального отказа в обслуживании
debian-edu-config	Предварительная системная настройка веб-браузера Chromium для автоматического определения настроек http-прокси через WPAD; разрешение вступления клиентов Windows 10 в домен Samba в стиле NT4
debian-installer	Увеличение версии ядра Linux с 4.9.0-4 до 4.9.0-6
debian-installer-netboot-images	Обновление до образов 20170615+deb9u3 из stretch-proposed-updates
directfb	Исправление фильтра на основе архитектуры для установки драйверов
dpdk	Обновление до новой редакции стабильного выпуска
espeakup	udeb: исправление случая, когда карта 0 не имеет идентификатора, или когда карты имеют несмежные индексы; использовании по умолчанию английского языка; исправление идентификатора карты в установленной системе с целью избежать проблем с определением порядка карт
exam	Исправление Python3-зависимостей
flatpak	Новый выпуск основной ветки разработки; исправление обхода фильтрации D-Bus в flatpak-dbus-proxy; игнорирование нераспознанных строк прав доступа вместо вывода ошибки; запрет подслушивания по сессионной шине D-Bus
fuse-zip	Исправление ошибки отложенной записи с libzip 1.0
glade	Исправление потенциального бесконечного цикла
glibc	Прекращение обновления /etc/nsswitch.conf, если содержимое указанного файла соответствует настройкам по умолчанию; debian/script.in/nohwcap.sh: всегда выполнять проверку всех оптимизированных пакетов, поскольку поддержка нескольких архитектур позволяет устанавливать чужие архитектуры; избегание чтения за пределами выделенного буфера памяти из-за использования указателей после освобождения памяти в clntudp_call [CVE-2017-12133]; определение сравнения для символов языка малайялам и правильное сравнение символов U+0D36 и U+0D37; исправление неправильного преобразования, касающегося ppc64 и s390x; исправление совместимости с соглашением Intel C++ по вызову __regcall; установка сценариев postinst и postrm libc-otherbuild в переходном пакете libc6-i686 с целью гарантировать, что файл /etc/ld.so.nohwcap будет корректно удалён после обновления
global	Gozilla: закавычивание URL до их передачи переменной BROWSER [CVE-2017-17531]
gnumail	Прекращение компоновки с OpenSSL
golang-github-go-ldap-ldap	Требование явного намерения создать пустой пароль
gosa-plugin-pwreset	Исправление устаревшего вызова конструктора
grilo-plugins	Исправление источника Radio France
hdf5	Исправление вызова javahelper
inputlirc	Включение input-event-codes.h вместо input.h с целью исправления ошибки сборки
intercal	Повторная компиляция с поддержкой PIE
java-atk-wrapper	Исправление инициализации итератора; исправление отсутствующего указания на дочерние объекты
kildclient	Прекращение поддержки определённых пользователем браузеров [CVE-2017-17511]
libdate-holidays-de-perl	Пометка Дня Реформации как праздника в Гамбурге и Шлезвиг-Гольштейне с 2018 года и далее
libdatetime-timezone-perl	Новый выпуск основной ветки разработки
libhibernate-validator-java	Исправление потенциального повышения привилегий путём обхода прав доступа менеджера безопасности [CVE-2017-7536]
libperlx-assert-perl	Добавление отсутствующих зависимостей от libkeyword-simple-perl, libdevel-declare-perl
libreoffice	Разрешение FunctionAccess выполнять WEBSERVICE; использование правильного кода ошибки при ошибках WEBSERVICE()
libvhdi	Добавление Python3-зависимости
libvirt	QEMU: общие диски с опцией cache=directsync должны быть безопасны для выполнения миграции; избегание отказа в обслуживании при чтении из монитора QEMU [CVE-2018-5748]
linux	Новая версия основной ветки разработки
lxc	Исправление создания тестируемых и нестабильных контейнеров путём включения iproute2 вместо iproute
mapproxy	Исправление межсайтового скриптинга (XSS) в демонстрационной службе [CVE-2017-1000426]
mosquitto	Исправление прав доступа файла постоянного хранения, который доступен всем пользователям [CVE-2017-9868]
mpi4py	Поддержка текущей версии libmpi
ncurses	Исправление переполнения буфера в функции _nc_write_entry [CVE-2017-16879]
needrestart	Исправление переключения к списочный режим в случае, если debconf запущен в неинтерактивном режиме
ntp	Увеличение размера стека минимум до 32Кбайт
nvidia-graphics-drivers-legacy-304xx	Новый выпуск основной ветки разработки
nvidia-graphics-drivers-legacy-340xx	Новый выпуск основной ветки разработки
nvidia-modprobe	Новый выпуск основной ветки разработки; запуск setuid(0) до ветвления modprobe с целью сохранить привилегии через вызовы командной оболочки и рекурсивные вызовы modprobe
nvidia-persistenced	Новый выпуск основной ветки разработки
nvidia-settings	Новый выпуск основной ветки разработки; исправление ошибки, которая не позволяет вносить изменения в назначение стерео из панели управления nvidia-settings
nvidia-xconfig	Новый выпуск основной ветки разработки; исправление регрессии, не позволяющей nvidia-xconfig опрашивать некоторые графические процессоры, например, при запуске `nvidia-xconfig -a`
ocfs2-tools	Переход с использования rcS на стандартные уровни запуска
opendmarc	Обновление файла службы opendmarc с целью использования изменений из файла opendmarc.conf
openssh	Исправление ошибки в режиме для чтения sftp-server некорректно позволяет создавать файлы нулевой длины [CVE-2017-15906]
osinfo-db	Обновление входящих в состав данных
pdns-recursor	Повторная сборка с поддержкой publicsuffix 20171028.2055-0+deb9u1
postfix	Новый выпуск основной ветки разработки; не записывать в журнал предупреждения о том, что некоторые ограничения возвращают OK, если включена возможность DISCARD карты доступа; добавление отсутствующей поддержки dynamicmaps в Postfix-команду sendmail; исправление отправки на некоторые сайты, имеющие записи TLSA 2 X X
postgresql-9.6	Новый выпуск основной ветки разработки
publicsuffix	Обновление входящих в состав данных
python-evtx	Исправление отсутствующей Python3-зависимости
python-hacking	Исправление Python3-зависимостей
python-hkdf	Исправление Python3-зависимостей
python-mimeparse	Исправление Python3-зависимостей
python-pyperclip	Исправление Python3-зависимостей
python-spake2	Исправление Python3-зависимостей
qtpass	Исправление небезопасного встроенного генератора паролей [CVE-2017-18021]
quota	Запрет запуска quotacheck с вхождением в бесконечный цикл
reportbug	Не отправлять сообщения на адрес secure-testing-team@lists.alioth.debian.org
rpy	Повторная сборка с поддержкой r-base 3.3
ruby-redis-store	Разрешение загрузки небезопасных объектов из redis [CVE-2017-1000248]
salt	Исправление обхода каталога на главном узле salt с помощью специально сформированных идентификаторов подчинённого узла [CVE-2017-12791], обход каталога в коде проверки идентификаторов подчинённого узла в SaltStack [CVE-2017-14695], удалённый отказ в обслуживании при обработке специально сформированного запроса аутентификации [CVE-2017-14696]; проверка того, что data[return] имеет тип dict
slic3r	Исправление строки use lib во всех установленных двоичных файлах; временное решение проблемы отсутствующего макроса GL_MULTISAMPLE; исправление импорта двоичных STL на архитектурах с порядком байтов от старшего к младшему
soundtouch	Исправления безопасности [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd	networkd: обработка поля MTU в IPv6 RA; добавление сценария редактора связей с целью предотвращения коллизий символов, в частности с PAM-модулями; resolved: исправление зацикливания на пакетах с псевдотипами DNS [CVE-2017-15908]; machinectl: не выводить сообщение Машины отсутствуют. при использовании опции --no-legend
tzdata	Новый выпуск основной ветки разработки
ust	Исправление загрузки агентской библиотеки Python
uwsgi	Исправление переполнения буфера в функции uwsgi_expand_path [CVE-2018-6758]
vagrant	Загрузка образов с app.vagrantcloud.com вместо устаревшего atlas.hashicorp.com
vdirsyncer	Исправление обнаружения контактов Google
virt-what	Восстановление определения virt на arm/aarch64
w3m	Исправление переполнения стека [CVE-2018-6196], разыменования null-указателя [CVE-2018-6197], состояния гонки в файлах /tmp [CVE-2018-6198]
waagent	Новый выпуск основной ветки разработки
webkit2gtk	Новый выпуск основной ветки разработки
xchain	Исправление зависимости от wish
xrdp	Исправление проблемы безопасности [CVE-2017-16927]; исправление высокой нагрузки на ЦП при ssl_tls_accept

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-4054	tor
DSA-4055	heimdal
DSA-4056	nova
DSA-4057	erlang
DSA-4058	optipng
DSA-4059	libxcursor
DSA-4060	wireshark
DSA-4061	thunderbird
DSA-4062	firefox-esr
DSA-4063	pdns-recursor
DSA-4065	openssl1.0
DSA-4066	otrs2
DSA-4067	openafs
DSA-4068	rsync
DSA-4069	otrs2
DSA-4070	enigmail
DSA-4071	sensible-utils
DSA-4072	bouncycastle
DSA-4073	linux
DSA-4075	thunderbird
DSA-4076	asterisk
DSA-4077	gimp
DSA-4078	linux
DSA-4078	linux-latest
DSA-4079	poppler
DSA-4080	php7.0
DSA-4083	poco
DSA-4084	gifsicle
DSA-4086	libxml2
DSA-4087	transmission
DSA-4088	gdk-pixbuf
DSA-4089	bind9
DSA-4090	wordpress
DSA-4092	awstats
DSA-4093	openocd
DSA-4094	smarty3
DSA-4095	gcab
DSA-4096	firefox-esr
DSA-4097	poppler
DSA-4098	curl
DSA-4099	ffmpeg
DSA-4100	tiff
DSA-4101	wireshark
DSA-4102	thunderbird
DSA-4104	p7zip
DSA-4105	mpv
DSA-4106	libtasn1-6
DSA-4107	django-anymail
DSA-4108	mailman
DSA-4109	ruby-omniauth
DSA-4110	exim4
DSA-4111	libreoffice
DSA-4112	xen
DSA-4114	jackson-databind
DSA-4115	quagga
DSA-4116	plasma-workspace
DSA-4118	tomcat-native
DSA-4120	linux-latest
DSA-4120	linux
DSA-4121	gcc-6
DSA-4122	squid3
DSA-4123	drupal7
DSA-4124	lucene-solr
DSA-4125	wavpack
DSA-4126	xmltooling
DSA-4127	simplesamlphp
DSA-4128	trafficserver
DSA-4129	freexl
DSA-4130	dovecot
DSA-4131	xen
DSA-4132	libvpx

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет	Причина
dolibarr	Слишком трудно сопровождать пакет должным образом в Debian
electrum	Проблемы безопасности; сломан из-за изменений в основной ветке разработки
jirc	Сломан при использовании версии libpoe-filter-xml-perl из stretch
pgmodeler	Несовместим с версией Postgresql из stretch
seelablet	Разработка основной ветки прекращена; сломан

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.