Обновлённый Debian 9: выпуск 9.4
10 Марта 2018
Проект Debian с радостью сообщает о четвёртом обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
acme-tiny | Исправление устаревшей версии соглашения подписчика |
activity-log-manager | Добавление отсутствующей зависимости от python-zeitgeist |
agenda.app | Исправление создания задач и встреч |
apparmor | Перемещение файла возможностей в /usr/share/apparmor-features; прикрепление набора возможностей AppArmor к ядру Stretch |
auto-apt-proxy | Перемещение настроек apt при удалении и возвращение их при повторной установке |
bareos | Исправление ошибок резервного копирования с сообщением Не указан том |
base-files | Обновление для данной редакции |
cappuccino | Добавление отсутствующей зависимости от gir1.2-gtk-3.0 |
cerealizer | Исправление Python3-зависимостей |
clamav | Новый выпуск основной ветки разработки; обновление безопасности [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] |
cron | Корректный перенос системных задач в SELinux-контекст system_cronjob_t и прекращение использования конкретных идентификаторов refpolicy |
cups | Исправление выполнения произвольных IPP-команд путём отправки POST-запросов службе CUPS вместе с перепривязыванием DNS [CVE-2017-18190] |
dbus | Новый выпуск основной ветки разработки; раннее возбуждение ограничения файловых дескрипторов, что исправляет регрессию в исправлении локального отказа в обслуживании |
debian-edu-config | Предварительная системная настройка веб-браузера Chromium для автоматического определения настроек http-прокси через WPAD; разрешение вступления клиентов Windows 10 в домен Samba в стиле NT4 |
debian-installer | Увеличение версии ядра Linux с 4.9.0-4 до 4.9.0-6 |
debian-installer-netboot-images | Обновление до образов 20170615+deb9u3 из stretch-proposed-updates |
directfb | Исправление фильтра на основе архитектуры для установки драйверов |
dpdk | Обновление до новой редакции стабильного выпуска |
espeakup | udeb: исправление случая, когда карта 0 не имеет идентификатора, или когда карты имеют несмежные индексы; использовании по умолчанию английского языка; исправление идентификатора карты в установленной системе с целью избежать проблем с определением порядка карт |
exam | Исправление Python3-зависимостей |
flatpak | Новый выпуск основной ветки разработки; исправление обхода фильтрации D-Bus в flatpak-dbus-proxy; игнорирование нераспознанных строк прав доступа вместо вывода ошибки; запрет подслушивания по сессионной шине D-Bus |
fuse-zip | Исправление ошибки отложенной записи с libzip 1.0 |
glade | Исправление потенциального бесконечного цикла |
glibc | Прекращение обновления /etc/nsswitch.conf, если содержимое указанного файла соответствует настройкам по умолчанию; debian/script.in/nohwcap.sh: всегда выполнять проверку всех оптимизированных пакетов, поскольку поддержка нескольких архитектур позволяет устанавливать чужие архитектуры; избегание чтения за пределами выделенного буфера памяти из-за использования указателей после освобождения памяти в clntudp_call [CVE-2017-12133]; определение сравнения для символов языка малайялам и правильное сравнение символов U+0D36 и U+0D37; исправление неправильного преобразования, касающегося ppc64 и s390x; исправление совместимости с соглашением Intel C++ по вызову __regcall; установка сценариев postinst и postrm libc-otherbuild в переходном пакете libc6-i686 с целью гарантировать, что файл /etc/ld.so.nohwcap будет корректно удалён после обновления |
global | Gozilla: закавычивание URL до их передачи переменной BROWSER [CVE-2017-17531] |
gnumail | Прекращение компоновки с OpenSSL |
golang-github-go-ldap-ldap | Требование явного намерения создать пустой пароль |
gosa-plugin-pwreset | Исправление устаревшего вызова конструктора |
grilo-plugins | Исправление источника Radio France |
hdf5 | Исправление вызова javahelper |
inputlirc | Включение input-event-codes.h вместо input.h с целью исправления ошибки сборки |
intercal | Повторная компиляция с поддержкой PIE |
java-atk-wrapper | Исправление инициализации итератора; исправление отсутствующего указания на дочерние объекты |
kildclient | Прекращение поддержки определённых пользователем браузеров [CVE-2017-17511] |
libdate-holidays-de-perl | Пометка Дня Реформации как праздника в Гамбурге и Шлезвиг-Гольштейне с 2018 года и далее |
libdatetime-timezone-perl | Новый выпуск основной ветки разработки |
libhibernate-validator-java | Исправление потенциального повышения привилегий путём обхода прав доступа менеджера безопасности [CVE-2017-7536] |
libperlx-assert-perl | Добавление отсутствующих зависимостей от libkeyword-simple-perl, libdevel-declare-perl |
libreoffice | Разрешение FunctionAccess выполнять WEBSERVICE; использование правильного кода ошибки при ошибках WEBSERVICE() |
libvhdi | Добавление Python3-зависимости |
libvirt | QEMU: общие диски с опцией cache=directsync должны быть безопасны для выполнения миграции; избегание отказа в обслуживании при чтении из монитора QEMU [CVE-2018-5748] |
linux | Новая версия основной ветки разработки |
lxc | Исправление создания тестируемых и нестабильных контейнеров путём включения iproute2вместо iproute |
mapproxy | Исправление межсайтового скриптинга (XSS) в демонстрационной службе [CVE-2017-1000426] |
mosquitto | Исправление прав доступа файла постоянного хранения, который доступен всем пользователям [CVE-2017-9868] |
mpi4py | Поддержка текущей версии libmpi |
ncurses | Исправление переполнения буфера в функции _nc_write_entry [CVE-2017-16879] |
needrestart | Исправление переключения к списочный режим в случае, если debconf запущен в неинтерактивном режиме |
ntp | Увеличение размера стека минимум до 32Кбайт |
nvidia-graphics-drivers-legacy-304xx | Новый выпуск основной ветки разработки |
nvidia-graphics-drivers-legacy-340xx | Новый выпуск основной ветки разработки |
nvidia-modprobe | Новый выпуск основной ветки разработки; запуск setuid(0) до ветвления modprobe с целью сохранить привилегии через вызовы командной оболочки и рекурсивные вызовы modprobe |
nvidia-persistenced | Новый выпуск основной ветки разработки |
nvidia-settings | Новый выпуск основной ветки разработки; исправление ошибки, которая не позволяет вносить изменения в назначение стерео из панели управления nvidia-settings |
nvidia-xconfig | Новый выпуск основной ветки разработки; исправление регрессии, не позволяющей nvidia-xconfig опрашивать некоторые графические процессоры, например, при запуске `nvidia-xconfig -a` |
ocfs2-tools | Переход с использования rcS на стандартные уровни запуска |
opendmarc | Обновление файла службы opendmarc с целью использования изменений из файла opendmarc.conf |
openssh | Исправление ошибки в режиме для чтения sftp-server некорректно позволяет создавать файлы нулевой длины[CVE-2017-15906] |
osinfo-db | Обновление входящих в состав данных |
pdns-recursor | Повторная сборка с поддержкой publicsuffix 20171028.2055-0+deb9u1 |
postfix | Новый выпуск основной ветки разработки; не записывать в журнал предупреждения о том, что некоторые ограничения возвращают OK, если включена возможность DISCARD карты доступа; добавление отсутствующей поддержки dynamicmaps в Postfix-команду sendmail; исправление отправки на некоторые сайты, имеющие записи TLSA 2 X X |
postgresql-9.6 | Новый выпуск основной ветки разработки |
publicsuffix | Обновление входящих в состав данных |
python-evtx | Исправление отсутствующей Python3-зависимости |
python-hacking | Исправление Python3-зависимостей |
python-hkdf | Исправление Python3-зависимостей |
python-mimeparse | Исправление Python3-зависимостей |
python-pyperclip | Исправление Python3-зависимостей |
python-spake2 | Исправление Python3-зависимостей |
qtpass | Исправление небезопасного встроенного генератора паролей [CVE-2017-18021] |
quota | Запрет запуска quotacheck с вхождением в бесконечный цикл |
reportbug | Не отправлять сообщения на адрес secure-testing-team@lists.alioth.debian.org |
rpy | Повторная сборка с поддержкой r-base 3.3 |
ruby-redis-store | Разрешение загрузки небезопасных объектов из redis [CVE-2017-1000248] |
salt | Исправление обхода каталога на главном узле salt с помощью специально сформированных идентификаторов подчинённого узла [CVE-2017-12791], обход каталога в коде проверки идентификаторов подчинённого узла в SaltStack [CVE-2017-14695], удалённый отказ в обслуживании при обработке специально сформированного запроса аутентификации [CVE-2017-14696]; проверка того, что data[return] имеет тип dict |
slic3r | Исправление строки use libво всех установленных двоичных файлах; временное решение проблемы отсутствующего макроса GL_MULTISAMPLE; исправление импорта двоичных STL на архитектурах с порядком байтов от старшего к младшему |
soundtouch | Исправления безопасности [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] |
systemd | networkd: обработка поля MTU в IPv6 RA; добавление сценария редактора связей с целью предотвращения коллизий символов, в частности с PAM-модулями; resolved: исправление зацикливания на пакетах с псевдотипами DNS [CVE-2017-15908]; machinectl: не выводить сообщение Машины отсутствуют.при использовании опции --no-legend |
tzdata | Новый выпуск основной ветки разработки |
ust | Исправление загрузки агентской библиотеки Python |
uwsgi | Исправление переполнения буфера в функции uwsgi_expand_path [CVE-2018-6758] |
vagrant | Загрузка образов с app.vagrantcloud.com вместо устаревшего atlas.hashicorp.com |
vdirsyncer | Исправление обнаружения контактов Google |
virt-what | Восстановление определения virt на arm/aarch64 |
w3m | Исправление переполнения стека [CVE-2018-6196], разыменования null-указателя [CVE-2018-6197], состояния гонки в файлах /tmp [CVE-2018-6198] |
waagent | Новый выпуск основной ветки разработки |
webkit2gtk | Новый выпуск основной ветки разработки |
xchain | Исправление зависимости от wish |
xrdp | Исправление проблемы безопасности [CVE-2017-16927]; исправление высокой нагрузки на ЦП при ssl_tls_accept |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
dolibarr | Слишком трудно сопровождать пакет должным образом в Debian |
electrum | Проблемы безопасности; сломан из-за изменений в основной ветке разработки |
jirc | Сломан при использовании версии libpoe-filter-xml-perl из stretch |
pgmodeler | Несовместим с версией Postgresql из stretch |
seelablet | Разработка основной ветки прекращена; сломан |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.