Обновлённый Debian 9: выпуск 9.4

10 Марта 2018

Проект Debian с радостью сообщает о четвёртом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
acme-tiny Исправление устаревшей версии соглашения подписчика
activity-log-manager Добавление отсутствующей зависимости от python-zeitgeist
agenda.app Исправление создания задач и встреч
apparmor Перемещение файла возможностей в /usr/share/apparmor-features; прикрепление набора возможностей AppArmor к ядру Stretch
auto-apt-proxy Перемещение настроек apt при удалении и возвращение их при повторной установке
bareos Исправление ошибок резервного копирования с сообщением Не указан том
base-files Обновление для данной редакции
cappuccino Добавление отсутствующей зависимости от gir1.2-gtk-3.0
cerealizer Исправление Python3-зависимостей
clamav Новый выпуск основной ветки разработки; обновление безопасности [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron Корректный перенос системных задач в SELinux-контекст system_cronjob_t и прекращение использования конкретных идентификаторов refpolicy
cups Исправление выполнения произвольных IPP-команд путём отправки POST-запросов службе CUPS вместе с перепривязыванием DNS [CVE-2017-18190]
dbus Новый выпуск основной ветки разработки; раннее возбуждение ограничения файловых дескрипторов, что исправляет регрессию в исправлении локального отказа в обслуживании
debian-edu-config Предварительная системная настройка веб-браузера Chromium для автоматического определения настроек http-прокси через WPAD; разрешение вступления клиентов Windows 10 в домен Samba в стиле NT4
debian-installer Увеличение версии ядра Linux с 4.9.0-4 до 4.9.0-6
debian-installer-netboot-images Обновление до образов 20170615+deb9u3 из stretch-proposed-updates
directfb Исправление фильтра на основе архитектуры для установки драйверов
dpdk Обновление до новой редакции стабильного выпуска
espeakup udeb: исправление случая, когда карта 0 не имеет идентификатора, или когда карты имеют несмежные индексы; использовании по умолчанию английского языка; исправление идентификатора карты в установленной системе с целью избежать проблем с определением порядка карт
exam Исправление Python3-зависимостей
flatpak Новый выпуск основной ветки разработки; исправление обхода фильтрации D-Bus в flatpak-dbus-proxy; игнорирование нераспознанных строк прав доступа вместо вывода ошибки; запрет подслушивания по сессионной шине D-Bus
fuse-zip Исправление ошибки отложенной записи с libzip 1.0
glade Исправление потенциального бесконечного цикла
glibc Прекращение обновления /etc/nsswitch.conf, если содержимое указанного файла соответствует настройкам по умолчанию; debian/script.in/nohwcap.sh: всегда выполнять проверку всех оптимизированных пакетов, поскольку поддержка нескольких архитектур позволяет устанавливать чужие архитектуры; избегание чтения за пределами выделенного буфера памяти из-за использования указателей после освобождения памяти в clntudp_call [CVE-2017-12133]; определение сравнения для символов языка малайялам и правильное сравнение символов U+0D36 и U+0D37; исправление неправильного преобразования, касающегося ppc64 и s390x; исправление совместимости с соглашением Intel C++ по вызову __regcall; установка сценариев postinst и postrm libc-otherbuild в переходном пакете libc6-i686 с целью гарантировать, что файл /etc/ld.so.nohwcap будет корректно удалён после обновления
global Gozilla: закавычивание URL до их передачи переменной BROWSER [CVE-2017-17531]
gnumail Прекращение компоновки с OpenSSL
golang-github-go-ldap-ldap Требование явного намерения создать пустой пароль
gosa-plugin-pwreset Исправление устаревшего вызова конструктора
grilo-plugins Исправление источника Radio France
hdf5 Исправление вызова javahelper
inputlirc Включение input-event-codes.h вместо input.h с целью исправления ошибки сборки
intercal Повторная компиляция с поддержкой PIE
java-atk-wrapper Исправление инициализации итератора; исправление отсутствующего указания на дочерние объекты
kildclient Прекращение поддержки определённых пользователем браузеров [CVE-2017-17511]
libdate-holidays-de-perl Пометка Дня Реформации как праздника в Гамбурге и Шлезвиг-Гольштейне с 2018 года и далее
libdatetime-timezone-perl Новый выпуск основной ветки разработки
libhibernate-validator-java Исправление потенциального повышения привилегий путём обхода прав доступа менеджера безопасности [CVE-2017-7536]
libperlx-assert-perl Добавление отсутствующих зависимостей от libkeyword-simple-perl, libdevel-declare-perl
libreoffice Разрешение FunctionAccess выполнять WEBSERVICE; использование правильного кода ошибки при ошибках WEBSERVICE()
libvhdi Добавление Python3-зависимости
libvirt QEMU: общие диски с опцией cache=directsync должны быть безопасны для выполнения миграции; избегание отказа в обслуживании при чтении из монитора QEMU [CVE-2018-5748]
linux Новая версия основной ветки разработки
lxc Исправление создания тестируемых и нестабильных контейнеров путём включения iproute2 вместо iproute
mapproxy Исправление межсайтового скриптинга (XSS) в демонстрационной службе [CVE-2017-1000426]
mosquitto Исправление прав доступа файла постоянного хранения, который доступен всем пользователям [CVE-2017-9868]
mpi4py Поддержка текущей версии libmpi
ncurses Исправление переполнения буфера в функции _nc_write_entry [CVE-2017-16879]
needrestart Исправление переключения к списочный режим в случае, если debconf запущен в неинтерактивном режиме
ntp Увеличение размера стека минимум до 32Кбайт
nvidia-graphics-drivers-legacy-304xx Новый выпуск основной ветки разработки
nvidia-graphics-drivers-legacy-340xx Новый выпуск основной ветки разработки
nvidia-modprobe Новый выпуск основной ветки разработки; запуск setuid(0) до ветвления modprobe с целью сохранить привилегии через вызовы командной оболочки и рекурсивные вызовы modprobe
nvidia-persistenced Новый выпуск основной ветки разработки
nvidia-settings Новый выпуск основной ветки разработки; исправление ошибки, которая не позволяет вносить изменения в назначение стерео из панели управления nvidia-settings
nvidia-xconfig Новый выпуск основной ветки разработки; исправление регрессии, не позволяющей nvidia-xconfig опрашивать некоторые графические процессоры, например, при запуске `nvidia-xconfig -a`
ocfs2-tools Переход с использования rcS на стандартные уровни запуска
opendmarc Обновление файла службы opendmarc с целью использования изменений из файла opendmarc.conf
openssh Исправление ошибки в режиме для чтения sftp-server некорректно позволяет создавать файлы нулевой длины [CVE-2017-15906]
osinfo-db Обновление входящих в состав данных
pdns-recursor Повторная сборка с поддержкой publicsuffix 20171028.2055-0+deb9u1
postfix Новый выпуск основной ветки разработки; не записывать в журнал предупреждения о том, что некоторые ограничения возвращают OK, если включена возможность DISCARD карты доступа; добавление отсутствующей поддержки dynamicmaps в Postfix-команду sendmail; исправление отправки на некоторые сайты, имеющие записи TLSA 2 X X
postgresql-9.6 Новый выпуск основной ветки разработки
publicsuffix Обновление входящих в состав данных
python-evtx Исправление отсутствующей Python3-зависимости
python-hacking Исправление Python3-зависимостей
python-hkdf Исправление Python3-зависимостей
python-mimeparse Исправление Python3-зависимостей
python-pyperclip Исправление Python3-зависимостей
python-spake2 Исправление Python3-зависимостей
qtpass Исправление небезопасного встроенного генератора паролей [CVE-2017-18021]
quota Запрет запуска quotacheck с вхождением в бесконечный цикл
reportbug Не отправлять сообщения на адрес secure-testing-team@lists.alioth.debian.org
rpy Повторная сборка с поддержкой r-base 3.3
ruby-redis-store Разрешение загрузки небезопасных объектов из redis [CVE-2017-1000248]
salt Исправление обхода каталога на главном узле salt с помощью специально сформированных идентификаторов подчинённого узла [CVE-2017-12791], обход каталога в коде проверки идентификаторов подчинённого узла в SaltStack [CVE-2017-14695], удалённый отказ в обслуживании при обработке специально сформированного запроса аутентификации [CVE-2017-14696]; проверка того, что data[return] имеет тип dict
slic3r Исправление строки use lib во всех установленных двоичных файлах; временное решение проблемы отсутствующего макроса GL_MULTISAMPLE; исправление импорта двоичных STL на архитектурах с порядком байтов от старшего к младшему
soundtouch Исправления безопасности [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd networkd: обработка поля MTU в IPv6 RA; добавление сценария редактора связей с целью предотвращения коллизий символов, в частности с PAM-модулями; resolved: исправление зацикливания на пакетах с псевдотипами DNS [CVE-2017-15908]; machinectl: не выводить сообщение Машины отсутствуют. при использовании опции --no-legend
tzdata Новый выпуск основной ветки разработки
ust Исправление загрузки агентской библиотеки Python
uwsgi Исправление переполнения буфера в функции uwsgi_expand_path [CVE-2018-6758]
vagrant Загрузка образов с app.vagrantcloud.com вместо устаревшего atlas.hashicorp.com
vdirsyncer Исправление обнаружения контактов Google
virt-what Восстановление определения virt на arm/aarch64
w3m Исправление переполнения стека [CVE-2018-6196], разыменования null-указателя [CVE-2018-6197], состояния гонки в файлах /tmp [CVE-2018-6198]
waagent Новый выпуск основной ветки разработки
webkit2gtk Новый выпуск основной ветки разработки
xchain Исправление зависимости от wish
xrdp Исправление проблемы безопасности [CVE-2017-16927]; исправление высокой нагрузки на ЦП при ssl_tls_accept

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
dolibarr Слишком трудно сопровождать пакет должным образом в Debian
electrum Проблемы безопасности; сломан из-за изменений в основной ветке разработки
jirc Сломан при использовании версии libpoe-filter-xml-perl из stretch
pgmodeler Несовместим с версией Postgresql из stretch
seelablet Разработка основной ветки прекращена; сломан

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.