Обновлённый Debian 9: выпуск 9.5
14 Июля 2018
Проект Debian с радостью сообщает о пятом обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
2ping | Добавление отсутствующей зависимости от python-pkg-resources |
abiword | Разрешение конфликта двоичных файлов между пакетами abiword-dbgsym и abiword-plugin-grammar-dbgsym |
adminer | Не разрешать подключения к привилегированным портам [CVE-2018-7667] |
animals | Исправление неправильных прав доступа к файлам, из-за которых игра не работала |
apache2 | Обновление mod_http и mod_proxy_http2 до версий из 2.4.33, исправление ошибок сегментирования, высокого потребления памяти и потенциальной аварийной остановки [CVE-2018-1302]; действительное использование сценарием инициализации apache-htcacheclean файла /etc/default/apache-htcacheclean для настройки |
auto-complete-el | Добавление исправления основной ветки для emacs25; изменение зависимостей от emacs для версий emacs из stretch; настройка сценария auto-complete-el.emacsen-compat таким образом, чтобы предупреждение при установке не выводилось |
awffull | Не использовать удалённые опции в /etc/cron.daily/awffull |
ax25-tools | Избегание ошибки сегментирования во время исполнения |
base-files | Обновление для данной редакции |
blktrace | Исправление переполнения буфера в btt [CVE-2018-10689] |
ca-certificates | Обновление пакета Mozilla CA до версии 2.22; исправления ошибок |
camo | Добавление отсутствующей зависимости от openssl |
cffi | Добавление отсутствующих файлов для cffi-libffi и cffi-toolchain; добавление нескольких отсутствующих зависимостей |
check-postgres | Обновление набора тестов для обработки функции pg_get_indexdef(), теперь всегда включающей имя схемы |
clamav | Новый выпуск основной ветки разработки; не прекращать работу при использовании недавно удалённых опций настройки |
clustershell | Добавление отсутствующей зависимости от python-pkg-resources |
debian-installer | Обновление для ABI ядра -7 |
debian-installer-netboot-images | Повторная сборка для данной редакции |
debian-security-support | Обновление включённых данных |
dehydrated | Исправление ошибки создания fullchain.pem |
devscripts | uscan: исправление регулярного выражения для новой версии для опции filenamemangle; debsign: исправление автодополнения bash; bts: поддержка нового тега ftbfs; uscan: поддержка HTTPS в службе перенаправления sf.net; debcheckout: поддержка salsa.debian.org; debdiff: сортировка файлов shlibs до их сравнения, уменьшение шума при сравнении; uscan: поддержка --copy |
disc-cover | Исправление ошибки perl при запуске disc-cover |
discover | Использование правильного типа для параметра длины вызова getline() |
django-xmlrpc | Исправление зависимостей от python3 |
dosbox | Исправление аварийных остановок с core=dynamic |
dpdk | Новая стабильная версия основной ветки разработки |
dpkg | Исправление переполнения целых чисел в коде для грамматического разбора формата версии deb(5); исправление обхода каталога с dpkg-deb --raw-extract; добавление поддержки ЦП riscv64; прекращение нормализации аргументов после слова останова в Dpkg::Getopt; корректный грамматический разбор пользовательских имён и имён групп start-stop-daemon, начинающихся с цифр; всегда использовать двоичную версию для имени файла .buildinfo |
dput-ng | Добавление целей jessie-backports-sloppy и stretch-backports; добавление 'testing' в наборы rm-managed и 'oldstable' в защищённые дистрибутивы; добавление профиля ports-master; FTP: грамматический разбор и использование необязательной части [:порт] для fqdn |
elastix | Повторная сборка с ITK, сборка с помощью gcc 6 |
email2trac | Исправление определения Trac 1.2 |
faad2 | Исправление нескольких отказов в обслуживании из-за специально сформированных файлов MP4 [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257] |
faker | Добавление отсутствующей зависимости от python-ipaddress |
fastkml | Добавление отсутствующей зависимости от pkg-resources |
file | Избегание чтения за границами буфера [CVE-2018-10360] |
freedink-dfarc | Исправление обхода каталога в коде распаковки D-Mod [CVE-2018-0496] |
ganeti | Правильная проверка SSL-сертификатов во время экспорта виртуальной машины |
ghostscript | Исправление ошибки сегментирования при проверке файла в gxht_thresh_image_init(); исправление переполнения буфера в fill_threshold_buffer [CVE-2016-10317]; pdfwrite — защита от попыток вывода бесконечного числа [CVE-2018-10194] |
git-annex | Исправления безопасности [CVE-2018-10857 CVE-2018-10859] |
glx-alternatives | Новая версия основной ветки разработки |
gridengine | Использование правильных путей к пиксельным изображениям qmon; исправление FTBFS на armhf |
intel-microcode | Обновление включённого микрокода, добавление исправлений для Spectre v2 [CVE-2017-5715] |
jdresolve | Исправление несовместимости с libnet-dns-perl в Debian 8 и более поздних версиях |
libb64 | Повторная сборка с поддержкой PIE |
libdate-holidays-de-perl | Пометка Дня Реформации как праздника в Нижней Саксонии и Бремене |
libdatetime-timezone-perl | Обновление включённых данных |
libextractor | Различные исправления безопасности [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440] |
libipc-run-perl | Исправление утечки памяти |
liblouis | Исправление переполнения буфера [CVE-2018-11410]; исправление нескольких переполнений буфера [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085] |
libosmium | Правильный вывод координат со значением -2^31; исправление буферов более 2^32 байтов |
linux | Новая стабильная версия основной ветки разработки 4.9.110 |
linux-latest | Обновление до ABI ядра -7 |
llvm-toolchain-4.0 | Новый пакет для обратного переноса rust; исправление сборки на s390x |
local-apt-repository | Исправление поломки apt, если пакет удалён, но не вычищен |
loook | Исправление обработки файлов, защищённых паролем |
miniupnpd | Исправление отказа в обслуживании [CVE-2017-1000494] |
nss-pam-ldapd | Увеличение размера буфера для имени узла |
nvidia-graphics-drivers | Новая версия основной ветки разработки |
obfsproxy | Прекращение установки сломанного профиля AppArmor |
openldap | Исправление рассинхронизации при репликации delta-syncrepl в окружении с несколькими базовыми узлами; исправление обновлений, если настройки содержат экранированные с помощью обратной косой черты специальные символы |
openstack-debian-images | Размещение CloudStack после OpenStack в datasource_list, чтобы избежать задержки в 120 секунд в сценарии cloud-init при загрузке машины в облаке OpenStack |
patch | Исправление выполнения произвольной команды в заплатах в стиле ed [CVE-2018-1000156] |
piglit | Исправление отсутствующей зависимости от python-mako |
postgresql-9.6 | Новая версия основной ветки разработки |
postgresql-common | Запрет при обновлении/удалении серверных пакетов останавливать другие версии кластеров в случае, если используется systemd |
psad | Добавление отсутствующих зависимостей от net-tools и iproute2 |
pysurfer | Добавление отсутствующей зависимости от python-matplotlib |
python-cluster | Добавление отсутствующей зависимости от pkg-resources |
python-pyorick | Исправление ошибки импорта путём добавления отсутствующей зависимости от python3-numpy |
python-scruffy | Добавление отсутствующих зависимостей от pkg-resources |
r-cran-mi | Добавление отсутствующей зависимости от r-cran-arm |
redis | Исправление RunTimeDirectory -> опечатка RuntimeDirectory в .service-файлах systemd |
reportbug | Уведомление команды безопасности или команды LTS о возможной регрессии в случае сообщения об ошибке в пакете, содержащем исправление безопасности |
rustc | Новый выпуск основной ветки разработки для поддержки Firefox ESR |
salt | Исправление копирование вспомогательной части salt-ssh через настройки с основного источника соли без изменения прав доступа[CVE-2017-8109] |
shared-mime-info | Переключение dpkg в режим noawait, исправление проблем обновления с jessie |
showq | Исправление префикса, чтобы приложение начало работать |
source-highlight | Исправление зависимости от libboost-regex-dev |
starplot | Исправление аварийной остановки при запуске |
subversion | Отклонение коммитов, которые привели бы к коллизии хэшей с уже существующими данными, для решения проблемы повреждения SHA1 |
sus | Обновление до новой версии, технически совпадающей с SUSv4 + TC1 + TC2 |
systemd | networkd-ndisc: обработка отсутствующего значения MTU; разрешение установки RemoveIPC= в unit-файле, а не только через D-Bus; nspawn: добавление отсутствующей опции -E для getopt_long'; login: учёт --no-wall при отмене запроса на выключение |
tclreadline | Исправление сборки разделяемой библиотеки на ppc64el |
thefuck | Добавление отсутствующей зависимости от pkg-resources |
tinyproxy | Не прекращать прослушивание после SIGHUP; исправление пути к файлу настройки; добавление отсутствующей зависимости от adduser |
tlslite-ng | Проверка MAC, даже если заполнение имеет длину 1 байт |
tzdata | Новая версия основной ветки разработки |
unison | Повторная сборка с ocaml из stretch |
variety | Исправление введения команд командной оболочки при удалении файлов в корзину; исправление введения команд командной оболочки в фильтре и часах с помощью специально сформированных имён файлов; улучшение безопасности вызовов ImageMagick с целью предотвращения потенциального введения команд командной оболочки |
xapian-core | Исправление MSet::snippet() для экранирования HTML во всех случаях [CVE-2018-499] |
xerces-c | Исправление отказа в обслуживании через ссылку на внешние сущности DTD [CVE-2017-12627]; исправление регрессии, которая приводила к обязательному использованию SSE2 в gcc даже на платформах, не поддерживающих эти инструкции |
xrdp | Исправление ошибки на единицу, приводящей к аварийным остановкам |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
libnet-whois-perl | Сломан |
mlbviewer | Более не работает из-за изменений на стороне поставщика содержимого |
python-uniconvertor | Не работает; требуется зависимость, отсутствующая в архиве |
singularity-container | Не получает поддержки безопасности |
undertow | Не поддерживается; несколько проблем безопасности; существуют альтернативы |
visionegg | Не работает; требует недоступную функциональность numpy.oldnumeric |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.