Обновлённый Debian 9: выпуск 9.5

14 Июля 2018

Проект Debian с радостью сообщает о пятом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
2ping	Добавление отсутствующей зависимости от python-pkg-resources
abiword	Разрешение конфликта двоичных файлов между пакетами abiword-dbgsym и abiword-plugin-grammar-dbgsym
adminer	Не разрешать подключения к привилегированным портам [CVE-2018-7667]
animals	Исправление неправильных прав доступа к файлам, из-за которых игра не работала
apache2	Обновление mod_http и mod_proxy_http2 до версий из 2.4.33, исправление ошибок сегментирования, высокого потребления памяти и потенциальной аварийной остановки [CVE-2018-1302]; действительное использование сценарием инициализации apache-htcacheclean файла /etc/default/apache-htcacheclean для настройки
auto-complete-el	Добавление исправления основной ветки для emacs25; изменение зависимостей от emacs для версий emacs из stretch; настройка сценария auto-complete-el.emacsen-compat таким образом, чтобы предупреждение при установке не выводилось
awffull	Не использовать удалённые опции в /etc/cron.daily/awffull
ax25-tools	Избегание ошибки сегментирования во время исполнения
base-files	Обновление для данной редакции
blktrace	Исправление переполнения буфера в btt [CVE-2018-10689]
ca-certificates	Обновление пакета Mozilla CA до версии 2.22; исправления ошибок
camo	Добавление отсутствующей зависимости от openssl
cffi	Добавление отсутствующих файлов для cffi-libffi и cffi-toolchain; добавление нескольких отсутствующих зависимостей
check-postgres	Обновление набора тестов для обработки функции pg_get_indexdef(), теперь всегда включающей имя схемы
clamav	Новый выпуск основной ветки разработки; не прекращать работу при использовании недавно удалённых опций настройки
clustershell	Добавление отсутствующей зависимости от python-pkg-resources
debian-installer	Обновление для ABI ядра -7
debian-installer-netboot-images	Повторная сборка для данной редакции
debian-security-support	Обновление включённых данных
dehydrated	Исправление ошибки создания fullchain.pem
devscripts	uscan: исправление регулярного выражения для новой версии для опции filenamemangle; debsign: исправление автодополнения bash; bts: поддержка нового тега ftbfs; uscan: поддержка HTTPS в службе перенаправления sf.net; debcheckout: поддержка salsa.debian.org; debdiff: сортировка файлов shlibs до их сравнения, уменьшение шума при сравнении; uscan: поддержка --copy
disc-cover	Исправление ошибки perl при запуске disc-cover
discover	Использование правильного типа для параметра длины вызова getline()
django-xmlrpc	Исправление зависимостей от python3
dosbox	Исправление аварийных остановок с core=dynamic
dpdk	Новая стабильная версия основной ветки разработки
dpkg	Исправление переполнения целых чисел в коде для грамматического разбора формата версии deb(5); исправление обхода каталога с dpkg-deb --raw-extract; добавление поддержки ЦП riscv64; прекращение нормализации аргументов после слова останова в Dpkg::Getopt; корректный грамматический разбор пользовательских имён и имён групп start-stop-daemon, начинающихся с цифр; всегда использовать двоичную версию для имени файла .buildinfo
dput-ng	Добавление целей jessie-backports-sloppy и stretch-backports; добавление 'testing' в наборы rm-managed и 'oldstable' в защищённые дистрибутивы; добавление профиля ports-master; FTP: грамматический разбор и использование необязательной части [:порт] для fqdn
elastix	Повторная сборка с ITK, сборка с помощью gcc 6
email2trac	Исправление определения Trac 1.2
faad2	Исправление нескольких отказов в обслуживании из-за специально сформированных файлов MP4 [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257]
faker	Добавление отсутствующей зависимости от python-ipaddress
fastkml	Добавление отсутствующей зависимости от pkg-resources
file	Избегание чтения за границами буфера [CVE-2018-10360]
freedink-dfarc	Исправление обхода каталога в коде распаковки D-Mod [CVE-2018-0496]
ganeti	Правильная проверка SSL-сертификатов во время экспорта виртуальной машины
ghostscript	Исправление ошибки сегментирования при проверке файла в gxht_thresh_image_init(); исправление переполнения буфера в fill_threshold_buffer [CVE-2016-10317]; pdfwrite — защита от попыток вывода бесконечного числа [CVE-2018-10194]
git-annex	Исправления безопасности [CVE-2018-10857 CVE-2018-10859]
glx-alternatives	Новая версия основной ветки разработки
gridengine	Использование правильных путей к пиксельным изображениям qmon; исправление FTBFS на armhf
intel-microcode	Обновление включённого микрокода, добавление исправлений для Spectre v2 [CVE-2017-5715]
jdresolve	Исправление несовместимости с libnet-dns-perl в Debian 8 и более поздних версиях
libb64	Повторная сборка с поддержкой PIE
libdate-holidays-de-perl	Пометка Дня Реформации как праздника в Нижней Саксонии и Бремене
libdatetime-timezone-perl	Обновление включённых данных
libextractor	Различные исправления безопасности [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440]
libipc-run-perl	Исправление утечки памяти
liblouis	Исправление переполнения буфера [CVE-2018-11410]; исправление нескольких переполнений буфера [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085]
libosmium	Правильный вывод координат со значением -2^31; исправление буферов более 2^32 байтов
linux	Новая стабильная версия основной ветки разработки 4.9.110
linux-latest	Обновление до ABI ядра -7
llvm-toolchain-4.0	Новый пакет для обратного переноса rust; исправление сборки на s390x
local-apt-repository	Исправление поломки apt, если пакет удалён, но не вычищен
loook	Исправление обработки файлов, защищённых паролем
miniupnpd	Исправление отказа в обслуживании [CVE-2017-1000494]
nss-pam-ldapd	Увеличение размера буфера для имени узла
nvidia-graphics-drivers	Новая версия основной ветки разработки
obfsproxy	Прекращение установки сломанного профиля AppArmor
openldap	Исправление рассинхронизации при репликации delta-syncrepl в окружении с несколькими базовыми узлами; исправление обновлений, если настройки содержат экранированные с помощью обратной косой черты специальные символы
openstack-debian-images	Размещение CloudStack после OpenStack в datasource_list, чтобы избежать задержки в 120 секунд в сценарии cloud-init при загрузке машины в облаке OpenStack
patch	Исправление выполнения произвольной команды в заплатах в стиле ed [CVE-2018-1000156]
piglit	Исправление отсутствующей зависимости от python-mako
postgresql-9.6	Новая версия основной ветки разработки
postgresql-common	Запрет при обновлении/удалении серверных пакетов останавливать другие версии кластеров в случае, если используется systemd
psad	Добавление отсутствующих зависимостей от net-tools и iproute2
pysurfer	Добавление отсутствующей зависимости от python-matplotlib
python-cluster	Добавление отсутствующей зависимости от pkg-resources
python-pyorick	Исправление ошибки импорта путём добавления отсутствующей зависимости от python3-numpy
python-scruffy	Добавление отсутствующих зависимостей от pkg-resources
r-cran-mi	Добавление отсутствующей зависимости от r-cran-arm
redis	Исправление RunTimeDirectory -> опечатка RuntimeDirectory в .service-файлах systemd
reportbug	Уведомление команды безопасности или команды LTS о возможной регрессии в случае сообщения об ошибке в пакете, содержащем исправление безопасности
rustc	Новый выпуск основной ветки разработки для поддержки Firefox ESR
salt	Исправление копирование вспомогательной части salt-ssh через настройки с основного источника соли без изменения прав доступа [CVE-2017-8109]
shared-mime-info	Переключение dpkg в режим noawait, исправление проблем обновления с jessie
showq	Исправление префикса, чтобы приложение начало работать
source-highlight	Исправление зависимости от libboost-regex-dev
starplot	Исправление аварийной остановки при запуске
subversion	Отклонение коммитов, которые привели бы к коллизии хэшей с уже существующими данными, для решения проблемы повреждения SHA1
sus	Обновление до новой версии, технически совпадающей с SUSv4 + TC1 + TC2
systemd	networkd-ndisc: обработка отсутствующего значения MTU; разрешение установки RemoveIPC= в unit-файле, а не только через D-Bus; nspawn: добавление отсутствующей опции -E для getopt_long'; login: учёт --no-wall при отмене запроса на выключение
tclreadline	Исправление сборки разделяемой библиотеки на ppc64el
thefuck	Добавление отсутствующей зависимости от pkg-resources
tinyproxy	Не прекращать прослушивание после SIGHUP; исправление пути к файлу настройки; добавление отсутствующей зависимости от adduser
tlslite-ng	Проверка MAC, даже если заполнение имеет длину 1 байт
tzdata	Новая версия основной ветки разработки
unison	Повторная сборка с ocaml из stretch
variety	Исправление введения команд командной оболочки при удалении файлов в корзину; исправление введения команд командной оболочки в фильтре и часах с помощью специально сформированных имён файлов; улучшение безопасности вызовов ImageMagick с целью предотвращения потенциального введения команд командной оболочки
xapian-core	Исправление MSet::snippet() для экранирования HTML во всех случаях [CVE-2018-499]
xerces-c	Исправление отказа в обслуживании через ссылку на внешние сущности DTD [CVE-2017-12627]; исправление регрессии, которая приводила к обязательному использованию SSE2 в gcc даже на платформах, не поддерживающих эти инструкции
xrdp	Исправление ошибки на единицу, приводящей к аварийным остановкам

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-4010	git-annex
DSA-4064	chromium-browser
DSA-4113	libvorbis
DSA-4133	isc-dhcp
DSA-4134	util-linux
DSA-4135	samba
DSA-4136	curl
DSA-4137	libvirt
DSA-4138	mbedtls
DSA-4139	firefox-esr
DSA-4140	libvorbis
DSA-4141	libvorbisidec
DSA-4142	uwsgi
DSA-4143	firefox-esr
DSA-4144	openjdk-8
DSA-4145	gitlab
DSA-4146	plexus-utils
DSA-4148	kamailio
DSA-4150	icu
DSA-4151	librelp
DSA-4152	mupdf
DSA-4153	firefox-esr
DSA-4155	thunderbird
DSA-4156	drupal7
DSA-4157	openssl
DSA-4158	openssl1.0
DSA-4159	remctl
DSA-4160	libevt
DSA-4161	python-django
DSA-4162	irssi
DSA-4163	beep
DSA-4164	apache2
DSA-4165	ldap-account-manager
DSA-4167	sharutils
DSA-4169	pcs
DSA-4170	pjproject
DSA-4171	ruby-loofah
DSA-4172	perl
DSA-4173	r-cran-readxl
DSA-4174	corosync
DSA-4175	freeplane
DSA-4177	libsdl2-image
DSA-4178	libreoffice
DSA-4180	drupal7
DSA-4181	roundcube
DSA-4183	tor
DSA-4184	sdl-image1.2
DSA-4185	openjdk-8
DSA-4188	linux
DSA-4189	quassel
DSA-4190	jackson-databind
DSA-4191	redmine
DSA-4192	libmad
DSA-4193	wordpress
DSA-4194	lucene-solr
DSA-4195	wget
DSA-4196	linux
DSA-4197	wavpack
DSA-4198	prosody
DSA-4199	firefox-esr
DSA-4200	kwallet-pam
DSA-4201	xen
DSA-4202	curl
DSA-4203	vlc
DSA-4203	phonon-backend-vlc
DSA-4203	goldencheetah
DSA-4206	gitlab
DSA-4206	ruby-omniauth-auth0
DSA-4207	packagekit
DSA-4208	procps
DSA-4209	thunderbird
DSA-4210	xen
DSA-4211	xdg-utils
DSA-4212	git
DSA-4213	qemu
DSA-4214	zookeeper
DSA-4215	batik
DSA-4216	prosody
DSA-4217	wireshark
DSA-4218	memcached
DSA-4219	jruby
DSA-4220	firefox-esr
DSA-4221	libvncserver
DSA-4222	gnupg2
DSA-4223	gnupg1
DSA-4226	perl
DSA-4227	plexus-archiver
DSA-4228	spip
DSA-4229	strongswan
DSA-4230	redis
DSA-4231	libgcrypt20
DSA-4232	xen
DSA-4233	bouncycastle
DSA-4234	lava-server
DSA-4235	firefox-esr
DSA-4236	xen
DSA-4238	exiv2
DSA-4239	gosa
DSA-4240	php7.0
DSA-4241	libsoup2.4

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет	Причина
libnet-whois-perl	Сломан
mlbviewer	Более не работает из-за изменений на стороне поставщика содержимого
python-uniconvertor	Не работает; требуется зависимость, отсутствующая в архиве
singularity-container	Не получает поддержки безопасности
undertow	Не поддерживается; несколько проблем безопасности; существуют альтернативы
visionegg	Не работает; требует недоступную функциональность numpy.oldnumeric

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.