Обновлённый Debian 9: выпуск 9.5

14 Июля 2018

Проект Debian с радостью сообщает о пятом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
2ping Добавление отсутствующей зависимости от python-pkg-resources
abiword Разрешение конфликта двоичных файлов между пакетами abiword-dbgsym и abiword-plugin-grammar-dbgsym
adminer Не разрешать подключения к привилегированным портам [CVE-2018-7667]
animals Исправление неправильных прав доступа к файлам, из-за которых игра не работала
apache2 Обновление mod_http и mod_proxy_http2 до версий из 2.4.33, исправление ошибок сегментирования, высокого потребления памяти и потенциальной аварийной остановки [CVE-2018-1302]; действительное использование сценарием инициализации apache-htcacheclean файла /etc/default/apache-htcacheclean для настройки
auto-complete-el Добавление исправления основной ветки для emacs25; изменение зависимостей от emacs для версий emacs из stretch; настройка сценария auto-complete-el.emacsen-compat таким образом, чтобы предупреждение при установке не выводилось
awffull Не использовать удалённые опции в /etc/cron.daily/awffull
ax25-tools Избегание ошибки сегментирования во время исполнения
base-files Обновление для данной редакции
blktrace Исправление переполнения буфера в btt [CVE-2018-10689]
ca-certificates Обновление пакета Mozilla CA до версии 2.22; исправления ошибок
camo Добавление отсутствующей зависимости от openssl
cffi Добавление отсутствующих файлов для cffi-libffi и cffi-toolchain; добавление нескольких отсутствующих зависимостей
check-postgres Обновление набора тестов для обработки функции pg_get_indexdef(), теперь всегда включающей имя схемы
clamav Новый выпуск основной ветки разработки; не прекращать работу при использовании недавно удалённых опций настройки
clustershell Добавление отсутствующей зависимости от python-pkg-resources
debian-installer Обновление для ABI ядра -7
debian-installer-netboot-images Повторная сборка для данной редакции
debian-security-support Обновление включённых данных
dehydrated Исправление ошибки создания fullchain.pem
devscripts uscan: исправление регулярного выражения для новой версии для опции filenamemangle; debsign: исправление автодополнения bash; bts: поддержка нового тега ftbfs; uscan: поддержка HTTPS в службе перенаправления sf.net; debcheckout: поддержка salsa.debian.org; debdiff: сортировка файлов shlibs до их сравнения, уменьшение шума при сравнении; uscan: поддержка --copy
disc-cover Исправление ошибки perl при запуске disc-cover
discover Использование правильного типа для параметра длины вызова getline()
django-xmlrpc Исправление зависимостей от python3
dosbox Исправление аварийных остановок с core=dynamic
dpdk Новая стабильная версия основной ветки разработки
dpkg Исправление переполнения целых чисел в коде для грамматического разбора формата версии deb(5); исправление обхода каталога с dpkg-deb --raw-extract; добавление поддержки ЦП riscv64; прекращение нормализации аргументов после слова останова в Dpkg::Getopt; корректный грамматический разбор пользовательских имён и имён групп start-stop-daemon, начинающихся с цифр; всегда использовать двоичную версию для имени файла .buildinfo
dput-ng Добавление целей jessie-backports-sloppy и stretch-backports; добавление 'testing' в наборы rm-managed и 'oldstable' в защищённые дистрибутивы; добавление профиля ports-master; FTP: грамматический разбор и использование необязательной части [:порт] для fqdn
elastix Повторная сборка с ITK, сборка с помощью gcc 6
email2trac Исправление определения Trac 1.2
faad2 Исправление нескольких отказов в обслуживании из-за специально сформированных файлов MP4 [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257]
faker Добавление отсутствующей зависимости от python-ipaddress
fastkml Добавление отсутствующей зависимости от pkg-resources
file Избегание чтения за границами буфера [CVE-2018-10360]
freedink-dfarc Исправление обхода каталога в коде распаковки D-Mod [CVE-2018-0496]
ganeti Правильная проверка SSL-сертификатов во время экспорта виртуальной машины
ghostscript Исправление ошибки сегментирования при проверке файла в gxht_thresh_image_init(); исправление переполнения буфера в fill_threshold_buffer [CVE-2016-10317]; pdfwrite — защита от попыток вывода бесконечного числа [CVE-2018-10194]
git-annex Исправления безопасности [CVE-2018-10857 CVE-2018-10859]
glx-alternatives Новая версия основной ветки разработки
gridengine Использование правильных путей к пиксельным изображениям qmon; исправление FTBFS на armhf
intel-microcode Обновление включённого микрокода, добавление исправлений для Spectre v2 [CVE-2017-5715]
jdresolve Исправление несовместимости с libnet-dns-perl в Debian 8 и более поздних версиях
libb64 Повторная сборка с поддержкой PIE
libdate-holidays-de-perl Пометка Дня Реформации как праздника в Нижней Саксонии и Бремене
libdatetime-timezone-perl Обновление включённых данных
libextractor Различные исправления безопасности [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440]
libipc-run-perl Исправление утечки памяти
liblouis Исправление переполнения буфера [CVE-2018-11410]; исправление нескольких переполнений буфера [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085]
libosmium Правильный вывод координат со значением -2^31; исправление буферов более 2^32 байтов
linux Новая стабильная версия основной ветки разработки 4.9.110
linux-latest Обновление до ABI ядра -7
llvm-toolchain-4.0 Новый пакет для обратного переноса rust; исправление сборки на s390x
local-apt-repository Исправление поломки apt, если пакет удалён, но не вычищен
loook Исправление обработки файлов, защищённых паролем
miniupnpd Исправление отказа в обслуживании [CVE-2017-1000494]
nss-pam-ldapd Увеличение размера буфера для имени узла
nvidia-graphics-drivers Новая версия основной ветки разработки
obfsproxy Прекращение установки сломанного профиля AppArmor
openldap Исправление рассинхронизации при репликации delta-syncrepl в окружении с несколькими базовыми узлами; исправление обновлений, если настройки содержат экранированные с помощью обратной косой черты специальные символы
openstack-debian-images Размещение CloudStack после OpenStack в datasource_list, чтобы избежать задержки в 120 секунд в сценарии cloud-init при загрузке машины в облаке OpenStack
patch Исправление выполнения произвольной команды в заплатах в стиле ed [CVE-2018-1000156]
piglit Исправление отсутствующей зависимости от python-mako
postgresql-9.6 Новая версия основной ветки разработки
postgresql-common Запрет при обновлении/удалении серверных пакетов останавливать другие версии кластеров в случае, если используется systemd
psad Добавление отсутствующих зависимостей от net-tools и iproute2
pysurfer Добавление отсутствующей зависимости от python-matplotlib
python-cluster Добавление отсутствующей зависимости от pkg-resources
python-pyorick Исправление ошибки импорта путём добавления отсутствующей зависимости от python3-numpy
python-scruffy Добавление отсутствующих зависимостей от pkg-resources
r-cran-mi Добавление отсутствующей зависимости от r-cran-arm
redis Исправление RunTimeDirectory -> опечатка RuntimeDirectory в .service-файлах systemd
reportbug Уведомление команды безопасности или команды LTS о возможной регрессии в случае сообщения об ошибке в пакете, содержащем исправление безопасности
rustc Новый выпуск основной ветки разработки для поддержки Firefox ESR
salt Исправление копирование вспомогательной части salt-ssh через настройки с основного источника соли без изменения прав доступа [CVE-2017-8109]
shared-mime-info Переключение dpkg в режим noawait, исправление проблем обновления с jessie
showq Исправление префикса, чтобы приложение начало работать
source-highlight Исправление зависимости от libboost-regex-dev
starplot Исправление аварийной остановки при запуске
subversion Отклонение коммитов, которые привели бы к коллизии хэшей с уже существующими данными, для решения проблемы повреждения SHA1
sus Обновление до новой версии, технически совпадающей с SUSv4 + TC1 + TC2
systemd networkd-ndisc: обработка отсутствующего значения MTU; разрешение установки RemoveIPC= в unit-файле, а не только через D-Bus; nspawn: добавление отсутствующей опции -E для getopt_long'; login: учёт --no-wall при отмене запроса на выключение
tclreadline Исправление сборки разделяемой библиотеки на ppc64el
thefuck Добавление отсутствующей зависимости от pkg-resources
tinyproxy Не прекращать прослушивание после SIGHUP; исправление пути к файлу настройки; добавление отсутствующей зависимости от adduser
tlslite-ng Проверка MAC, даже если заполнение имеет длину 1 байт
tzdata Новая версия основной ветки разработки
unison Повторная сборка с ocaml из stretch
variety Исправление введения команд командной оболочки при удалении файлов в корзину; исправление введения команд командной оболочки в фильтре и часах с помощью специально сформированных имён файлов; улучшение безопасности вызовов ImageMagick с целью предотвращения потенциального введения команд командной оболочки
xapian-core Исправление MSet::snippet() для экранирования HTML во всех случаях [CVE-2018-499]
xerces-c Исправление отказа в обслуживании через ссылку на внешние сущности DTD [CVE-2017-12627]; исправление регрессии, которая приводила к обязательному использованию SSE2 в gcc даже на платформах, не поддерживающих эти инструкции
xrdp Исправление ошибки на единицу, приводящей к аварийным остановкам

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4010 git-annex
DSA-4064 chromium-browser
DSA-4113 libvorbis
DSA-4133 isc-dhcp
DSA-4134 util-linux
DSA-4135 samba
DSA-4136 curl
DSA-4137 libvirt
DSA-4138 mbedtls
DSA-4139 firefox-esr
DSA-4140 libvorbis
DSA-4141 libvorbisidec
DSA-4142 uwsgi
DSA-4143 firefox-esr
DSA-4144 openjdk-8
DSA-4145 gitlab
DSA-4146 plexus-utils
DSA-4148 kamailio
DSA-4150 icu
DSA-4151 librelp
DSA-4152 mupdf
DSA-4153 firefox-esr
DSA-4155 thunderbird
DSA-4156 drupal7
DSA-4157 openssl
DSA-4158 openssl1.0
DSA-4159 remctl
DSA-4160 libevt
DSA-4161 python-django
DSA-4162 irssi
DSA-4163 beep
DSA-4164 apache2
DSA-4165 ldap-account-manager
DSA-4167 sharutils
DSA-4169 pcs
DSA-4170 pjproject
DSA-4171 ruby-loofah
DSA-4172 perl
DSA-4173 r-cran-readxl
DSA-4174 corosync
DSA-4175 freeplane
DSA-4177 libsdl2-image
DSA-4178 libreoffice
DSA-4180 drupal7
DSA-4181 roundcube
DSA-4183 tor
DSA-4184 sdl-image1.2
DSA-4185 openjdk-8
DSA-4188 linux
DSA-4189 quassel
DSA-4190 jackson-databind
DSA-4191 redmine
DSA-4192 libmad
DSA-4193 wordpress
DSA-4194 lucene-solr
DSA-4195 wget
DSA-4196 linux
DSA-4197 wavpack
DSA-4198 prosody
DSA-4199 firefox-esr
DSA-4200 kwallet-pam
DSA-4201 xen
DSA-4202 curl
DSA-4203 vlc
DSA-4203 phonon-backend-vlc
DSA-4203 goldencheetah
DSA-4206 gitlab
DSA-4206 ruby-omniauth-auth0
DSA-4207 packagekit
DSA-4208 procps
DSA-4209 thunderbird
DSA-4210 xen
DSA-4211 xdg-utils
DSA-4212 git
DSA-4213 qemu
DSA-4214 zookeeper
DSA-4215 batik
DSA-4216 prosody
DSA-4217 wireshark
DSA-4218 memcached
DSA-4219 jruby
DSA-4220 firefox-esr
DSA-4221 libvncserver
DSA-4222 gnupg2
DSA-4223 gnupg1
DSA-4226 perl
DSA-4227 plexus-archiver
DSA-4228 spip
DSA-4229 strongswan
DSA-4230 redis
DSA-4231 libgcrypt20
DSA-4232 xen
DSA-4233 bouncycastle
DSA-4234 lava-server
DSA-4235 firefox-esr
DSA-4236 xen
DSA-4238 exiv2
DSA-4239 gosa
DSA-4240 php7.0
DSA-4241 libsoup2.4

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
libnet-whois-perl Сломан
mlbviewer Более не работает из-за изменений на стороне поставщика содержимого
python-uniconvertor Не работает; требуется зависимость, отсутствующая в архиве
singularity-container Не получает поддержки безопасности
undertow Не поддерживается; несколько проблем безопасности; существуют альтернативы
visionegg Не работает; требует недоступную функциональность numpy.oldnumeric

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.