Обновлённый Debian 9: выпуск 9.6

10 Ноября 2018

Проект Debian с радостью сообщает о шестом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
accerciser	Исправление доступа к объектам без композитора; исправление Python-консоли; добавление отсутствующей зависимости от python3-xlib
apache2	mod_http2: исправление отказа в обслуживании из-за исчерпания в модуле worker [CVE-2018-1333] и из-за непрерывного значения SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: исправление ошибки сегментирования
base-files	Обновление /etc/debian_version для текущей редакции
brltty	Исправление аутентификации polkit
canna	Исправление конфликта файлов между пакетами canna-dbgsym и canna-utils-dbgsym
cargo	Новый пакет для поддержки сборки Firefox ESR60
clamav	Новый выпуск основной ветки разработки; исправление переполнения целых чисел HWP, бесконечного цикла [CVE-2018-0360]; исправление проблемы с проверкой длины PDF-объекта, слишком долгого времени для грамматического разбора относительно небольшого файла [CVE-2018-0361]; новая версия основной ветки разработки; исправление отказа в обслуживании [CVE-2018-15378]; исправление бесконечного цикла в dpkg-reconfigure
confuse	Исправление чтения за пределами выделенного буфера памяти в trim_whitespace [CVE-2018-14447]
debian-installer	Обновление ABI ядра до -8
debian-installer-netboot-images	Повторная сборка для текущей редакции
dnsmasq	trust-anchors.conf: добавление последнего якоря доверия DNS KSK-2017
dom4j	Исправление XML-инъекции [CVE-2018-1000632]; компиляция со значением source/target 1.5 для исправления проблемы компиляции с String.format
dpdk	Новый стабильный выпуск основной ветки разработки
dropbear	Исправление регистрации пользователей [CVE-2018-15599]
easytag	Исправление повреждения OGG
enigmail	Добавление совместимости с более новыми версиями Thunderbird
espeakup	espeakup.service: автоматическая загрузка speakup_soft при запуске службы
fastforward	Исправление ошибки сегментирования на 64-битных архитектурах
firetray	Добавление совместимости с более новыми версиями Thunderbird
firmware-nonfree	Исправление проблем безопасности в прошивке Broadcom для wifi [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; повторное добавление переходных пакетов для firmware-{adi,ralink}
fofix-dfsg	Исправление ошибки при запуске
fuse	Добавление autofs и FAT в список пригодных файловых систем
ganeti	Корректная проверка SSL-сертификатов в ходе экспорта виртуальных машин; подписывание созданных сертификатов с помощью SHA256, а не SHA1; автоматическая загрузка автодополнений bash
globus-gsi-credential	Исправление проблемы с прокси voms и openssl 1.1
gnupg2	Исправления безопасности; обратный перенос функциональности, требующейся для новой версии enigmail
gnutls28	Исправление проблем безопасности [CVE-2018-10844 CVE-2018-10845]
gphoto2-cffi	Восстановление работы python3-gphoto2cffi
grub2	grub-mknetdir: добавление поддержки ARM64 EFI; изменение метода калибровки TSC по умолчанию на pmtimer в системах с EFI
hdparm	Включение APM только на дисках, имеющих эту возможность
https-everywhere	Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60
i3-wm	Исправление аварийной остановки при перезапуске с использование меток
iipimage	Исправление настроек Apache
jhead	Исправление проблем безопасности [CVE-2018-17088 CVE-2018-16554]
lastpass-cli	Обратный перенос встроенных фиксаций сертификатов из lastpass-cli 1.3.1 с целью учёта изменений в службе Lastpass.com
ldap2zone	Исправление бесконечного цикла при проверке серийных номеров зон
libcgroup	Исправление файлов журнала, доступных для чтения и записи всем пользователям [CVE-2018-14348]
libclamunrar	Новый выпуск основной ветки разработки
libdap	Исправление содержимого libdap-doc
libdatetime-timezone-perl	Обновление данных
libgd2	Bmp: проверка возвращаемого значения в gdImageBmpPtr [CVE-2018-1000222]; исправление потенциального бесконечного цикла в gdImageCreateFromGifCtx [CVE-2018-5711]
libmail-deliverystatus-bounceparser-perl	Удаление примеров спама и вирусов, которые нельзя распространять
libmspack	Исправление записи за пределами выделенного буфера памяти [CVE-2018-18584] принятие пустых имён файлов [CVE-2018-18585]
libopenmpt	Исправление up11: чтение за пределами выделенного буфера памяти при загрузке файлов IT / MO3 с многими циклами шаблонов [CVE-2018-10017]
libseccomp	Добавление поддержки для системных вызовов Linux 4.9: preadv2, pwritev2, pkey_mprotect, pkey_alloc и pkey_free; добавление поддержки для statx
libtirpc	rendezvous_request: проверка возвращаемого значения makefd_xprt [CVE-2018-14622]
libx11	Исправление нескольких проблем безопасности [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor	Исправление отказа в обслуживании или потенциального выполнения произвольного кода из-за переполнения кучи на один байт [CVE-2015-9262]
libxml-stream-perl	Предоставление CA-пути по умолчанию
libxml-structured-perl	Добавление отсутствующей сборочной зависимости и зависимости времени исполнения от libxml-parser-perl
linux	Xen: исправление регрессии загрузки в PV-доменах; xen-netfront: исправление регрессий; ext4: исправление ложноотрицательных и ложноположительных срабатываний в ext4_check_descriptors(); udeb: добавление virtio_console в virtio-modules; cdc_ncm: запрет заполнения за пределами skb; отмена sit: повторная загрузка iphdr в ipip6_rcv; новый выпуск основной ветки разработки
lxcfs	Возврат работоспособности виртуализации, исправление времени запуска процесса
magicmaze	Зависимость от fonts-isabella теперь такова, что ttf-isabella является виртуальным пакетом
mailman	Исправление введения произвольного текста в Mailman CGI [CVE-2018-13796]
multipath-tools	Предотвращение зависаний в триггерах udev
nagstamon	Исправление проблемы аутентификации в IcingaWeb2 Basic
network-manager	libnm: исправление доступа к включённым и измеряемым свойствам; исправление записи за пределами выделенного буфера памяти в коде для обработки опций dhcpv6 [CVE-2018-15688] и различных других проблем в дополнении dhcp=internal на основе sd-network
network-manager-applet	libnma/pygobject: libnma/NMA должен использовать libnm/NM вместо устаревших библиотек
ola	Исправление опечатки в /etc/init.d/rdm_test_server; исправление имени файла для jquery в rdm для тестирования статичных серверных файлов HTML
opensc	Исправление неограниченной рекурсии и нескольких случаев чтения/записи за пределами выделенного буфера памяти [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel	Установка новых зависимостей при выборе safe-upgrade (по умолчанию)
publicsuffix	Обновление данных
python-django	Поддержка по умолчанию Spatialite >= 4.2
python-imaplib2	Установка корректного модуля для Python 3; прекращение использования TIMEOUT_MAX
rustc	Включение сборки для следующих архитектур: arm64, armel, armhf, i386, ppc64el, s390x
sddm	Учёт окружающих дополнительных групп PAM; добавление обработки utmp/wtmp/btmp
serf	Исправление разыменования NULL-указателя
soundconverter	Исправление настроек opus vbr
spamassassin	Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2017-15705], удалённого выполнения кода [CVE-2018-11780], введения кода [CVE-2018-11781] и небезопасного использования . в @INC [CVE-2016-1238]; исправление управления службой spamd при обновлении пакета
spice-gtk	Исправление переполнения буфера массива переменной длины [CVE-2018-10873]
sqlcipher	Предотвращение аварийной остановки при открытии файла
subversion	Исправление регрессий, проявившихся после исправления коллизий SHA1, когда коммиты могли обрабатываться некорректно с выводом ошибки Файловая система повреждена в случае, если длина различий кратна 16КБ
systemd	networkd: не завершать работу manager_connect_bus() с ошибкой в случае, если служба dbus ещё не активна; dhcp6: проверка того, что имеется достаточно места для заголовка опции DHCP6 [CVE-2018-15688]
systraq	Изменение логики так, чтобы в случае отсутствия /e/s/Makefile выполнялся успешный выход
tomcat-native	Исправление проблемы ответа OSCP, позволяющей пользователям аутентифицироваться с помощью аннулированных сертификатов при взаимном использовании TLS [CVE-2018-8019 CVE-2018-8020]
tor	Изменение авторитета каталога: удаление авторитета моста Bifroest, замена его на Serge; добавление IPv6-адресов для авторитета каталога dannenberg
tzdata	Новый выпуск основной ветки разработки
ublock-origin	Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60
unbound	Исправление уязвимости в коде обработки NSEC-записей, созданных из шаблонов [CVE-2017-15105]
vagrant	Поддержка VirtualBox 5.2
vmtk	python-vmtk: добавление отсутствующей зависимости от python-vtk6
wesnoth-1.12	Запрет загрузки байтового кода lua с помощью load/dofile [CVE-2018-1999023]
wpa	Игнорирование неаутентифицированных зашифрованных данных EAPOL-Key [CVE-2018-14526]
x11vnc	Исправление двух переполнений буфера
xapian-core	Исправление ошибки движка glass с долго живущими курсорами в таблице в WritableDatabase, что может некорректно приводить к срабатыванию DatabaseCorruptError в случае, даже если база данных в порядке
xmotd	Предотвращение аварийной остановки при использовании флагов улучшения безопасности
xorg-server	GLX: не использовать настройки sRGB для 32-битных режимов RGBA, это исправляет различные проблемы смешения в kwin и Mesa >= 18.0 (то есть, Mesa из stretch-backports)
zutils	Исправление выхода за пределы выделенного буфера в zcat [CVE-2018-1000637]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-4074	imagemagick
DSA-4103	chromium-browser
DSA-4182	chromium-browser
DSA-4237	chromium-browser
DSA-4242	ruby-sprockets
DSA-4243	cups
DSA-4244	thunderbird
DSA-4245	imagemagick
DSA-4246	mailman
DSA-4247	ruby-rack-protection
DSA-4248	blender
DSA-4249	ffmpeg
DSA-4250	wordpress
DSA-4251	vlc
DSA-4252	znc
DSA-4253	network-manager-vpnc
DSA-4254	slurm-llnl
DSA-4256	chromium-browser
DSA-4257	fuse
DSA-4258	ffmpeg
DSA-4260	libmspack
DSA-4261	vim-syntastic
DSA-4262	symfony
DSA-4263	cgit
DSA-4264	python-django
DSA-4265	xml-security-c
DSA-4266	linux
DSA-4267	kamailio
DSA-4268	openjdk-8
DSA-4269	postgresql-9.6
DSA-4270	gdm3
DSA-4271	samba
DSA-4272	linux
DSA-4273	intel-microcode
DSA-4274	xen
DSA-4275	keystone
DSA-4276	php-horde-image
DSA-4277	mutt
DSA-4278	jetty9
DSA-4279	linux
DSA-4279	linux-latest
DSA-4280	openssh
DSA-4281	tomcat8
DSA-4282	trafficserver
DSA-4283	ruby-json-jwt
DSA-4284	lcms2
DSA-4285	sympa
DSA-4286	curl
DSA-4287	firefox-esr
DSA-4288	ghostscript
DSA-4289	chromium-browser
DSA-4290	libextractor
DSA-4291	mgetty
DSA-4292	kamailio
DSA-4293	discount
DSA-4294	ghostscript
DSA-4295	thunderbird
DSA-4296	mbedtls
DSA-4297	chromium-browser
DSA-4298	hylafax
DSA-4299	texlive-bin
DSA-4300	libarchive-zip-perl
DSA-4301	mediawiki
DSA-4302	openafs
DSA-4303	okular
DSA-4304	firefox-esr
DSA-4305	strongswan
DSA-4306	python2.7
DSA-4307	python3.5
DSA-4308	linux
DSA-4309	strongswan
DSA-4310	firefox-esr
DSA-4311	git
DSA-4312	tinc
DSA-4313	linux
DSA-4314	net-snmp
DSA-4315	wireshark
DSA-4316	imagemagick
DSA-4317	otrs2
DSA-4318	moin
DSA-4319	spice
DSA-4320	asterisk
DSA-4321	graphicsmagick
DSA-4322	libssh
DSA-4323	drupal7
DSA-4324	firefox-esr
DSA-4325	mosquitto
DSA-4326	openjdk-8
DSA-4327	thunderbird
DSA-4328	xorg-server
DSA-4329	teeworlds
DSA-4331	curl

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет	Причина
adblock-plus-element-hiding-helper	Несовместим с новыми версиями firefox-esr
all-in-one-sidebar	Несовместим с новыми версиями firefox-esr
autofill-forms	Несовместим с новыми версиями firefox-esr
automatic-save-folder	Несовместим с новыми версиями firefox-esr
classic-theme-restorer	Несовместим с новыми версиями firefox-esr
colorfultabs	Несовместим с новыми версиями firefox-esr
custom-tab-width	Несовместим с новыми версиями firefox-esr
dactyl	Несовместим с новыми версиями firefox-esr
downthemall	Несовместим с новыми версиями firefox-esr
dvips-fontdata-n2bk	Пустой пакет
firebug	Несовместим с новыми версиями firefox-esr
firegestures	Несовместим с новыми версиями firefox-esr
firexpath	Несовместим с новыми версиями firefox-esr
flashgot	Несовместим с новыми версиями firefox-esr
form-history-control	Несовместим с новыми версиями firefox-esr
foxyproxy	Несовместим с новыми версиями firefox-esr
gitlab	Открытые проблемы безопасности, трудно переносить исправления
greasemonkey	Несовместим с новыми версиями firefox-esr
intel-processor-trace	[s390x] нужен только на архитектурах Intel
itsalltext	Несовместим с новыми версиями firefox-esr
knot-resolver	Проблемы безопасности, сложность по обратному переносу исправлений
lightbeam	Несовместим с новыми версиями firefox-esr
livehttpheaders	Несовместим с новыми версиями firefox-esr
lyz	Несовместим с новыми версиями firefox-esr
npapi-vlc	Несовместим с новыми версиями firefox-esr
nukeimage	Несовместим с новыми версиями firefox-esr
openinbrowser	Несовместим с новыми версиями firefox-esr
perspectives-extension	Несовместим с новыми версиями firefox-esr
pwdhash	Несовместим с новыми версиями firefox-esr
python-facebook	Сломан из-за изменений в основной ветке разработки
python-tvrage	Бесполезен после отключения tvrage.com
reloadevery	Несовместим с новыми версиями firefox-esr
sage-extension	Несовместим с новыми версиями firefox-esr
scrapbook	Несовместим с новыми версиями firefox-esr
self-destructing-cookies	Несовместим с новыми версиями firefox-esr
spdy-indicator	Несовместим с новыми версиями firefox-esr
status-4-evar	Несовместим с новыми версиями firefox-esr
stylish	Несовместим с новыми версиями firefox-esr
tabmixplus	Несовместим с новыми версиями firefox-esr
tree-style-tab	Несовместим с новыми версиями firefox-esr
ubiquity-extension	Несовместим с новыми версиями firefox-esr
uppity	Несовместим с новыми версиями firefox-esr
useragentswitcher	Несовместим с новыми версиями firefox-esr
video-without-flash	Несовместим с новыми версиями firefox-esr
webdeveloper	Несовместим с новыми версиями firefox-esr
xul-ext-monkeysphere	Несовместим с новыми версиями firefox-esr

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.