Обновлённый Debian 9: выпуск 9.6
10 Ноября 2018
Проект Debian с радостью сообщает о шестом обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
accerciser | Исправление доступа к объектам без композитора; исправление Python-консоли; добавление отсутствующей зависимости от python3-xlib |
apache2 | mod_http2: исправление отказа в обслуживании из-за исчерпания в модуле worker [CVE-2018-1333] и из-за непрерывного значения SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: исправление ошибки сегментирования |
base-files | Обновление /etc/debian_version для текущей редакции |
brltty | Исправление аутентификации polkit |
canna | Исправление конфликта файлов между пакетами canna-dbgsym и canna-utils-dbgsym |
cargo | Новый пакет для поддержки сборки Firefox ESR60 |
clamav | Новый выпуск основной ветки разработки; исправление переполнения целых чисел HWP, бесконечного цикла [CVE-2018-0360]; исправление проблемы с проверкой длины PDF-объекта, слишком долгого времени для грамматического разбора относительно небольшого файла [CVE-2018-0361]; новая версия основной ветки разработки; исправление отказа в обслуживании [CVE-2018-15378]; исправление бесконечного цикла в dpkg-reconfigure |
confuse | Исправление чтения за пределами выделенного буфера памяти в trim_whitespace [CVE-2018-14447] |
debian-installer | Обновление ABI ядра до -8 |
debian-installer-netboot-images | Повторная сборка для текущей редакции |
dnsmasq | trust-anchors.conf: добавление последнего якоря доверия DNS KSK-2017 |
dom4j | Исправление XML-инъекции [CVE-2018-1000632]; компиляция со значением source/target 1.5 для исправления проблемы компиляции с String.format |
dpdk | Новый стабильный выпуск основной ветки разработки |
dropbear | Исправление регистрации пользователей [CVE-2018-15599] |
easytag | Исправление повреждения OGG |
enigmail | Добавление совместимости с более новыми версиями Thunderbird |
espeakup | espeakup.service: автоматическая загрузка speakup_soft при запуске службы |
fastforward | Исправление ошибки сегментирования на 64-битных архитектурах |
firetray | Добавление совместимости с более новыми версиями Thunderbird |
firmware-nonfree | Исправление проблем безопасности в прошивке Broadcom для wifi [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; повторное добавление переходных пакетов для firmware-{adi,ralink} |
fofix-dfsg | Исправление ошибки при запуске |
fuse | Добавление autofs и FAT в список пригодных файловых систем |
ganeti | Корректная проверка SSL-сертификатов в ходе экспорта виртуальных машин; подписывание созданных сертификатов с помощью SHA256, а не SHA1; автоматическая загрузка автодополнений bash |
globus-gsi-credential | Исправление проблемы с прокси voms и openssl 1.1 |
gnupg2 | Исправления безопасности; обратный перенос функциональности, требующейся для новой версии enigmail |
gnutls28 | Исправление проблем безопасности [CVE-2018-10844 CVE-2018-10845] |
gphoto2-cffi | Восстановление работы python3-gphoto2cffi |
grub2 | grub-mknetdir: добавление поддержки ARM64 EFI; изменение метода калибровки TSC по умолчанию на pmtimer в системах с EFI |
hdparm | Включение APM только на дисках, имеющих эту возможность |
https-everywhere | Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60 |
i3-wm | Исправление аварийной остановки при перезапуске с использование меток |
iipimage | Исправление настроек Apache |
jhead | Исправление проблем безопасности [CVE-2018-17088 CVE-2018-16554] |
lastpass-cli | Обратный перенос встроенных фиксаций сертификатов из lastpass-cli 1.3.1 с целью учёта изменений в службе Lastpass.com |
ldap2zone | Исправление бесконечного цикла при проверке серийных номеров зон |
libcgroup | Исправление файлов журнала, доступных для чтения и записи всем пользователям [CVE-2018-14348] |
libclamunrar | Новый выпуск основной ветки разработки |
libdap | Исправление содержимого libdap-doc |
libdatetime-timezone-perl | Обновление данных |
libgd2 | Bmp: проверка возвращаемого значения в gdImageBmpPtr [CVE-2018-1000222]; исправление потенциального бесконечного цикла в gdImageCreateFromGifCtx [CVE-2018-5711] |
libmail-deliverystatus-bounceparser-perl | Удаление примеров спама и вирусов, которые нельзя распространять |
libmspack | Исправление записи за пределами выделенного буфера памяти [CVE-2018-18584] принятие пустыхимён файлов [CVE-2018-18585] |
libopenmpt | Исправление up11: чтение за пределами выделенного буфера памяти при загрузке файлов IT / MO3 с многими циклами шаблонов[CVE-2018-10017] |
libseccomp | Добавление поддержки для системных вызовов Linux 4.9: preadv2, pwritev2, pkey_mprotect, pkey_alloc и pkey_free; добавление поддержки для statx |
libtirpc | rendezvous_request: проверка возвращаемого значения makefd_xprt [CVE-2018-14622] |
libx11 | Исправление нескольких проблем безопасности [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600] |
libxcursor | Исправление отказа в обслуживании или потенциального выполнения произвольного кода из-за переполнения кучи на один байт [CVE-2015-9262] |
libxml-stream-perl | Предоставление CA-пути по умолчанию |
libxml-structured-perl | Добавление отсутствующей сборочной зависимости и зависимости времени исполнения от libxml-parser-perl |
linux | Xen: исправление регрессии загрузки в PV-доменах; xen-netfront: исправление регрессий; ext4: исправление ложноотрицательных *и* ложноположительных срабатываний в ext4_check_descriptors(); udeb: добавление virtio_console в virtio-modules; cdc_ncm: запрет заполнения за пределами skb; отмена sit: повторная загрузка iphdr в ipip6_rcv; новый выпуск основной ветки разработки |
lxcfs | Возврат работоспособности виртуализации, исправление времени запуска процесса |
magicmaze | Зависимость от fonts-isabella теперь такова, что ttf-isabella является виртуальным пакетом |
mailman | Исправление введения произвольного текста в Mailman CGI [CVE-2018-13796] |
multipath-tools | Предотвращение зависаний в триггерах udev |
nagstamon | Исправление проблемы аутентификации в IcingaWeb2 Basic |
network-manager | libnm: исправление доступа к включённым и измеряемым свойствам; исправление записи за пределами выделенного буфера памяти в коде для обработки опций dhcpv6 [CVE-2018-15688] и различных других проблем в дополнении dhcp=internal на основе sd-network |
network-manager-applet | libnma/pygobject: libnma/NMA должен использовать libnm/NM вместо устаревших библиотек |
ola | Исправление опечатки в /etc/init.d/rdm_test_server; исправление имени файла для jquery в rdm для тестирования статичных серверных файлов HTML |
opensc | Исправление неограниченной рекурсии и нескольких случаев чтения/записи за пределами выделенного буфера памяти [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] |
pkgsel | Установка новых зависимостей при выборе safe-upgrade (по умолчанию) |
publicsuffix | Обновление данных |
python-django | Поддержка по умолчанию Spatialite >= 4.2 |
python-imaplib2 | Установка корректного модуля для Python 3; прекращение использования TIMEOUT_MAX |
rustc | Включение сборки для следующих архитектур: arm64, armel, armhf, i386, ppc64el, s390x |
sddm | Учёт окружающих дополнительных групп PAM; добавление обработки utmp/wtmp/btmp |
serf | Исправление разыменования NULL-указателя |
soundconverter | Исправление настроек opus vbr |
spamassassin | Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2017-15705], удалённого выполнения кода [CVE-2018-11780], введения кода [CVE-2018-11781] и небезопасного использования .в @INC [CVE-2016-1238]; исправление управления службой spamd при обновлении пакета |
spice-gtk | Исправление переполнения буфера массива переменной длины [CVE-2018-10873] |
sqlcipher | Предотвращение аварийной остановки при открытии файла |
subversion | Исправление регрессий, проявившихся после исправления коллизий SHA1, когда коммиты могли обрабатываться некорректно с выводом ошибки Файловая система поврежденав случае, если длина различий кратна 16КБ |
systemd | networkd: не завершать работу manager_connect_bus() с ошибкой в случае, если служба dbus ещё не активна; dhcp6: проверка того, что имеется достаточно места для заголовка опции DHCP6 [CVE-2018-15688] |
systraq | Изменение логики так, чтобы в случае отсутствия /e/s/Makefile выполнялся успешный выход |
tomcat-native | Исправление проблемы ответа OSCP, позволяющей пользователям аутентифицироваться с помощью аннулированных сертификатов при взаимном использовании TLS [CVE-2018-8019 CVE-2018-8020] |
tor | Изменение авторитета каталога: удаление авторитета моста Bifroest, замена его на Serge; добавление IPv6-адресов для авторитета каталога dannenberg |
tzdata | Новый выпуск основной ветки разработки |
ublock-origin | Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60 |
unbound | Исправление уязвимости в коде обработки NSEC-записей, созданных из шаблонов [CVE-2017-15105] |
vagrant | Поддержка VirtualBox 5.2 |
vmtk | python-vmtk: добавление отсутствующей зависимости от python-vtk6 |
wesnoth-1.12 | Запрет загрузки байтового кода lua с помощью load/dofile [CVE-2018-1999023] |
wpa | Игнорирование неаутентифицированных зашифрованных данных EAPOL-Key [CVE-2018-14526] |
x11vnc | Исправление двух переполнений буфера |
xapian-core | Исправление ошибки движка glass с долго живущими курсорами в таблице в WritableDatabase, что может некорректно приводить к срабатыванию DatabaseCorruptError в случае, даже если база данных в порядке |
xmotd | Предотвращение аварийной остановки при использовании флагов улучшения безопасности |
xorg-server | GLX: не использовать настройки sRGB для 32-битных режимов RGBA, это исправляет различные проблемы смешения в kwin и Mesa >= 18.0 (то есть, Mesa из stretch-backports) |
zutils | Исправление выхода за пределы выделенного буфера в zcat [CVE-2018-1000637] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
adblock-plus-element-hiding-helper | Несовместим с новыми версиями firefox-esr |
all-in-one-sidebar | Несовместим с новыми версиями firefox-esr |
autofill-forms | Несовместим с новыми версиями firefox-esr |
automatic-save-folder | Несовместим с новыми версиями firefox-esr |
classic-theme-restorer | Несовместим с новыми версиями firefox-esr |
colorfultabs | Несовместим с новыми версиями firefox-esr |
custom-tab-width | Несовместим с новыми версиями firefox-esr |
dactyl | Несовместим с новыми версиями firefox-esr |
downthemall | Несовместим с новыми версиями firefox-esr |
dvips-fontdata-n2bk | Пустой пакет |
firebug | Несовместим с новыми версиями firefox-esr |
firegestures | Несовместим с новыми версиями firefox-esr |
firexpath | Несовместим с новыми версиями firefox-esr |
flashgot | Несовместим с новыми версиями firefox-esr |
form-history-control | Несовместим с новыми версиями firefox-esr |
foxyproxy | Несовместим с новыми версиями firefox-esr |
gitlab | Открытые проблемы безопасности, трудно переносить исправления |
greasemonkey | Несовместим с новыми версиями firefox-esr |
intel-processor-trace | [s390x] нужен только на архитектурах Intel |
itsalltext | Несовместим с новыми версиями firefox-esr |
knot-resolver | Проблемы безопасности, сложность по обратному переносу исправлений |
lightbeam | Несовместим с новыми версиями firefox-esr |
livehttpheaders | Несовместим с новыми версиями firefox-esr |
lyz | Несовместим с новыми версиями firefox-esr |
npapi-vlc | Несовместим с новыми версиями firefox-esr |
nukeimage | Несовместим с новыми версиями firefox-esr |
openinbrowser | Несовместим с новыми версиями firefox-esr |
perspectives-extension | Несовместим с новыми версиями firefox-esr |
pwdhash | Несовместим с новыми версиями firefox-esr |
python-facebook | Сломан из-за изменений в основной ветке разработки |
python-tvrage | Бесполезен после отключения tvrage.com |
reloadevery | Несовместим с новыми версиями firefox-esr |
sage-extension | Несовместим с новыми версиями firefox-esr |
scrapbook | Несовместим с новыми версиями firefox-esr |
self-destructing-cookies | Несовместим с новыми версиями firefox-esr |
spdy-indicator | Несовместим с новыми версиями firefox-esr |
status-4-evar | Несовместим с новыми версиями firefox-esr |
stylish | Несовместим с новыми версиями firefox-esr |
tabmixplus | Несовместим с новыми версиями firefox-esr |
tree-style-tab | Несовместим с новыми версиями firefox-esr |
ubiquity-extension | Несовместим с новыми версиями firefox-esr |
uppity | Несовместим с новыми версиями firefox-esr |
useragentswitcher | Несовместим с новыми версиями firefox-esr |
video-without-flash | Несовместим с новыми версиями firefox-esr |
webdeveloper | Несовместим с новыми версиями firefox-esr |
xul-ext-monkeysphere | Несовместим с новыми версиями firefox-esr |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.