Обновлённый Debian 9: выпуск 9.6

10 Ноября 2018

Проект Debian с радостью сообщает о шестом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
accerciser Исправление доступа к объектам без композитора; исправление Python-консоли; добавление отсутствующей зависимости от python3-xlib
apache2 mod_http2: исправление отказа в обслуживании из-за исчерпания в модуле worker [CVE-2018-1333] и из-за непрерывного значения SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: исправление ошибки сегментирования
base-files Обновление /etc/debian_version для текущей редакции
brltty Исправление аутентификации polkit
canna Исправление конфликта файлов между пакетами canna-dbgsym и canna-utils-dbgsym
cargo Новый пакет для поддержки сборки Firefox ESR60
clamav Новый выпуск основной ветки разработки; исправление переполнения целых чисел HWP, бесконечного цикла [CVE-2018-0360]; исправление проблемы с проверкой длины PDF-объекта, слишком долгого времени для грамматического разбора относительно небольшого файла [CVE-2018-0361]; новая версия основной ветки разработки; исправление отказа в обслуживании [CVE-2018-15378]; исправление бесконечного цикла в dpkg-reconfigure
confuse Исправление чтения за пределами выделенного буфера памяти в trim_whitespace [CVE-2018-14447]
debian-installer Обновление ABI ядра до -8
debian-installer-netboot-images Повторная сборка для текущей редакции
dnsmasq trust-anchors.conf: добавление последнего якоря доверия DNS KSK-2017
dom4j Исправление XML-инъекции [CVE-2018-1000632]; компиляция со значением source/target 1.5 для исправления проблемы компиляции с String.format
dpdk Новый стабильный выпуск основной ветки разработки
dropbear Исправление регистрации пользователей [CVE-2018-15599]
easytag Исправление повреждения OGG
enigmail Добавление совместимости с более новыми версиями Thunderbird
espeakup espeakup.service: автоматическая загрузка speakup_soft при запуске службы
fastforward Исправление ошибки сегментирования на 64-битных архитектурах
firetray Добавление совместимости с более новыми версиями Thunderbird
firmware-nonfree Исправление проблем безопасности в прошивке Broadcom для wifi [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; повторное добавление переходных пакетов для firmware-{adi,ralink}
fofix-dfsg Исправление ошибки при запуске
fuse Добавление autofs и FAT в список пригодных файловых систем
ganeti Корректная проверка SSL-сертификатов в ходе экспорта виртуальных машин; подписывание созданных сертификатов с помощью SHA256, а не SHA1; автоматическая загрузка автодополнений bash
globus-gsi-credential Исправление проблемы с прокси voms и openssl 1.1
gnupg2 Исправления безопасности; обратный перенос функциональности, требующейся для новой версии enigmail
gnutls28 Исправление проблем безопасности [CVE-2018-10844 CVE-2018-10845]
gphoto2-cffi Восстановление работы python3-gphoto2cffi
grub2 grub-mknetdir: добавление поддержки ARM64 EFI; изменение метода калибровки TSC по умолчанию на pmtimer в системах с EFI
hdparm Включение APM только на дисках, имеющих эту возможность
https-everywhere Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60
i3-wm Исправление аварийной остановки при перезапуске с использование меток
iipimage Исправление настроек Apache
jhead Исправление проблем безопасности [CVE-2018-17088 CVE-2018-16554]
lastpass-cli Обратный перенос встроенных фиксаций сертификатов из lastpass-cli 1.3.1 с целью учёта изменений в службе Lastpass.com
ldap2zone Исправление бесконечного цикла при проверке серийных номеров зон
libcgroup Исправление файлов журнала, доступных для чтения и записи всем пользователям [CVE-2018-14348]
libclamunrar Новый выпуск основной ветки разработки
libdap Исправление содержимого libdap-doc
libdatetime-timezone-perl Обновление данных
libgd2 Bmp: проверка возвращаемого значения в gdImageBmpPtr [CVE-2018-1000222]; исправление потенциального бесконечного цикла в gdImageCreateFromGifCtx [CVE-2018-5711]
libmail-deliverystatus-bounceparser-perl Удаление примеров спама и вирусов, которые нельзя распространять
libmspack Исправление записи за пределами выделенного буфера памяти [CVE-2018-18584] принятие пустых имён файлов [CVE-2018-18585]
libopenmpt Исправление up11: чтение за пределами выделенного буфера памяти при загрузке файлов IT / MO3 с многими циклами шаблонов [CVE-2018-10017]
libseccomp Добавление поддержки для системных вызовов Linux 4.9: preadv2, pwritev2, pkey_mprotect, pkey_alloc и pkey_free; добавление поддержки для statx
libtirpc rendezvous_request: проверка возвращаемого значения makefd_xprt [CVE-2018-14622]
libx11 Исправление нескольких проблем безопасности [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Исправление отказа в обслуживании или потенциального выполнения произвольного кода из-за переполнения кучи на один байт [CVE-2015-9262]
libxml-stream-perl Предоставление CA-пути по умолчанию
libxml-structured-perl Добавление отсутствующей сборочной зависимости и зависимости времени исполнения от libxml-parser-perl
linux Xen: исправление регрессии загрузки в PV-доменах; xen-netfront: исправление регрессий; ext4: исправление ложноотрицательных *и* ложноположительных срабатываний в ext4_check_descriptors(); udeb: добавление virtio_console в virtio-modules; cdc_ncm: запрет заполнения за пределами skb; отмена sit: повторная загрузка iphdr в ipip6_rcv; новый выпуск основной ветки разработки
lxcfs Возврат работоспособности виртуализации, исправление времени запуска процесса
magicmaze Зависимость от fonts-isabella теперь такова, что ttf-isabella является виртуальным пакетом
mailman Исправление введения произвольного текста в Mailman CGI [CVE-2018-13796]
multipath-tools Предотвращение зависаний в триггерах udev
nagstamon Исправление проблемы аутентификации в IcingaWeb2 Basic
network-manager libnm: исправление доступа к включённым и измеряемым свойствам; исправление записи за пределами выделенного буфера памяти в коде для обработки опций dhcpv6 [CVE-2018-15688] и различных других проблем в дополнении dhcp=internal на основе sd-network
network-manager-applet libnma/pygobject: libnma/NMA должен использовать libnm/NM вместо устаревших библиотек
ola Исправление опечатки в /etc/init.d/rdm_test_server; исправление имени файла для jquery в rdm для тестирования статичных серверных файлов HTML
opensc Исправление неограниченной рекурсии и нескольких случаев чтения/записи за пределами выделенного буфера памяти [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel Установка новых зависимостей при выборе safe-upgrade (по умолчанию)
publicsuffix Обновление данных
python-django Поддержка по умолчанию Spatialite >= 4.2
python-imaplib2 Установка корректного модуля для Python 3; прекращение использования TIMEOUT_MAX
rustc Включение сборки для следующих архитектур: arm64, armel, armhf, i386, ppc64el, s390x
sddm Учёт окружающих дополнительных групп PAM; добавление обработки utmp/wtmp/btmp
serf Исправление разыменования NULL-указателя
soundconverter Исправление настроек opus vbr
spamassassin Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2017-15705], удалённого выполнения кода [CVE-2018-11780], введения кода [CVE-2018-11781] и небезопасного использования . в @INC [CVE-2016-1238]; исправление управления службой spamd при обновлении пакета
spice-gtk Исправление переполнения буфера массива переменной длины [CVE-2018-10873]
sqlcipher Предотвращение аварийной остановки при открытии файла
subversion Исправление регрессий, проявившихся после исправления коллизий SHA1, когда коммиты могли обрабатываться некорректно с выводом ошибки Файловая система повреждена в случае, если длина различий кратна 16КБ
systemd networkd: не завершать работу manager_connect_bus() с ошибкой в случае, если служба dbus ещё не активна; dhcp6: проверка того, что имеется достаточно места для заголовка опции DHCP6 [CVE-2018-15688]
systraq Изменение логики так, чтобы в случае отсутствия /e/s/Makefile выполнялся успешный выход
tomcat-native Исправление проблемы ответа OSCP, позволяющей пользователям аутентифицироваться с помощью аннулированных сертификатов при взаимном использовании TLS [CVE-2018-8019 CVE-2018-8020]
tor Изменение авторитета каталога: удаление авторитета моста Bifroest, замена его на Serge; добавление IPv6-адресов для авторитета каталога dannenberg
tzdata Новый выпуск основной ветки разработки
ublock-origin Обратный перенос новой версии основной ветки разработки с целью обеспечения совместимости с Firefox ESR 60
unbound Исправление уязвимости в коде обработки NSEC-записей, созданных из шаблонов [CVE-2017-15105]
vagrant Поддержка VirtualBox 5.2
vmtk python-vmtk: добавление отсутствующей зависимости от python-vtk6
wesnoth-1.12 Запрет загрузки байтового кода lua с помощью load/dofile [CVE-2018-1999023]
wpa Игнорирование неаутентифицированных зашифрованных данных EAPOL-Key [CVE-2018-14526]
x11vnc Исправление двух переполнений буфера
xapian-core Исправление ошибки движка glass с долго живущими курсорами в таблице в WritableDatabase, что может некорректно приводить к срабатыванию DatabaseCorruptError в случае, даже если база данных в порядке
xmotd Предотвращение аварийной остановки при использовании флагов улучшения безопасности
xorg-server GLX: не использовать настройки sRGB для 32-битных режимов RGBA, это исправляет различные проблемы смешения в kwin и Mesa >= 18.0 (то есть, Mesa из stretch-backports)
zutils Исправление выхода за пределы выделенного буфера в zcat [CVE-2018-1000637]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
adblock-plus-element-hiding-helper Несовместим с новыми версиями firefox-esr
all-in-one-sidebar Несовместим с новыми версиями firefox-esr
autofill-forms Несовместим с новыми версиями firefox-esr
automatic-save-folder Несовместим с новыми версиями firefox-esr
classic-theme-restorer Несовместим с новыми версиями firefox-esr
colorfultabs Несовместим с новыми версиями firefox-esr
custom-tab-width Несовместим с новыми версиями firefox-esr
dactyl Несовместим с новыми версиями firefox-esr
downthemall Несовместим с новыми версиями firefox-esr
dvips-fontdata-n2bk Пустой пакет
firebug Несовместим с новыми версиями firefox-esr
firegestures Несовместим с новыми версиями firefox-esr
firexpath Несовместим с новыми версиями firefox-esr
flashgot Несовместим с новыми версиями firefox-esr
form-history-control Несовместим с новыми версиями firefox-esr
foxyproxy Несовместим с новыми версиями firefox-esr
gitlab Открытые проблемы безопасности, трудно переносить исправления
greasemonkey Несовместим с новыми версиями firefox-esr
intel-processor-trace [s390x] нужен только на архитектурах Intel
itsalltext Несовместим с новыми версиями firefox-esr
knot-resolver Проблемы безопасности, сложность по обратному переносу исправлений
lightbeam Несовместим с новыми версиями firefox-esr
livehttpheaders Несовместим с новыми версиями firefox-esr
lyz Несовместим с новыми версиями firefox-esr
npapi-vlc Несовместим с новыми версиями firefox-esr
nukeimage Несовместим с новыми версиями firefox-esr
openinbrowser Несовместим с новыми версиями firefox-esr
perspectives-extension Несовместим с новыми версиями firefox-esr
pwdhash Несовместим с новыми версиями firefox-esr
python-facebook Сломан из-за изменений в основной ветке разработки
python-tvrage Бесполезен после отключения tvrage.com
reloadevery Несовместим с новыми версиями firefox-esr
sage-extension Несовместим с новыми версиями firefox-esr
scrapbook Несовместим с новыми версиями firefox-esr
self-destructing-cookies Несовместим с новыми версиями firefox-esr
spdy-indicator Несовместим с новыми версиями firefox-esr
status-4-evar Несовместим с новыми версиями firefox-esr
stylish Несовместим с новыми версиями firefox-esr
tabmixplus Несовместим с новыми версиями firefox-esr
tree-style-tab Несовместим с новыми версиями firefox-esr
ubiquity-extension Несовместим с новыми версиями firefox-esr
uppity Несовместим с новыми версиями firefox-esr
useragentswitcher Несовместим с новыми версиями firefox-esr
video-without-flash Несовместим с новыми версиями firefox-esr
webdeveloper Несовместим с новыми версиями firefox-esr
xul-ext-monkeysphere Несовместим с новыми версиями firefox-esr

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://security.debian.org/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.