Обновлённый Debian 9: выпуск 9.9

27 Апреля 2019

Проект Debian с радостью сообщает о девятом обновлении своего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

В случае данной редакции тем, кто использует инструмент apt-get для выполнения обновления, требуется убедиться, что используется команда dist-upgrade, для того, чтобы было произведено обновление до новых пакетов ядра. Пользователям други инструментов, таких как apt и aptitude, следует использовать команду upgrade.

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
audiofile Исправление отказа в обслуживании [CVE-2018-13440] и переполнения буфера [CVE-2018-17095]
base-files Обновление для текущей редакции
bwa Исправление переполнения буфера [CVE-2019-10269]
ca-certificates-java Исправление специфичного для bash кода в postinst и jks-keystore
cernlib Применение флага оптимизации -O для модулей Fortran вместо -O2, так как последний приводил к созданию сломанного кода; исправление проблемы сборки на arm64 путём отключения PIE для исполняемых файлов Fortran
choose-mirror Обновление поставляемого в пакете списка зеркал
chrony Исправление журналирования измерений и статистики, а также остановка chronyd на некоторых платформах с включённой фильтрацией seccomp
ckermit Отключение проверки версии OpenSSL
clamav Исправление обращения за пределами выделенного буфера памяти при сканировании PDF-документов [CVE-2019-1787], PE-файлов, сжатых с помощью Aspack [CVE-2019-1789] и OLE2-файлов [CVE-2019-1788]
dansguardian Добавление missingok в настройку logrotate
debian-installer Повторная сборка для proposed-updates
debian-installer-netboot-images Повторная сборка для proposed-updates
debian-security-support Обновление статуса поддержки
diffoscope Исправление тестов, чтобы они работали в Ghostscript 9.26
dns-root-data Обновление корневых данных до версии 2019031302
dnsruby Добавление нового корневого ключа (KSK-2017); в ruby 2.3.0 директива TimeoutError считается устаревшей, использование Timeout::Error
dpdk Новый стабильный выпуск основной ветки разработки
edk2 Исправление переполнения буфера в службе BlockIo [CVE-2018-12180]; DNS: проверка размера полученного пакета до его использования [CVE-2018-12178]; исправление переполнения стека из-за обработки повреждённого файла в формате BMP [CVE-2018-12181]
firmware-nonfree atheros / iwlwifi: обновление прошивки BlueTooth [CVE-2018-5383]
flatpak Отклонение всех ioctl, которые интерпретируются ядром как TIOCSTI [CVE-2019-10063]
geant321 Повторная сборка с учётом исправления оптимизаций Fortran в cernlib
gnome-chemistry-utils Прекращение сборки устаревшего пакета gcu-plugin
gocode gocode-auto-complete-el: перенос пакета auto-complete-el в Pre-Depends, чтобы гарантировать успешность обновления
gpac Исправление переполнений буфера [CVE-2018-7752 CVE-2018-20762], переполнений динамической памяти [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761], записи за пределами выделенного буфера памяти [CVE-2018-20760 CVE-2018-20763]
icedtea-web Прекращение сборки браузерного дополнения, которое более не работает с Firefox 60
igraph Исправление аварийной остановки при загрузке специально сформированных Graph-файлов [CVE-2018-20349]
jabref Исправление атаки через внешнюю сущность XML [CVE-2018-1000652]
java-common Удаление пакета default-java-plugin, поскольку удаляется XUL-дополнение icedtea-web
jquery Предотвращение засорения Object.prototype [CVE-2019-11358]
kauth Исправление небезопасной обработки аргументов во вспомогательных модулях [CVE-2019-7443]
libdate-holidays-de-perl Добавление 8 марта (с 2019 года) и 8 мая (только в 2020 году) в качестве праздников (только для Берлина)
libdatetime-timezone-perl Обновление поставляемых в пакете данных
libreoffice Добавление следующей эры Рэйва (для Японии); указание для пакета -core конфликта с пакетом openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), содержащем сломанный класс ClassPathURLCheck
linux Новая стабильная версия основной версии разработки
linux-latest Обновление для -9 версии ABI ядра
mariadb-10.1 Новая стабильная версия основной ветки разработки
mclibs Повторная сборка с учётом исправления оптимизаций Fortran в cernlib
ncmpc Исправление разыменования NULL-указателя [CVE-2018-9240]
node-superagent Исправление атак по типу ZIP-бомба [CVE-2017-16129]; исправление синтаксической ошибки
nvidia-graphics-drivers Новый стабильный выпуск основной ветки разработки [CVE-2018-6260]
nvidia-settings Новый стабильный выпуск основной ветки разработки
obs-build Не разрешать запись в файлы основной системы [CVE-2017-14804]
paw Повторная сборка с учётом исправления оптимизаций Fortran в cernlib
perlbrew Разрешение HTTPS URL CPAN
postfix Новый стабильный выпуск основной ветки разработки
postgresql-9.6 Новый стабильный выпуск основной ветки разработки
psk31lx Исправление версии с целью правильной сортировки, чтобы избежать потенциальных проблем с обновлениями
publicsuffix Обновление поставляемых в пакете данных
pyca Добавление missingok в настройку logrotate
python-certbot Возврат к debhelper compat 9, чтобы гарантировать правильный запуск таймеров systemd
python-cryptography Удаление BIO_callback_ctrl: прототип отличается от определения OpenSSL после его изменения (исправления) в OpenSSL
python-django-casclient Применение исправления промежуточного ПО django 1.10; python(3)-django-casclient: исправление отсутствующих зависимостей от python(3)-django
python-mode Удаление поддержки xemacs21
python-pip Корректный перехват HTTPError в запросах в index.py
python-pykmip Исправление потенциального отказа в обслуживании [CVE-2018-1000872]
r-cran-igraph Исправление отказа в обслуживании из-за специально сформированного объекта [CVE-2018-20349]
rails Исправление раскрытия информации [CVE-2018-16476 CVE-2019-5418], отказа в обслуживании [CVE-2019-5419]
rsync Несколько исправлений безопасности для zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843]
ruby-i18n Предотвращение удалённого отказа в обслуживании [CVE-2014-10077]
ruby2.3 Исправление ошибки сборки из исходного кода
runc Исправление повышения привилегий до уровня суперпользователя [CVE-2019-5736]
systemd journald: исправление ошибки утверждения в journal_file_link_data; tmpfiles: исправление e для поддержки шаблонов в стиле командной оболочки; mount-util: принятие того, что name_to_handle_at() может завершиться неудачно с EPERM; automount: подтверждать запросы на автоматическое монтирование, даже если устройство уже примонтировано [CVE-2018-1049]; исправление потенциального повышения привилегий до уровня суперпользователя [CVE-2018-15686]
twitter-bootstrap3 Исправление межсайтового скриптинга во всплывающих подсказках и всплывающих меню [CVE-2019-8331]
tzdata Новый выпуск основной ветки разработки
unzip Исправление переполнения буфера при обработке ZIP-архивов, защищённых паролем [CVE-2018-1000035]
vcftools Исправление раскрытия информации [CVE-2018-11099] и отказа в обслуживании [CVE-2018-11129 CVE-2018-11130] из-за специально сформированных файлов
vips Исправление разыменования NULL-указателя [CVE-2018-7998], обращения к неинициализированному буферу памяти [CVE-2019-6976]
waagent Новый выпуск основной ветки разработки, содержащий множество исправлений, касающихся Azure [CVE-2019-0804]
yorick-av Нормализация временных меток фреймов; установка размера буфера VBV для файлов в форматах MPEG1/2
zziplib Исправление доступа к неправильному буферу памяти [CVE-2018-6381], ошибки шины [CVE-2018-6540], чтения за пределами выделенного буфера [CVE-2018-7725], аварийной остановки из-за специально сформированного zip-файла [CVE-2018-7726], утечки памяти [CVE-2018-16548]; отклонение ZIP-файла, если размер центрального каталога и/или смещение начала точки центрального каталога находятся за пределами окончания ZIP-файла [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4259 ruby2.3
DSA-4332 ruby2.3
DSA-4341 mariadb-10.1
DSA-4373 coturn
DSA-4374 qtbase-opensource-src
DSA-4377 rssh
DSA-4385 dovecot
DSA-4387 openssh
DSA-4388 mosquitto
DSA-4389 libu2f-host
DSA-4390 flatpak
DSA-4391 firefox-esr
DSA-4392 thunderbird
DSA-4393 systemd
DSA-4394 rdesktop
DSA-4396 ansible
DSA-4397 ldb
DSA-4398 php7.0
DSA-4399 ikiwiki
DSA-4400 openssl1.0
DSA-4401 wordpress
DSA-4402 mumble
DSA-4403 php7.0
DSA-4405 openjpeg2
DSA-4406 waagent
DSA-4407 xmltooling
DSA-4408 liblivemedia
DSA-4409 neutron
DSA-4410 openjdk-8
DSA-4411 firefox-esr
DSA-4412 drupal7
DSA-4413 ntfs-3g
DSA-4414 libapache2-mod-auth-mellon
DSA-4415 passenger
DSA-4416 wireshark
DSA-4417 firefox-esr
DSA-4418 dovecot
DSA-4419 twig
DSA-4420 thunderbird
DSA-4422 apache2
DSA-4423 putty
DSA-4424 pdns
DSA-4425 wget
DSA-4426 tryton-server
DSA-4427 samba
DSA-4428 systemd
DSA-4429 spip
DSA-4430 wpa
DSA-4431 libssh2
DSA-4432 ghostscript
DSA-4433 ruby2.3
DSA-4434 drupal7

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
gcontactsync Несовместим с новыми версиями firefox-esr
google-tasks-sync Несовместим с новыми версиями firefox-esr
mozilla-gnome-kerying Несовместим с новыми версиями firefox-esr
tbdialout Несовместим с новыми версиями thunderbird
timeline Несовместим с новыми версиями thunderbird

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.