Обновлённый Debian 9: выпуск 9.9
27 Апреля 2019
Проект Debian с радостью сообщает о девятом обновлении своего
стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
В случае данной редакции тем, кто использует инструмент apt-get
для выполнения обновления, требуется убедиться, что используется команда
dist-upgrade
, для того, чтобы было произведено обновление до новых пакетов ядра. Пользователям других
инструментов, таких как apt
и aptitude
, следует использовать команду upgrade
.
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| audiofile | Исправление отказа в обслуживании [CVE-2018-13440] и переполнения буфера [CVE-2018-17095] |
| base-files | Обновление для текущей редакции |
| bwa | Исправление переполнения буфера [CVE-2019-10269] |
| ca-certificates-java | Исправление специфичного для bash кода в postinst и jks-keystore |
| cernlib | Применение флага оптимизации -O для модулей Fortran вместо -O2, так как последний приводил к созданию сломанного кода; исправление проблемы сборки на arm64 путём отключения PIE для исполняемых файлов Fortran |
| choose-mirror | Обновление поставляемого в пакете списка зеркал |
| chrony | Исправление журналирования измерений и статистики, а также остановка chronyd на некоторых платформах с включённой фильтрацией seccomp |
| ckermit | Отключение проверки версии OpenSSL |
| clamav | Исправление обращения за пределами выделенного буфера памяти при сканировании PDF-документов [CVE-2019-1787], PE-файлов, сжатых с помощью Aspack [CVE-2019-1789] и OLE2-файлов [CVE-2019-1788] |
| dansguardian | Добавление missingokв настройку logrotate |
| debian-installer | Повторная сборка для proposed-updates |
| debian-installer-netboot-images | Повторная сборка для proposed-updates |
| debian-security-support | Обновление статуса поддержки |
| diffoscope | Исправление тестов, чтобы они работали в Ghostscript 9.26 |
| dns-root-data | Обновление корневых данных до версии 2019031302 |
| dnsruby | Добавление нового корневого ключа (KSK-2017); в ruby 2.3.0 директива TimeoutError считается устаревшей, использование Timeout::Error |
| dpdk | Новый стабильный выпуск основной ветки разработки |
| edk2 | Исправление переполнения буфера в службе BlockIo [CVE-2018-12180]; DNS: проверка размера полученного пакета до его использования [CVE-2018-12178]; исправление переполнения стека из-за обработки повреждённого файла в формате BMP [CVE-2018-12181] |
| firmware-nonfree | atheros / iwlwifi: обновление прошивки BlueTooth [CVE-2018-5383] |
| flatpak | Отклонение всех ioctl, которые интерпретируются ядром как TIOCSTI [CVE-2019-10063] |
| geant321 | Повторная сборка с учётом исправления оптимизаций Fortran в cernlib |
| gnome-chemistry-utils | Прекращение сборки устаревшего пакета gcu-plugin |
| gocode | gocode-auto-complete-el: перенос пакета auto-complete-el в Pre-Depends, чтобы гарантировать успешность обновления |
| gpac | Исправление переполнений буфера [CVE-2018-7752 CVE-2018-20762], переполнений динамической памяти [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761], записи за пределами выделенного буфера памяти [CVE-2018-20760 CVE-2018-20763] |
| icedtea-web | Прекращение сборки браузерного дополнения, которое более не работает с Firefox 60 |
| igraph | Исправление аварийной остановки при загрузке специально сформированных Graph-файлов [CVE-2018-20349] |
| jabref | Исправление атаки через внешнюю сущность XML [CVE-2018-1000652] |
| java-common | Удаление пакета default-java-plugin, поскольку удаляется XUL-дополнение icedtea-web |
| jquery | Предотвращение засорения Object.prototype [CVE-2019-11358] |
| kauth | Исправление небезопасной обработки аргументов во вспомогательных модулях [CVE-2019-7443] |
| libdate-holidays-de-perl | Добавление 8 марта (с 2019 года) и 8 мая (только в 2020 году) в качестве праздников (только для Берлина) |
| libdatetime-timezone-perl | Обновление поставляемых в пакете данных |
| libreoffice | Добавление следующей эры Рэйва (для Японии); указание для пакета -core конфликта с пакетом openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), содержащем сломанный класс ClassPathURLCheck |
| linux | Новая стабильная версия основной версии разработки |
| linux-latest | Обновление для -9 версии ABI ядра |
| mariadb-10.1 | Новая стабильная версия основной ветки разработки |
| mclibs | Повторная сборка с учётом исправления оптимизаций Fortran в cernlib |
| ncmpc | Исправление разыменования NULL-указателя [CVE-2018-9240] |
| node-superagent | Исправление атак по типу ZIP-бомба [CVE-2017-16129]; исправление синтаксической ошибки |
| nvidia-graphics-drivers | Новый стабильный выпуск основной ветки разработки [CVE-2018-6260] |
| nvidia-settings | Новый стабильный выпуск основной ветки разработки |
| obs-build | Не разрешать запись в файлы основной системы [CVE-2017-14804] |
| paw | Повторная сборка с учётом исправления оптимизаций Fortran в cernlib |
| perlbrew | Разрешение HTTPS URL CPAN |
| postfix | Новый стабильный выпуск основной ветки разработки |
| postgresql-9.6 | Новый стабильный выпуск основной ветки разработки |
| psk31lx | Исправление версии с целью правильной сортировки, чтобы избежать потенциальных проблем с обновлениями |
| publicsuffix | Обновление поставляемых в пакете данных |
| pyca | Добавление missingokв настройку logrotate |
| python-certbot | Возврат к debhelper compat 9, чтобы гарантировать правильный запуск таймеров systemd |
| python-cryptography | Удаление BIO_callback_ctrl: прототип отличается от определения OpenSSL после его изменения (исправления) в OpenSSL |
| python-django-casclient | Применение исправления промежуточного ПО django 1.10; python(3)-django-casclient: исправление отсутствующих зависимостей от python(3)-django |
| python-mode | Удаление поддержки xemacs21 |
| python-pip | Корректный перехват HTTPError в запросах в index.py |
| python-pykmip | Исправление потенциального отказа в обслуживании [CVE-2018-1000872] |
| r-cran-igraph | Исправление отказа в обслуживании из-за специально сформированного объекта [CVE-2018-20349] |
| rails | Исправление раскрытия информации [CVE-2018-16476 CVE-2019-5418], отказа в обслуживании [CVE-2019-5419] |
| rsync | Несколько исправлений безопасности для zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843] |
| ruby-i18n | Предотвращение удалённого отказа в обслуживании [CVE-2014-10077] |
| ruby2.3 | Исправление ошибки сборки из исходного кода |
| runc | Исправление повышения привилегий до уровня суперпользователя [CVE-2019-5736] |
| systemd | journald: исправление ошибки утверждения в journal_file_link_data; tmpfiles: исправление eдля поддержки шаблонов в стиле командной оболочки; mount-util: принятие того, что name_to_handle_at() может завершиться неудачно с EPERM; automount: подтверждать запросы на автоматическое монтирование, даже если устройство уже примонтировано [CVE-2018-1049]; исправление потенциального повышения привилегий до уровня суперпользователя [CVE-2018-15686] |
| twitter-bootstrap3 | Исправление межсайтового скриптинга во всплывающих подсказках и всплывающих меню [CVE-2019-8331] |
| tzdata | Новый выпуск основной ветки разработки |
| unzip | Исправление переполнения буфера при обработке ZIP-архивов, защищённых паролем [CVE-2018-1000035] |
| vcftools | Исправление раскрытия информации [CVE-2018-11099] и отказа в обслуживании [CVE-2018-11129 CVE-2018-11130] из-за специально сформированных файлов |
| vips | Исправление разыменования NULL-указателя [CVE-2018-7998], обращения к неинициализированному буферу памяти [CVE-2019-6976] |
| waagent | Новый выпуск основной ветки разработки, содержащий множество исправлений, касающихся Azure [CVE-2019-0804] |
| yorick-av | Нормализация временных меток фреймов; установка размера буфера VBV для файлов в форматах MPEG1/2 |
| zziplib | Исправление доступа к неправильному буферу памяти [CVE-2018-6381], ошибки шины [CVE-2018-6540], чтения за пределами выделенного буфера [CVE-2018-7725], аварийной остановки из-за специально сформированного zip-файла [CVE-2018-7726], утечки памяти [CVE-2018-16548]; отклонение ZIP-файла, если размер центрального каталога и/или смещение начала точки центрального каталога находятся за пределами окончания ZIP-файла [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| gcontactsync | Несовместим с новыми версиями firefox-esr |
| google-tasks-sync | Несовместим с новыми версиями firefox-esr |
| mozilla-gnome-kerying | Несовместим с новыми версиями firefox-esr |
| tbdialout | Несовместим с новыми версиями thunderbird |
| timeline | Несовместим с новыми версиями thunderbird |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.