Обновлённый Debian 10: выпуск 10.3

08 Февраля 2020

Проект Debian с радостью сообщает о третьем обновлении своего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
alot Удаление даты окончания срока действия у ключей из тестового набора, исправление ошибки сборки
atril Исправление ошибки сегментирования, возникающей в случае, если не загружен документ; исправление чтения из неинициализированной области памяти [CVE-2019-11459]
base-files Обновление для текущей редакции
beagle Предоставление обёрточного сценария вместо символьных ссылок на JAR-файлы, благодаря чему они снова работают
bgpdump Исправление ошибки сегментирования
boost1.67 Исправление неопределённого поведения, приводящего к аварийной остановке libboost-numpy
brightd Фактическое сравнение значения, считываемого из /sys/class/power_supply/AC/online, с 0
casacore-data-jplde Добавление таблиц вплоть до 2040
clamav Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2019-15961]; удаление опции ScanOnAccess, заменённой на clamonacc
compactheader Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
console-common Исправление регрессии, приводящей в тому, что файлы не загружаются
csh Исправление ошибки сегментирования при выполнении eval
cups Исправление утечки памяти в ppdOpen; исправление проверки языка по умолчанию в ippSetValuetag [CVE-2019-2228]
cyrus-imapd Добавление типа BACKUP к cyrus-upgrade-db, что исправляет проблемы с обновлением
debian-edu-config Сохранение настроек прокси у клиента, если недоступен WPAD
debian-installer Повторная сборка с учётом пакетов из proposed-updates; настройка создания mini.iso на arm, чтобы заработала сетевая загрузка в EFI; обновление значения USE_UDEBS_FROM по умолчанию с unstable на buster, чтобы помочь пользователям выполнять локальные сборки
debian-installer-netboot-images Повторная сборка с учётом пакетов из proposed-updates
debian-security-support Обновление статуса поддержки безопасности некоторых пакетов
debos Повторная сборка с учётом пакета golang-github-go-debos-fakemachine
dispmua Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
dkimpy Новый стабильный выпуск основной ветки разработки
dkimpy-milter Исправление управления привилегиями при запуске для работы Unix-сокетов
dpdk Новый стабильный выпуск основной ветки разработки
e2fsprogs Исправление потенциального отрицательного переполнения стека в e2fsck [CVE-2019-5188]; исправление использования указателей после освобождения памяти в e2fsck
fig2dev Разрешение текстовым строкам Fig v2 заканчиваться на несколько символов ^A [CVE-2019-19555]; отклонение типов огромных стрелок, вызывающих переполнение целых чисел [CVE-2019-19746]; исправление нескольких аварийных остановок [CVE-2019-19797]
freerdp2 Исправление обработки возвращения в realloc [CVE-2019-17177]
freetds tds: проверка, что у UDT значением varint является 8 [CVE-2019-13508]
git-lfs Исправление сборки с новыми версиями Go
gnubg Увеличение размера статичных буферов, используемых для сборочных сообщений в ходе запуска программы, чтобы перевод на испанский язык не переполнял буфер
gnutls28 Исправление проблем interop с gnutls 2.x; исправление грамматического разбора сертификатов, использующих RegisteredID
gtk2-engines-murrine Исправление совместной установки с другими темами
guile-2.2 Исправление ошибки сборки
libburn Исправление ошибки медленный прожиг нескольких треков cdrskin, остановка после трека 1
libcgns Исправление ошибки сборки на ppc64el
libimobiledevice Корректная обработка частичных записей SSL
libmatroska Номер версии зависимости разделяемой библиотеки увеличен до 1.4.7, поскольку в этой версии были добавлены новые символы
libmysofa Исправления безопасности [CVE-2019-16091 CVE-2019-16092 CVE-2019-16093 CVE-2019-16094 CVE-2019-16095]
libole-storage-lite-perl Исправление интерпретации годов с 2020 и далее
libparse-win32registry-perl Исправление интерпретации годов с 2020 и далее
libperl4-corelibs-perl Исправление интерпретации годов с 2020 и далее
libsolv Исправление переполнения буфера [CVE-2019-20387]
libspreadsheet-wright-perl Исправление ранее неработающих электронных таблиц OpenDocument и передача опций форматирования JSON
libtimedate-perl Исправление интерпретации годов с 2020 и далее
libvirt Apparmor: разрешение запускать pygrub; не передавать osxsave, ospke в командную строку QEMU; это помогает новым версиям QEMU с некоторыми настройками, созданными virt-install
libvncserver RFBserver: не раскрывать стековую память удалённой системе [CVE-2019-15681]; разрешение заморозки во время закрытия соединения и ошибки сегментирования на многопоточных VNC-серверах; исправление проблемы подключения к серверам VMWare; исправление аварийной остановки x11vnc при подключении vncviewer
limnoria Исправление удалённого раскрытия информации и возможного удалённого выполнения кода в дополнении Math [CVE-2019-19010]
linux Новый стабильный выпуск основной ветки разработки
linux-latest Обновление с учётом ABI ядра Linux версии 4.19.0-8
linux-signed-amd64 Новый стабильный выпуск основной ветки разработки
linux-signed-arm64 Новый стабильный выпуск основной ветки разработки
linux-signed-i386 Новый стабильный выпуск основной ветки разработки
mariadb-10.3 Новый стабильный выпуск основной ветки разработки [CVE-2019-2938 CVE-2019-2974 CVE-2020-2574]
mesa Вызов shmget() с правами 0600 вместо 0777 [CVE-2019-5068]
mnemosyne Добавление отсутствующей зависимости от PIL
modsecurity Исправление ошибки грамматического разбора заголовка куки [CVE-2019-19886]
node-handlebars Запрет прямого вызова helperMissing и blockHelperMissing [CVE-2019-19919]
node-kind-of Исправление проблем с проверкой типов в ctorName() [CVE-2019-20149]
ntpsec Исправление медленных повторных попыток обращения к DNS; исправление ntpdate -s (syslog), чтобы исправить перехватчик if-up; исправления документации
numix-gtk-theme Исправление совместной установки с другими темами
nvidia-graphics-drivers-legacy-340xx Новый стабильный выпуск основной ветки разработки
nyancat Повторная сборка в чистом окружении, чтобы добавить юнит systemd для nyancat-server
openjpeg2 Исправление переполнения кучи [CVE-2018-21010] и переполнения целых чисел [CVE-2018-20847]
opensmtpd Предупреждение пользователей об изменении синтаксиса smtpd.conf (в более ранних версиях); установка smtpctl setgid opensmtpq; обработка ненулевого кода выхода из hostname в фазе настройки
openssh Отклонение (не фатального) ipc в песочнице seccomp, исправляющее ошибки с OpenSSL 1.1.1d и Linux < 3.19 на некоторых архитектурах
php-horde Исправление межсайтового скриптинга в Horde Cloud Block [CVE-2019-12095]
php-horde-text-filter Исправление неправильных регулярных выражений
postfix Новый стабильный выпуск основной ветки разработки
postgresql-11 Новый стабильный выпуск основной ветки разработки
print-manager Исправление аварийной остановки, если CUPS возвращает один и тот же идентификатор для нескольких задач печати
proftpd-dfsg Исправление проблем CRL [CVE-2019-19270 CVE-2019-19269]
pykaraoke Исправление пути к шрифтам
python-evtx Исправление импортирования hexdump
python-internetarchive Закрытие файла после получения хеша, что позволяет избежать исчерпания файловых дескрипторов
python3.7 Исправления безопасности [CVE-2019-9740 CVE-2019-9947 CVE-2019-9948 CVE-2019-10160 CVE-2019-16056 CVE-2019-16935]
qtbase-opensource-src Добавление поддержки для принтеров без PPD и предотвращение молчаливого отката к принтеру, поддерживающему PPD; исправление аварийной остановки при использовании QLabels с форматированным текстом; исправление графики событий наведения указателя мыши на таблицу
qtwebengine-opensource-src Исправление грамматического разбора PDF; отключение исполняемого стека
quassel Исправление отказов AppArmor quasselcore при сохранении настройки; правильный канал по умолчанию для Debian; удаление ненужного файла NEWS
qwinff Исправление аварийной остановки из-за неправильного определения файла
raspi3-firmware Исправление определения последовательной консоли с ядром 5.x
ros-ros-comm Исправление проблем безопасности [CVE-2019-13566 CVE-2019-13465 CVE-2019-13445]
roundcube Новый стабильный выпуск основной ветки разработки; исправление небезопасных прав доступа в дополнении enigma [CVE-2018-1000071]
schleuder Исправление определения ключевых слов в почтовых сообщениях с защищёнными заголовками и пустой темой; удаление несобственных подписей при обновлении или загрузке ключей; вывод ошибки в случае, если аргумент, переданный `refresh_keys`, не является существующим списком; добавление отсутствующего заголовка List-Id к уведомлениям, отправляемым администраторам; вежливая обработка проблем расшифровки; использование кодировки ASCII-8BIT по умолчанию
simplesamlphp Исправление несовместимости с PHP 7.3
sogo-connector Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
spf-engine Исправление управления привилегиями во время запуска для работы Unix-сокетов; обновление документации для TestOnly
sudo Исправление (не доступного для использования в buster) переполнения буфера, если включён pwfeedback, а ввод осуществляется не через tty [CVE-2019-18634]
systemd Установка fs.file-max sysctl в значение LONG_MAX, а не ULONG_MAX; изменение владельца/режима каталогов выполнения и для статичных пользователей, что гарантирует, что владельцем каталогов выполнения, таких как CacheDirectory и StateDirectory, правильно устанавливается в значение пользователь, указанный в директиве User= до запуска службы
tifffile Исправление обёрточного сценария
tigervnc Исправления безопасности [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695]
tightvnc Исправления безопасности [CVE-2014-6053 CVE-2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681]
uif Исправление путей к ip(6)tables-restore в свете перехода на nftables
unhide Исправление исчерпания стека
x2goclient Удаление ~/, ~user{,/}, ${HOME}{,/} и $HOME{,/} из целевых путей в режиме SCP; исправление регрессии, возникающей с новыми версиями libssh и исправлениями для CVE-2019-14889
xmltooling Исправление состояния гонки, приводящего к аварийной остановке при нагрузке на систему

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4546 openjdk-11
DSA-4563 webkit2gtk
DSA-4564 linux
DSA-4564 linux-signed-i386
DSA-4564 linux-signed-arm64
DSA-4564 linux-signed-amd64
DSA-4565 intel-microcode
DSA-4566 qemu
DSA-4567 dpdk
DSA-4568 postgresql-common
DSA-4569 ghostscript
DSA-4570 mosquitto
DSA-4571 enigmail
DSA-4571 thunderbird
DSA-4572 slurm-llnl
DSA-4573 symfony
DSA-4575 chromium
DSA-4577 haproxy
DSA-4578 libvpx
DSA-4579 nss
DSA-4580 firefox-esr
DSA-4581 git
DSA-4582 davical
DSA-4583 spip
DSA-4584 spamassassin
DSA-4585 thunderbird
DSA-4586 ruby2.5
DSA-4588 python-ecdsa
DSA-4589 debian-edu-config
DSA-4590 cyrus-imapd
DSA-4591 cyrus-sasl2
DSA-4592 mediawiki
DSA-4593 freeimage
DSA-4595 debian-lan-config
DSA-4597 netty
DSA-4598 python-django
DSA-4599 wordpress
DSA-4600 firefox-esr
DSA-4601 ldm
DSA-4602 xen
DSA-4603 thunderbird
DSA-4604 cacti
DSA-4605 openjdk-11
DSA-4606 chromium
DSA-4607 openconnect
DSA-4608 tiff
DSA-4609 python-apt
DSA-4610 webkit2gtk
DSA-4611 opensmtpd
DSA-4612 prosody-modules
DSA-4613 libidn2
DSA-4615 spamassassin

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
caml-crush [armel] Не может быть собран из-за отсутствия пакета ocaml-native-compilers
firetray Несовместим с текущими версиями Thunderbird
koji Проблемы безопасности
python-lamson Сломан из-за изменений в python-daemon
radare2 Проблемы безопасности; основная ветка разработки не предоставляет стабильную поддержку
radare2-cutter Зависимость от удаляемого пакета radare2

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.