Обновлённый Debian 10: выпуск 10.3

08 Февраля 2020

Проект Debian с радостью сообщает о третьем обновлении своего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
alot	Удаление даты окончания срока действия у ключей из тестового набора, исправление ошибки сборки
atril	Исправление ошибки сегментирования, возникающей в случае, если не загружен документ; исправление чтения из неинициализированной области памяти [CVE-2019-11459]
base-files	Обновление для текущей редакции
beagle	Предоставление обёрточного сценария вместо символьных ссылок на JAR-файлы, благодаря чему они снова работают
bgpdump	Исправление ошибки сегментирования
boost1.67	Исправление неопределённого поведения, приводящего к аварийной остановке libboost-numpy
brightd	Фактическое сравнение значения, считываемого из /sys/class/power_supply/AC/online, с 0
casacore-data-jplde	Добавление таблиц вплоть до 2040
clamav	Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2019-15961]; удаление опции ScanOnAccess, заменённой на clamonacc
compactheader	Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
console-common	Исправление регрессии, приводящей в тому, что файлы не загружаются
csh	Исправление ошибки сегментирования при выполнении eval
cups	Исправление утечки памяти в ppdOpen; исправление проверки языка по умолчанию в ippSetValuetag [CVE-2019-2228]
cyrus-imapd	Добавление типа BACKUP к cyrus-upgrade-db, что исправляет проблемы с обновлением
debian-edu-config	Сохранение настроек прокси у клиента, если недоступен WPAD
debian-installer	Повторная сборка с учётом пакетов из proposed-updates; настройка создания mini.iso на arm, чтобы заработала сетевая загрузка в EFI; обновление значения USE_UDEBS_FROM по умолчанию с unstable на buster, чтобы помочь пользователям выполнять локальные сборки
debian-installer-netboot-images	Повторная сборка с учётом пакетов из proposed-updates
debian-security-support	Обновление статуса поддержки безопасности некоторых пакетов
debos	Повторная сборка с учётом пакета golang-github-go-debos-fakemachine
dispmua	Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
dkimpy	Новый стабильный выпуск основной ветки разработки
dkimpy-milter	Исправление управления привилегиями при запуске для работы Unix-сокетов
dpdk	Новый стабильный выпуск основной ветки разработки
e2fsprogs	Исправление потенциального отрицательного переполнения стека в e2fsck [CVE-2019-5188]; исправление использования указателей после освобождения памяти в e2fsck
fig2dev	Разрешение текстовым строкам Fig v2 заканчиваться на несколько символов ^A [CVE-2019-19555]; отклонение типов огромных стрелок, вызывающих переполнение целых чисел [CVE-2019-19746]; исправление нескольких аварийных остановок [CVE-2019-19797]
freerdp2	Исправление обработки возвращения в realloc [CVE-2019-17177]
freetds	tds: проверка, что у UDT значением varint является 8 [CVE-2019-13508]
git-lfs	Исправление сборки с новыми версиями Go
gnubg	Увеличение размера статичных буферов, используемых для сборочных сообщений в ходе запуска программы, чтобы перевод на испанский язык не переполнял буфер
gnutls28	Исправление проблем interop с gnutls 2.x; исправление грамматического разбора сертификатов, использующих RegisteredID
gtk2-engines-murrine	Исправление совместной установки с другими темами
guile-2.2	Исправление ошибки сборки
libburn	Исправление ошибки медленный прожиг нескольких треков cdrskin, остановка после трека 1
libcgns	Исправление ошибки сборки на ppc64el
libimobiledevice	Корректная обработка частичных записей SSL
libmatroska	Номер версии зависимости разделяемой библиотеки увеличен до 1.4.7, поскольку в этой версии были добавлены новые символы
libmysofa	Исправления безопасности [CVE-2019-16091 CVE-2019-16092 CVE-2019-16093 CVE-2019-16094 CVE-2019-16095]
libole-storage-lite-perl	Исправление интерпретации годов с 2020 и далее
libparse-win32registry-perl	Исправление интерпретации годов с 2020 и далее
libperl4-corelibs-perl	Исправление интерпретации годов с 2020 и далее
libsolv	Исправление переполнения буфера [CVE-2019-20387]
libspreadsheet-wright-perl	Исправление ранее неработающих электронных таблиц OpenDocument и передача опций форматирования JSON
libtimedate-perl	Исправление интерпретации годов с 2020 и далее
libvirt	Apparmor: разрешение запускать pygrub; не передавать osxsave, ospke в командную строку QEMU; это помогает новым версиям QEMU с некоторыми настройками, созданными virt-install
libvncserver	RFBserver: не раскрывать стековую память удалённой системе [CVE-2019-15681]; разрешение заморозки во время закрытия соединения и ошибки сегментирования на многопоточных VNC-серверах; исправление проблемы подключения к серверам VMWare; исправление аварийной остановки x11vnc при подключении vncviewer
limnoria	Исправление удалённого раскрытия информации и возможного удалённого выполнения кода в дополнении Math [CVE-2019-19010]
linux	Новый стабильный выпуск основной ветки разработки
linux-latest	Обновление с учётом ABI ядра Linux версии 4.19.0-8
linux-signed-amd64	Новый стабильный выпуск основной ветки разработки
linux-signed-arm64	Новый стабильный выпуск основной ветки разработки
linux-signed-i386	Новый стабильный выпуск основной ветки разработки
mariadb-10.3	Новый стабильный выпуск основной ветки разработки [CVE-2019-2938 CVE-2019-2974 CVE-2020-2574]
mesa	Вызов shmget() с правами 0600 вместо 0777 [CVE-2019-5068]
mnemosyne	Добавление отсутствующей зависимости от PIL
modsecurity	Исправление ошибки грамматического разбора заголовка куки [CVE-2019-19886]
node-handlebars	Запрет прямого вызова helperMissing и blockHelperMissing [CVE-2019-19919]
node-kind-of	Исправление проблем с проверкой типов в ctorName() [CVE-2019-20149]
ntpsec	Исправление медленных повторных попыток обращения к DNS; исправление ntpdate -s (syslog), чтобы исправить перехватчик if-up; исправления документации
numix-gtk-theme	Исправление совместной установки с другими темами
nvidia-graphics-drivers-legacy-340xx	Новый стабильный выпуск основной ветки разработки
nyancat	Повторная сборка в чистом окружении, чтобы добавить юнит systemd для nyancat-server
openjpeg2	Исправление переполнения кучи [CVE-2018-21010] и переполнения целых чисел [CVE-2018-20847]
opensmtpd	Предупреждение пользователей об изменении синтаксиса smtpd.conf (в более ранних версиях); установка smtpctl setgid opensmtpq; обработка ненулевого кода выхода из hostname в фазе настройки
openssh	Отклонение (не фатального) ipc в песочнице seccomp, исправляющее ошибки с OpenSSL 1.1.1d и Linux < 3.19 на некоторых архитектурах
php-horde	Исправление межсайтового скриптинга в Horde Cloud Block [CVE-2019-12095]
php-horde-text-filter	Исправление неправильных регулярных выражений
postfix	Новый стабильный выпуск основной ветки разработки
postgresql-11	Новый стабильный выпуск основной ветки разработки
print-manager	Исправление аварийной остановки, если CUPS возвращает один и тот же идентификатор для нескольких задач печати
proftpd-dfsg	Исправление проблем CRL [CVE-2019-19270 CVE-2019-19269]
pykaraoke	Исправление пути к шрифтам
python-evtx	Исправление импортирования hexdump
python-internetarchive	Закрытие файла после получения хеша, что позволяет избежать исчерпания файловых дескрипторов
python3.7	Исправления безопасности [CVE-2019-9740 CVE-2019-9947 CVE-2019-9948 CVE-2019-10160 CVE-2019-16056 CVE-2019-16935]
qtbase-opensource-src	Добавление поддержки для принтеров без PPD и предотвращение молчаливого отката к принтеру, поддерживающему PPD; исправление аварийной остановки при использовании QLabels с форматированным текстом; исправление графики событий наведения указателя мыши на таблицу
qtwebengine-opensource-src	Исправление грамматического разбора PDF; отключение исполняемого стека
quassel	Исправление отказов AppArmor quasselcore при сохранении настройки; правильный канал по умолчанию для Debian; удаление ненужного файла NEWS
qwinff	Исправление аварийной остановки из-за неправильного определения файла
raspi3-firmware	Исправление определения последовательной консоли с ядром 5.x
ros-ros-comm	Исправление проблем безопасности [CVE-2019-13566 CVE-2019-13465 CVE-2019-13445]
roundcube	Новый стабильный выпуск основной ветки разработки; исправление небезопасных прав доступа в дополнении enigma [CVE-2018-1000071]
schleuder	Исправление определения ключевых слов в почтовых сообщениях с защищёнными заголовками и пустой темой; удаление несобственных подписей при обновлении или загрузке ключей; вывод ошибки в случае, если аргумент, переданный `refresh_keys`, не является существующим списком; добавление отсутствующего заголовка List-Id к уведомлениям, отправляемым администраторам; вежливая обработка проблем расшифровки; использование кодировки ASCII-8BIT по умолчанию
simplesamlphp	Исправление несовместимости с PHP 7.3
sogo-connector	Новый выпуск основной ветки разработки, совместимый с Thunderbird 68
spf-engine	Исправление управления привилегиями во время запуска для работы Unix-сокетов; обновление документации для TestOnly
sudo	Исправление (не доступного для использования в buster) переполнения буфера, если включён pwfeedback, а ввод осуществляется не через tty [CVE-2019-18634]
systemd	Установка fs.file-max sysctl в значение LONG_MAX, а не ULONG_MAX; изменение владельца/режима каталогов выполнения и для статичных пользователей, что гарантирует, что владельцем каталогов выполнения, таких как CacheDirectory и StateDirectory, правильно устанавливается в значение пользователь, указанный в директиве User= до запуска службы
tifffile	Исправление обёрточного сценария
tigervnc	Исправления безопасности [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695]
tightvnc	Исправления безопасности [CVE-2014-6053 CVE-2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681]
uif	Исправление путей к ip(6)tables-restore в свете перехода на nftables
unhide	Исправление исчерпания стека
x2goclient	Удаление ~/, ~user{,/}, ${HOME}{,/} и $HOME{,/} из целевых путей в режиме SCP; исправление регрессии, возникающей с новыми версиями libssh и исправлениями для CVE-2019-14889
xmltooling	Исправление состояния гонки, приводящего к аварийной остановке при нагрузке на систему

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-4546	openjdk-11
DSA-4563	webkit2gtk
DSA-4564	linux
DSA-4564	linux-signed-i386
DSA-4564	linux-signed-arm64
DSA-4564	linux-signed-amd64
DSA-4565	intel-microcode
DSA-4566	qemu
DSA-4567	dpdk
DSA-4568	postgresql-common
DSA-4569	ghostscript
DSA-4570	mosquitto
DSA-4571	enigmail
DSA-4571	thunderbird
DSA-4572	slurm-llnl
DSA-4573	symfony
DSA-4575	chromium
DSA-4577	haproxy
DSA-4578	libvpx
DSA-4579	nss
DSA-4580	firefox-esr
DSA-4581	git
DSA-4582	davical
DSA-4583	spip
DSA-4584	spamassassin
DSA-4585	thunderbird
DSA-4586	ruby2.5
DSA-4588	python-ecdsa
DSA-4589	debian-edu-config
DSA-4590	cyrus-imapd
DSA-4591	cyrus-sasl2
DSA-4592	mediawiki
DSA-4593	freeimage
DSA-4595	debian-lan-config
DSA-4597	netty
DSA-4598	python-django
DSA-4599	wordpress
DSA-4600	firefox-esr
DSA-4601	ldm
DSA-4602	xen
DSA-4603	thunderbird
DSA-4604	cacti
DSA-4605	openjdk-11
DSA-4606	chromium
DSA-4607	openconnect
DSA-4608	tiff
DSA-4609	python-apt
DSA-4610	webkit2gtk
DSA-4611	opensmtpd
DSA-4612	prosody-modules
DSA-4613	libidn2
DSA-4615	spamassassin

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет	Причина
caml-crush	[armel] Не может быть собран из-за отсутствия пакета ocaml-native-compilers
firetray	Несовместим с текущими версиями Thunderbird
koji	Проблемы безопасности
python-lamson	Сломан из-за изменений в python-daemon
radare2	Проблемы безопасности; основная ветка разработки не предоставляет стабильную поддержку
radare2-cutter	Зависимость от удаляемого пакета radare2

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.