Обновлённый Debian 10: выпуск 10.4

09 Мая 2020

Проект Debian с радостью сообщает о четвёртом обновлении своего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
apt-cacher-ng Выполнение изолированного вызова к серверу при включении задачи обслуживания [CVE-2020-5202]; разрешение сжатия .zst для tar-архивов; увеличение размера буфера сжатия строк для чтения файла настроек
backuppc Передача имени пользователя службе запуска и остановки при перезагрузке, предотвращение ошибок перезагрузки
base-files Обновление для текущей редакции
brltty Понижение важности сообщения журнала для того, чтобы избежать выведения слишком многого числа сообщений при использовании новых версий Orca
checkstyle Исправление введения внешней XML-сущности [CVE-2019-9658 CVE-2019-10782]
choose-mirror Обновление списка зеркал
clamav Новый выпуск основной ветки разработки [CVE-2020-3123]
corosync totemsrp: уменьшение MTU, чтобы избежать создания пакетов слишком большого размера
corosync-qdevice Исправление запуска службы
csync2 Ошибка команды HELLO, если используется SSL
cups Исправление переполнения динамической памяти [CVE-2020-3898] и ошибки функция `ippReadIO` может считывать поле расширения за пределами буфера [CVE-2019-8842]
dav4tbsync Новый выпуск основной ветки разработки, восстанавливающий совместимость с новыми версиями Thunderbird
debian-edu-config Добавление файлов правил для Firefox ESR и Thunderbird, чтобы исправить настройки TLS/SSL
debian-installer Обновление ABI ядра до 4.19.0-9
debian-installer-netboot-images Повторная сборка с учётом proposed-updates
debian-security-support Новый стабильный выпуск основной ветки разработки; обновление статуса некоторых пакетов; использование runuser вместо su
distro-info-data Добавление Ubuntu 20.10 и вероятной даты окончания поддержки для stretch
dojo Исправление неправильного использования регулярного выражения [CVE-2019-10785]
dpdk Новый стабильный выпуск основной ветки разработки
dtv-scan-tables Новый срез основной ветки разработки; добавление всех текущих мультиплексоров спутников German DVB-T2 и Eutelsat-5-West-A
eas4tbsync Новый выпуск основной ветки разработки, восстанавливающий совместимость в новыми версиями Thunderbird
edk2 Исправления безопасности [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587]
el-api Исправление обновлений с выпуска stretch до выпуска buster при использовании Tomcat 8
fex Исправление потенциальной проблемы безопасности в fexsrv
filezilla Исправление недоверенного пути поиска [CVE-2019-5429]
frr Исправление возможности расширенного следующего сетевого сегмента
fuse Удаление устаревших команд udevadm из постустановочных сценариев; не удалять fuse.conf при вычищении
fuse3 Удаление устаревших команд udevadm из постустановочных сценариев; не удалять fuse.conf при вычищении; исправление утечки памяти в fuse_session_new()
golang-github-prometheus-common Продление периода действия тестовых сертификатов
gosa Замена (де)сериализации на json_encode/json_decode, чтобы снизить риск от введения PHP-объектов [CVE-2019-14466]
hbci4java Поддержка директивы ЕС касательно платёжных служб (PSD2)
hibiscus Поддержка директивы ЕС касательно платёжных служб (PSD2)
iputils Исправление проблемы, при которой ping завершается неправильно с кодом ошибки, если имеются непривязанные адреса, которые ещё доступны в возвращаемом значении библиотечного вызова getaddrinfo()
ircd-hybrid Использование dhparam.pem для избегания аварийной остановки при запуске
jekyll Разрешение использовать ruby-i18n 0.x и 1.x
jsp-api Исправление обновлений с выпуска stretch до выпуска buster при использовании Tomcat 8
lemonldap-ng Предотвращение нежелательного доступа к административным рабочим местам [CVE-2019-19791]; исправление дополнения GrantSession, которое может не запрещать вход при использовании двухфакторной авторизации; исправление произвольных перенаправлений с OIDC, если не используется redirect_uri
libdatetime-timezone-perl Обновление данных
libreoffice Исправление смены кадров OpenGL
libssh Исправление отказа в обслуживании при обработке ключей AES-CTR с помощью OpenSSL [CVE-2020-1730]
libvncserver Исправление переполнения динамической памяти [CVE-2019-15690]
linux Новый стабильный выпуск основной ветки разработки
linux-latest Обновление ABI ядра до 4.19.0-9
linux-signed-amd64 Новый стабильный выпуск основной ветки разработки
linux-signed-arm64 Новый стабильный выпуск основной ветки разработки
linux-signed-i386 Новый стабильный выпуск основной ветки разработки
lwip Исправление переполнения буфера [CVE-2020-8597]
lxc-templates Новый стабильный выпуск основной ветки разработки; обработка языков, которые кодируются только с помощью UTF-8
manila Исправление отсутствующей проверки прав доступа [CVE-2020-9543]
megatools Добавление поддержки для нового формата ссылок mega.nz
mew Исправление проверки корректности серверного SSL-сертификата
mew-beta Исправление проверки корректности серверного SSL-сертификата
mkvtoolnix Повторная сборка с целью усилить зависимость от libmatroska6v5
ncbi-blast+ Отключение поддержки SSE4.2
node-anymatch Удаление ненужных зависимостей
node-dot Запрет исполнения кода после загрязнения прототипа [CVE-2020-8141]
node-dot-prop Исправление загрязнения прототипа [CVE-2020-8116]
node-knockout Исправление экранирования со старыми версиями Internet Explorer [CVE-2019-14862]
node-mongodb Отклонение неверных _bsontypes [CVE-2019-2391 CVE-2020-7610]
node-yargs-parser Исправление загрязнения прототипа [CVE-2020-7608]
npm Исправление доступа по произвольному пути [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777]
nvidia-graphics-drivers Новый стабильный выпуск основной ветки разработки
nvidia-graphics-drivers-legacy-390xx Новый стабильный выпуск основной ветки разработки
nvidia-settings-legacy-340xx Новый выпуск основной ветки разработки
oar Возврат к поведению как в выпуске stretch для Perl-функции Storable::dclone, что исправляет проблему с глубиной рекурсии
opam Предпочитать mccs вместо aspcud
openvswitch Исправление отмены выполнения vswitchd при добавлении порта и отключения контроллера
orocos-kdl Исправление преобразования строк с помощью Python 3
owfs Удаление сломанных пакетов Python 3
pango1.0 Исправление аварийной остановки в pango_fc_font_key_get_variations(), если ключ пуст
pgcli Добавление отсутствующей зависимости от python3-pkg-resources
php-horde-data Исправление удалённого выполнения кода аутентифицированным пользователем [CVE-2020-8518]
php-horde-form Исправление удалённого выполнения кода аутентифицированным пользователем [CVE-2020-8866]
php-horde-trean Исправление удалённого выполнения кода аутентифицированным пользователем [CVE-2020-8865]
postfix Новый стабильный выпуск основной ветки разработки; исправление паники Postfix при настройке нескольких фильтров Milter во время MAIL FROM; исправление запуска d/init.d, чтобы сценарий снова начал работать с несколькими виртуальными узлами
proftpd-dfsg Исправление проблемы доступа к памяти в коде интерактивной клавиатуры в mod_sftp; корректная обработка сообщений DEBUG, IGNORE, DISCONNECT и UNIMPLEMENTED в режиме интерактивной клавиатуры
puma Исправление отказа в обслуживании [CVE-2019-16770]
purple-discord Исправление аварийных остановок в ssl_nss_read
python-oslo.utils Исправление утечки чувствительной информации через журалы mistral [CVE-2019-3866]
rails Исправление межсайтового скриптинга через вспомогательный код для экранирования Javascript [CVE-2020-5267]
rake Исправление введения команды [CVE-2020-8130]
raspi3-firmware Исправление несовпадения имён dtb в z50-raspi-firmware; исправление загрузки Raspberry Pi семейств 1 и 0
resource-agents Исправление ошибки ethmonitor не выводит список интерфейсов без назначенных IP-адресов; удаление более не нужной заплаты xen-toolstack; исправление нестандартного использования в ZFS-агенте
rootskel Отключение поддержки нескольких консолей, если используется предварительная настройка установки
ruby-i18n Исправление создания gemspec
rubygems-integration Избегание устаревших предупреждений, если пользователи устанавливают новую версию Rubygems через gem update --system
schleuder Улучшение заплаты для обработки ошибок кодирования, появившихся в предыдущей версии; изменение кодировки по умолчанию на UTF-8; обработка почты с вложениями и закодированными ключами с помощью x-add-key; исправление x-attach-listkey с сообщениями, созданными Thunderbird и включающими защищённые заголовки
scilab Исправление загрузки библиотеки с помощью OpenJDK 11.0.7
serverspec-runner Поддержка Ruby 2.5
softflowd Исправление сломанного агрегирования потока, что может приводить к переполнению таблицы потока и использованию 100% ЦП
speech-dispatcher Исправление задержки pulseaudio по умолчанию, которая приводит к хриплому выводу звука
spl-linux Исправление зависания
sssd Исправление зацикливания sssd_be в случае разрыва LDAP-соединения
systemd При авторизации через PolicyKit заново разрешать обратные вызовы/пользовательские данные вместо их кэширования [CVE-2020-1712]; установка 60-block.rules в udev-udeb и initramfs-tools
taglib Исправление повреждения содержимого при работе с OGG-файлами
tbsync Новый выпуск основной ветки разработки, восстанавливающий совместимость с новыми версиями Thunderbird
timeshift Исправление использования временного каталога с предсказуемым именем [CVE-2020-10174]
tinyproxy Установка PIDDIR только в том случае, если PIDFILE имеет ненулевую длину строки
tzdata Новый стабильный выпуск основной ветки разработки
uim Отмена регистрации тех модулей, которые не были установлены, что исправляет регрессию, возникшую в предыдущей загрузке пакета
user-mode-linux Исправление ошибок сборки при использовании текущих стабильных ядер
vite Исправление аварийной остановки, если имеется более 32 элементов
waagent Новый выпуск основной ветки разработки; поддержка совместной установки с cloud-init
websocket-api Исправление обновлений с выпуска stretch до выпуска buster при использовании Tomcat 8
wpa Не пытаться обнаружить несовпадение PSK в ходе замены ключей PTK; проверка поддержки FT при выборе наборов FT; исправление установки случайных MAC-адресов на некоторых картах
xdg-utils xdg-open: исправление проверки pcmanfm и обработки каталогов с пробелами в именах; xdg-screensaver: очистка имени окна до отправки его по D-Bus; xdg-mime: создание каталога настроек, если он ещё не создан
xtrlock Исправление блокировки (некоторых) multitouch-устройств при блокировке экрана [CVE-2016-10894]
zfs-linux Исправление потенциальных проблем, приводящих к зависанию

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4623 postgresql-11
DSA-4624 evince
DSA-4625 thunderbird
DSA-4627 webkit2gtk
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4636 python-bleach
DSA-4637 network-manager-ssh
DSA-4638 chromium
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4641 webkit2gtk
DSA-4642 thunderbird
DSA-4643 python-bleach
DSA-4644 tor
DSA-4645 chromium
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4649 haproxy
DSA-4650 qbittorrent
DSA-4651 mediawiki
DSA-4652 gnutls28
DSA-4653 firefox-esr
DSA-4654 chromium
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4658 webkit2gtk
DSA-4659 git
DSA-4660 awl
DSA-4661 openssl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4665 qemu
DSA-4666 openldap
DSA-4667 linux-signed-amd64
DSA-4667 linux-signed-arm64
DSA-4667 linux-signed-i386
DSA-4667 linux
DSA-4669 nodejs
DSA-4671 vlc
DSA-4672 trafficserver

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
getlive Сломан из-за изменений Hotmail
gplaycli Сломан из-за изменений Google API
kerneloops Служба основной ветки разработки более недоступна
lambda-align2 [arm64 armel armhf i386 mips64el ppc64el s390x] Сломан на отличных от amd64 архитектурах
libmicrodns Проблемы безопасности
libperlspeak-perl Проблемы безопасности; не сопровождается
quotecolors Несовместим с новыми версиями Thunderbird
torbirdy Несовместим с новыми версиями Thunderbird
ugene Несвободен; ошибка сборки
yahoo2mbox Сломан на протяжении нескольких лет

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.