Atualização Debian 9: 9.13 lançado
18 de Julho de 2020
O projeto Debian está feliz em anunciar a décima terceira (e última)
atualização de sua versão antiga (oldstable) Debian 9 (codinome
stretch
).
Esta versão pontual adiciona principalmente correções para problemas de
segurança, além de pequenos ajustes para problemas sérios. Avisos de
segurança já foram publicados em separado e são referenciados quando
disponíveis.
Após esta atualização pontual, as equipes de segurança e lançamento não irão mais produzir atualizações para Debian 9. Usuários(as) que desejarem continuar recebendo suporte de segurança deverão atualizar para o Debian 10 ou acessar https://wiki.debian.org/LTS para detalhes sobre o subconjunto de arquiteturas e pacotes cobertos pela equipe do projeto de suporte de longo prazo.
Por favor note que a versão pontual não constitui uma nova versão do Debian
9, mas apenas atualiza alguns dos pacotes já incluídos. Não há
necessidade de jogar fora as antigas mídias do stretch
. Após a
instalação, os pacotes podem ser atualizados para as versões atuais usando um
espelho atualizado do Debian.
Aquelas pessoas que frequentemente instalam atualizações a partir do security.debian.org não terão que atualizar muitos pacotes, e a maioria de tais atualizações estão incluídas na versão pontual.
Novas imagens de instalação logo estarão disponíveis nos locais habituais.
A atualização de uma instalação existente para esta revisão pode ser feita apontando o sistema de gerenciamento de pacotes para um dos muitos espelhos HTTP do Debian. Uma lista abrangente de espelhos está disponível em:
Correções de bugs gerais
Esta atualização da versão antiga (oldstable) adiciona algumas correções importantes para os seguintes pacotes:
| Pacote | Justificativa |
|---|---|
| acmetool | Reconstruído contra golang mais recente para atualizações de segurança |
| atril | dvi: Mitiga injeção de comandos de ataque através da citação de nome de arquivo [CVE-2017-1000159]; Corrige sobrecarga de checagem no mecanismo tiff [CVE-2019-1010006]; tiff: Manipula falha de TIFFReadRGBAImageOriented [CVE-2019-11459] |
| bacula | Adiciona pacote de transição bacula-director-common, evitando a perda de /etc/bacula/bacula-dir.conf quando expurgado; torna usuário root proprietário dos arquivos PID |
| base-files | Atualiza /etc/debian_version para a versão pontual |
| batik | Corrige a falsificação de requisições pelo lado servidor através de atributos xlink:href [CVE-2019-17566] |
| c-icap-modules | Suporte a ClamAV 0.102 |
| ca-certificates | Atualiza pacote Mozilla CA para a versão 2.40,
bloqueia raízes não confiáveis da Symantec e AddTrust External Rootexpirados; remove certificados exclusivos de e-mail |
| chasquid | Reconstruído contra golang mais recente para atualizações de segurança |
| checkstyle | Corrige problema de injeções XML External Entity [CVE-2019-9658 CVE-2019-10782] |
| clamav | Nova versão upstream [CVE-2020-3123]; correções de segurança [CVE-2020-3327 CVE-2020-3341] |
| compactheader | Nova versão upstream, compatível com versões mais novas do Thunderbird |
| cram | Ignora falhas em teste para correção de problemas de construção |
| csync2 | Comando HELLO falha quando SSL é requisitado |
| cups | Corrige estouro do buffer de pilha [CVE-2020-3898] e
a função `ippReadIO` que pode ser ler de modo insatisfatório (under-read) um campo de extensão[CVE-2019-8842] |
| dbus | Nova versão estável em upstream; previne problema de negação de serviço [CVE-2020-12049]; previne use-after-free se dois nomes de usuários(as) compartilham um uid |
| debian-installer | Atualização para o kernel Linux ABI para 4.9.0-13 |
| debian-installer-netboot-images | Reconstruído contra stretch-proposed-updates |
| debian-security-support | Atualização do status de suporte para diversos pacotes |
| erlang | Corrige o uso de cifras TLS fracas [CVE-2020-12872] |
| exiv2 | Corrige problema de negação de serviço [CVE-2018-16336]; corrige correção excessivamente restritiva para CVE-2018-10958 e CVE-2018-10999 |
| fex | Atualização de segurança |
| file-roller | Correção de segurança [CVE-2020-11736] |
| fwupd | Nova versão upstream; utiliza um CNAME para redirecionar ao CDN correto para metadados; não aborta a inicialização se o arquivo XML de metadados for inválido; adiciona as chaves públicas GPG da Linux Foundation para firmware e metadados; aumenta o limite de metadados para 10MB |
| glib-networking | Retorna erro de identidade ruim se a identidade estiver indefinida [CVE-2020-13645] |
| gnutls28 | Corrige problemas de corrupção de memória [CVE-2019-3829]; corrige vazamento de memória; adiciona suporte para tickets de sessão de tamanho zero, corrige erros de sessão no TLS1.2 em alguns provedores de hospedagem |
| gosa | Reforça a checagem de sucesso/falha do LDAP [CVE-2019-11187]; corrige compatibilidade com versões PHP mais recentes; porta diversos outros patches; substitui (un)serialize por json_encode/json_decode para mitigar a injeção de objetos PHP [CVE-2019-14466] |
| heartbleeder | Reconstruído contra golang mais recente para atualizações de segurança |
| intel-microcode | Retorna alguns microcódigos para revisões lançadas anteriormente, contornando travamentos no boot em Skylake-U/Y e Skylake Xeon E3 |
| iptables-persistent | Não falha se modprobe falhar |
| jackson-databind | Correção de múltiplos problemas de segurança afetando BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267] |
| libbusiness-hours-perl | Uso explícito de ano com 4 dígitos, correção de construção (build) e problemas de utilização |
| libclamunrar | Nova versão estável upstream; adição de metapacotes não versionados |
| libdbi | Retira novamente comentário de chamada _error_handler(), corrigindo problemas com consumidores |
| libembperl-perl | Manipula páginas de erro do Apache >= 2.4.40 |
| libexif | Correções de segurança [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; correções de segurança [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; correção de estouro de buffer de leitura [CVE-2020-0182] e de estouro de inteiro não sinalizado [CVE-2020-0198] |
| libvncserver | Corrige estouro de pilha [CVE-2019-15690] |
| linux | Nova versão estável upstream; atualiza kernel ABI para 4.9.0-13 |
| linux-latest | Atualiza kernel ABI para 4.9.0-13 |
| mariadb-10.1 | Nova versão estável upstream; correções de segurança [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814] |
| megatools | Adiciona suporte para o novo formato de links de mega.nz |
| mod-gnutls | Evita suítes criptográficas obsoletas na suíte de testes; corrige falhas de teste quando combinado com correção do Apache para CVE-2019-10092 |
| mongo-tools | Reconstruído contra golang mais recente para atualizações de segurança |
| neon27 | Trata falhas em testes relacionadas ao OpenSSL-related como não fatais |
| nfs-utils | Corrige potencial vulnerabilidade de sobrescrita de arquivo [CVE-2019-3689]; não faz com que todo o /var/lib/nfs seja propriedade do usuário statd |
| nginx | Corrige vulnerabilidade de erro de contrabando de requisição de página [CVE-2019-20372] |
| node-url-parse | Limpa caminhos e hosts antes de análise [CVE-2018-3774] |
| nvidia-graphics-drivers | Nova versão estável upstream; correções de segurança [CVE-2020-5963 CVE-2020-5967] |
| pcl | Corrige falta de dependências em libvtk6-qt-dev |
| perl | Corrige múltiplas expressões regulares relacionadas a problemas de segurança [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Corrige vulnerabilidade de cross-site scripting [CVE-2020-8035] |
| php-horde-data | Corrige vulnerabilidade de execução de código remoto autenticado [CVE-2020-8518] |
| php-horde-form | Corrige vulnerabilidade de execução de código remoto autenticado [CVE-2020-8866] |
| php-horde-gollem | Corrige vulnerabilidade de crosss-site scripting na saída de breadcrumb output [CVE-2020-8034] |
| php-horde-trean | Corrige vulnerabilidade de execução de código remoto autenticado [CVE-2020-8865] |
| phpmyadmin | Correções de segurança diversas [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504] |
| postfix | Nova versão estável upstream |
| proftpd-dfsg | Corrige manipulação de pacotes SSH_MSG_IGNORE |
| python-icalendar | Corrige dependências de Python3 |
| rails | Corrige possível cross-site scripting através de escape do Javascript helper [CVE-2020-5267] |
| rake | Corrige vulnerabilidade de injeção de comandos [CVE-2020-8130] |
| roundcube | Corrige problemas de cross-site scripting através de mensagens HTML com svg/namespace malicioso [CVE-2020-15562] |
| ruby-json | Corrige vulnerabilidade de criação de objetos inseguros [CVE-2020-10663] |
| ruby2.3 | Corrige vulnerabilidade de criação de objetos inseguros [CVE-2020-10663] |
| sendmail | Corrige a busca por processo de controle de fila de
execução em modo split daemon, NOQUEUE: connect from (null), remove falha quando usando BTRFS |
| sogo-connector | Nova versão upstream, compatível com versões mais novas do Thunderbird |
| ssvnc | Corrige escrita fora dos limites [CVE-2018-20020], laço infinito [CVE-2018-20021], inicialização imprópria [CVE-2018-20022], negação de serviço em potencial [CVE-2018-20024] |
| storebackup | Corrige possível vulnerabilidade de escalação de privilégios [CVE-2020-7040] |
| swt-gtk | Corrige dependências ausentes em libwebkitgtk-1.0-0 |
| tinyproxy | Cria arquivo PID antes de baixar privilégios para conta não root [CVE-2017-11747] |
| tzdata | Nova versão estável upstream |
| websockify | Corrige dependências ausentes em python{3,}-pkg-resources |
| wpa | Corrige desvio de proteção de desconexão do mo AP PMF [CVE-2019-16275]; Corrige problemas de aleatorização de MAC com algumas placas |
| xdg-utils | Limpa o nome da janela antes de enviar por D-Bus; trata
corretamente a manipulação de diretórios com nomes contendo espaços; cria o
diretório applicationsse necessário |
| xml-security-c | Corrige o cálculo de comprimento no método concat |
| xtrlock | Corrige o bloqueio de (alguns) dispositivos multitoque quando bloqueados [CVE-2016-10894] |
Atualizações de segurança
Esta revisão adiciona as seguintes atualizações de segurança da versão antiga (oldstable). A equipe de segurança já lançou um comunicado para cada uma dessas atualizações:
Pacotes removidos
Os seguintes pacotes foram removidos devido a circunstâncias além de nosso controle:
| Pacote | Motivo |
|---|---|
| certificatepatrol | Incompatível com versões mais novas do Firefox ESR |
| colorediffs-extension | Incompatível com versões mais novas do Thunderbird |
| dynalogin | Depende de simpleid que está prestes a ser removido |
| enigmail | Incompatível com versões mais novas do Thunderbird |
| firefox-esr | [armel] Não mais suportado (requer nodejs) |
| firefox-esr | [mips mipsel mips64el] Não mais suportado (precisa de rustc mais recente) |
| getlive | Quebrado devido a mudanças pelo Hotmail |
| gplaycli | Quebrado devido a mudanças na API pelo Google |
| kerneloops | Serviço upstream não mais disponível |
| libmicrodns | Problemas de segurança |
| libperlspeak-perl | Problemas de segurança; sem manutenção |
| mathematica-fonts | Depende de local de download indisponível |
| pdns-recursor | Problemas de segurança; não suportado |
| predictprotein | Depende de profphd que está prestes a ser removido |
| profphd | Inutilizável |
| quotecolors | Incompatível com versões mais novas do Thunderbird |
| selenium-firefoxdriver | Incompatível com versões mais novas do Firefox ESR |
| simpleid | Não funciona com PHP7 |
| simpleid-ldap | Depende de simpleid que está prestes a ser removido |
| torbirdy | Incompatível com versões mais novas do Thunderbird |
| weboob | Sem manutenção; já removido das últimas versões |
| yahoo2mbox | Quebrado a diversos anos |
Debian Installer
O instalador foi atualizado para incluir correções incorporadas na versão antiga (oldstable) pelo lançamento pontual.
URLs
A lista completa de pacotes que sofreram mudanças com essa revisão:
A versão antiga (oldstable) atual:
Atualizações propostas (proposed updates) para a versão antiga (oldstable):
Informação da versão angita (oldstable) (notas de lançamento, errata, etc.):
Anúncios e informações de segurança:
Sobre o Debian
O Projeto Debian é uma associação de desenvolvedores(as) de software livre que voluntariamente doam seu tempo e esforço para produzir o sistema operacional completamente livre Debian.
Informações para contato
Para mais informações, por favor visite a página do Debian em https://www.debian.org/, ou envie um e-mail (em inglês) para <press@debian.org>, ou entre em contato com a equipe de lançamento da versão antiga (oldstable) em <debian-release@lists.debian.org>.