Обновлённый Debian 9: выпуск 9.13

18 Июля 2020

Проект Debian с радостью сообщает о тринадцатом (и последнем) обновлении своего предыдущего стабильного выпуска Debian 9 (кодовое имя stretch). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

После выпуска данной редакции команды безопасности и выпусков Debian более не будут работать над обновлениями Debian 9. Пользователи, желающие продолжать получать поддержку безопасности, должны выполнить обновление до Debian 10, либо обратиться к странице https://wiki.debian.org/LTS, на которой приводится подмножество архитектур и пакетов, которые будут поддерживаться в рамках проекта долгосрочной поддержки.

Заметьте, что это обновление не является новой версией Debian 9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском stretch. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующи пакетов:

Пакет Причина
acmetool Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности
atril dvi: снижение риска от введения команд путём обрамления в кавычки имён файлов [CVE-2017-1000159]; исправление проверки переполнения в движке tiff [CVE-2019-1010006]; tiff: обработка ошибки от TIFFReadRGBAImageOriented [CVE-2019-11459]
bacula Добавление переходного пакета bacula-director-common, чтобы избежать потери /etc/bacula/bacula-dir.conf при очистке; установка суперпользователя в качестве владельца PID-файлов
base-files Обновление /etc/debian_version для данной редакции
batik Исправление подделки запроса на стороне сервера через атрибуты xlink:href [CVE-2019-17566]
c-icap-modules Поддержка ClamAV 0.102
ca-certificates Обновление набора Mozilla CA до версии 2.40, запрет недоверенных корневых сертификатов Symantec и устаревшего сертификата AddTrust External Root; удаление почтовых сертификатов
chasquid Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности
checkstyle Исправление введения внешней XML-сущности [CVE-2019-9658 CVE-2019-10782]
clamav Новый выпуск основной ветки разработки [CVE-2020-3123]; обновления безопасности [CVE-2020-3327 CVE-2020-3341]
compactheader Новая версия основной ветки разработки, совместимая с новыми версиями Thunderbird
cram Игнорирование ошибок тестирования для исправления проблем сборки
csync2 Отмена команды HELLO, если требуется SSL
cups Исправление переполнения динамической памяти [CVE-2020-3898] и ошибки функция `ippReadIO` может производить чтение до начала пола расширения [CVE-2019-8842]
dbus Новый стабильный выпуск основной ветки разработки; предотвращение отказа в обслуживании [CVE-2020-12049]; предотвращение использования указателей после освобождения памяти, если у двух имён пользователей имеется один uid
debian-installer Обновление для поддержки ABI ядра Linux версии 4.9.0-13
debian-installer-netboot-images Повторная сборка с учётом stretch-proposed-updates
debian-security-support Обновление статуса поддержки некоторых пакетов
erlang Исправление использования слабых шифров TLS [CVE-2020-12872]
exiv2 Исправление отказа в обслуживании [CVE-2018-16336]; исправление чрезмерно ограничительного исправления для CVE-2018-10958 и CVE-2018-10999
fex Обновление безопасности
file-roller Исправление безопасности [CVE-2020-11736]
fwupd Новый выпуск основной ветки разработки; использование CNAME для перенаправления на корректный CDN для получения метаданных; не прерывать загрузку, если XML-файл с метаданными неверен; добавление открытых GPG-ключей Linux Foundation для микропрограмм и метаданных; увеличение ограничения размера метаданных до 10МБ
glib-networking Возвращение ошибки плохой идентификации, если идентификация не задана [CVE-2020-13645]
gnutls28 Исправление повреждения содержимого памяти [CVE-2019-3829]; исправление утечки памяти; добавление поддержки для тикетов сессии с нулевой длиной, исправление ошибок соединения для сессий TLS1.2 на некоторых хостингах
gosa Ужесточение проверки успешности/неудачи LDAP [CVE-2019-11187]; исправление совместимости с более новыми версиями PHP; обратный перенос нескольких заплат; замена (де-) сериализации на функции json_encode/json_decode для снижения риска введения PHP-объектов [CVE-2019-14466]
heartbleeder Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности
intel-microcode Откат некоторых микрокодов до предыдущих редакций, обход зависаний при загрузке на Skylake-U/Y и Skylake Xeon E3
iptables-persistent Не переходить в состояние ошибки, если произошла ошибка modprobe
jackson-databind Исправление многочисленных проблем безопасности, касающихся BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 и CVE-2019-17267]
libbusiness-hours-perl Явное обозначение нумерации года с помощью 4 цифр, исправляющее сборку и использование
libclamunrar Новый стабильный выпуск основной ветки разработки; добавление метапакета без версии
libdbi Повторно закомментирован вызов _error_handler() для исправляющия проблемы с клиентами
libembperl-perl Обработка страниц ошибок из Apache >= 2.4.40
libexif Исправления безопасности [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; исправления безопасности [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; исправление переполнения буфера [CVE-2020-0182] и переполнения целых беззнаковых чисел [CVE-2020-0198]
libvncserver Исправление переполнения динамической памяти [CVE-2019-15690]
linux Новый стабильный выпуск основной ветки разработки; обновление ABI до версии 4.9.0-13
linux-latest Обновление ABI ядра до версии 4.9.0-13
mariadb-10.1 Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814]
megatools Добавление поддержки для нового формата ссылок mega.nz
mod-gnutls Прекращение использования устаревших наборов шифров в тестах; Исправление ошибок тестирования при использовании исправления Apache для CVE-2019-10092
mongo-tools Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности
neon27 Трактовка связанных с OpenSSL ошибок тестирования как нефатальных
nfs-utils Исправление потенциальной перезаписи файлов [CVE-2019-3689]; не устанавливать пользователя statd владельцем всех /var/lib/nfs
nginx Исправление подделки запроса страницы с сообщением об ошибке [CVE-2019-20372]
node-url-parse Корректировка путей и имён узлов до выполнения грамматического разбора [CVE-2018-3774]
nvidia-graphics-drivers Новый стабильный выпуск основной ветки разработки; новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967]
pcl Исправление отсутствующей зависимости от libvtk6-qt-dev
perl Исправление многочисленных проблем безопасности, связанных с регулярными выражениями [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723]
php-horde Исправление межсайтового скриптинга [CVE-2020-8035]
php-horde-data Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8518]
php-horde-form Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8866]
php-horde-gollem Исправление межсайтового скриптинга в выводе breadcrumb [CVE-2020-8034]
php-horde-trean Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8865]
phpmyadmin Несколько исправлений безопасности [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504]
postfix Новый стабильный выпуск основной ветки разработки
proftpd-dfsg Исправление обработки пакетов SSH_MSG_IGNORE
python-icalendar Исправление Python3-зависимостей
rails Исправление возможного межсайтового скриптинга через вспомогательный код экранирования Javascript [CVE-2020-5267]
rake Исправление введения команд [CVE-2020-8130]
roundcube Исправление межсайтового скриптинга через HTML-сообщения, содержащие вредоносный компонент svg/namespace [CVE-2020-15562]
ruby-json Исправление небезопасного создания объектов [CVE-2020-10663]
ruby2.3 Исправление небезопасного создания объектов [CVE-2020-10663]
sendmail Исправление обнаружения управляющего очередью процесса в режиме split daemon, NOQUEUE: соединение от (null), удаление ошибки при использовании BTRFS
sogo-connector Новая версия основной ветки разработки, совместимая с новыми версиями Thunderbird
ssvnc Исправление записи за пределы выделенного буфера памяти [CVE-2018-20020], бесконечного цикла [CVE-2018-20021], неправильной инициализации [CVE-2018-20022], потенциального отказа в обслуживании [CVE-2018-20024]
storebackup Исправление возможного повышения привилегий [CVE-2020-7040]
swt-gtk Исправление отсутствующей зависимости от libwebkitgtk-1.0-0
tinyproxy Создание PID-файла перед сбросом привилений до отличной от суперпользователя учётной записи [CVE-2017-11747]
tzdata Новый стабильный выпуск основной ветки разработки
websockify Исправление отсутствующей зависимости от python{3,}-pkg-resources
wpa Исправление режима обхода защиты, не позволяющей преждевременно завершать PMF-соединение в режиме точки доступа [CVE-2019-16275]; исправление проблем со случайным назначением MAC-адреса для некоторых карт
xdg-utils Очистка имени окна до его отправки по D-Bus; правильная обработка каталогов с именами, содержащими пробелы; создание каталога applications при необходимости
xml-security-c Исправление длины вычисления в методе concat
xtrlock Исправление блокировки (некоторых) устройств с мультисенсорными панелями при блокировке экрана [CVE-2016-10894]

Обновления безопасности

В данную редакцию внесены следующие обновления безопасности предыдущего стабильного выпуска. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4005 openjfx
DSA-4255 ant
DSA-4352 chromium-browser
DSA-4379 golang-1.7
DSA-4380 golang-1.8
DSA-4395 chromium
DSA-4421 chromium
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4621 openjdk-8
DSA-4622 postgresql-9.6
DSA-4624 evince
DSA-4625 thunderbird
DSA-4628 php7.0
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4637 network-manager-ssh
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4642 thunderbird
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4650 qbittorrent
DSA-4653 firefox-esr
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4659 git
DSA-4660 awl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4666 openldap
DSA-4668 openjdk-8
DSA-4670 tiff
DSA-4671 vlc
DSA-4673 tomcat8
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4683 thunderbird
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4692 netqmail
DSA-4693 drupal7
DSA-4695 firefox-esr
DSA-4698 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4703 mysql-connector-java
DSA-4704 vlc
DSA-4705 python-django
DSA-4706 drupal7
DSA-4707 mutt
DSA-4711 coturn
DSA-4713 firefox-esr
DSA-4715 imagemagick
DSA-4717 php7.0
DSA-4718 thunderbird

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
certificatepatrol Несовместим с новыми версиями Firefox ESR
colorediffs-extension Несовместим с новыми версиями Thunderbird
dynalogin Зависит от удаляемого пакета simpleid
enigmail Несовместим с новыми версиями Thunderbird
firefox-esr [armel] Более не поддерживается (требует nodejs)
firefox-esr [mips mipsel mips64el] Более не поддерживается (требует новую версию rustc)
getlive Сломан из-за изменений Hotmail
gplaycli Сломан из-за изменений Google API
kerneloops Служба основной ветки разработки более не доступна
libmicrodns Проблемы безопасности
libperlspeak-perl Проблемы безопасности; не сопровождается
mathematica-fonts Использует недоступный для загрузки ресурс
pdns-recursor Проблемы безопасности; не поддерживается
predictprotein Зависит от удаляемого пакета profphd
profphd Не может использоваться
quotecolors Несовместим с новыми версиями Thunderbird
selenium-firefoxdriver Несовместим с новыми версиями Firefox ESR
simpleid Не работает с PHP7
simpleid-ldap Зависит от удаляемого пакета simpleid
torbirdy Несовместим с новыми версиями Thunderbird
weboob Не сопровождается; удалён из более поздних выпусков
yahoo2mbox Сломан на протяжении нескольких лет

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Текущий предыдущий стабильный выпуск:

http://ftp.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.