Обновлённый Debian 9: выпуск 9.13
18 Июля 2020
Проект Debian с радостью сообщает о тринадцатом (и последнем) обновлении своего
предыдущего стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
После выпуска данной редакции команды безопасности и выпусков Debian более не будут работать над обновлениями Debian 9. Пользователи, желающие продолжать получать поддержку безопасности, должны выполнить обновление до Debian 10, либо обратиться к странице https://wiki.debian.org/LTS, на которой приводится подмножество архитектур и пакетов, которые будут поддерживаться в рамках проекта долгосрочной поддержки.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| acmetool | Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности |
| atril | dvi: снижение риска от введения команд путём обрамления в кавычки имён файлов [CVE-2017-1000159]; исправление проверки переполнения в движке tiff [CVE-2019-1010006]; tiff: обработка ошибки от TIFFReadRGBAImageOriented [CVE-2019-11459] |
| bacula | Добавление переходного пакета bacula-director-common, чтобы избежать потери /etc/bacula/bacula-dir.conf при очистке; установка суперпользователя в качестве владельца PID-файлов |
| base-files | Обновление /etc/debian_version для данной редакции |
| batik | Исправление подделки запроса на стороне сервера через атрибуты xlink:href [CVE-2019-17566] |
| c-icap-modules | Поддержка ClamAV 0.102 |
| ca-certificates | Обновление набора Mozilla CA до версии 2.40, запрет недоверенных корневых сертификатов Symantec и устаревшего сертификата AddTrust External Root; удаление почтовых сертификатов |
| chasquid | Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности |
| checkstyle | Исправление введения внешней XML-сущности [CVE-2019-9658 CVE-2019-10782] |
| clamav | Новый выпуск основной ветки разработки [CVE-2020-3123]; обновления безопасности [CVE-2020-3327 CVE-2020-3341] |
| compactheader | Новая версия основной ветки разработки, совместимая с новыми версиями Thunderbird |
| cram | Игнорирование ошибок тестирования для исправления проблем сборки |
| csync2 | Отмена команды HELLO, если требуется SSL |
| cups | Исправление переполнения динамической памяти [CVE-2020-3898] и ошибки функция `ippReadIO` может производить чтение до начала пола расширения[CVE-2019-8842] |
| dbus | Новый стабильный выпуск основной ветки разработки; предотвращение отказа в обслуживании [CVE-2020-12049]; предотвращение использования указателей после освобождения памяти, если у двух имён пользователей имеется один uid |
| debian-installer | Обновление для поддержки ABI ядра Linux версии 4.9.0-13 |
| debian-installer-netboot-images | Повторная сборка с учётом stretch-proposed-updates |
| debian-security-support | Обновление статуса поддержки некоторых пакетов |
| erlang | Исправление использования слабых шифров TLS [CVE-2020-12872] |
| exiv2 | Исправление отказа в обслуживании [CVE-2018-16336]; исправление чрезмерно ограничительного исправления для CVE-2018-10958 и CVE-2018-10999 |
| fex | Обновление безопасности |
| file-roller | Исправление безопасности [CVE-2020-11736] |
| fwupd | Новый выпуск основной ветки разработки; использование CNAME для перенаправления на корректный CDN для получения метаданных; не прерывать загрузку, если XML-файл с метаданными неверен; добавление открытых GPG-ключей Linux Foundation для микропрограмм и метаданных; увеличение ограничения размера метаданных до 10МБ |
| glib-networking | Возвращение ошибки плохой идентификации, если идентификация не задана [CVE-2020-13645] |
| gnutls28 | Исправление повреждения содержимого памяти [CVE-2019-3829]; исправление утечки памяти; добавление поддержки для тикетов сессии с нулевой длиной, исправление ошибок соединения для сессий TLS1.2 на некоторых хостингах |
| gosa | Ужесточение проверки успешности/неудачи LDAP [CVE-2019-11187]; исправление совместимости с более новыми версиями PHP; обратный перенос нескольких заплат; замена (де-) сериализации на функции json_encode/json_decode для снижения риска введения PHP-объектов [CVE-2019-14466] |
| heartbleeder | Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности |
| intel-microcode | Откат некоторых микрокодов до предыдущих редакций, обход зависаний при загрузке на Skylake-U/Y и Skylake Xeon E3 |
| iptables-persistent | Не переходить в состояние ошибки, если произошла ошибка modprobe |
| jackson-databind | Исправление многочисленных проблем безопасности, касающихся BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 и CVE-2019-17267] |
| libbusiness-hours-perl | Явное обозначение нумерации года с помощью 4 цифр, исправляющее сборку и использование |
| libclamunrar | Новый стабильный выпуск основной ветки разработки; добавление метапакета без версии |
| libdbi | Повторно закомментирован вызов _error_handler() для исправляющия проблемы с клиентами |
| libembperl-perl | Обработка страниц ошибок из Apache >= 2.4.40 |
| libexif | Исправления безопасности [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; исправления безопасности [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; исправление переполнения буфера [CVE-2020-0182] и переполнения целых беззнаковых чисел [CVE-2020-0198] |
| libvncserver | Исправление переполнения динамической памяти [CVE-2019-15690] |
| linux | Новый стабильный выпуск основной ветки разработки; обновление ABI до версии 4.9.0-13 |
| linux-latest | Обновление ABI ядра до версии 4.9.0-13 |
| mariadb-10.1 | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814] |
| megatools | Добавление поддержки для нового формата ссылок mega.nz |
| mod-gnutls | Прекращение использования устаревших наборов шифров в тестах; Исправление ошибок тестирования при использовании исправления Apache для CVE-2019-10092 |
| mongo-tools | Повторная сборка с использованием свежей версии golang для добавления исправлений безопасности |
| neon27 | Трактовка связанных с OpenSSL ошибок тестирования как нефатальных |
| nfs-utils | Исправление потенциальной перезаписи файлов [CVE-2019-3689]; не устанавливать пользователя statd владельцем всех /var/lib/nfs |
| nginx | Исправление подделки запроса страницы с сообщением об ошибке [CVE-2019-20372] |
| node-url-parse | Корректировка путей и имён узлов до выполнения грамматического разбора [CVE-2018-3774] |
| nvidia-graphics-drivers | Новый стабильный выпуск основной ветки разработки; новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967] |
| pcl | Исправление отсутствующей зависимости от libvtk6-qt-dev |
| perl | Исправление многочисленных проблем безопасности, связанных с регулярными выражениями [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Исправление межсайтового скриптинга [CVE-2020-8035] |
| php-horde-data | Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8518] |
| php-horde-form | Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8866] |
| php-horde-gollem | Исправление межсайтового скриптинга в выводе breadcrumb [CVE-2020-8034] |
| php-horde-trean | Исправление удалённого аутентифицированного выполнения кода [CVE-2020-8865] |
| phpmyadmin | Несколько исправлений безопасности [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504] |
| postfix | Новый стабильный выпуск основной ветки разработки |
| proftpd-dfsg | Исправление обработки пакетов SSH_MSG_IGNORE |
| python-icalendar | Исправление Python3-зависимостей |
| rails | Исправление возможного межсайтового скриптинга через вспомогательный код экранирования Javascript [CVE-2020-5267] |
| rake | Исправление введения команд [CVE-2020-8130] |
| roundcube | Исправление межсайтового скриптинга через HTML-сообщения, содержащие вредоносный компонент svg/namespace [CVE-2020-15562] |
| ruby-json | Исправление небезопасного создания объектов [CVE-2020-10663] |
| ruby2.3 | Исправление небезопасного создания объектов [CVE-2020-10663] |
| sendmail | Исправление обнаружения управляющего очередью процесса в режиме split daemon, NOQUEUE: соединение от (null), удаление ошибки при использовании BTRFS |
| sogo-connector | Новая версия основной ветки разработки, совместимая с новыми версиями Thunderbird |
| ssvnc | Исправление записи за пределы выделенного буфера памяти [CVE-2018-20020], бесконечного цикла [CVE-2018-20021], неправильной инициализации [CVE-2018-20022], потенциального отказа в обслуживании [CVE-2018-20024] |
| storebackup | Исправление возможного повышения привилегий [CVE-2020-7040] |
| swt-gtk | Исправление отсутствующей зависимости от libwebkitgtk-1.0-0 |
| tinyproxy | Создание PID-файла перед сбросом привилений до отличной от суперпользователя учётной записи [CVE-2017-11747] |
| tzdata | Новый стабильный выпуск основной ветки разработки |
| websockify | Исправление отсутствующей зависимости от python{3,}-pkg-resources |
| wpa | Исправление режима обхода защиты, не позволяющей преждевременно завершать PMF-соединение в режиме точки доступа [CVE-2019-16275]; исправление проблем со случайным назначением MAC-адреса для некоторых карт |
| xdg-utils | Очистка имени окна до его отправки по D-Bus; правильная обработка каталогов с именами, содержащими пробелы; создание каталога applicationsпри необходимости |
| xml-security-c | Исправление длины вычисления в методе concat |
| xtrlock | Исправление блокировки (некоторых) устройств с мультисенсорными панелями при блокировке экрана [CVE-2016-10894] |
Обновления безопасности
В данную редакцию внесены следующие обновления безопасности предыдущего стабильного выпуска. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| certificatepatrol | Несовместим с новыми версиями Firefox ESR |
| colorediffs-extension | Несовместим с новыми версиями Thunderbird |
| dynalogin | Зависит от удаляемого пакета simpleid |
| enigmail | Несовместим с новыми версиями Thunderbird |
| firefox-esr | [armel] Более не поддерживается (требует nodejs) |
| firefox-esr | [mips mipsel mips64el] Более не поддерживается (требует новую версию rustc) |
| getlive | Сломан из-за изменений Hotmail |
| gplaycli | Сломан из-за изменений Google API |
| kerneloops | Служба основной ветки разработки более не доступна |
| libmicrodns | Проблемы безопасности |
| libperlspeak-perl | Проблемы безопасности; не сопровождается |
| mathematica-fonts | Использует недоступный для загрузки ресурс |
| pdns-recursor | Проблемы безопасности; не поддерживается |
| predictprotein | Зависит от удаляемого пакета profphd |
| profphd | Не может использоваться |
| quotecolors | Несовместим с новыми версиями Thunderbird |
| selenium-firefoxdriver | Несовместим с новыми версиями Firefox ESR |
| simpleid | Не работает с PHP7 |
| simpleid-ldap | Зависит от удаляемого пакета simpleid |
| torbirdy | Несовместим с новыми версиями Thunderbird |
| weboob | Не сопровождается; удалён из более поздних выпусков |
| yahoo2mbox | Сломан на протяжении нескольких лет |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.