Atualização Debian 10: 10.5 lançado
1 de Agosto de 2020
O projeto Debian tem o prazer de anunciar a quinta atualização de sua
versão estável (stable) do Debian 10 (codename buster
).
Esta versão pontual adiciona principalmente correções para problemas de
segurança, junto com alguns ajustes para problemas sérios. Avisos de segurança
já foram publicados em separado e são referenciados quando disponíveis.
Essa versão pontual também aborda o Debian Security Advisory: DSA-4735-1 grub2 -- security update que cobre multiplas questões de CVE relativas a vulnerabilidade GRUB2 UEFI SecureBoot 'BootHole'.
Por favor note que a versão pontual não constitui uma nova versão
do Debian 10, mas apenas atualiza alguns dos pacotes inclusos. Não há
necessidade de se desfazer das antigas mídias do buster
. Após a
instalação, os pacotes podem ser atualizados para as versões atuais usando um
espelho atualizado do Debian.< />
As essoas que frequentemente instalam atualizações do security.debian.org não terão que atualizar muitos pacotes, e a maioria dessas atualizações estão incluídas na versão pontual.
Novas imagens de instalação logo estarão disponíveis nos locais habituais.
A atualização de uma instalação existente para esta revisão pode ser feita apontando o sistema de gerenciamento de pacotes para um dos muitos espelhos HTTP do Debian. Uma lista abrangente de espelhos está disponível em:
Correções de bugs gerais
Esta atualização estável (stable) adiciona algumas correções importantes para os seguintes pacotes:
| Pacote | Justificativa |
|---|---|
| appstream-glib | Corrige falhas na construção em 2020 e posteriores |
| asunder | Usa gnudb por padrão em vez de freedb |
| b43-fwcutter | Assegura a remoção com sucesso sob locales não ingleses; não falha a remoção se alguns arquivos não existirem; Corrige dependências ausentes em pciutils e ca-certificates |
| balsa | Fornece identidade ao servidor ao validar certificados, permitindo uma validação bem sucedida ao utilizar correção (patch) glib-networking para CVE-2020-13645 |
| base-files | Atualização para a versão pontual |
| batik | Corrige falsificação de requisição server-side através de atributos xlink:href [CVE-2019-17566] |
| borgbackup | Corrige bug de corrupção de índice que leva à perda de dados |
| bundler | Atualiza a versão requerida de ruby-molinillo |
| c-icap-modules | Adiciona suporte para ClamAV 0.102 |
| cacti | Corrige problema com as marcações de dia e hora UNIX depois de 13 de setembro de 2020, as quais são rejeitadas como início/fim de gráfico; Corrige execução de código remoto [CVE-2020-7237], cross-site scripting [CVE-2020-7106], problema CSRF [CVE-2020-13231]; desabilitar uma conta de usuário(a) não invalida imediatamente as permissões [CVE-2020-13230] |
| calamares-settings-debian | Habilita o módulo displaymanager, corrigindo as opções de autologins; usa xdg-user-dir para especificar diretório de área de trabalho |
| clamav | Nova versão original (upstream); correções de segurança [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] |
| cloud-init | Nova versão original (upstream |
| commons-configuration2 | Previne criação de objetos quando carregar arquivos YAML [CVE-2020-1953] |
| confget | Corrige manipulação Python de valores contendo = |
| dbus | Nova versão original estável (upstream); previne problema de negação de serviço [CVE-2020-12049]; previne uso-após-livre se dois nopes de usuários compartilharem uma uid |
| debian-edu-config | Corrige perda de endereço IPv4 alocado dinamicamente |
| debian-installer | Atualizado kernel Linux ABI para 4.19.0-10 |
| debian-installer-netboot-images | Reconstruído contra as atualizações propostas |
| debian-ports-archive-keyring | Aumenta a data de validade da chave de 2020 (84C573CD4E1AFD6C) por um ano; adiciona a chave Debian Ports Archive Automatic Signing (2021); move a chave de 2018 (ID: 06AED62430CB581C) para o chaveiro de chaves removidas |
| debian-security-support | Atualiza o status de suporte de diversos pacotes |
| dpdk | Nova versão upstream |
| exiv2 | Ajusta patch de segurança excessivamente restritivo [CVE-2018-10958 e CVE-2018-10999]; corrige problema de negação de serviço [CVE-2018-16336] |
| fdroidserver | Corrige endereço de validação Litecoin |
| file-roller | Correção de segurança [CVE-2020-11736] |
| freerdp2 | Corrige logins de smartcard; correções de segurança [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] |
| fwupd | Nova versão upstream; corrige possível problema de verificação de assinatura [CVE-2020-10759]; uso de chaves de assinatura rotacionadas do Debian |
| fwupd-arm64-signed | Nova versão upstream; corrige possível problema de verificação de assinatura [CVE-2020-10759]; uso de chaves de assinatura rotacionadas do Debian |
| fwupd-armhf-signed | Nova versão upstream; corrige possível problema de verificação de assinatura [CVE-2020-10759]; uso de chaves de assinatura rotacionadas do Debian |
| fwupd-i386-signed | Nova versão upstream; corrige possível problema de verificação de assinatura [CVE-2020-10759]; uso de chaves de assinatura rotacionadas do Debian |
| fwupdate | Uso de chave de assinatura rotacionada do Debian |
| fwupdate-amd64-signed | Uso de chave de assinatura rotacionada do Debian |
| fwupdate-arm64-signed | Uso de chave de assinatura rotacionada do Debian |
| fwupdate-armhf-signed | Uso de chave de assinatura rotacionada do Debian |
| fwupdate-i386-signed | Uso de chave de assinatura rotacionada do Debian |
| gist | Evita API de autorização obsoleta |
| glib-networking | Retorna erro de identificação ruim caso identidade não esteja configurada [CVE-2020-13645]; quebra balsa anteriores a 2.5.6-2+deb10u1 por conta da correção CVE-2020-13645 quebrar a verificação de certificado de balsa |
| gnutls28 | Corrige erros de presunções em TL1.2; Corrige vazamento de memória; trata tíquetes de sessão de comprimento zero, corrige erros de conexão em sessão TLS1.2 para grandes provedores de hospedagem; corrige erro de verificação com cadeias alternadas |
| intel-microcode | Retorna alguns microcódigos para versões anteriores, contornando suspensões no boot em Skylake-U/Y e Skylake Xeon E3 |
| jackson-databind | Corrige múltiplos problemas de segurança afetando BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 e CVE-2019-17267] |
| jameica | Adiciona mckoisqldb ao classpath, permitindo uso do plugin SynTAX |
| jigdo | Corrige suporte HTTPS em jigdo-lite e jigdo-mirror |
| ksh | Corrige problema de restrição de variáveis ambientais [CVE-2019-14868] |
| lemonldap-ng | Corrige regressão de configuração no nginx introduzida pela correção para a CVE-2019-19791 |
| libapache-mod-jk | Renomeia o arquivo de configuração do Apache para ser automaticamente habilitado e desabilitado |
| libclamunrar | Nova versão estável upstream; adiciona metapacote não versionado |
| libembperl-perl | Trata páginas de erro do Apache >= 2.4.40 |
| libexif | Correções de segurança [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; corrige estouro de buffer [CVE-2020-0182] e estouro de inteiros [CVE-2020-0198] |
| libinput | Quirks: adiciona atributo de integração de trackpoint |
| libntlm | Corrige estouro de buffer [CVE-2019-17455] |
| libpam-radius-auth | Corrige estouro de buffer no campo de senha [CVE-2015-9542] |
| libunwind | Corrige falhas de segmentação (segfaults) na arquitetura mips; ativa manualmente o suporte a exceções C++ somente em i386 e amd64 |
| libyang | Corrige quebra de corrupção de cache, CVE-2019-19333, CVE-2019-19334 |
| linux | Nova versão estável upstream |
| linux-latest | Atualização para o Kernel Linux ABI 4.19.0-10 |
| linux-signed-amd64 | Nova versão upstream estável |
| linux-signed-arm64 | Nova versão upstream estável |
| linux-signed-i386 | Nova versão upstream estável |
| lirc | Corrige gerenciamento de conffile |
| mailutils | maidag: desativa privilégio setuid para todos as operações de entrega, exceto mda [CVE-2019-18862] |
| mariadb-10.3 | Nova versão upstream estável; correções de segurança [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; corrige detecção de regressão em RocksDB ZSTD |
| mod-gnutls | Corrige possível falha de segmentação (segfault) em falha de TLS handshake; corrige falhas de testes |
| multipath-tools | kpartx: Uso de caminho correto na regra udev para partx |
| mutt | Não checa criptografia IMAP PREAUTH se $tunnel estiver em uso |
| mydumper | Ligação com libm |
| nfs-utils | statd: pega a user-id a partir de /var/lib/nfs/sm [CVE-2019-3689]; não torna /var/lib/nfs pertencente a statd |
| nginx | Corrige vulnerabilidade de contrabando de requisições de página de erro [CVE-2019-20372] |
| nmap | Atualiza chave padrão para o tamanho de 2048 bits |
| node-dot-prop | Corrige regressão introduzida pelo reparo da CVE-2020-8116 |
| node-handlebars | Desautoriza chamada helperMissinge blockHelperMissingdiretamente [CVE-2019-19919] |
| node-minimist | Corrige poluição de protótipo [CVE-2020-7598] |
| nvidia-graphics-drivers | Nova versão upstream estável; correções de segurança [CVE-2020-5963 CVE-2020-5967] |
| nvidia-graphics-drivers-legacy-390xx | Nova versão upstream estável; correções de segurança [CVE-2020-5963 CVE-2020-5967] |
| openstack-debian-images | Instala resolvconf se estiver instalando cloud-init |
| pagekite | Evita problemas com validade expirada de certificados SSL enviados utilizando aqueles certificados do pacote ca-certificates |
| pdfchain | Corrige falha na inicialização |
| perl | Corrige múltiplos problemas de segurança relacionados a expressões regulares [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Corrige vulnerabilidade de cross-site scripting [CVE-2020-8035] |
| php-horde-gollem | Corrige vulnerabilidade de cross-site scripting na saída breadcrumb [CVE-2020-8034] |
| pillow | Corrige múltiplos problemas de leitura fora dos limites [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] |
| policyd-rate-limit | Corrige problema de responsabilidade devido a reuso de socket |
| postfix | Nova versão upstream estável; corrige falha de segmentação
(segfault) no papel de cliente tlsproxy quanto o papel de servidor foi
desabilitado; corrige valor padrão de maillog_file_rotate_suffix default value utilizou minuto no lugar de mês; corrige diversos problemas relacionados a TLS; correções no README.Debian |
| python-markdown2 | Corrige problema de cross-site scripting [CVE-2020-11888] |
| python3.7 | Evita loop infinito ao ler arquivos tar especialmente montados usando o módulo tarfile [CVE-2019-20907]; resolve colisão de hash para IPv4Interface e IPv6Interface [CVE-2020-14422]; corrige problema de negação de serviço em urllib.request.AbstractBasicAuthHandler [CVE-2020-8492] |
| qdirstat | Corrige salvamento de categorias MIME configuradas pelo(a) usuário(a) |
| raspi3-firmware | Corrige erro de digitação que poderia levar a sistema não inicializável |
| resource-agents | IPsrcaddr: Torna protoopcional para corrigir regressão quando utilizado sem NetworkManager |
| ruby-json | Corrige vulnerabilidade de criação de objetos inseguros [CVE-2020-10663] |
| shim | Utiliza chaves de assinatura Debian rotacionadas |
| shim-helpers-amd64-signed | Utiliza chaves de assinatura Debian rotacionadas |
| shim-helpers-arm64-signed | Utiliza chaves de assinatura Debian rotacionadas |
| shim-helpers-i386-signed | Utiliza chaves de assinatura Debian rotacionadas |
| speedtest-cli | Envia os cabeçalhos corretos para corrigir teste de velocidade de upload |
| ssvnc | Corrige escrita fora dos limites [CVE-2018-20020], laço infinito [CVE-2018-20021], inicialização imprópria [CVE-2018-20022], negação de serviço em potencial [CVE-2018-20024] |
| storebackup | Corrige possível vulnerabilidade de escalação de privilégios [CVE-2020-7040] |
| suricata | Corrige privilégios de queda em modo nflog runmode |
| tigervnc | Não utiliza libunwind em armel, armhf ou arm64 |
| transmission | Corrige possível problema de negação de serviço [CVE-2018-10756] |
| wav2cdr | Usa tipos inteiros de tamanho fixo C99 para corrigir a indicação de tempo de execução em arquiteturas de 64bits diferentes amd64 e alpha |
| zipios++ | Correções de segurança [CVE-2019-13453] |
Atualizações de segurança
Essa revisão adiciona as seguintes atualizações de segurança para a versão estável (stable). A equipe de segurança já lançou um aviso para cada uma dessas atualizações:
Pacotes removidos
Os seguintes pacotes foram removidos devido a circunstâncias além do nosso controle:
| Pacote | Justificativa |
|---|---|
| golang-github-unknwon-cae | Problemas de segurança; sem manutenção |
| janus | Não suportado pela versão estável (stable) |
| mathematica-fonts | Depende de local de download indisponível |
| matrix-synapse | Problemas de segurança; não suportado |
| selenium-firefoxdriver | Incompatível com versões mais atuais de Firefox ESR |
Debian Installer
O instalador foi atualizado para incluir as correções incorporadas na versão estável (stable) pela versão pontual.
URLs
As listas completas dos pacotes que foram alterados por esta revisão:
A atual versão estável (stable):
Atualizações propostas (proposed updates) para a versão estável (stable)::
Informações da versão estável (stable) (notas de lançamento, errata, etc):
Anúncios de segurança e informações:
Sobre o Debian
O projeto Debian é uma associação de desenvolvedores(as) de software livre que dedicam seu tempo e esforço como voluntários(as) para produzir o sistema operacional completamente livre Debian.
Informações de contato
Para mais informações, por favor visite as páginas web do Debian em https://www.debian.org/, envie um e-mail (em inglês) para <press@debian.org>, ou entre em contato (em inglês) com o time de lançamento da estável (stable) em <debian-release@lists.debian.org>.