Обновлённый Debian 10: выпуск 10.5
01 Августа 2020
Проект Debian с радостью сообщает о пятом обновлении своего
стабильного выпуска Debian 10 (кодовое имя buster
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Кроме того, в данной редакции приняты меры в соответствии с важной рекомендацией по безопасности Debian, DSA-4735-1 grub2 -- обновление безопасности, которая касается нескольких CVE, связанных с уязвимостью UEFI SecureBoot 'BootHole' в GRUB2.
Заметьте, что это обновление не является новой версией Debian
10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском buster
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
appstream-glib | Исправление ошибок сборки в 2020 году и более поздних |
asunder | Использование по умолчанию gnudb вместо freedb |
b43-fwcutter | Проверка того, что удаление при использовании отличных от английской локалей успешно; не прерывать удаление в случае, если более не существуют некоторые файлы; исправление отсутствующих зависимостей от pciutils и ca-certificates |
balsa | Предоставление идентификации сервера при проверке сертификатов, что позволяет успешно выполнять проверку при использовании заплаты glib-networking для CVE-2020-13645 |
base-files | Обновление для текущей редакции |
batik | Исправление подделки запроса на стороне сервера через атрибуты xlink:href [CVE-2019-17566] |
borgbackup | Исправление повреждения указателя, приводящего к потере данных |
bundler | Обновление необходимой версии ruby-molinillo |
c-icap-modules | Добавление поддержку для ClamAV 0.102 |
cacti | Исправление проблемы, при которой временные метки UNIX после 13 сентября 2020 отклоняются в качестве начала/конца графика; исправление удалённого выполнения кода [CVE-2020-7237], межсайтового скриптинга [CVE-2020-7106], проблемы CSRF [CVE-2020-13231]; отключение пользовательской учётной записи теперь не приводит сразу же к неправильным правам доступа [CVE-2020-13230] |
calamares-settings-debian | Включение модуля displaymanager, исправляющего опции автоматического входа; использование xdg-user-dir для определения каталога рабочего стола |
clamav | Новый выпуск основной ветки разработки; исправления безопасности [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] |
cloud-init | Новый выпуск основной ветки разработки |
commons-configuration2 | Предотвращение создания объекта при загрузке YAML-файлов [CVE-2020-1953] |
confget | Исправление обработки с помощью модуля Python значений, содержащих = |
dbus | Новый стабильный выпуск основной ветки разработки; предотвращение отказа в обслуживании [CVE-2020-12049]; предотвращение использования указателей после освобождения памяти, если у двух имён пользователей имеется один идентификатор |
debian-edu-config | Исправление потери динамически выделенных IPv4-адресов |
debian-installer | Обновление ABI Linux до версии 4.19.0-10 |
debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
debian-ports-archive-keyring | Увеличение срока действия ключ 2020 (84C573CD4E1AFD6C) на один год; добавление ключа для автоматических подписей архива Debian Ports (2021); перенос ключа 2018 (ID: 06AED62430CB581C) в брелок удалённых ключей |
debian-security-support | Обновление статуса поддержки некоторых пакетов |
dpdk | Новый выпуск основной ветки разработки |
exiv2 | исправление чрезмерно ограничительной заплаты [CVE-2018-10958 и CVE-2018-10999]; исправление отказа в обслуживании [CVE-2018-16336] |
fdroidserver | Исправление проверки адреса Litecoin |
file-roller | Исправление безопасности [CVE-2020-11736] |
freerdp2 | Исправление входа с помощью смарткарт; исправления безопасности [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] |
fwupd | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
fwupd-amd64-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
fwupd-arm64-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
fwupd-armhf-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
fwupd-i386-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
fwupdate | Использование изменённых ключей Debian для подписывания |
fwupdate-amd64-signed | Использование изменённых ключей Debian для подписывания |
fwupdate-arm64-signed | Использование изменённых ключей Debian для подписывания |
fwupdate-armhf-signed | Использование изменённых ключей Debian для подписывания |
fwupdate-i386-signed | Использование изменённых ключей Debian для подписывания |
gist | Прекращение использования устаревшего API для авторизации |
glib-networking | Возвращение ошибки плохой идентификации, если идентификация не задана [CVE-2020-13645]; ломает balsa старее версии 2.5.6-2+deb10u1, поскольку исправления для CVE-2020-13645 приводит к поломке проверки сертификата в balsa |
gnutls28 | Исправление ошибок возобновления TL1.2; исправление утечки памяти; обработка сессионных билетов с нулевой длиной, что исправляет ошибки соединения в сессиях TLS1.2 при подключении к некоторым крупным поставщикам хостинга; исправление ошибки проверки с изменёнными цепочками |
intel-microcode | Откат некоторых микрокодов до предыдущих редакций, обход зависаний при загрузке на Skylake-U/Y и Skylake Xeon E3 |
jackson-databind | Исправление многочисленных проблем безопасности, касающихся BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 и CVE-2019-17267] |
jameica | Добавление mckoisqldb в classpath, что позволяет использовать дополнение SynTAX |
jigdo | Исправление поддержки HTTPS в jigdo-lite и jigdo-mirror |
ksh | Исправление проблемы с ограничением переменных окружения [CVE-2019-14868] |
lemonldap-ng | Исправление регрессии в настройке nginx, добавленной в исправлении для CVE-2019-19791 |
libapache-mod-jk | Переименование файла настройки Apache, чтобы его можно было включать и выключать автоматически |
libclamunrar | Новый стабильный выпуск основной ветки разработки; добавление метапакета без указания версии в имени |
libembperl-perl | Обработка страниц ошибок из >= 2.4.40 |
libexif | Исправления безопасности [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; исправление переполнения буфера [CVE-2020-0182] и переполнения целых чисел [CVE-2020-0198] |
libinput | Quirks: добавление атрибута интеграции trackpoint |
libntlm | Исправление переполнения буфера [CVE-2019-17455] |
libpam-radius-auth | Исправление переполнения буфера в поле для ввода пароля [CVE-2015-9542] |
libunwind | Исправление ошибок сегментирования на mips; включение поддержки исключений C++ вручную только на архитектурах i386 и amd64 |
libyang | Исправление аварийной остановки из-за повреждения кэша, CVE-2019-19333, CVE-2019-19334 |
linux | Новый стабильный выпуск основной ветки разработки |
linux-latest | Обновление ABI ядра до версии 4.19.0-10 |
linux-signed-amd64 | Новый стабильный выпуск основной ветки разработки |
linux-signed-arm64 | Новый стабильный выпуск основной ветки разработки |
linux-signed-i386 | Новый стабильный выпуск основной ветки разработки |
lirc | Исправление управления файлом настройки |
mailutils | maidag: сброс setuid-привилегий для всех операций доставки кроме mda [CVE-2019-18862] |
mariadb-10.3 | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; исправление регрессии в определении RocksDB ZSTD |
mod-gnutls | Исправление возможной ошибки сегментирования при неудачном рукопожатии TLS; исправление ошибок тестирования |
multipath-tools | kpartx: использование правильного пути к partx в правиле udev |
mutt | Не выполнять проверку шифрования IMAP PREAUTH, если используется $tunnel |
mydumper | Компоновка с libm |
nfs-utils | statd: использование идентификатора пользователя из /var/lib/nfs/sm [CVE-2019-3689]; не устанавливать владельцем /var/lib/nfs пользователя statd |
nginx | Исправление подделки запроса страницы ошибки [CVE-2019-20372] |
nmap | Обновление размера ключа по умолчанию до 2048 бит |
node-dot-prop | Исправление регрессии, введённой в исправлении CVE-2020-8116 |
node-handlebars | Запрет прямых вызовов helperMissingи blockHelperMissing[CVE-2019-19919] |
node-minimist | Исправление загрязнения прототипа [CVE-2020-7598] |
nvidia-graphics-drivers | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967] |
nvidia-graphics-drivers-legacy-390xx | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967] |
openstack-debian-images | Установка resolvconf, если устанавливается cloud-init |
pagekite | Предотвращение проблем с истёкшим сроком действия поставляемых SSL-сертификатов путём использования сертификатов из пакета ca-certificates |
pdfchain | Исправление аварийной остановки при запуске |
perl | Исправления многочисленных проблем безопасности, связанных с регулярными выражениями [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
php-horde | Исправление межсайтового скриптинга [CVE-2020-8035] |
php-horde-gollem | Исправление межсайтового скриптинга в выводе breadcrumb [CVE-2020-8034] |
pillow | Исправление чтения за пределами выделенного буфера памяти [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] |
policyd-rate-limit | Исправление проблем учёта из-за повторного использования сокета |
postfix | Новый стабильный выпуск основной ветки разработки; исправление ошибки сегментирования в клиентской роли tlsproxy, если отключена серверная роль; исправление ошибки по умолчанию значение maillog_file_rotate_suffix использует минуты вместо месяцев; исправление нескольких связанных с TLS проблем; исправления README.Debian |
python-markdown2 | Исправление межсайтового скриптинга [CVE-2020-11888] |
python3.7 | Предотвращение бесконечного цикла при чтении специально сформированных TAR-файлов с помощью модуля tarfile [CVE-2019-20907]; исправление столкновений хэша для IPv4Interface и IPv6Interface [CVE-2020-14422]; исправление отказа в обслуживании в urllib.request.AbstractBasicAuthHandler [CVE-2020-8492] |
qdirstat | Исправлено сохранение настроенных пользователем категорий MIME |
raspi3-firmware | Исправление опечатки, которая может приводить к невозможности загрузить систему |
resource-agents | IPsrcaddr: опциональное использование proto, чтобы исправить регрессию при использовании без NetworkManager |
ruby-json | Исправление небезопасного создания объектов [CVE-2020-10663] |
shim | Использование изменённых ключей Debian для подписывания |
shim-helpers-amd64-signed | Использование изменённых ключей Debian для подписывания |
shim-helpers-arm64-signed | Использование изменённых ключей Debian для подписывания |
shim-helpers-i386-signed | Использование изменённых ключей Debian для подписывания |
speedtest-cli | Передача правильных заголовков для исправления теста скорости загрузки |
ssvnc | Исправление записи за пределами выделенного буфера памяти [CVE-2018-20020], бесконечного цикла [CVE-2018-20021], неправильной инициализации [CVE-2018-20022], потенциального отказа в обслуживании [CVE-2018-20024] |
storebackup | Исправление потенциального повышения привилегий [CVE-2020-7040] |
suricata | Исправление сброса привилегий в режиме исполнения nflog |
tigervnc | Прекращение использования libunwind на armel, armhf и arm64 |
transmission | Исправление возможного отказа в обслуживании [CVE-2018-10756] |
wav2cdr | Использование целочисленных типов фиксированной длины по стандарту C99 для исправления утверждения времени исполнения на 64-битных архитектурах, отличных от amd64 и alpha |
zipios++ | Исправление безопасности [CVE-2019-13453] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
Пакет | Причина |
---|---|
golang-github-unknwon-cae | Проблема безопасности; не сопровождается |
janus | Не поддерживается в стабильном выпуске |
mathematica-fonts | Использует недоступный адрес для скачивания шрифтов |
matrix-synapse | Проблемы безопасности; не поддерживается |
selenium-firefoxdriver | Несовместим с новыми версиями Firefox ESR |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.