Обновлённый Debian 10: выпуск 10.5

01 Августа 2020

Проект Debian с радостью сообщает о пятом обновлении своего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Кроме того, в данной редакции приняты меры в соответствии с важной рекомендацией по безопасности Debian, DSA-4735-1 grub2 -- обновление безопасности, которая касается нескольких CVE, связанных с уязвимостью UEFI SecureBoot 'BootHole' в GRUB2.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
appstream-glib Исправление ошибок сборки в 2020 году и более поздних
asunder Использование по умолчанию gnudb вместо freedb
b43-fwcutter Проверка того, что удаление при использовании отличных от английской локалей успешно; не прерывать удаление в случае, если более не существуют некоторые файлы; исправление отсутствующих зависимостей от pciutils и ca-certificates
balsa Предоставление идентификации сервера при проверке сертификатов, что позволяет успешно выполнять проверку при использовании заплаты glib-networking для CVE-2020-13645
base-files Обновление для текущей редакции
batik Исправление подделки запроса на стороне сервера через атрибуты xlink:href [CVE-2019-17566]
borgbackup Исправление повреждения указателя, приводящего к потере данных
bundler Обновление необходимой версии ruby-molinillo
c-icap-modules Добавление поддержку для ClamAV 0.102
cacti Исправление проблемы, при которой временные метки UNIX после 13 сентября 2020 отклоняются в качестве начала/конца графика; исправление удалённого выполнения кода [CVE-2020-7237], межсайтового скриптинга [CVE-2020-7106], проблемы CSRF [CVE-2020-13231]; отключение пользовательской учётной записи теперь не приводит сразу же к неправильным правам доступа [CVE-2020-13230]
calamares-settings-debian Включение модуля displaymanager, исправляющего опции автоматического входа; использование xdg-user-dir для определения каталога рабочего стола
clamav Новый выпуск основной ветки разработки; исправления безопасности [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481]
cloud-init Новый выпуск основной ветки разработки
commons-configuration2 Предотвращение создания объекта при загрузке YAML-файлов [CVE-2020-1953]
confget Исправление обработки с помощью модуля Python значений, содержащих =
dbus Новый стабильный выпуск основной ветки разработки; предотвращение отказа в обслуживании [CVE-2020-12049]; предотвращение использования указателей после освобождения памяти, если у двух имён пользователей имеется один идентификатор
debian-edu-config Исправление потери динамически выделенных IPv4-адресов
debian-installer Обновление ABI Linux до версии 4.19.0-10
debian-installer-netboot-images Повторная сборка с учётом proposed-updates
debian-ports-archive-keyring Увеличение срока действия ключ 2020 (84C573CD4E1AFD6C) на один год; добавление ключа для автоматических подписей архива Debian Ports (2021); перенос ключа 2018 (ID: 06AED62430CB581C) в брелок удалённых ключей
debian-security-support Обновление статуса поддержки некоторых пакетов
dpdk Новый выпуск основной ветки разработки
exiv2 исправление чрезмерно ограничительной заплаты [CVE-2018-10958 и CVE-2018-10999]; исправление отказа в обслуживании [CVE-2018-16336]
fdroidserver Исправление проверки адреса Litecoin
file-roller Исправление безопасности [CVE-2020-11736]
freerdp2 Исправление входа с помощью смарткарт; исправления безопасности [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526]
fwupd Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания
fwupd-amd64-signed Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания
fwupd-arm64-signed Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания
fwupd-armhf-signed Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания
fwupd-i386-signed Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания
fwupdate Использование изменённых ключей Debian для подписывания
fwupdate-amd64-signed Использование изменённых ключей Debian для подписывания
fwupdate-arm64-signed Использование изменённых ключей Debian для подписывания
fwupdate-armhf-signed Использование изменённых ключей Debian для подписывания
fwupdate-i386-signed Использование изменённых ключей Debian для подписывания
gist Прекращение использования устаревшего API для авторизации
glib-networking Возвращение ошибки плохой идентификации, если идентификация не задана [CVE-2020-13645]; ломает balsa старее версии 2.5.6-2+deb10u1, поскольку исправления для CVE-2020-13645 приводит к поломке проверки сертификата в balsa
gnutls28 Исправление ошибок возобновления TL1.2; исправление утечки памяти; обработка сессионных билетов с нулевой длиной, что исправляет ошибки соединения в сессиях TLS1.2 при подключении к некоторым крупным поставщикам хостинга; исправление ошибки проверки с изменёнными цепочками
intel-microcode Откат некоторых микрокодов до предыдущих редакций, обход зависаний при загрузке на Skylake-U/Y и Skylake Xeon E3
jackson-databind Исправление многочисленных проблем безопасности, касающихся BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 и CVE-2019-17267]
jameica Добавление mckoisqldb в classpath, что позволяет использовать дополнение SynTAX
jigdo Исправление поддержки HTTPS в jigdo-lite и jigdo-mirror
ksh Исправление проблемы с ограничением переменных окружения [CVE-2019-14868]
lemonldap-ng Исправление регрессии в настройке nginx, добавленной в исправлении для CVE-2019-19791
libapache-mod-jk Переименование файла настройки Apache, чтобы его можно было включать и выключать автоматически
libclamunrar Новый стабильный выпуск основной ветки разработки; добавление метапакета без указания версии в имени
libembperl-perl Обработка страниц ошибок из >= 2.4.40
libexif Исправления безопасности [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; исправление переполнения буфера [CVE-2020-0182] и переполнения целых чисел [CVE-2020-0198]
libinput Quirks: добавление атрибута интеграции trackpoint
libntlm Исправление переполнения буфера [CVE-2019-17455]
libpam-radius-auth Исправление переполнения буфера в поле для ввода пароля [CVE-2015-9542]
libunwind Исправление ошибок сегментирования на mips; включение поддержки исключений C++ вручную только на архитектурах i386 и amd64
libyang Исправление аварийной остановки из-за повреждения кэша, CVE-2019-19333, CVE-2019-19334
linux Новый стабильный выпуск основной ветки разработки
linux-latest Обновление ABI ядра до версии 4.19.0-10
linux-signed-amd64 Новый стабильный выпуск основной ветки разработки
linux-signed-arm64 Новый стабильный выпуск основной ветки разработки
linux-signed-i386 Новый стабильный выпуск основной ветки разработки
lirc Исправление управления файлом настройки
mailutils maidag: сброс setuid-привилегий для всех операций доставки кроме mda [CVE-2019-18862]
mariadb-10.3 Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; исправление регрессии в определении RocksDB ZSTD
mod-gnutls Исправление возможной ошибки сегментирования при неудачном рукопожатии TLS; исправление ошибок тестирования
multipath-tools kpartx: использование правильного пути к partx в правиле udev
mutt Не выполнять проверку шифрования IMAP PREAUTH, если используется $tunnel
mydumper Компоновка с libm
nfs-utils statd: использование идентификатора пользователя из /var/lib/nfs/sm [CVE-2019-3689]; не устанавливать владельцем /var/lib/nfs пользователя statd
nginx Исправление подделки запроса страницы ошибки [CVE-2019-20372]
nmap Обновление размера ключа по умолчанию до 2048 бит
node-dot-prop Исправление регрессии, введённой в исправлении CVE-2020-8116
node-handlebars Запрет прямых вызовов helperMissing и blockHelperMissing [CVE-2019-19919]
node-minimist Исправление загрязнения прототипа [CVE-2020-7598]
nvidia-graphics-drivers Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967]
nvidia-graphics-drivers-legacy-390xx Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967]
openstack-debian-images Установка resolvconf, если устанавливается cloud-init
pagekite Предотвращение проблем с истёкшим сроком действия поставляемых SSL-сертификатов путём использования сертификатов из пакета ca-certificates
pdfchain Исправление аварийной остановки при запуске
perl Исправления многочисленных проблем безопасности, связанных с регулярными выражениями [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723]
php-horde Исправление межсайтового скриптинга [CVE-2020-8035]
php-horde-gollem Исправление межсайтового скриптинга в выводе breadcrumb [CVE-2020-8034]
pillow Исправление чтения за пределами выделенного буфера памяти [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177]
policyd-rate-limit Исправление проблем учёта из-за повторного использования сокета
postfix Новый стабильный выпуск основной ветки разработки; исправление ошибки сегментирования в клиентской роли tlsproxy, если отключена серверная роль; исправление ошибки по умолчанию значение maillog_file_rotate_suffix использует минуты вместо месяцев; исправление нескольких связанных с TLS проблем; исправления README.Debian
python-markdown2 Исправление межсайтового скриптинга [CVE-2020-11888]
python3.7 Предотвращение бесконечного цикла при чтении специально сформированных TAR-файлов с помощью модуля tarfile [CVE-2019-20907]; исправление столкновений хэша для IPv4Interface и IPv6Interface [CVE-2020-14422]; исправление отказа в обслуживании в urllib.request.AbstractBasicAuthHandler [CVE-2020-8492]
qdirstat Исправлено сохранение настроенных пользователем категорий MIME
raspi3-firmware Исправление опечатки, которая может приводить к невозможности загрузить систему
resource-agents IPsrcaddr: опциональное использование proto, чтобы исправить регрессию при использовании без NetworkManager
ruby-json Исправление небезопасного создания объектов [CVE-2020-10663]
shim Использование изменённых ключей Debian для подписывания
shim-helpers-amd64-signed Использование изменённых ключей Debian для подписывания
shim-helpers-arm64-signed Использование изменённых ключей Debian для подписывания
shim-helpers-i386-signed Использование изменённых ключей Debian для подписывания
speedtest-cli Передача правильных заголовков для исправления теста скорости загрузки
ssvnc Исправление записи за пределами выделенного буфера памяти [CVE-2018-20020], бесконечного цикла [CVE-2018-20021], неправильной инициализации [CVE-2018-20022], потенциального отказа в обслуживании [CVE-2018-20024]
storebackup Исправление потенциального повышения привилегий [CVE-2020-7040]
suricata Исправление сброса привилегий в режиме исполнения nflog
tigervnc Прекращение использования libunwind на armel, armhf и arm64
transmission Исправление возможного отказа в обслуживании [CVE-2018-10756]
wav2cdr Использование целочисленных типов фиксированной длины по стандарту C99 для исправления утверждения времени исполнения на 64-битных архитектурах, отличных от amd64 и alpha
zipios++ Исправление безопасности [CVE-2019-13453]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4626 php7.3
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4679 keystone
DSA-4680 tomcat9
DSA-4681 webkit2gtk
DSA-4682 squid
DSA-4683 thunderbird
DSA-4684 libreswan
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4690 dovecot
DSA-4691 pdns-recursor
DSA-4692 netqmail
DSA-4694 unbound
DSA-4695 firefox-esr
DSA-4696 nodejs
DSA-4697 gnutls28
DSA-4699 linux-signed-amd64
DSA-4699 linux-signed-arm64
DSA-4699 linux-signed-i386
DSA-4699 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4704 vlc
DSA-4705 python-django
DSA-4707 mutt
DSA-4708 neomutt
DSA-4709 wordpress
DSA-4710 trafficserver
DSA-4711 coturn
DSA-4712 imagemagick
DSA-4713 firefox-esr
DSA-4714 chromium
DSA-4716 docker.io
DSA-4718 thunderbird
DSA-4719 php7.3
DSA-4720 roundcube
DSA-4721 ruby2.5
DSA-4722 ffmpeg
DSA-4723 xen
DSA-4724 webkit2gtk
DSA-4725 evolution-data-server
DSA-4726 nss
DSA-4727 tomcat9
DSA-4728 qemu
DSA-4729 libopenmpt
DSA-4730 ruby-sanitize
DSA-4731 redis
DSA-4732 squid
DSA-4733 qemu
DSA-4735 grub-efi-amd64-signed
DSA-4735 grub-efi-arm64-signed
DSA-4735 grub-efi-ia32-signed
DSA-4735 grub2

Удалённые пакеты

Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:

Пакет Причина
golang-github-unknwon-cae Проблема безопасности; не сопровождается
janus Не поддерживается в стабильном выпуске
mathematica-fonts Использует недоступный адрес для скачивания шрифтов
matrix-synapse Проблемы безопасности; не поддерживается
selenium-firefoxdriver Несовместим с новыми версиями Firefox ESR

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.