Обновлённый Debian 10: выпуск 10.5
01 Августа 2020
Проект Debian с радостью сообщает о пятом обновлении своего
стабильного выпуска Debian 10 (кодовое имя buster
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Кроме того, в данной редакции приняты меры в соответствии с важной рекомендацией по безопасности Debian, DSA-4735-1 grub2 -- обновление безопасности, которая касается нескольких CVE, связанных с уязвимостью UEFI SecureBoot 'BootHole' в GRUB2.
Заметьте, что это обновление не является новой версией Debian
10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском buster
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| appstream-glib | Исправление ошибок сборки в 2020 году и более поздних |
| asunder | Использование по умолчанию gnudb вместо freedb |
| b43-fwcutter | Проверка того, что удаление при использовании отличных от английской локалей успешно; не прерывать удаление в случае, если более не существуют некоторые файлы; исправление отсутствующих зависимостей от pciutils и ca-certificates |
| balsa | Предоставление идентификации сервера при проверке сертификатов, что позволяет успешно выполнять проверку при использовании заплаты glib-networking для CVE-2020-13645 |
| base-files | Обновление для текущей редакции |
| batik | Исправление подделки запроса на стороне сервера через атрибуты xlink:href [CVE-2019-17566] |
| borgbackup | Исправление повреждения указателя, приводящего к потере данных |
| bundler | Обновление необходимой версии ruby-molinillo |
| c-icap-modules | Добавление поддержку для ClamAV 0.102 |
| cacti | Исправление проблемы, при которой временные метки UNIX после 13 сентября 2020 отклоняются в качестве начала/конца графика; исправление удалённого выполнения кода [CVE-2020-7237], межсайтового скриптинга [CVE-2020-7106], проблемы CSRF [CVE-2020-13231]; отключение пользовательской учётной записи теперь не приводит сразу же к неправильным правам доступа [CVE-2020-13230] |
| calamares-settings-debian | Включение модуля displaymanager, исправляющего опции автоматического входа; использование xdg-user-dir для определения каталога рабочего стола |
| clamav | Новый выпуск основной ветки разработки; исправления безопасности [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] |
| cloud-init | Новый выпуск основной ветки разработки |
| commons-configuration2 | Предотвращение создания объекта при загрузке YAML-файлов [CVE-2020-1953] |
| confget | Исправление обработки с помощью модуля Python значений, содержащих = |
| dbus | Новый стабильный выпуск основной ветки разработки; предотвращение отказа в обслуживании [CVE-2020-12049]; предотвращение использования указателей после освобождения памяти, если у двух имён пользователей имеется один идентификатор |
| debian-edu-config | Исправление потери динамически выделенных IPv4-адресов |
| debian-installer | Обновление ABI Linux до версии 4.19.0-10 |
| debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
| debian-ports-archive-keyring | Увеличение срока действия ключ 2020 (84C573CD4E1AFD6C) на один год; добавление ключа для автоматических подписей архива Debian Ports (2021); перенос ключа 2018 (ID: 06AED62430CB581C) в брелок удалённых ключей |
| debian-security-support | Обновление статуса поддержки некоторых пакетов |
| dpdk | Новый выпуск основной ветки разработки |
| exiv2 | исправление чрезмерно ограничительной заплаты [CVE-2018-10958 и CVE-2018-10999]; исправление отказа в обслуживании [CVE-2018-16336] |
| fdroidserver | Исправление проверки адреса Litecoin |
| file-roller | Исправление безопасности [CVE-2020-11736] |
| freerdp2 | Исправление входа с помощью смарткарт; исправления безопасности [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] |
| fwupd | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
| fwupd-amd64-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
| fwupd-arm64-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
| fwupd-armhf-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
| fwupd-i386-signed | Новый выпуск основной ветки разработки; исправление возможной проблемы с проверкой подписи [CVE-2020-10759]; использование изменённых ключей Debian для подписывания |
| fwupdate | Использование изменённых ключей Debian для подписывания |
| fwupdate-amd64-signed | Использование изменённых ключей Debian для подписывания |
| fwupdate-arm64-signed | Использование изменённых ключей Debian для подписывания |
| fwupdate-armhf-signed | Использование изменённых ключей Debian для подписывания |
| fwupdate-i386-signed | Использование изменённых ключей Debian для подписывания |
| gist | Прекращение использования устаревшего API для авторизации |
| glib-networking | Возвращение ошибки плохой идентификации, если идентификация не задана [CVE-2020-13645]; ломает balsa старее версии 2.5.6-2+deb10u1, поскольку исправления для CVE-2020-13645 приводит к поломке проверки сертификата в balsa |
| gnutls28 | Исправление ошибок возобновления TL1.2; исправление утечки памяти; обработка сессионных билетов с нулевой длиной, что исправляет ошибки соединения в сессиях TLS1.2 при подключении к некоторым крупным поставщикам хостинга; исправление ошибки проверки с изменёнными цепочками |
| intel-microcode | Откат некоторых микрокодов до предыдущих редакций, обход зависаний при загрузке на Skylake-U/Y и Skylake Xeon E3 |
| jackson-databind | Исправление многочисленных проблем безопасности, касающихся BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 и CVE-2019-17267] |
| jameica | Добавление mckoisqldb в classpath, что позволяет использовать дополнение SynTAX |
| jigdo | Исправление поддержки HTTPS в jigdo-lite и jigdo-mirror |
| ksh | Исправление проблемы с ограничением переменных окружения [CVE-2019-14868] |
| lemonldap-ng | Исправление регрессии в настройке nginx, добавленной в исправлении для CVE-2019-19791 |
| libapache-mod-jk | Переименование файла настройки Apache, чтобы его можно было включать и выключать автоматически |
| libclamunrar | Новый стабильный выпуск основной ветки разработки; добавление метапакета без указания версии в имени |
| libembperl-perl | Обработка страниц ошибок из >= 2.4.40 |
| libexif | Исправления безопасности [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; исправление переполнения буфера [CVE-2020-0182] и переполнения целых чисел [CVE-2020-0198] |
| libinput | Quirks: добавление атрибута интеграции trackpoint |
| libntlm | Исправление переполнения буфера [CVE-2019-17455] |
| libpam-radius-auth | Исправление переполнения буфера в поле для ввода пароля [CVE-2015-9542] |
| libunwind | Исправление ошибок сегментирования на mips; включение поддержки исключений C++ вручную только на архитектурах i386 и amd64 |
| libyang | Исправление аварийной остановки из-за повреждения кэша, CVE-2019-19333, CVE-2019-19334 |
| linux | Новый стабильный выпуск основной ветки разработки |
| linux-latest | Обновление ABI ядра до версии 4.19.0-10 |
| linux-signed-amd64 | Новый стабильный выпуск основной ветки разработки |
| linux-signed-arm64 | Новый стабильный выпуск основной ветки разработки |
| linux-signed-i386 | Новый стабильный выпуск основной ветки разработки |
| lirc | Исправление управления файлом настройки |
| mailutils | maidag: сброс setuid-привилегий для всех операций доставки кроме mda [CVE-2019-18862] |
| mariadb-10.3 | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; исправление регрессии в определении RocksDB ZSTD |
| mod-gnutls | Исправление возможной ошибки сегментирования при неудачном рукопожатии TLS; исправление ошибок тестирования |
| multipath-tools | kpartx: использование правильного пути к partx в правиле udev |
| mutt | Не выполнять проверку шифрования IMAP PREAUTH, если используется $tunnel |
| mydumper | Компоновка с libm |
| nfs-utils | statd: использование идентификатора пользователя из /var/lib/nfs/sm [CVE-2019-3689]; не устанавливать владельцем /var/lib/nfs пользователя statd |
| nginx | Исправление подделки запроса страницы ошибки [CVE-2019-20372] |
| nmap | Обновление размера ключа по умолчанию до 2048 бит |
| node-dot-prop | Исправление регрессии, введённой в исправлении CVE-2020-8116 |
| node-handlebars | Запрет прямых вызовов helperMissingи blockHelperMissing[CVE-2019-19919] |
| node-minimist | Исправление загрязнения прототипа [CVE-2020-7598] |
| nvidia-graphics-drivers | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967] |
| nvidia-graphics-drivers-legacy-390xx | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2020-5963 CVE-2020-5967] |
| openstack-debian-images | Установка resolvconf, если устанавливается cloud-init |
| pagekite | Предотвращение проблем с истёкшим сроком действия поставляемых SSL-сертификатов путём использования сертификатов из пакета ca-certificates |
| pdfchain | Исправление аварийной остановки при запуске |
| perl | Исправления многочисленных проблем безопасности, связанных с регулярными выражениями [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Исправление межсайтового скриптинга [CVE-2020-8035] |
| php-horde-gollem | Исправление межсайтового скриптинга в выводе breadcrumb [CVE-2020-8034] |
| pillow | Исправление чтения за пределами выделенного буфера памяти [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] |
| policyd-rate-limit | Исправление проблем учёта из-за повторного использования сокета |
| postfix | Новый стабильный выпуск основной ветки разработки; исправление ошибки сегментирования в клиентской роли tlsproxy, если отключена серверная роль; исправление ошибки по умолчанию значение maillog_file_rotate_suffix использует минуты вместо месяцев; исправление нескольких связанных с TLS проблем; исправления README.Debian |
| python-markdown2 | Исправление межсайтового скриптинга [CVE-2020-11888] |
| python3.7 | Предотвращение бесконечного цикла при чтении специально сформированных TAR-файлов с помощью модуля tarfile [CVE-2019-20907]; исправление столкновений хэша для IPv4Interface и IPv6Interface [CVE-2020-14422]; исправление отказа в обслуживании в urllib.request.AbstractBasicAuthHandler [CVE-2020-8492] |
| qdirstat | Исправлено сохранение настроенных пользователем категорий MIME |
| raspi3-firmware | Исправление опечатки, которая может приводить к невозможности загрузить систему |
| resource-agents | IPsrcaddr: опциональное использование proto, чтобы исправить регрессию при использовании без NetworkManager |
| ruby-json | Исправление небезопасного создания объектов [CVE-2020-10663] |
| shim | Использование изменённых ключей Debian для подписывания |
| shim-helpers-amd64-signed | Использование изменённых ключей Debian для подписывания |
| shim-helpers-arm64-signed | Использование изменённых ключей Debian для подписывания |
| shim-helpers-i386-signed | Использование изменённых ключей Debian для подписывания |
| speedtest-cli | Передача правильных заголовков для исправления теста скорости загрузки |
| ssvnc | Исправление записи за пределами выделенного буфера памяти [CVE-2018-20020], бесконечного цикла [CVE-2018-20021], неправильной инициализации [CVE-2018-20022], потенциального отказа в обслуживании [CVE-2018-20024] |
| storebackup | Исправление потенциального повышения привилегий [CVE-2020-7040] |
| suricata | Исправление сброса привилегий в режиме исполнения nflog |
| tigervnc | Прекращение использования libunwind на armel, armhf и arm64 |
| transmission | Исправление возможного отказа в обслуживании [CVE-2018-10756] |
| wav2cdr | Использование целочисленных типов фиксированной длины по стандарту C99 для исправления утверждения времени исполнения на 64-битных архитектурах, отличных от amd64 и alpha |
| zipios++ | Исправление безопасности [CVE-2019-13453] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| golang-github-unknwon-cae | Проблема безопасности; не сопровождается |
| janus | Не поддерживается в стабильном выпуске |
| mathematica-fonts | Использует недоступный адрес для скачивания шрифтов |
| matrix-synapse | Проблемы безопасности; не поддерживается |
| selenium-firefoxdriver | Несовместим с новыми версиями Firefox ESR |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.