Atualização Debian 10: 10.6 lançado

26 de Setembro de 2020

O projeto Debian está feliz em anunciar a sexta atualização de sua versão estável (stable) do Debian 10 (codinome buster). Esta versão pontual adiciona principalmente correções para problemas de segurança, além de pequenos ajustes para problemas sérios. Avisos de segurança já foram publicados em separado e são referenciados quando necessário.

Por favor note que a versão pontual não constitui uma nova versão do Debian 10 mas apenas atualiza alguns pacotes já incluídos. Não há necessidade de jogar fora as antigas mídias do buster Após a instalação, os pacotes podem ser atualizados para as versões mais atuais usando um espelho atualizado do Debian.

Aquelas pessoas que frequentemente instalam atualizações a partir do security.debian.org não precisarão atualizar muitos pacotes, e a maioria dessas atualizações estão incluídas na versão pontual.

Novas imagens de instalação logo estarão disponíveis nos locais habituais.

A atualização de uma instalação existente para esta revisão pode ser feita apontando o sistema de gerenciamento de pacotes para um dos muitos espelhos HTTP do Debian. Uma lista abrangente de espelhos está disponível em:

https://www.debian.org/mirror/list

Correções de bugs gerais

Esta atualização da versão estável (stable) adiciona algumas correções importantes nos seguintes pacotes.

Note que, devido a problemas de construção, as atualizações para os pacotes cargo, rustc e rustc-bindgen não estão disponíveis para a arquitetura armel. Eles poderão ser adicionados posteriormente se os problemas forem resolvidos.

Pacote	Justificativa
arch-test	Correção de falha ocasional na detecção de s390x
asterisk	Correção de falha ao negociar T.38 com um fluxo recusado [CVE-2019-15297], requisição SIP pode alterar endereço de um peer SIP [CVE-2019-18790], Usuário(a) AMI poderia executar comandos de sistema [CVE-2019-18610], segfault em pjsip mostra o histórico com peers IPv6
bacula	Correção uma string de resumo muito grande permite a um cliente malicioso causar um estouro de pilha na memória do director [CVE-2020-11061]
base-files	Atualização de /etc/debian_version para a versão pontual
calamares-settings-debian	Desabilitado módulo displaymanager
cargo	Nova versão do aplicativo original (upstream), para suporte a futuras versões Firefox ESR
chocolate-doom	Correção de validação ausente [CVE-2020-14983]
chrony	Prevenção de situação de condição de disputa quando escrevendo o PID em arquivo [CVE-2020-14367]; Correção da leitura de temperatura
debian-installer	Atualização Linux ABI para 4.19.0-11
debian-installer-netboot-images	Reconstruído a partir de proposed-updates
diaspora-installer	Usa opção --frozen para a o pacote de instalação utilizar a Gemfile.lock do aplicativo original; não excluir Gemfile.lock durante atualizações; não sobrescrever config/oidc_key.pem durante atualizações; tornar config/schedule.yml editável
dojo	Correção da poluição do protótipo no método deepCopy [CVE-2020-5258] e no método jqMix [CVE-2020-5259]
dovecot	Correção de regressão de sincronização do filtro sieve dsync; Correção no tratamento de resultado getpwent em userdb-passwd
facter	Mudança de Google GCE Metadata endpoint de v1beta1 para v1
gnome-maps	Correção de problema de renderização de camada de forma desalinhada
gnome-shell	LoginDialog: Reconfiguração de prompt de autenticação no switch VT antes de aparecimento gradual [CVE-2020-17489]
gnome-weather	Previne erro quando a configuração de localidades é inválida
grunt	Usa safeLoad quando carregando arquivos YAML [CVE-2020-7729]
gssdp	Nova versão estável do aplicativo original (upstream)
gupnp	Nova Versão estável do aplicativo original (upstream); Previne o ataque CallStranger [CVE-2020-12695]; requer GSSDP 1.0.5
haproxy	logrotate.conf: Usa rsyslog helper em vez do script SysV init; rejeita mensagens em que chunked está ausente de Transfer-Encoding [CVE-2019-18277]
icinga2	Correção de ataque de link simbólico [CVE-2020-14004]
incron	Correção de limpeza de processos zumbis
inetutils	Correção de problema de execução de código remoto [CVE-2020-10188]
libcommons-compress-java	Correção de problema de negação de serviço [CVE-2019-12402]
libdbi-perl	Correção de corrupção de memória em função XS quando pilha Perl é realocada [CVE-2020-14392]; correção de estouro de buffer em uma classe DBD com nome excessivamente longo [CVE-2020-14393]; correção de desreferência de pefil nulo em dbi_profile() [CVE-2019-20919]
libvncserver	libvncclient: Abandona se o nome do socket UNIX causar sobrecarga [CVE-2019-20839]; Correção de problema de alinhamento/aliasing [CVE-2020-14399]; limitação do tamanho máximo de textchat [CVE-2020-14405]; libvncserver: Adiciona checagem de ponteiros nulos ausentes [CVE-2020-14397]; correção de problem de aliasing/alinhamento [CVE-2020-14400]; scale: transforma em 64 bit antes de mudança [CVE-2020-14401]; Previne acessos OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404]
libx11	Correção de estouro de inteiro [CVE-2020-14344 CVE-2020-14363]
lighttpd	Backport de diversas correções de usabilidade e segurança
linux	Nova versão estável do aplicativo original; Incremento de ABI para 11
linux-latest	Atualização para -11 para o kernel Linux ABI
linux-signed-amd64	Nova versão estável do aplicativo original
linux-signed-arm64	Nova versão estável do aplicativo original
linux-signed-i386	Nova versão estável do aplicativo original
llvm-toolchain-7	Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR; correção de bugs afetando construção rustc
lucene-solr	Correção de problema de segurança na manipulação de configuração em DataImportHandler [CVE-2019-0193]
milkytracker	Correção de heap overflow [CVE-2019-14464], estouro de pilha [CVE-2019-14496], heap overflow [CVE-2019-14497], uso após ficar livre [CVE-2020-15569]
node-bl	Correção de vulnerabilidade over-read [CVE-2020-8244]
node-elliptic	Prevenção de sobrecargas e maleabilidade [CVE-2020-13822]
node-mysql	Adição de opção localInfile para controle LOAD DATA LOCAL INFILE [CVE-2019-14939]
node-url-parse	Correção de validação insuficiente e sanitização de entrada de usuário(a) [CVE-2020-8124]
npm	Não mostrar senhas nos logs [CVE-2020-15095]
orocos-kdl	Remove inclusão explícita de caminho de inclusão padrão, corrigindo problemas com cmake < 3.16
postgresql-11	Nova versão estável do aplicativo original; Define um search_path seguro em replicação lógica walsenders e aplica workers [CVE-2020-14349]; Scripts de instalação make contrib modules' mais seguros [CVE-2020-14350]
postgresql-common	Não baixa plpgsql antes de testar extensões
pyzmq	Asyncio: aguarda por POLLOUT no remetente em can_connect
qt4-x11	Correção de estouro de buffer no analisador XBM [CVE-2020-17507]
qtbase-opensource-src	Correção de estouro de buffer em analisador XBM [CVE-2020-17507]; Correção de quebra da área de transferência quando o temporizador conclui depois de 50 dias
ros-actionlib	Carregamento seguro de YAML [CVE-2020-10289]
rustc	Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR
rust-cbindgen	Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR
ruby-ronn	Correção de manipulação de conteúdo UTF-8 nas manpages
s390-tools	Inserido no próprio código de dependência perl em vez de utilização de ${perl:Depends}, correção de instalação sob debootstrap

Atualizações de segurança

Esta revisão adiciona as seguintes atualizações de segurança para a versão estável (stable). A equipe de segurança já lançou um aviso para cada uma dessas atualizações:

ID do aviso	Pacote
DSA-4662	openjdk-11
DSA-4734	openjdk-11
DSA-4736	firefox-esr
DSA-4737	xrdp
DSA-4738	ark
DSA-4739	webkit2gtk
DSA-4740	thunderbird
DSA-4741	json-c
DSA-4742	firejail
DSA-4743	ruby-kramdown
DSA-4744	roundcube
DSA-4745	dovecot
DSA-4746	net-snmp
DSA-4747	icingaweb2
DSA-4748	ghostscript
DSA-4749	firefox-esr
DSA-4750	nginx
DSA-4751	squid
DSA-4752	bind9
DSA-4753	mupdf
DSA-4754	thunderbird
DSA-4755	openexr
DSA-4756	lilypond
DSA-4757	apache2
DSA-4758	xorg-server
DSA-4759	ark
DSA-4760	qemu
DSA-4761	zeromq3
DSA-4762	lemonldap-ng
DSA-4763	teeworlds
DSA-4764	inspircd
DSA-4765	modsecurity

Instalador do Debian

O instalador foi atualizado para incluir as correções incorporadas na versão estável (stable) pela versão pontual.

URLs

As listas completas dos pacotes que foram alterados por esta revisão:

http://ftp.debian.org/debian/dists/buster/ChangeLog

A atual versão estável (stable):

http://ftp.debian.org/debian/dists/stable/

Atualizações propostas (proposed updates) para a versão estável (stable):

http://ftp.debian.org/debian/dists/proposed-updates

Informações da versão estável (stable) (notas de lançamento, errata etc):

https://www.debian.org/releases/stable/

Anúncios de segurança e informações:

https://www.debian.org/security/

Sobre o Debian

O projeto Debian é uma associação de desenvolvedores(as) de Software Livre que dedicam seu tempo e esforço como voluntários(as) para produzir o sistema operacional completamente livre Debian.

Informações de Contato

Para mais informações, por favor visite as páginas web do Debian em https://www.debian.org/, envie um email (em inglês) para <press@debian.org>, ou entre em contato (em inglês) com o time de lançamento da versão estável (stable) em <debian-release@lists.debian.org>.