Обновлённый Debian 10: выпуск 10.6

26 Сентября 2020

Проект Debian с радостью сообщает о шестом обновлении своего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
arch-test Исправление обнаружения архитектуры s390x
asterisk Исправление аварийной остановки при согласовании T.38 с отклонённым потоком [CVE-2019-15297], SIP-запрос может изменить адрес SIP-узла [CVE-2019-18790], пользователь AMI может выполнить системные команды [CVE-2019-18610], ошибка сегментирования в показе истории pjsip с одноранговыми узлами IPv6
bacula Исправление ошибки слишком большие строки в резюме сообщений позволяют вредоносному клиенту вызывать переполнение динамической памяти у контроллера [CVE-2020-11061]
base-files Обновление /etc/debian_version для текущей редакции
calamares-settings-debian Отключение модуля displaymanager
cargo Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR
chocolate-doom Исправление отсутствующей проверки [CVE-2020-14983]
chrony Предотвращение гонки символьных ссылок при записи в PID-файл [CVE-2020-14367]; исправление чтения температуры
debian-installer Обновление ABI Linux до версии 4.19.0-11
debian-installer-netboot-images Повторная сборка с учётом proposed-updates
diaspora-installer Использование опции --frozen для привязки установки к использованию Gemfile.lock, поставляемого из основной ветки разработки; отмена исключения Gemfile.lock во время обновлений; не перезаписывать config/oidc_key.pem во время обновлений; разрешение записи в config/schedule.yml
dojo Исправление загрязнения прототипа в методе deepCopy [CVE-2020-5258] в в методе jqMix [CVE-2020-5259]
dovecot Исправление регрессии отсеивающего фильтра dsync; исправление обработки результата getpwent в userdb-passwd
facter Изменение конечной точки Google GCE Metadata с v1beta1 на v1
gnome-maps Исправление проблемы с отрисовкой неправильно выровненного слоя фигуры
gnome-shell LoginDialog: сброс приглашения аутентификации при переключении VT до постепенного появления изображения [CVE-2020-17489]
gnome-weather Предотвращение аварийной остановки при ошибочной настройке набора локаций
grunt Использование safeLoad при загрузке YAML-файлов [CVE-2020-7729]
gssdp Новый стабильный выпуск основной ветки разработки
gupnp Новый стабильный выпуск основной ветки разработки; предотвращение атаки CallStranger [CVE-2020-12695]; требование GSSDP 1.0.5
haproxy logrotate.conf: использование вспомогательного сценария вместо сценария инициализации SysV; отклонение сообщений с отсутствующим параметром chunked в Transfer-Encoding [CVE-2019-18277]
icinga2 Исправление атаки через символьные ссылки [CVE-2020-14004]
incron Исправление очистки бездействующих процессов
inetutils Исправление проблемы с удалённым выполнением кода [CVE-2020-10188]
libcommons-compress-java Исправление отказа в обслуживании [CVE-2019-12402]
libdbi-perl Исправление повреждения содержимого памяти в функциях XS при перераспределении стека Perl [CVE-2020-14392]; исправление переполнения буфера при использовании слишком длинного имени класса DBD [CVE-2020-14393]; исправление разыменования NULL-профиля в dbi_profile() [CVE-2019-20919]
libvncserver libvncclient: выполнение очистки, если имя UNIX-сокета может привести к переполнению [CVE-2019-20839]; исправление проблемы с выравниванием или присвоением псевдонима указателю [CVE-2020-14399]; ограничение максимального размера textchat [CVE-2020-14405]; libvncserver: добавление отсутствующих проверок NULL-указателя [CVE-2020-14397]; исправление проблемы с выравниванием или присвоением псевдонима указателю [CVE-2020-14400]; scale: изменение типа на 64-битный до выполнения сдвига [CVE-2020-14401]; предотвращение доступа к OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404]
libx11 Исправление переполнения целых чисел [CVE-2020-14344 CVE-2020-14363]
lighttpd Обратный перенос нескольких исправлений безопасности и улучшений удобства использования
linux Новый стабильный выпуск основной ветки разработки; увеличение номера версии ABI до 11
linux-latest Обновление для ABI ядра Linux версии 11
linux-signed-amd64 Новый стабильный выпуск основной ветки разработки
linux-signed-arm64 Новый стабильный выпуск основной ветки разработки
linux-signed-i386 Новый стабильный выпуск основной ветки разработки
llvm-toolchain-7 Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR; исправление ошибок сборки rustc
lucene-solr Исправление проблемы безопасности в коде обработки настройки DataImportHandler [CVE-2019-0193]
milkytracker Исправление переполнения динамической памяти [CVE-2019-14464], переполнения стека [CVE-2019-14496], переполнения динамической памяти [CVE-2019-14497], исправление указателей после освобождения памяти [CVE-2020-15569]
node-bl Исправление чтения за пределами выделенного буфера памяти [CVE-2020-8244]
node-elliptic Предотвращение возможности деформирования подписей и переполнений [CVE-2020-13822]
node-mysql Добавление опции localInfile для управления LOAD DATA LOCAL INFILE [CVE-2019-14939]
node-url-parse Исправление недостаточной проверки и очистки пользовательских входных данных [CVE-2020-8124]
npm Не показывать пароли в журналах [CVE-2020-15095]
orocos-kdl Удаление явного добавления включённого пути по умолчанию, исправление ошибок с cmake < 3.16
postgresql-11 Новый стабильный выпуск основной ветки разработки; установка безопасного значения search_path в логической репликации walsender и apply worker [CVE-2020-14349]; использование более безопасных сценариев установки модулей contrib [CVE-2020-14350]
postgresql-common Отмена сброса plpgsql до выполнения тестирования расширений
pyzmq Asyncio: ожидание POLLOUT для отправителя в can_connect
qt4-x11 Исправление переполнения буфера в коде для грамматического разбора XBM [CVE-2020-17507]
qtbase-opensource-src Исправление переполнения буфера в коде для грамматического разбора XBM [CVE-2020-17507]; исправление поломки буфера обмена при сбросе таймера, достигшего значения в 50 дней
ros-actionlib Безопасная загрузка YAML [CVE-2020-10289]
rustc Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR
rust-cbindgen Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR
ruby-ronn Исправление обработки содержимого в кодировке UTF-8 в страницах руководства
s390-tools Исправление жёсткой зависимости от perl вместо подстановки в ${perl:Depends} для исправления установки при использовании debootstrap

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4662 openjdk-11
DSA-4734 openjdk-11
DSA-4736 firefox-esr
DSA-4737 xrdp
DSA-4738 ark
DSA-4739 webkit2gtk
DSA-4740 thunderbird
DSA-4741 json-c
DSA-4742 firejail
DSA-4743 ruby-kramdown
DSA-4744 roundcube
DSA-4745 dovecot
DSA-4746 net-snmp
DSA-4747 icingaweb2
DSA-4748 ghostscript
DSA-4749 firefox-esr
DSA-4750 nginx
DSA-4751 squid
DSA-4752 bind9
DSA-4753 mupdf
DSA-4754 thunderbird
DSA-4755 openexr
DSA-4756 lilypond
DSA-4757 apache2
DSA-4758 xorg-server
DSA-4759 ark
DSA-4760 qemu
DSA-4761 zeromq3
DSA-4762 lemonldap-ng
DSA-4763 teeworlds
DSA-4764 inspircd
DSA-4765 modsecurity

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Текущий стабильный выпуск:

http://ftp.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

http://ftp.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.