Обновлённый Debian 11: выпуск 11.1

09 Октября 2021

Проект Debian с радостью сообщает о первом обновлении своего стабильного выпуска Debian 11 (кодовое имя bullseye). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 11, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском bullseye. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
apr Предотвращение разыменования указателя за пределы массива
atftp Исправление переполнения буфера [CVE-2021-41054]
automysqlbackup Исправление аварийной остановки при использовании LATEST=yes
base-files Обновление для редакции 11.1
clamav Новый стабильный выпуск основной ветки разработки; исправление ошибок сегментирования clamdscan при использовании --fdpass и --multipass вместе с ExcludePath
cloud-init Предотвращение создания дублирующей записи includedir в /etc/sudoers
cyrus-imapd Исправление отказа в обслуживании [CVE-2021-33582]
dazzdb Исправление использования указателей после освобождения памяти в DBstats
debian-edu-config debian-edu-ltsp-install: увеличение связанного с основным сервером списка отклонений; добавление slapd и xrdp-sesman в список маскированных служб
debian-installer Повторная сборка с учётом proposed-updates; обновление ABI Linux до версии 5.10.0-9; использование udebs из proposed-updates
debian-installer-netboot-images Повторная сборка с учётом proposed-updates; использование udebs из proposed-updates и stable; использование сжатия xz для файлов Packages
detox Исправление обработки больших файлов
devscripts Изменение опции --bpo для работы с bullseye-backports
dlt-viewer Добавление отсутствующих заголовочных файлов qdlt/qdlt*.h в dev-пакет
dpdk Новый стабильный выпуск основной ветки разработки
fetchmail Исправление ошибки сегментирования и регрессии безопасности
flatpak Новый стабильный выпуск основной ветки разработки; не наследовать необычное значение $XDG_RUNTIME_DIR для песочницы
freeradius Исправление аварийной остановки потока и примера настроек
galera-3 Новый стабильный выпуск основной ветки разработки
galera-4 Новый стабильный выпуск основной ветки разработки; разрешение кругового отношения Conflicts с пакетом galera-3 путём прекращения предоставления виртуального пакета galera
glewlwyd Исправление возможного переполнения буфера в ходе проверки подписи FIDO2 в коде регистрации webauthn [CVE-2021-40818]
glibc Перезапуск openssh-server, даже если он не был настроен во время обновления; исправление запасного текста, если нельзя использовать debconf
gnome-maps Новый стабильный выпуск основной ветки разработки; исправление аварийной остановки при запуске в случае, если последний раз использовалась карта на основе аэроснимков, но ни одного определения для тайла аэроснимка не найдено; не выполнять запись неправильной позиции последнего просмотра при выходе; исправление зависания при перетаскивании маркеров маршрута
gnome-shell Новый стабильный выпуск основной ветки разработки; исправление зависания после отмены (некоторых) системных диалоговых запросов; исправление предложения слов в экранной клавиатуре; исправление аварийных остановок
hdf5 Исправление зависимостей пакета с целью улучшения обновлений с предыдущих выпусков
iotop-c Корректная обработка имён процессов в кодировке UTF-8
jailkit Исправление создания песочниц, для которых требуется /dev; исправление проверки наличия библиотек
java-atk-wrapper Использование dbus для обнаружения включения режима специальных возможностей
krb5 Исправление разыменования null-указателя в KDC при FAST-запросе с пустым сервером [CVE-2021-37750]; исправление утечки памяти в krb5_gss_inquire_cred
libavif Использование корректного значения libdir в libavif.pc pkgconfig-файле
libbluray Переход на встроенную версию libasm; версия из пакета libasm-java слишком нова
libdatetime-timezone-perl Новый стабильный выпуск основной ветки разработки; обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
libslirp Исправление многочисленных переполнений буфера [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595]
linux Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-amd64 Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-arm64 Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-i386 Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
mariadb-10.5 Новый стабильный выпуск основной ветки разработки; обновления безопасности [CVE-2021-2372 CVE-2021-2389]
mbrola Исправление определения конца файла
modsecurity-crs Исправление проблемы с пропуском тела запроса [CVE-2021-35368]
mtr Исправление регрессии в выводе JSON
mutter Новый стабильный выпуск основной ветки разработки; kms: улучшение обработки общих видеорежимов, которое может превысить возможную пропускную способность; проверка правильного размера текстуры окна после изменения области просмотра
nautilus Предотвращение открытия нескольких выбранных файлов в нескольких экземплярах приложения; не сохранять размер окна и позицию при использовании тайлового режима; исправление нескольких утечек памяти; обновление переводов
node-ansi-regex Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3807]
node-axios Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3749]
node-object-path Исправление проблемы с загрязнением прототипа [CVE-2021-23434 CVE-2021-3805]
node-prismjs Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3801]
node-set-value Исправление проблемы с загрязнением прототипа [CVE-2021-23440]
node-tar Удаление не являющихся каталогами путей из кэша каталогов [CVE-2021-32803]; более полная очистка абсолютных путей [CVE-2021-32804]
osmcoastline Исправление отличных от WGS84 проекций
osmpbf Повторная сборка с цчётом protobuf 3.12.4
pam Исправление ошибки синтаксиса в libpam0g.postinst при отказе systemd-юнита
perl Обновление безопасности; исправление утечки памяти в коде поддержки регулярных выражений
pglogical Обновление с учётом PostgreSQL 13.4 с исправлениями
pmdk Исправление отсутствия барьеров после невременной операции memcpy
postgresql-13 Новый стабильный выпуск основной ветки разработки; исправление неправильного планирования повторяемого применения шага проекции [CVE-2021-3677]; более полный запрет повторного согласования SSL
proftpd-dfsg Исправление ошибок Утечки содержимого памяти в mod_radius к серверу radius и Прерывание sftp-соединения с опцией Повреждённый MAC на входе; пропуск экранирования уже экранированного SQL-текста
pyx3 Исправление горизонтального выравнивания шрифта при использовании texlive 2020
reportbug Обновление названий выпусков, следующих за bullseye
request-tracker4 Исправление атаки по таймингу во время входа [CVE-2021-38562]
rhonabwy Исправление вычисления тега JWE CBC и проверки подписи JWS alg:none
rpki-trust-anchors Добавление URL с HTTPS к LACNIC TAL
rsync Повторное добавление --copy-devices; исправление регрессии в --delay-updates; исправление пограничного случая в --mkpath; исправление rsync-ssl; исправление --sparce и --inplace; обновление опций, доступных для rrsync; исправления документации
ruby-rqrcode-rails3 Исправление с целью обеспечения совместимости с ruby-rqrcode 1.0
sabnzbdplus Предотвращение выхода из каталога в функции renamer [CVE-2021-29488]
shellcheck Исправление отрисовки длинных опций в странице руководства
shiro Исправление обхода аутентификации [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; обновление заплаты совместимости со Spring Framework; поддержка Guice 4
speech-dispatcher Исправление названия голоса для стандартного модуля
telegram-desktop Предотвращение аварийной остановки при включении автоматического удаления
termshark Добавление тем в пакет
tmux Исправление состояния гонки, приводящего к тому, что настройки не загружаются в случае, когда несколько клиентов взаимодействуют с сервером в ходе его инициализации
txt2man Исправление регрессии в обработке выделенных блоков
tzdata Обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
ublock-origin Новый стабильный выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2021-36773]
ulfius Проверка того, что память инициализирована перед её использованием [CVE-2021-40540]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4959 thunderbird
DSA-4960 haproxy
DSA-4961 tor
DSA-4962 ledgersmb
DSA-4963 openssl
DSA-4964 grilo
DSA-4965 libssh
DSA-4966 gpac
DSA-4967 squashfs-tools
DSA-4968 haproxy
DSA-4969 firefox-esr
DSA-4970 postorius
DSA-4971 ntfs-3g
DSA-4972 ghostscript
DSA-4973 thunderbird
DSA-4974 nextcloud-desktop
DSA-4975 webkit2gtk
DSA-4976 wpewebkit
DSA-4977 xen
DSA-4978 linux-signed-amd64
DSA-4978 linux-signed-arm64
DSA-4978 linux-signed-i386
DSA-4978 linux
DSA-4979 mediawiki

Во время последних стадий заморозки bullseye некоторые обновления были выпущены через архив безопасности, но без соответствующих рекомендаций по безопасности. Эти обновления приведены ниже.

Пакет Причина
apache2 Исправление вставки строки HTTP2-запроса в mod_proxy [CVE-2021-33193]
btrbk Исправление выполнения произвольного кода [CVE-2021-38173]
c-ares Исправление отсутствия проверки входных данных для имён узлов, возвращаемых DNS-серверами [CVE-2021-3672]
exiv2 Исправление переполнений [CVE-2021-29457 CVE-2021-31292]
firefox-esr Новый стабильный выпуск основной ветки разработки [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989]
libencode-perl Encode: уменьшение последствий при загрязнении @INC при загрузке ConfigLocal [CVE-2021-36770]
libspf2 spf_compile.c: исправление размера ds_avail [CVE-2021-20314]; исправление макромодификаторов reverse
lynx Исправление утечки данных учётной записи в случае, если SNI используется вместе с URL, содержащим эти данные [CVE-2021-38165]
nodejs Новый выпуск основной ветки разработки; исправление использования указателей после освобождения памяти [CVE-2021-22930]
tomcat9 Исправление обхода аутентификации [CVE-2021-30640] и подделки запросов [CVE-2021-33037]
xmlgraphics-commons Исправление подделки запроса на стороне сервера [CVE-2020-11988]

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Текущий стабильный выпуск:

https://deb.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

https://deb.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.