Обновлённый Debian 11: выпуск 11.1

09 Октября 2021

Проект Debian с радостью сообщает о первом обновлении своего стабильного выпуска Debian 11 (кодовое имя bullseye). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 11, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском bullseye. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
apr	Предотвращение разыменования указателя за пределы массива
atftp	Исправление переполнения буфера [CVE-2021-41054]
automysqlbackup	Исправление аварийной остановки при использовании LATEST=yes
base-files	Обновление для редакции 11.1
clamav	Новый стабильный выпуск основной ветки разработки; исправление ошибок сегментирования clamdscan при использовании --fdpass и --multipass вместе с ExcludePath
cloud-init	Предотвращение создания дублирующей записи includedir в /etc/sudoers
cyrus-imapd	Исправление отказа в обслуживании [CVE-2021-33582]
dazzdb	Исправление использования указателей после освобождения памяти в DBstats
debian-edu-config	debian-edu-ltsp-install: увеличение связанного с основным сервером списка отклонений; добавление slapd и xrdp-sesman в список маскированных служб
debian-installer	Повторная сборка с учётом proposed-updates; обновление ABI Linux до версии 5.10.0-9; использование udebs из proposed-updates
debian-installer-netboot-images	Повторная сборка с учётом proposed-updates; использование udebs из proposed-updates и stable; использование сжатия xz для файлов Packages
detox	Исправление обработки больших файлов
devscripts	Изменение опции --bpo для работы с bullseye-backports
dlt-viewer	Добавление отсутствующих заголовочных файлов qdlt/qdlt*.h в dev-пакет
dpdk	Новый стабильный выпуск основной ветки разработки
fetchmail	Исправление ошибки сегментирования и регрессии безопасности
flatpak	Новый стабильный выпуск основной ветки разработки; не наследовать необычное значение $XDG_RUNTIME_DIR для песочницы
freeradius	Исправление аварийной остановки потока и примера настроек
galera-3	Новый стабильный выпуск основной ветки разработки
galera-4	Новый стабильный выпуск основной ветки разработки; разрешение кругового отношения Conflicts с пакетом galera-3 путём прекращения предоставления виртуального пакета galera
glewlwyd	Исправление возможного переполнения буфера в ходе проверки подписи FIDO2 в коде регистрации webauthn [CVE-2021-40818]
glibc	Перезапуск openssh-server, даже если он не был настроен во время обновления; исправление запасного текста, если нельзя использовать debconf
gnome-maps	Новый стабильный выпуск основной ветки разработки; исправление аварийной остановки при запуске в случае, если последний раз использовалась карта на основе аэроснимков, но ни одного определения для тайла аэроснимка не найдено; не выполнять запись неправильной позиции последнего просмотра при выходе; исправление зависания при перетаскивании маркеров маршрута
gnome-shell	Новый стабильный выпуск основной ветки разработки; исправление зависания после отмены (некоторых) системных диалоговых запросов; исправление предложения слов в экранной клавиатуре; исправление аварийных остановок
hdf5	Исправление зависимостей пакета с целью улучшения обновлений с предыдущих выпусков
iotop-c	Корректная обработка имён процессов в кодировке UTF-8
jailkit	Исправление создания песочниц, для которых требуется /dev; исправление проверки наличия библиотек
java-atk-wrapper	Использование dbus для обнаружения включения режима специальных возможностей
krb5	Исправление разыменования null-указателя в KDC при FAST-запросе с пустым сервером [CVE-2021-37750]; исправление утечки памяти в krb5_gss_inquire_cred
libavif	Использование корректного значения libdir в libavif.pc pkgconfig-файле
libbluray	Переход на встроенную версию libasm; версия из пакета libasm-java слишком нова
libdatetime-timezone-perl	Новый стабильный выпуск основной ветки разработки; обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
libslirp	Исправление многочисленных переполнений буфера [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595]
linux	Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-amd64	Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-arm64	Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
linux-signed-i386	Новый стабильный выпуск основной ветки разработки; повышение версии ABI до 9; [rt] обновление до версии 5.10.65-rt53; [mipsel] bpf, mips: проверка смещения условных ветвлений [CVE-2021-38300]
mariadb-10.5	Новый стабильный выпуск основной ветки разработки; обновления безопасности [CVE-2021-2372 CVE-2021-2389]
mbrola	Исправление определения конца файла
modsecurity-crs	Исправление проблемы с пропуском тела запроса [CVE-2021-35368]
mtr	Исправление регрессии в выводе JSON
mutter	Новый стабильный выпуск основной ветки разработки; kms: улучшение обработки общих видеорежимов, которое может превысить возможную пропускную способность; проверка правильного размера текстуры окна после изменения области просмотра
nautilus	Предотвращение открытия нескольких выбранных файлов в нескольких экземплярах приложения; не сохранять размер окна и позицию при использовании тайлового режима; исправление нескольких утечек памяти; обновление переводов
node-ansi-regex	Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3807]
node-axios	Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3749]
node-object-path	Исправление проблемы с загрязнением прототипа [CVE-2021-23434 CVE-2021-3805]
node-prismjs	Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3801]
node-set-value	Исправление проблемы с загрязнением прототипа [CVE-2021-23440]
node-tar	Удаление не являющихся каталогами путей из кэша каталогов [CVE-2021-32803]; более полная очистка абсолютных путей [CVE-2021-32804]
osmcoastline	Исправление отличных от WGS84 проекций
osmpbf	Повторная сборка с цчётом protobuf 3.12.4
pam	Исправление ошибки синтаксиса в libpam0g.postinst при отказе systemd-юнита
perl	Обновление безопасности; исправление утечки памяти в коде поддержки регулярных выражений
pglogical	Обновление с учётом PostgreSQL 13.4 с исправлениями
pmdk	Исправление отсутствия барьеров после невременной операции memcpy
postgresql-13	Новый стабильный выпуск основной ветки разработки; исправление неправильного планирования повторяемого применения шага проекции [CVE-2021-3677]; более полный запрет повторного согласования SSL
proftpd-dfsg	Исправление ошибок Утечки содержимого памяти в mod_radius к серверу radius и Прерывание sftp-соединения с опцией Повреждённый MAC на входе; пропуск экранирования уже экранированного SQL-текста
pyx3	Исправление горизонтального выравнивания шрифта при использовании texlive 2020
reportbug	Обновление названий выпусков, следующих за bullseye
request-tracker4	Исправление атаки по таймингу во время входа [CVE-2021-38562]
rhonabwy	Исправление вычисления тега JWE CBC и проверки подписи JWS alg:none
rpki-trust-anchors	Добавление URL с HTTPS к LACNIC TAL
rsync	Повторное добавление --copy-devices; исправление регрессии в --delay-updates; исправление пограничного случая в --mkpath; исправление rsync-ssl; исправление --sparce и --inplace; обновление опций, доступных для rrsync; исправления документации
ruby-rqrcode-rails3	Исправление с целью обеспечения совместимости с ruby-rqrcode 1.0
sabnzbdplus	Предотвращение выхода из каталога в функции renamer [CVE-2021-29488]
shellcheck	Исправление отрисовки длинных опций в странице руководства
shiro	Исправление обхода аутентификации [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; обновление заплаты совместимости со Spring Framework; поддержка Guice 4
speech-dispatcher	Исправление названия голоса для стандартного модуля
telegram-desktop	Предотвращение аварийной остановки при включении автоматического удаления
termshark	Добавление тем в пакет
tmux	Исправление состояния гонки, приводящего к тому, что настройки не загружаются в случае, когда несколько клиентов взаимодействуют с сервером в ходе его инициализации
txt2man	Исправление регрессии в обработке выделенных блоков
tzdata	Обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
ublock-origin	Новый стабильный выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2021-36773]
ulfius	Проверка того, что память инициализирована перед её использованием [CVE-2021-40540]

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-4959	thunderbird
DSA-4960	haproxy
DSA-4961	tor
DSA-4962	ledgersmb
DSA-4963	openssl
DSA-4964	grilo
DSA-4965	libssh
DSA-4966	gpac
DSA-4967	squashfs-tools
DSA-4968	haproxy
DSA-4969	firefox-esr
DSA-4970	postorius
DSA-4971	ntfs-3g
DSA-4972	ghostscript
DSA-4973	thunderbird
DSA-4974	nextcloud-desktop
DSA-4975	webkit2gtk
DSA-4976	wpewebkit
DSA-4977	xen
DSA-4978	linux-signed-amd64
DSA-4978	linux-signed-arm64
DSA-4978	linux-signed-i386
DSA-4978	linux
DSA-4979	mediawiki

Во время последних стадий заморозки bullseye некоторые обновления были выпущены через архив безопасности, но без соответствующих рекомендаций по безопасности. Эти обновления приведены ниже.

Пакет	Причина
apache2	Исправление вставки строки HTTP2-запроса в mod_proxy [CVE-2021-33193]
btrbk	Исправление выполнения произвольного кода [CVE-2021-38173]
c-ares	Исправление отсутствия проверки входных данных для имён узлов, возвращаемых DNS-серверами [CVE-2021-3672]
exiv2	Исправление переполнений [CVE-2021-29457 CVE-2021-31292]
firefox-esr	Новый стабильный выпуск основной ветки разработки [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989]
libencode-perl	Encode: уменьшение последствий при загрязнении @INC при загрузке ConfigLocal [CVE-2021-36770]
libspf2	spf_compile.c: исправление размера ds_avail [CVE-2021-20314]; исправление макромодификаторов reverse
lynx	Исправление утечки данных учётной записи в случае, если SNI используется вместе с URL, содержащим эти данные [CVE-2021-38165]
nodejs	Новый выпуск основной ветки разработки; исправление использования указателей после освобождения памяти [CVE-2021-22930]
tomcat9	Исправление обхода аутентификации [CVE-2021-30640] и подделки запросов [CVE-2021-33037]
xmlgraphics-commons	Исправление подделки запроса на стороне сервера [CVE-2020-11988]

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Текущий стабильный выпуск:

https://deb.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

https://deb.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.