Обновлённый Debian 10: выпуск 10.11

09 Октября 2021

Проект Debian с радостью сообщает об одиннадцатом обновлении своего предыдущего стабильного выпуска Debian 10 (кодовое имя buster). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском buster. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:

Пакет Причина
atftp Исправление переполнения буфера [CVE-2021-41054]
base-files Обновление для редакции 10.11
btrbk Исправление выполнения произвольного кода [CVE-2021-38173]
clamav Новый стабильный выпуск основной ветки разработки; исправление ошибок сегментирования clamdscan при использовании --fdpass и --multipass вместе с ExcludePath
commons-io Исправление обхода пути [CVE-2021-29425]
cyrus-imapd Исправление отказа в обслуживании [CVE-2021-33582]
debconf Проверка, что whiptail или dialog можно использовать
debian-installer Повторная сборка с учётом buster-proposed-updates; обновление ABI Linux до версии 4.19.0-18
debian-installer-netboot-images Повторная сборка с учётом buster-proposed-updates
distcc Исправление кросскомпиляторных ссылок GCC в update-distcc-symlinks и добавление поддержки для clang и CUDA (nvcc)
distro-info-data Обновление поставляемых данных о нескольких выпусках
dwarf-fortress Удаление нераспространяемых предварительно собранных библиотек из tar-архива с исходным кодом
espeak-ng Исправление использования espeak с mbrola-fr4, если mbrola-fr1 не установлен
gcc-mingw-w64 Исправление обработки gcov
gthumb Исправление переполнения динамической памяти [CVE-2019-20326]
hg-git Исправление ошибок тестирования с новыми версиями git
htslib Исправление autopkgtest на i386
http-parser Исправление подделки HTTP-запросов [CVE-2019-15605]
irssi Исправление использования указателей после освобождения памяти при SASL-входе на сервер [CVE-2019-13045]
java-atk-wrapper Использование dbus для обнаружения включения режима специальных возможностей
krb5 Исправление разыменования null-указателя в KDC при FAST-запросе с пустым сервером [CVE-2021-37750]; исправление утечки памяти в krb5_gss_inquire_cred
libdatetime-timezone-perl Новый стабильный выпуск основной ветки разработки; обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
libpam-tacplus Предотвращение добавления разделяемых секретов в виде обычного текста в системный журнал [CVE-2020-13881]
linux proc: отслеживание /proc/$pid/attr/ opener mm_struct, исправляющее проблемы с lxc-attach; новый стабильный выпуск основной ветки разработки; повышение версии ABI до 18; [rt] обновление до версии 4.19.207-rt88; usb: hso: исправление ошибки обработки кода hso_create_net_device [CVE-2021-37159]
linux-latest Обновление до ABI версии 4.19.0-18
linux-signed-amd64 proc: отслеживание /proc/$pid/attr/ opener mm_struct, исправляющее проблемы с lxc-attach; новый стабильный выпуск основной ветки разработки; повышение версии ABI до 18; [rt] обновление до версии 4.19.207-rt88; usb: hso: исправление ошибки обработки кода hso_create_net_device [CVE-2021-37159]
linux-signed-arm64 proc: отслеживание /proc/$pid/attr/ opener mm_struct, исправляющее проблемы с lxc-attach; новый стабильный выпуск основной ветки разработки; повышение версии ABI до 18; [rt] обновление до версии 4.19.207-rt88; usb: hso: исправление ошибки обработки кода hso_create_net_device [CVE-2021-37159]
linux-signed-i386 proc: отслеживание /proc/$pid/attr/ opener mm_struct, исправляющее проблемы с lxc-attach; новый стабильный выпуск основной ветки разработки; повышение версии ABI до 18; [rt] обновление до версии 4.19.207-rt88; usb: hso: исправление ошибки обработки кода hso_create_net_device [CVE-2021-37159]
mariadb-10.3 Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2021-2389 CVE-2021-2372]; исправление пути к исполняемому файлу Perl в сценариях
modsecurity-crs Исправление проблемы с пропуском тела запроса [CVE-2021-35368]
node-ansi-regex Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3807]
node-axios Исправление отказа в обслуживании из-за регулярного выражения [CVE-2021-3749]
node-jszip Использование пустого прототипа объекта для this.files [CVE-2021-23413]
node-tar Удаление не являющихся каталогами путей из кэша каталогов [CVE-2021-32803]; более полная очистка абсолютных путей [CVE-2021-32804]
nvidia-cuda-toolkit Исправление установки NVVMIR_LIBRARY_DIR на ppc64el
nvidia-graphics-drivers Новый стабильный выпуск основной ветки разработки; исправление отказов в обслуживании [CVE-2021-1093 CVE-2021-1094 CVE-2021-1095]; nvidia-driver-libs: добавление поля Recommends: libnvidia-encode1
nvidia-graphics-drivers-legacy-390xx Новый стабильный выпуск основной ветки разработки; исправление отказов в обслуживании [CVE-2021-1093 CVE-2021-1094 CVE-2021-1095]; nvidia-legacy-390xx-driver-libs: добавление поля Recommends: libnvidia-legacy-390xx-encode1
postgresql-11 Новый стабильный выпуск основной ветки разработки; исправление неправильного планирования повторяемого применения шага проекции [CVE-2021-3677]; более полный запрет повторного согласования SSL
proftpd-dfsg Исправление ошибок Утечки содержимого памяти в mod_radius к серверу radius, невозможно отключить повторное согласование для FTPS, инициированное клиентом, вход в каталоги по символьным ссылкам, аварийная остановка mod_sftp при использовании pubkey-auth с ключами DSA
psmisc Исправление регрессии в killall, при которой нельзя выбрать процесс с именем более 15 символов
python-uflash Обновление URL прошивки
request-tracker4 Исправление атаки по таймингу во время входа [CVE-2021-38562]
ring Исправление отказа в обслуживании в поставляемой копии pjproject [CVE-2021-21375]
sabnzbdplus Предотвращение выхода из каталога в функции renamer [CVE-2021-29488]
shim Добавление заплаты для arm64 для настройки разметки секции и прекращения аварийных остановок; в небезопасном режиме не отменять действие, если не удалётся создать переменную MokListXRT; не отменять действие при ошибках установки grub; вместо этого выводить предупреждение
shim-helpers-amd64-signed Добавление заплаты для arm64 для настройки разметки секции и прекращения аварийных остановок; в небезопасном режиме не отменять действие, если не удаётся создать переменную MokListXRT; не отменять действие при ошибках установки grub; вместо этого выводить предупреждение
shim-helpers-arm64-signed Добавление заплаты для arm64 для настройки разметки секции и прекращения аварийных остановок; в небезопасном режиме не отменять действие, если не удаётся создать переменную MokListXRT; не отменять действие при ошибках установки grub; вместо этого выводить предупреждение
shim-helpers-i386-signed Добавление заплаты для arm64 для настройки разметки секции и прекращения аварийных остановок; в небезопасном режиме не отменять действие, если не удаётся создать переменную MokListXRT; не отменять действие при ошибках установки grub; вместо этого выводить предупреждение
shim-signed Временное решение проблем с поломкой загрузки на arm64 путём включения более старой рабочей версии неподписанного загрузчика shim на указанной платформе; переход на arm64 обратно на использование текущей неподписанной сборки; добавление заплаты для arm64 для настройки разметки секции и прекращения аварийных остановок; в небезопасном режиме не отменять действие, если не удаётся создать переменную MokListXRT; не отменять действие при ошибках установки grub; вместо этого выводить предупреждение
shiro Исправление обхода аутентификации [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; обновление заплаты совместимости со Spring Framework; поддержка Guice 4
tzdata Обновление DST-правил для Самоа и Иордании; подтверждение отсутствия корректировочной секунды 2021-12-31
ublock-origin Новый стабильный выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2021-36773]
ulfius Проверка того, что память инициализирована перед её использованием [CVE-2021-40540]
xmlgraphics-commons Исправление подделки запросов на стороне сервера [CVE-2020-11988]
yubikey-manager Добавление отсутствующей зависимости от python3-pkg-resources в пакет yubikey-manager

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации Пакет
DSA-4842 thunderbird
DSA-4866 thunderbird
DSA-4876 thunderbird
DSA-4897 thunderbird
DSA-4927 thunderbird
DSA-4931 xen
DSA-4932 tor
DSA-4933 nettle
DSA-4934 intel-microcode
DSA-4935 php7.3
DSA-4936 libuv1
DSA-4937 apache2
DSA-4938 linuxptp
DSA-4939 firefox-esr
DSA-4940 thunderbird
DSA-4941 linux-signed-amd64
DSA-4941 linux-signed-arm64
DSA-4941 linux-signed-i386
DSA-4941 linux
DSA-4942 systemd
DSA-4943 lemonldap-ng
DSA-4944 krb5
DSA-4945 webkit2gtk
DSA-4946 openjdk-11-jre-dcevm
DSA-4946 openjdk-11
DSA-4947 libsndfile
DSA-4948 aspell
DSA-4949 jetty9
DSA-4950 ansible
DSA-4951 bluez
DSA-4952 tomcat9
DSA-4953 lynx
DSA-4954 c-ares
DSA-4955 libspf2
DSA-4956 firefox-esr
DSA-4957 trafficserver
DSA-4958 exiv2
DSA-4959 thunderbird
DSA-4961 tor
DSA-4962 ledgersmb
DSA-4963 openssl
DSA-4964 grilo
DSA-4967 squashfs-tools
DSA-4969 firefox-esr
DSA-4970 postorius
DSA-4971 ntfs-3g
DSA-4973 thunderbird
DSA-4974 nextcloud-desktop
DSA-4975 webkit2gtk
DSA-4979 mediawiki

Удалённые пакеты

Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:

Пакет Причина
birdtray Несовместим с новыми версиями Thunderbird
libprotocol-acme-perl Поддерживает только ACME устаревшей версии 1

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

https://deb.debian.org/debian/dists/buster/ChangeLog

Текущий предыдущий стабильный выпуск:

https://deb.debian.org/debian/dists/oldstable/

Предлагаемые обновления для предыдущего стабильного выпуска:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/oldstable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.