Обновлённый Debian 9: выпуск 9.10
07 Сентября 2019
Проект Debian с радостью сообщает о десятом обновлении своего
предыдущего стабильного выпуска Debian 9 (кодовое имя stretch
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
9, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском stretch
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| base-files | Обновление для текущей редакции; добавление VERSION_CODENAME к os-release |
| basez | Корректное декодирование закодированных с помощью base64url строк |
| biomaj-watcher | Исправление обновлений с jessie до stretch |
| c-icap-modules | Добавление поддержки clamav 0.101.1 |
| chaosreader | Добавление отсутствующей зависимости от libnet-dns-perl |
| clamav | Новый стабильный выпуск основной ветки разработки: добавление ограничения времени сканирования для снижения риска от zip-бомб [CVE-2019-12625]; исправление записи за пределами выделенного буфера памяти в bzip2-библиотеке NSIS [CVE-2019-12900] |
| corekeeper | Прекращение использования доступного для записи всем пользователям файла /var/crash в сценарии сброса данных; обработка старых версий ядра Linux безопасным образом; прекращение обрезания базовых имён для исполняемых файлов, имена которых содержат пробелы |
| cups | Исправление многочисленных проблем безопасности — переполнения SNMP-буфера [CVE-2019-8696 CVE-2019-8675], переполнение IPP-буфера, отказ в обслуживании и раскрытие содержимого памяти в планировщике |
| dansguardian | Добавление поддержки clamav 0.101 |
| dar | Повторная сборка для обновления пакетов с built-using |
| debian-archive-keyring | Добавление ключей выпуска buster; удаление ключей выпуска wheezy |
| fence-agents | Исправление отказа в обслуживании [CVE-2019-10153] |
| fig2dev | Предотвращение ошибки сегментирования при использовании стрелок с круглыми и полукруглыми концами с увеличением более 42 [CVE-2019-14275] |
| fribidi | Исправление вывода справа налево в текстовом режиме программы установки Debian |
| fusiondirectory | Более строгие проверки поиска LDAP; добавление отсутствующей зависимости от php-xml |
| gettext | Предотвращение аварийной остановки функции xgettext() при запуске с опцией --its=FILE |
| glib2.0 | Создание каталога и файла с ограниченными правами доступа при использовании GKeyfileSettingsBackend [CVE-2019-13012]; предотвращение чтения за пределами выделенного буфера памяти при форматировании сообщений об ошибках для некорректного UTF-8 в GMarkup [CVE-2018-16429]; предотвращение разыменования NULL-указателя при выполнении грамматического разбора некорректного GMarkup со специально сформированным закрывающим тегом, не имеющим открывающего тега [CVE-2018-16429] |
| gocode | gocode-auto-complete-el: добавление предзависимости от auto-complete-el с указанием версии с целью исправления обновлений с jessie до stretch |
| groonga | Снижение риска повышения привилегий путём изменения владельца и группы у журналов с опцией su |
| grub2 | Исправления для поддержки Xen UEFI |
| gsoap | Исправление отказа в обслуживании в случае, если серверное приложение собрано с флагом -DWITH_COOKIES [CVE-2019-7659]; исправление проблемы с получателем по протоколу DIME и специально сформированными заголовками DIME |
| gthumb | Исправление двойного освобождения памяти [CVE-2018-18718] |
| havp | Добавление поддержки для clamav 0.101.1 |
| icu | Исправление ошибки сегментирования в команде pkgdata |
| koji | Исправление SQL-инъекции [CVE-2018-1002161]; корректная проверка SCM-путей [CVE-2017-1002153] |
| lemonldap-ng | Исправление регрессии в междоменной аутентификации; исправление уязвимости внешней сущности XML |
| libcaca | Исправление переполнения целых чисел [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549] |
| libclamunrar | Новый стабильный выпуск основной ветки разработки |
| libconvert-units-perl | Повторная сборка без изменений с исправленным номером версии |
| libdatetime-timezone-perl | Обновление поставляемых данных |
| libebml | Применение исправлений из основной ветки разработки для чтения за пределами выделенного буфера памяти |
| libevent-rpc-perl | Исправление ошибки сборки из-за устаревших тестовых SSL-сертификатов |
| libgd2 | Исправление неинициализированного чтения в gdImageCreateFromXbm [CVE-2019-11038] |
| libgovirt | Повторное создание тестового сертификата с истечением срока действия в далёком будущем, чтобы не возникали ошибки с тестированием |
| librecad | Исправление отказа в обслуживании, вызываемого специально сформированным файлом [CVE-2018-19105] |
| libsdl2-image | Исправление многочисленных проблем безопасности |
| libthrift-java | Исправление обхода SASL-согласования [CVE-2018-1320] |
| libtk-img | Прекращение использования внутренних копий кодеков JPEG, Zlib и PixarLog, исправление аварийных остановок |
| libu2f-host | Исправление утечки стековой памяти [CVE-2019-9578] |
| libxslt | Исправление обхода системы безопасности [CVE-2019-11068]; неинициализированного чтения токена xsl:number [CVE-2019-13117]; неинициализированного чтения с группирующими символами UTF-8 [CVE-2019-13118] |
| linux | Новая версия основной ветки разработки с изменением ABI; исправления безопасности [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882] |
| linux-latest | Обновление с целью поддержки ABI ядра 4.9.0-11 |
| liquidsoap | Исправление компиляции с помощью Ocaml 4.02 |
| llvm-toolchain-7 | Новый пакет, обеспечивающий поддержку сборки новых версий Firefox |
| mariadb-10.1 | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614] |
| minissdpd | Предотвращение использования указателей после освобождения памяти, позволяющего удалённому злоумышленнику аварийно завершать работу процесса [CVE-2019-12106] |
| miniupnpd | Исправление отказов в обслуживании [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110]; исправление утечки информации [CVE-2019-12107] |
| mitmproxy | Отключение тестов, для которых требуется доступ в Интернет; предотвращение включения нежелательных зависимостей с указанием наибольших версий |
| monkeysphere | Исправление ошибки сборки путём обновления тестов с целью поддержки обновлённой версии GnuPG в stretch, которая теперь даёт другой вывод |
| nasm-mozilla | Новый пакет, обеспечивающий поддержку сборки новых версий Firefox |
| ncbi-tools6 | Повторное создание пакета без несвободных данных/UniVec.* |
| node-growl | Очистка входных данных до их передачи функции exec |
| node-ws | Ограничение размера загрузки [CVE-2016-10542] |
| open-vm-tools | Исправление возможной проблемы безопасности с правами доступа к пути и промежуточному каталогу с готовящимися данными |
| openldap | Ограничение rootDN proxyauthz собственной базой данных [CVE-2019-13057]; принудительное включение ACL-утверждения sasl_ssf при всяком соединении [CVE-2019-13565]; исправление ситуации, когда slapo-rwm не освобождал изначальный фильтр, если перезаписанный фильтр неверен |
| openssh | Исправление зависания при сравнении ключей |
| passwordsafe | Прекращение установки файлов локализации в дополнительный подкаталог |
| pound | Исправление передачи запроса через специально сформированные заголовки [CVE-2016-10711] |
| prelink | Повторная сборка для обновления пакетов с built-using |
| python-clamav | Добавление поддержки clamav 0.101.1 |
| reportbug | Обновление имён выпусков, следующих за выпуском buster |
| resiprocate | Разрешение проблемы установки с libssl-dev и --install-recommends |
| sash | Повторная сборка для обновления пакетов с built-using |
| sdl-image1.2 | Исправление переполнений буфера [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052], обращения за пределами выделенного буфера памяти [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
| signing-party | Исправление небезопасных вызовов командной оболочки, позволяющих осуществлять введение команд через идентификатор пользователя [CVE-2019-11627] |
| slurm-llnl | Исправление потенциального переполнения динамической памяти на 32-битных системах [CVE-2019-6438] |
| sox | Исправление нескольких проблем безопасности [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332 |
| systemd | Прекращение остановки ndisc-клиента в случае ошибки настройки |
| t-digest | Повторная сборка без изменений с целью недопущения повторного использования версии 3.0-1, использованной до добавления номера эпохи |
| tenshi | Исправление проблемы с PID-файлом, позволяющей локальным пользователям останавливать произвольные процессы [CVE-2017-11746] |
| tzdata | Новый выпуск основной ветки разработки |
| unzip | Исправление неправильного грамматического разбора 64-битных значений в fileio.c; исправление проблем с zip-бомбами [CVE-2019-13232] |
| usbutils | Обновление списка идентификаторов USB |
| xymon | Исправление нескольких (только серверных) проблем безопасности [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486] |
| yubico-piv-tool | Исправление проблем безопасности [CVE-2018-14779 CVE-2018-14780] |
| z3 | Прекращение установки SONAME для libz3java.so в значение libz3.so.4 |
| zfs-auto-snapshot | Выполнение тихой остановки задач cron после удаления пакета |
| zsh | Повторная сборка для обновления пакетов с built-using |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| pump | Не сопровождается; проблемы безопасности |
| teeworlds | Проблемы безопасности; несовместимость с текущими серверами |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.