Atualização Debian 10: 10.6 lançado
26 de Setembro de 2020
O projeto Debian está feliz em anunciar a sexta atualização de sua versão
estável (stable) do Debian 10 (codinome buster
).
Esta versão pontual adiciona principalmente correções para problemas de
segurança, além de pequenos ajustes para problemas sérios.
Avisos de segurança já foram publicados em separado e são referenciados
quando necessário.
Por favor note que a versão pontual não constitui uma nova versão
do Debian 10 mas apenas atualiza alguns pacotes já incluídos.
Não há necessidade de jogar fora as antigas mídias do buster
Após a instalação, os pacotes podem ser atualizados para as versões
mais atuais usando um espelho atualizado do Debian.
Aquelas pessoas que frequentemente instalam atualizações a partir do security.debian.org não precisarão atualizar muitos pacotes, e a maioria dessas atualizações estão incluídas na versão pontual.
Novas imagens de instalação logo estarão disponíveis nos locais habituais.
A atualização de uma instalação existente para esta revisão pode ser feita apontando o sistema de gerenciamento de pacotes para um dos muitos espelhos HTTP do Debian. Uma lista abrangente de espelhos está disponível em:
Correções de bugs gerais
Esta atualização da versão estável (stable) adiciona algumas correções importantes nos seguintes pacotes.
Note que, devido a problemas de construção, as atualizações
para os pacotes cargo, rustc e rustc-bindgen não estão disponíveis
para a arquitetura armel
. Eles poderão ser adicionados posteriormente
se os problemas forem resolvidos.
Pacote | Justificativa |
---|---|
arch-test | Correção de falha ocasional na detecção de s390x |
asterisk | Correção de falha ao negociar T.38 com um fluxo
recusado [CVE-2019-15297], requisição SIP pode alterar endereço de um peer SIP[CVE-2019-18790], Usuário(a) AMI poderia executar comandos de sistema[CVE-2019-18610], segfault em pjsip mostra o histórico com peers IPv6 |
bacula | Correção uma string de resumo muito grande permite a um cliente malicioso causar um estouro de pilha na memória do director[CVE-2020-11061] |
base-files | Atualização de /etc/debian_version para a versão pontual |
calamares-settings-debian | Desabilitado módulo displaymanager |
cargo | Nova versão do aplicativo original (upstream), para suporte a futuras versões Firefox ESR |
chocolate-doom | Correção de validação ausente [CVE-2020-14983] |
chrony | Prevenção de situação de condição de disputa quando escrevendo o PID em arquivo [CVE-2020-14367]; Correção da leitura de temperatura |
debian-installer | Atualização Linux ABI para 4.19.0-11 |
debian-installer-netboot-images | Reconstruído a partir de proposed-updates |
diaspora-installer | Usa opção --frozen para a o pacote de instalação utilizar a Gemfile.lock do aplicativo original; não excluir Gemfile.lock durante atualizações; não sobrescrever config/oidc_key.pem durante atualizações; tornar config/schedule.yml editável |
dojo | Correção da poluição do protótipo no método deepCopy [CVE-2020-5258] e no método jqMix [CVE-2020-5259] |
dovecot | Correção de regressão de sincronização do filtro sieve dsync; Correção no tratamento de resultado getpwent em userdb-passwd |
facter | Mudança de Google GCE Metadata endpoint de v1beta1para v1 |
gnome-maps | Correção de problema de renderização de camada de forma desalinhada |
gnome-shell | LoginDialog: Reconfiguração de prompt de autenticação no switch VT antes de aparecimento gradual [CVE-2020-17489] |
gnome-weather | Previne erro quando a configuração de localidades é inválida |
grunt | Usa safeLoad quando carregando arquivos YAML [CVE-2020-7729] |
gssdp | Nova versão estável do aplicativo original (upstream) |
gupnp | Nova Versão estável do aplicativo original (upstream);
Previne o ataque CallStranger[CVE-2020-12695]; requer GSSDP 1.0.5 |
haproxy | logrotate.conf: Usa rsyslog helper em vez do script
SysV init; rejeita mensagens em que chunkedestá ausente de Transfer-Encoding [CVE-2019-18277] |
icinga2 | Correção de ataque de link simbólico [CVE-2020-14004] |
incron | Correção de limpeza de processos zumbis |
inetutils | Correção de problema de execução de código remoto [CVE-2020-10188] |
libcommons-compress-java | Correção de problema de negação de serviço [CVE-2019-12402] |
libdbi-perl | Correção de corrupção de memória em função XS quando pilha Perl é realocada [CVE-2020-14392]; correção de estouro de buffer em uma classe DBD com nome excessivamente longo [CVE-2020-14393]; correção de desreferência de pefil nulo em dbi_profile() [CVE-2019-20919] |
libvncserver | libvncclient: Abandona se o nome do socket UNIX causar sobrecarga [CVE-2019-20839]; Correção de problema de alinhamento/aliasing [CVE-2020-14399]; limitação do tamanho máximo de textchat [CVE-2020-14405]; libvncserver: Adiciona checagem de ponteiros nulos ausentes [CVE-2020-14397]; correção de problem de aliasing/alinhamento [CVE-2020-14400]; scale: transforma em 64 bit antes de mudança [CVE-2020-14401]; Previne acessos OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
libx11 | Correção de estouro de inteiro [CVE-2020-14344 CVE-2020-14363] |
lighttpd | Backport de diversas correções de usabilidade e segurança |
linux | Nova versão estável do aplicativo original; Incremento de ABI para 11 |
linux-latest | Atualização para -11 para o kernel Linux ABI |
linux-signed-amd64 | Nova versão estável do aplicativo original |
linux-signed-arm64 | Nova versão estável do aplicativo original |
linux-signed-i386 | Nova versão estável do aplicativo original |
llvm-toolchain-7 | Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR; correção de bugs afetando construção rustc |
lucene-solr | Correção de problema de segurança na manipulação de configuração em DataImportHandler [CVE-2019-0193] |
milkytracker | Correção de heap overflow [CVE-2019-14464], estouro de pilha [CVE-2019-14496], heap overflow [CVE-2019-14497], uso após ficar livre [CVE-2020-15569] |
node-bl | Correção de vulnerabilidade over-read [CVE-2020-8244] |
node-elliptic | Prevenção de sobrecargas e maleabilidade [CVE-2020-13822] |
node-mysql | Adição de opção localInfile para controle LOAD DATA LOCAL INFILE [CVE-2019-14939] |
node-url-parse | Correção de validação insuficiente e sanitização de entrada de usuário(a) [CVE-2020-8124] |
npm | Não mostrar senhas nos logs [CVE-2020-15095] |
orocos-kdl | Remove inclusão explícita de caminho de inclusão padrão, corrigindo problemas com cmake < 3.16 |
postgresql-11 | Nova versão estável do aplicativo original; Define um search_path seguro em replicação lógica walsenders e aplica workers [CVE-2020-14349]; Scripts de instalação make contrib modules' mais seguros [CVE-2020-14350] |
postgresql-common | Não baixa plpgsql antes de testar extensões |
pyzmq | Asyncio: aguarda por POLLOUT no remetente em can_connect |
qt4-x11 | Correção de estouro de buffer no analisador XBM [CVE-2020-17507] |
qtbase-opensource-src | Correção de estouro de buffer em analisador XBM [CVE-2020-17507]; Correção de quebra da área de transferência quando o temporizador conclui depois de 50 dias |
ros-actionlib | Carregamento seguro de YAML [CVE-2020-10289] |
rustc | Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR |
rust-cbindgen | Nova versão estável do aplicativo original, para suporte à versão futura de Firefox ESR |
ruby-ronn | Correção de manipulação de conteúdo UTF-8 nas manpages |
s390-tools | Inserido no próprio código de dependência perl em vez de utilização de ${perl:Depends}, correção de instalação sob debootstrap |
Atualizações de segurança
Esta revisão adiciona as seguintes atualizações de segurança para a versão estável (stable). A equipe de segurança já lançou um aviso para cada uma dessas atualizações:
Instalador do Debian
O instalador foi atualizado para incluir as correções incorporadas na versão estável (stable) pela versão pontual.
URLs
As listas completas dos pacotes que foram alterados por esta revisão:
A atual versão estável (stable):
Atualizações propostas (proposed updates) para a versão estável (stable):
Informações da versão estável (stable) (notas de lançamento, errata etc):
Anúncios de segurança e informações:
Sobre o Debian
O projeto Debian é uma associação de desenvolvedores(as) de Software Livre que dedicam seu tempo e esforço como voluntários(as) para produzir o sistema operacional completamente livre Debian.
Informações de Contato
Para mais informações, por favor visite as páginas web do Debian em https://www.debian.org/, envie um email (em inglês) para <press@debian.org>, ou entre em contato (em inglês) com o time de lançamento da versão estável (stable) em <debian-release@lists.debian.org>.