Обновлённый Debian 10: выпуск 10.6
26 Сентября 2020
Проект Debian с радостью сообщает о шестом обновлении своего
стабильного выпуска Debian 10 (кодовое имя buster
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском buster
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
Пакет | Причина |
---|---|
arch-test | Исправление обнаружения архитектуры s390x |
asterisk | Исправление аварийной остановки при согласовании T.38 с отклонённым потоком [CVE-2019-15297], SIP-запрос может изменить адрес SIP-узла[CVE-2019-18790], пользователь AMI может выполнить системные команды[CVE-2019-18610], ошибка сегментирования в показе истории pjsip с одноранговыми узлами IPv6 |
bacula | Исправление ошибки слишком большие строки в резюме сообщений позволяют вредоносному клиенту вызывать переполнение динамической памяти у контроллера[CVE-2020-11061] |
base-files | Обновление /etc/debian_version для текущей редакции |
calamares-settings-debian | Отключение модуля displaymanager |
cargo | Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR |
chocolate-doom | Исправление отсутствующей проверки [CVE-2020-14983] |
chrony | Предотвращение гонки символьных ссылок при записи в PID-файл [CVE-2020-14367]; исправление чтения температуры |
debian-installer | Обновление ABI Linux до версии 4.19.0-11 |
debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
diaspora-installer | Использование опции --frozen для привязки установки к использованию Gemfile.lock, поставляемого из основной ветки разработки; отмена исключения Gemfile.lock во время обновлений; не перезаписывать config/oidc_key.pem во время обновлений; разрешение записи в config/schedule.yml |
dojo | Исправление загрязнения прототипа в методе deepCopy [CVE-2020-5258] в методе jqMix [CVE-2020-5259] |
dovecot | Исправление регрессии отсеивающего фильтра dsync; исправление обработки результата getpwent в userdb-passwd |
facter | Изменение конечной точки Google GCE Metadata с v1beta1на v1 |
gnome-maps | Исправление проблемы с отрисовкой неправильно выравненного слоя фигуры |
gnome-shell | LoginDialog: сброс приглашения аутентификации при переключении VT до постепенного появления изображения [CVE-2020-17489] |
gnome-weather | Предотвращение аварийной остановки при ошибочной настройке набора локаций |
grunt | Использование safeLoad при загрузке YAML-файлов [CVE-2020-7729] |
gssdp | Новый стабильный выпуск основной ветки разработки |
gupnp | Новый стабильный выпуск основной ветки разработки; предотвращение атаки CallStranger[CVE-2020-12695]; требование GSSDP 1.0.5 |
haproxy | logrotate.conf: использование вспомогательного сценария вместо сценария инициализации SysV; отклонение сообщений с отсутствующим параметром chunkedв Transfer-Encoding [CVE-2019-18277] |
icinga2 | Исправление атаки через символьные ссылки [CVE-2020-14004] |
incron | Исправление очистки бездействующих процессов |
inetutils | Исправление проблемы с удалённым выполнением кода [CVE-2020-10188] |
libcommons-compress-java | Исправление отказа в обслуживании [CVE-2019-12402] |
libdbi-perl | Исправление повреждения содержимого памяти в функциях XS при перераспределении стека Perl [CVE-2020-14392]; исправление переполнения буфера при использовании слишком длинного имени класса DBD [CVE-2020-14393]; исправление разыменования NULL-профиля в dbi_profile() [CVE-2019-20919] |
libvncserver | libvncclient: выполнение очистки, если имя UNIX-сокета может привести к переполнению [CVE-2019-20839]; исправление проблемы с выравниванием или присвоением псевдонима указателю [CVE-2020-14399]; ограничение максимального размера textchat [CVE-2020-14405]; libvncserver: добавление отсутствующих проверок NULL-указателя [CVE-2020-14397]; исправление проблемы с выравниванием или присвоением псевдонима указателю [CVE-2020-14400]; scale: изменение типа на 64-битный до выполнения сдвига [CVE-2020-14401]; предотвращение доступа к OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
libx11 | Исправление переполнения целых чисел [CVE-2020-14344 CVE-2020-14363] |
lighttpd | Обратный перенос нескольких исправлений безопасности и улучшений удобства использования |
linux | Новый стабильный выпуск основной ветки разработки; увеличение номера версии ABI до 11 |
linux-latest | Обновление для ABI ядра Linux версии 11 |
linux-signed-amd64 | Новый стабильный выпуск основной ветки разработки |
linux-signed-arm64 | Новый стабильный выпуск основной ветки разработки |
linux-signed-i386 | Новый стабильный выпуск основной ветки разработки |
llvm-toolchain-7 | Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR; исправление ошибок сборки rustc |
lucene-solr | Исправление проблемы безопасности в коде обработки настройки DataImportHandler [CVE-2019-0193] |
milkytracker | Исправление переполнения динамической памяти [CVE-2019-14464], переполнения стека [CVE-2019-14496], переполнения динамической памяти [CVE-2019-14497], исправление указателей после освобождения памяти [CVE-2020-15569] |
node-bl | Исправление чтения за пределами выделенного буфера памяти [CVE-2020-8244] |
node-elliptic | Предотвращение возможности деформирования подписей и переполнений [CVE-2020-13822] |
node-mysql | Добавление опции localInfile для управления LOAD DATA LOCAL INFILE [CVE-2019-14939] |
node-url-parse | Исправление недостаточной проверки и очистки пользовательских входных данных [CVE-2020-8124] |
npm | Не показывать пароли в журналах [CVE-2020-15095] |
orocos-kdl | Удаление явного добавления включённого пути по умолчанию, исправление ошибок с cmake < 3.16 |
postgresql-11 | Новый стабильный выпуск основной ветки разработки; установка безопасного значения search_path в логической репликации walsender и apply worker [CVE-2020-14349]; использование более безопасных сценариев установки модулей contrib [CVE-2020-14350] |
postgresql-common | Отмена сброса plpgsql до выполнения тестирования расширений |
pyzmq | Asyncio: ожидание POLLOUT для отправителя в can_connect |
qt4-x11 | Исправление переполнения буфера в коде для грамматического разбора XBM [CVE-2020-17507] |
qtbase-opensource-src | Исправление переполнения буфера в коде для грамматического разбора XBM [CVE-2020-17507]; исправление поломки буфера обмена при сбросе таймера, достигшего значения в 50 дней |
ros-actionlib | Безопасная загрузка YAML [CVE-2020-10289] |
rustc | Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR |
rust-cbindgen | Новый выпуск основной ветки разработки для поддержки готовящихся версий Firefox ESR |
ruby-ronn | Исправление обработки содержимого в кодировке UTF-8 в страницах руководства |
s390-tools | Исправление жёсткой зависимости от perl вместо подстановки в ${perl:Depends} для исправления установки при использовании debootstrap |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.