Обновлённый Debian 11: выпуск 11.3
26 Марта 2022
Проект Debian с радостью сообщает о третьем обновлении своего
стабильного выпуска Debian 11 (кодовое имя bullseye
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
11, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском bullseye
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| apache-log4j1.2 | Исправление проблем безопасности [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] путём удаления поддержки для модулей JMSSink, JDBCAppender, JMSAppender и Apache Chainsaw |
| apache-log4j2 | Исправление удалённого выполнения кода [CVE-2021-44832] |
| apache2 | Новый выпуск основной ветки разработки; исправление аварийной остановки из-за чтения случайного региона памяти [CVE-2022-22719]; исправление подделки HTTP-запроса [CVE-2022-22720]; исправление записи за пределами выделенного буфера памяти [CVE-2022-22721 CVE-2022-23943] |
| atftp | Исправление утечки информации [CVE-2021-46671] |
| base-files | Обновление для редакции 11.3 |
| bible-kjv | Исправление ошибки на единицу в поиске |
| chrony | Разрешение чтения файла настройки chronyd, создаваемого timemaster(8) |
| cinnamon | Исправление аварийной остановки при добавлении онлайн учётной записи с логином |
| clamav | Новый стабильный выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2022-20698] |
| cups-filters | Apparmor: разрешение чтения из файла настройки cups-browsed для Debian Edu |
| dask.distributed | Исправление нежелательного раскрытия списка работающих систем через открытые интерфейсы [CVE-2021-42343]; исправление совместимости с Python 3.9 |
| debian-installer | Повторная сборка с учётом proposed-updates; обновление ABI ядра Linux до 5.10.0-13 |
| debian-installer-netboot-images | Повторная сборка с учётом proposed-updates |
| debian-ports-archive-keyring | Добавление Debian Ports Archive Automatic Signing Key (2023); перемещение ключа, использованного в 2021 году, в брелок удалённых ключей |
| django-allauth | Исправление поддержки OpenID |
| djbdns | Увеличение ограничения размеров данных axfrdns, dnscache и tinydns |
| dpdk | Новый стабильный выпуск основной ветки разработки |
| e2guardian | Исправление отсутствующей проверки SSL-сертификата [CVE-2021-44273] |
| epiphany-browser | Временное исправление ошибки в GLib, разрешающее проблему с аварийной остановкой процесса пользовательского интерфейса |
| espeak-ng | Удаление ошибочной 50мс задержки при обработке событий |
| espeakup | debian/espeakup.service: защита espeakup от системных перегрузок |
| fcitx5-chinese-addons | fcitx5-table: добавление отсутствующих зависимостей от fcitx5-module-pinyinhelper и fcitx5-module-punctuation |
| flac | Исправление записи за пределами выделенного буфера памяти issue [CVE-2021-0561] |
| freerdp2 | Отключение дополнительного журналирования с целью отладки |
| galera-3 | Новый выпуск основной ветки |
| galera-4 | Новый выпуск основной ветки |
| gbonds | Исправление API Treasury для данных о погашении |
| glewlwyd | Исправление возможного повышения привилегий |
| glibc | Исправление некорректного преобразования из ISO-2022-JP-3 с помощью iconv [CVE-2021-43396]; исправление переполнений буфера [CVE-2022-23218 CVE-2022-23219]; исправление использования указателей после освобождения памяти [CVE-2021-33574]; прекращение замены старых версий файла /etc/nsswitch.conf; упрощение проверки поддерживаемых версий ядра, так как ядра ветки 2.x более не поддерживаются; поддержка установки на ядра с номером выпуска более 255 |
| glx-alternatives | Установка минимальной альтернативы в переадресованных файлах после изначальной настройки переадресации, чтобы библиотеки не считались отсутствующими до обработки триггеров glx-alternative-mesa |
| gnupg2 | scd: исправление CCID-драйвера для SCM SPR332/SPR532; прекращение сетевого взаимодействия в генераторе, которое может приводить к зависаниям |
| gnuplot | Исправление деления на ноль [CVE-2021-44917] |
| golang-1.15 | Исправление IsOnCurve для значений типа big.Int, которые не являются корректными координатами [CVE-2022-23806]; math/big: предотвращение большого потребления памяти в Rat.SetString [CVE-2022-23772]; cmd/go: предотвращение материализации ветвей в версии [CVE-2022-23773]; исправление исчерпания стека при компиляции сложных вложенных выражений [CVE-2022-24921] |
| golang-github-containers-common | Обновление поддержки seccomp для испольования более новых версий ядра |
| golang-github-opencontainers-specs | Обновление поддержки seccomp для испольования более новых версий ядра |
| gtk+3.0 | Исправление отсутствия результатов поиска при использовании NFS; предотвращение блокировки обработки буфера обмена в Wayland в некоторых пограничных случаях; улучшение печати на принтерах, обнаруженных с помощью mDNS |
| heartbeat | Исправление создания /run/heartbeat на системах с systemd |
| htmldoc | Исправление чтения за пределами выделенного буфера памяти [CVE-2022-0534] |
| installation-guide | Обновление документации и переводов |
| intel-microcode | Обновление поставляемого микрокода; уменьшение риска для некоторых проблем безопасности [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] |
| ldap2zone | Использование mktempвместо устаревшего tempfile, что позволяет избежать вывода предупреждений |
| lemonldap-ng | Исправление процесса auth в дополнениях для тестирования паролей [CVE-2021-40874] |
| libarchive | Исправление извлечения жёстких ссылок в символьные ссылки; исправление обработки списков управления доступом для символьных ссылок [CVE-2021-23177]; запрет на переход по символьным ссылкам при установки флагов файлов [CVE-2021-31566] |
| libdatetime-timezone-perl | Обновление поставляемых данных |
| libgdal-grass | Повторная сборка с учётом 7.8.5-1+deb11u1 |
| libpod | Обновление поддержки seccomp для испольования более новых версий ядра |
| libxml2 | Исправление использования указателей после освобождения памяти [CVE-2022-23308] |
| linux | Новый стабильный выпуск основной ветки разработк; [rt] обновление до версии 5.10.106-rt64; увеличение ABI до 13 |
| linux-signed-amd64 | Новый стабильный выпуск основной ветки разработк; [rt] обновление до версии 5.10.106-rt64; увеличение ABI до 13 |
| linux-signed-arm64 | Новый стабильный выпуск основной ветки разработк; [rt] обновление до версии 5.10.106-rt64; увеличение ABI до 13 |
| linux-signed-i386 | Новый стабильный выпуск основной ветки разработк; [rt] обновление до версии 5.10.106-rt64; увеличение ABI до 13 |
| mariadb-10.5 | Новый выпуск стабильной ветки разработки; исправления безопасности [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] |
| mpich | Добавление Breaks: со старыми версиями libmpich1.0-dev для исправления проблем с обновлениями |
| mujs | Исправление переполнения буфера [CVE-2021-45005] |
| mutter | Обратный перенос различных исправлений из стабильной ветки основной ветки разработки |
| node-cached-path-relative | Исправление загрязнения прототипа [CVE-2021-23518] |
| node-fetch | Запрет на перенаправление защищённых заголовков на домены третьих сторон [CVE-2022-0235] |
| node-follow-redirects | Запрет передачи заголовков куки между доменами [CVE-2022-0155]; запрет передачи конфиденциальных заголовков между схемами [CVE-2022-0536] |
| node-markdown-it | Исправление отказа в обслуживании при обработке регулярного выражения [CVE-2022-21670] |
| node-nth-check | Исправление отказа в обслуживании при обработке регулярного выражения [CVE-2021-3803] |
| node-prismjs | Экранирование разметки в выводе командной строки [CVE-2022-23647]; обновление минимизированных файлов с целью гарантировать, что отказ в обслуживании при обработке регулярного выражения исправлен [CVE-2021-3801] |
| node-trim-newlines | Исправление отказа в обслуживании при обработке регулярного выражения [CVE-2021-33623] |
| nvidia-cuda-toolkit | cuda-gdb: отключение неработающей поддержки python, вызывающей ошибки сегментирования; исользование среза openjdk-8-jre (8u312-b07-1) |
| nvidia-graphics-drivers-tesla-450 | Новый выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: предоставление /etc/modprobe.d/nvidia-options.conf в качестве шаблона |
| nvidia-modprobe | Новый выпуск основной ветки разработки |
| openboard | Исправление иконки приложения |
| openssl | Новый выпуск основной ветки разработки; исправление аутентификации указателя armv8 |
| openvswitch | Исправление использования указателей после освобождения памяти [CVE-2021-36980]; исправление установки libofproto |
| ostree | Исправление совместимости с eCryptFS; предотвращение бесконечной рекурсии при восстановлении после некоторых ошибок; пометка коммитов как частичных до выполнения их загрузки; исправление ошибки утверждения при использовании обратного переноса или локальной сборки GLib >= 2.71; исправление возможности загружать содержимое OSTree по путям, содержащим символы, которые не могут использоваться в URI (например, символы обратных косых черты) или не входят в ASCII |
| pdb2pqr | Исправление совместимости propka с Python 3.8 и более новыми версиями |
| php-crypt-gpg | Предотвражение передачи дополнительных опций GPG [CVE-2022-24953] |
| php-laravel-framework | Исправление межсайтового скриптинга [CVE-2021-43808], отсутствие блокировки при загрузке исполняемого содержимого [CVE-2021-43617] |
| phpliteadmin | Исправление межсайтового скриптинга [CVE-2021-46709] |
| prips | Исправление бесконечного оборачивания в случае, если диапазон превышает 255.255.255.255; исправление вывода CIDR с адресами, различающими по первым битам |
| pypy3 | Исправление ошибок сборки путём удаления лишних #endif из import.h |
| python-django | Исправление отказа в обслуживании [CVE-2021-45115], раскрытия информации [CVE-2021-45116], обхода каталога [CVE-2021-45452]; исправление обратной трассировки при обработке RequestSite/get_current_site() из-за цикличных директив import |
| python-pip | Предотвращение состояния гонки при использовании зависимостей, импортированных из zip |
| rust-cbindgen | Новый стабильный выпуск основной ветки разработки для поддержки сборки новых версий firefox-esr и thunderbird |
| s390-dasd | Прекращение передачи dasdfmt устаревшей опции -f |
| schleuder | Переход от булевых значений к целочисленным в случае, если используется адаптер ActiveRecord SQLite3, что восстанавливает работоспособность |
| sphinx-bootstrap-theme | Исправление функциональности поиска |
| spip | Исправление нескольких межсайтовых скриптингов |
| symfony | Исправление CVE-инъекции [CVE-2021-41270] |
| systemd | Исправление неуправляемой рекурсии в systemd-tmpfiles [CVE-2021-3997]; понижение статуса зависимости systemd-timesyncd с Depends до Recommends для удаления цикла зависимостей; исправление ошибки монтирования каталога в контейнер с помощью machinectl; исправление регрессии в udev, приводящей к длинным задержкам при обработке разделов, имеющих одну и ту же метку; исправление регрессии при использовании systemd-networkd в непривилегированном LXD-контейнере |
| sysvinit | Исправление грамматического разбора вызова shutdown +0; пояснение, что при вызове с timeкоманда shutdown не будет завершена |
| tasksel | Установка CUPS для всех *-desktop задач, так как пакета task-print-service больше нет |
| usb.ids | Обновление поставляемых данных |
| weechat | Исправление отказа в обслуживании [CVE-2021-40516] |
| wolfssl | Исправление нескольких ошибок, связанных с обработкой OCSP [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] и поддержкой TLS1.3 [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640] |
| xserver-xorg-video-intel | Исправление аварийной остановки SIGILL на ЦП без SSE2 |
| xterm | Исправление переполнения буфера [CVE-2022-24130] |
| zziplib | Исправление переполнения буфера [CVE-2020-18442] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| angular-maven-plugin | Более не является полезным |
| minify-maven-plugin | Более не является полезным |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.