Обновлённый Debian 10: выпуск 10.12
26 Марта 2022
Проект Debian с радостью сообщает о двенадцатом обновлении своего
предыдущего стабильного выпуска Debian 10 (кодовое имя buster
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском buster
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Более строгий алгоритм проверки подписей OpenSSL
Обновление OpenSSL, поставляемое в данной редакции, включает в себя изменение, гарантирующее, что запрошенный алгоритм подписи поддерживается активным уровнем безопасности.
Хотя это и не касается большинства случаев использования указанного пакета, это изменение может приводить к выводу сообщений об ошибках в случае, когда запрашивается неподдерживаемый алгоритм — например, использование подписей RSA+SHA1 с уровнем безопасности 2 (по умолчанию).
В таких случаях уровень безопасности следует явным образом понизить либо для отдельных запросов, либо глобально. Это может потребовать внесения изменений в настройки приложений. В самом OpenSSL снижение уровня безопасности для отдельных запросов может быть достигнуто с помощью следующей опции командной строки:
-cipher ALL:@SECLEVEL=1
Соответствующие системные настройки можно найти в файле /etc/ssl/openssl.cnf
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| apache-log4j1.2 | Исправление проблем безопасности [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] путём удаления поддержки для модулей JMSSink, JDBCAppender, JMSAppender и Apache Chainsaw |
| apache-log4j2 | Исправление удалённого выполнения кода [CVE-2021-44832] |
| atftp | Исправление утечки информации [CVE-2021-46671] |
| base-files | Обновление для редакции 10.12 |
| beads | Повторная сборка с учётом обновлённого пакета cimg с целью исправления многочисленных переполнений динамической памяти [CVE-2020-25693] |
| btrbk | Исправление регрессии в обновлении для CVE-2021-38173 |
| cargo-mozilla | Новый пакет, обратный перенос из Debian 11, для сборки новых версий rust |
| chrony | Разрешение чтения файла настройки chronyd, создаваемого timemaster(8) |
| cimg | Исправление переполнений динамической памяти [CVE-2020-25693] |
| clamav | Новый стабильный выпуск основной ветки разработки; исправление отказа в обслуживании [CVE-2022-20698] |
| cups | Исправление проблема с проверкой входных данных может позволить вредоносному приложению читать ограниченную память[CVE-2020-10001] |
| debian-installer | Повторная сборка с учётом oldstable-proposed-updates; обновление ABI ядра до 20 |
| debian-installer-netboot-images | Повторная сборка с учётом oldstable-proposed-updates |
| detox | Исправление обработки больших файлов на архитектурах ARM |
| evolution-data-server | Исправление аварийной остановки при некорректном ответе сервера [CVE-2020-16117] |
| flac | Исправление чтения за пределами выделенного буфера памяти [CVE-2020-0499] |
| gerbv | Исправление выполнения кода [CVE-2021-40391] |
| glibc | Перенос нескольких исправлений из стабильной версии основной ветки разработки; упрощение проверки поддерживаемых версий ядра, так как ядра ветки 2.x более не поддерживаются; поддержка установки на ядра с номером выпуска более 255 |
| gmp | Исправление переполнений буфера и целых чисел [CVE-2021-43618] |
| graphicsmagick | Исправленеи переполнения буфера [CVE-2020-12672] |
| htmldoc | Исправление чтения за пределами выделенного буфера памяти [CVE-2022-0534], переполнений буфера [CVE-2021-43579 CVE-2021-40985] |
| http-parser | Исправление нечаянной поломки ABI |
| icu | Исправление утилиты pkgdata |
| intel-microcode | Обновление поставляемого микрокода; уменьшение риска для некоторых проблем безопасности [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] |
| jbig2dec | Исправленеи переполнения буфера [CVE-2020-12268] |
| jtharness | Новая версия основной ветки разработки, необходимая для сборки новых версий OpenJDK-11 |
| jtreg | Новая версия основной ветки разработки, необходимая для сборки новых версий OpenJDK-11 |
| lemonldap-ng | Исправление процесса auth в дополнениях для тестирования паролей [CVE-2021-20874]; рекомендация пакета gsfonts, исправляющая контрольное изображение |
| leptonlib | Исправление отказа в обслуживании [CVE-2020-36277], чтения за пределами выделенного буфера памяти [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281] |
| libdatetime-timezone-perl | Обновление поставляемых данных |
| libencode-perl | Исправление утечки памяти в Encode.xs |
| libetpan | Исправление инъекции ответа STARTTLS [CVE-2020-15953] |
| libextractor | Исправление неправильного чтения [CVE-2019-15531] |
| libjackson-json-java | Исправление выполнения кода [CVE-2017-15095 CVE-2017-7525], внешних сущностей XML [CVE-2019-10172] |
| libmodbus | Исправление чтения за пределами выделенного буфера памяти [CVE-2019-14462 CVE-2019-14463] |
| libpcap | Проверка длины заголовка PHB до его использования для выделения памяти [CVE-2019-15165] |
| libsdl1.2 | Корректная обработка событий изменения фокуса ввода; исправление переполнений буфера [CVE-2019-13616 CVE-2019-7637], чтения за пределами выделенного буфера памяти [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638] |
| libxml2 | Исправление использования указателей после освобождения памяти [CVE-2022-23308] |
| linux | Новый стабильный выпуск основной ветки разработки; [rt] обновление до версии 4.19.233-rt105; увеличение ABI до 20 |
| linux-latest | Обновление ABI до версии 4.19.0-20 |
| linux-signed-amd64 | Новый стабильный выпуск основной ветки разработки; [rt] обновление до версии 4.19.233-rt105; увеличение ABI до 20 |
| linux-signed-arm64 | Новый стабильный выпуск основной ветки разработки; [rt] обновление до версии 4.19.233-rt105; увеличение ABI до 20 |
| linux-signed-i386 | Новый стабильный выпуск основной ветки разработки; [rt] обновление до версии 4.19.233-rt105; увеличение ABI до 20 |
| llvm-toolchain-11 | Новый пакет, обратный перенос из Debian 11, для сборки новых версий rust |
| lxcfs | Исправление неправильного сообщения об использовании подкачки |
| mailman | Исправление межсайтового скриптинга [CVE-2021-43331]; исправление модератор списка может взломать пароль администратора списка, зашифрованный в CSRF-токене[CVE-2021-43332]; исправление потенцальной CSRF-атаки на администратора списка от лица участника или модератора списка [CVE-2021-44227]; исправление регрессий, появившихся при исправлении CVE-2021-42097 и CVE-2021-44227 |
| mariadb-10.3 | Новый выпуск стабильной ветки разработки; исправления безопасности [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] |
| node-getobject | Исправление загрязнения прототипа [CVE-2020-28282] |
| opensc | Исправление обращения за пределы выделенного буфера памяти [CVE-2019-15945 CVE-2019-15946], аварийной остановки из-за чтения неизвестной памяти [CVE-2019-19479], двойного освобождения памяти [CVE-2019-20792], переполнений буфера [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572] |
| openscad | Исправление переполнений буфера в коде для грамматического разбора STL [CVE-2020-28599 CVE-2020-28600] |
| openssl | Новый выпуск основной ветки разработки |
| php-illuminate-database | Исправление привязки запросов [CVE-2021-21263], SQL-инъекций при использовании с Microsoft SQL Server |
| phpliteadmin | Исправление межсайтового скриптинга [CVE-2021-46709] |
| plib | Исправление переполнения целых чисел [CVE-2021-38714] |
| privoxy | Исправление утечки памяти [CVE-2021-44540] и межсайтового скриптинга [CVE-2021-44543] |
| publicsuffix | Обновление поставляемых данных |
| python-virtualenv | Предотвращение попытки установить pkg_resources из PyPI |
| raptor2 | Исправление доступа за пределы массива [CVE-2020-25713] |
| ros-ros-comm | Исправление отказа в обслуживании [CVE-2021-37146] |
| rsyslog | Исправление переполнения динамической памяти [CVE-2019-17041 CVE-2019-17042] |
| ruby-httpclient | Использование системного хранилища сертификатов |
| rust-cbindgen | Новый стабильный выпуск основной ветки разработки для поддержки сборки новых версий firefox-esr и thunderbird |
| rustc-mozilla | Новый стабильный выпуск основной ветки разработки для поддержки сборки новых версий firefox-esr и thunderbird |
| s390-dasd | Прекращение передачи dasdfmt устаревшей опции -f |
| spip | Исправление нескольких межсайтовых скриптингов |
| tzdata | Обновление данных для Фиджи и Палестины |
| vim | Исправление возможности выполнять код при нахождении в ограниченном режиме [CVE-2019-20807], переполнений буфера [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], использований указателей после освобождения памяти [CVE-2021-3796]; удаление случайно включённой в пакет заплаты |
| wavpack | Исправление использование неинициализированных значений [CVE-2019-1010317 CVE-2019-1010319] |
| weechat | Исправление отказа в обслуживании [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516] |
| wireshark | Исправление нескольких проблем безопасности в диссекторах [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929] |
| xterm | Исправление переполнения буфера [CVE-2022-24130] |
| zziplib | Исправление переполнения буфера [CVE-2020-18442] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| angular-maven-plugin | Более не является полезным |
| minify-maven-plugin | Более не является полезным |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.