Обновлённый Debian 11: выпуск 11.4
09 Июля 2022
Проект Debian с радостью сообщает о четвёртом обновлении своего
стабильного выпуска Debian 11 (кодовое имя bullseye
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian
11, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском bullseye
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| apache2 | Новый стабильный выпуск основной ветки разработки; исправление подделки HTTP-запросов [CVE-2022-26377], чтения за пределами выделенного буфера памяти [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], отказа в обслуживании [CVE-2022-29404 CVE-2022-30522], возможных чтений за пределами выделенного буфера памяти [CVE-2022-30556], возможного обхода аутентификации на основе IP [CVE-2022-31813] |
| base-files | Обновление /etc/debian_version для редакции 11.4 |
| bash | Исправление переполнения буфера при чтении на 1 байт больше, приводящего к повреждению многобайтовых символов в подстановке команд |
| clamav | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| clementine | Добавление отсутствующей зависимости от libqt5sql5-sqlite |
| composer | Исправление введения кода [CVE-2022-24828]; обновление шаблона токена GitHub |
| cyrus-imapd | Гарантирование того, чтобы почтовые ящики имеют поле uniqueid, исправляющее обновление до версии 3.6 |
| dbus-broker | Исправление переполнения буфера [CVE-2022-31212] |
| debian-edu-config | Принятие почты из локальной сети, отправленной на адрес root@<моё-имя-сети>; создание узла Kerberos и администраторов службы только в том случае, если они ещё не существуют; проверка того, что пакет libsss-sudo установлен на рабочих станциях с автоматической настройкой на местную сеть связи; исправление именования и отображения очередей печати; поддержка krb5i на бездисковых рабочих станциях; squid: предпочитать поиск DNSv4 поиску DNSv6 |
| debian-installer | Повторная сборка с учётом proposed-updates; увеличение версии ABI ядра Linux до 16; восстановление некоторых целей сетевой загрузки на armel (openrd) |
| debian-installer-netboot-images | Повторная сборка с учётом proposed-updates; увеличение версии ABI ядра Linux до 16; восстановление некоторых целей сетевой загрузки на armel (openrd) |
| distro-info-data | Добавление Ubuntu 22.10, Kinetic Kudu |
| docker.io | Запуск docker.service после containerd.service, чтобы исправить отключение контейнеров; явная передача пути сокета containerd в dockerd, чтобы последний не запускал containerd самостоятельно |
| dpkg | dpkg-deb: исправление условий неожиданного окончания файла при распаковке .deb; libdpkg: не ограничивать виртуальные поля source:* установленными пакетами; Dpkg::Source::Package::V2: всегда исправлять права доступа к tar-архивам основной ветки разработки (регрессия из DSA-5147-1] |
| freetype | Исправление переполнения буфера [CVE-2022-27404]; исправление аварийных остановок [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Исправление переполнения буфера [CVE-2022-25308 CVE-2022-25309]; исправление аварийной остановки [CVE-2022-25310] |
| ganeti | Новый выпуск основной ветки разработки; исправление нескольких проблем с обновлением; исправление живой миграции с QEMU 4 и security_model, имеющей значение userили pool |
| geeqie | Исправление клика мышью с зажатой клавишей Ctrl внутри блока выбора |
| gnutls28 | Исправление ошибочного вычисления SSSE3 SHA384; исправление разыменования null-указателя [CVE-2021-4209] |
| golang-github-russellhaering-goxmldsig | Исправление разыменования null-указателя, вызванного специально сформированными подписями XML [CVE-2020-7711] |
| grunt | Исправление обхода каталога [CVE-2022-0436] |
| hdmi2usb-mode-switch | udev: добавление суффикса к нодам устройств /dev/video, чтобы их не путать; перенесение правил udev в приоритет 70, чтобы они загружались после 60-persistent-v4l.rules |
| hexchat | Добавление отсутствующей зависимости от python3-cffi-backend |
| htmldoc | Исправление бесконечного цикла [CVE-2022-24191], переполнений целых чисел [CVE-2022-27114] и переполнения динамической памяти [CVE-2022-28085] |
| knot-resolver | Исправление возможный ошибки утверждения в пограничном случае NSEC3 [CVE-2021-40083] |
| libapache2-mod-auth-openidc | Новый стабильный выпуск основной ветки разработки; исправление открытого перенаправления [CVE-2021-39191]; исправление аварийной остановки при выполнении действий reload / restart |
| libintl-perl | Установка gettext_xs.pm |
| libsdl2 | Избегание чтения за пределами выделенного буфера памяти при загрузке специально сформированных файлов в формате BMP [CVE-2021-33657], а также во время преобразования YUV в RGB |
| libtgowt | Новый стабильный выпуск основной ветки разработки, поддерживающий новые версии telegram-desktop |
| linux | Новый стабильный выпуск основной ветки разработки; увеличение ABI до 16 |
| linux-signed-amd64 | Новый стабильный выпуск основной ветки разработки; увеличение ABI до 16 |
| linux-signed-arm64 | Новый стабильный выпуск основной ветки разработки; увеличение ABI до 16 |
| linux-signed-i386 | Новый стабильный выпуск основной ветки разработки; увеличение ABI до 16 |
| logrotate | Пропуск блокиировки в случае, если файл состояния доступен для чтения всем пользователям [CVE-2022-1348]; более строгий грамматический разбор настроек для того, чтобы избежать разбора посторонних файлов (таких как дампы ядра) |
| lxc | Обновление сервера ключей GPG по умолчанию, исправляющее создание контейнеров, использующих шаблон download |
| minidlna | Проверка HTTP-запросов с целью защиты против атак по переназначению DNS [CVE-2022-26505] |
| mutt | Исправление переполнения буфера uudecode [CVE-2022-1328] |
| nano | Несколько исправлений ошибок, включая исправления аварийных остановок |
| needrestart | Добавление поддержки cgroup v2 к функционалу обнаружения cgroup для служб и пользовательских сессий |
| network-manager | Новый стабильный выпуск основной ветки разработки |
| nginx | Исправление аварийной остановки при загрузке libnginx-mod-http-lua и использовании init_worker_by_lua*; уменьшение риска атаки по смешению содержимого протокола уровня приложения в модуле Mail [CVE-2021-3618] |
| node-ejs | Исправление введения шаблона на стороне сервера [CVE-2022-29078] |
| node-eventsource | Удаление чувствительных заголовков при перенаправлении на другой источник [CVE-2022-1650] |
| node-got | Не разрешать перенаправление на Unix-сокет [CVE-2022-33987] |
| node-mermaid | Исправление межсайтового скриптинга [CVE-2021-23648 CVE-2021-43861] |
| node-minimist | Исправление загрязнения прототипа [CVE-2021-44906] |
| node-moment | Исправление обхода каталога [CVE-2022-24785] |
| node-node-forge | Исправление проверки подписи [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-raw-body | Исправление потенциального отказа в обслуживании в node-express путём использования node-iconv-lite вместо node-iconv |
| node-sqlite3 | Исправление отказа в обслуживании [CVE-2022-21227] |
| node-url-parse | Исправление обхода аутентификации [CVE-2022-0686 CVE-2022-0691] |
| nvidia-cuda-toolkit | Использование срезов OpenJDK8 для amd64 и ppc64el; проверка применяемости двоичных компонентов java; nsight-compute: перемещение папки 'sections' в место, поддерживающее несколько архитектур; исправление порядка версий nvidia-openjdk-8-jre |
| nvidia-graphics-drivers | Новый выпуск основной ветки разработки; переход на ветку 470; исправление отказа в обслуживании [CVE-2022-21813 CVE-2022-21814]; исправление записи за пределы выделенного буфера памяти [CVE-2022-28181], чтения за пределами выделенного буфера памяти [CVE-2022-28183], отказа в обслуживании [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-graphics-drivers-legacy-390xx | Новый выпуск основной ветки разработки; исправление записи за пределами выделенного буфера памяти [CVE-2022-28181 CVE-2022-28185] |
| nvidia-graphics-drivers-tesla-418 | Новый стабильный выпуск основной ветки разработки |
| nvidia-graphics-drivers-tesla-450 | Новый стабильный выпуск основной ветки разработки; исправление записи за пределами выделенного буфера памяти [CVE-2022-28181 CVE-2022-28185], отказа в обслуживании [CVE-2022-28192] |
| nvidia-graphics-drivers-tesla-460 | Новый стабильный выпуск основной ветки разработки |
| nvidia-graphics-drivers-tesla-470 | Новый пакет, перенос поддержки Tesla на ветку 470; исправление чтения за пределами выделенного буфера памяти [CVE-2022-28181], чтения за пределами выделенного буфера памяти [CVE-2022-28183], отказа в обслуживании [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-persistenced | Новый выпуск основной ветки разработки; переход на ветку 470 |
| nvidia-settings | Новый выпуск основной ветки разработки; переход на ветку 470 |
| nvidia-settings-tesla-470 | Новый пакет, перенос поддержки Tesla на ветку 470 |
| nvidia-xconfig | Новый выпуск основной ветки разработки |
| openssh | seccomp: добавление системного вызова pselect6_time64 на 32-битных архитектурах |
| orca | Исправление использования с webkitgtk 2.36 |
| php-guzzlehttp-psr7 | Исправление грамматического разбора неправильного заголовка [CVE-2022-24775] |
| phpmyadmin | Исправление нескольких SQL-запросов, приводящих к ошибкам на стороне сервера |
| postfix | Новый стабильный выпуск основной ветки разработки; не изменять установленный пользователем параметр default_transport в сценарии postinst; if-up.d: не выводить ошибку, если postfix пока не может отправить почту |
| procmail | Исправление разыменования null-указателя |
| python-scrapy | Не отправлять данные аутентификации со всеми запросами [CVE-2021-41125]; не раскрывать междоменные куки при перенаправлении [CVE-2022-0577] |
| ruby-net-ssh | Исправление аутентификации в системах, использующих OpenSSH 8.8 |
| runc | Выполнять seccomp defaultErrnoRet; не устанавливать наследуемые возможности [CVE-2022-29162] |
| samba | Исправление ошибки запуска winbind, если используется allow trusted domains = no; исправление аутентфикации MIT Kerberos; исправление выхода из общего каталога через состояние гонки в mkdir [CVE-2021-43566]; исправление возможного серьёзного повреждения данных из-за отравления кеша Windows-клиента; исправление установки на системах без systemd |
| tcpdump | Обновление профиля AppArmor с целью разрешения доступа к файлам *.cap, а также обработки цифрового суффикса в именах файлов с -W |
| telegram-desktop | Новый стабильный выпуск основной ветки разработки, восстанавливающий функционирование |
| tigervnc | Исправление запуска рабочего стола GNOME при использовании tigervncserver@.service; исправление цветного дисплея, когда vncviewer и X11-сервер используют разный порядок байтов |
| twisted | Исправление раскрытия информации при кроссдоменном перенаправлении [CVE-2022-21712], отказа в обслуживании во время рукопожатий SSH [CVE-2022-21716], подделки HTTP-запросов [CVE-2022-24801] |
| tzdata | Обновление данных часового пояса для Палестины; обновление списка корректировочных секунд |
| ublock-origin | Новый стабильный выпуск основной ветки разработки |
| unrar-nonfree | Исправление обхода каталога [CVE-2022-30333] |
| usb.ids | Новый выпуск основной ветки разработки; обновление поставляемых данных |
| wireless-regdb | Новый выпуск основной ветки разработки; удаление отклонения, добавленного программой установки, чтобы гарантировать, что используются файлы из пакета |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| elog | Не сопровождается; проблемы безопасности |
| python-hbmqtt | Не сопровождается и сломан |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий стабильный выпуск:
Предлагаемые обновления для стабильного выпуска:
Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.