Обновлённый Debian 10: выпуск 10.13
10 Сентября 2022
Проект Debian с радостью сообщает о тринадцатом обновлении своего
предыдущего стабильного выпуска Debian 10 (кодовое имя buster
).
Это обновление в основном содержит исправления проблем безопасности,
а также несколько корректировок серьёзных проблем. Рекомендации по безопасности
опубликованы отдельно и указываются при необходимости.
После выпуска данной редакции команды безопасности и выпусков Debian более не будут работать над обновлениями Debian 10. Пользователи, желающие продолжать получать поддержку безопасности, должны выполнить обновление до Debian 11, либо обратиться к странице https://wiki.debian.org/LTS, на которой приводится подмножество архитектур и пакетов, которые будут поддерживаться в рамках проекта долгосрочной поддержки.
Заметьте, что это обновление не является новой версией Debian
10, а лишь обновлением некоторых включённых в выпуск пакетов. Нет
необходимости выбрасывать старые носители с выпуском buster
. После установки
пакеты можно обновить до текущих версий, используя актуальное
зеркало Debian.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные образы будут доступны позже в обычном месте.
Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| adminer | Исправление проблемы с перенаправлением, проблем с межсайтовым скриптингом [CVE-2020-35572 CVE-2021-29625]; elasticsearch: не выводить ответ, если код HTTP не 200 [CVE-2021-21311]; предоставление скомпилированной версии и файлов настройки |
| apache2 | Исправление отказа в обслуживании [CVE-2022-22719], подделки HTTP-запросов [CVE-2022-22720], переполнения целых чисел issue [CVE-2022-22721], записи за пределы выделенного буфера памяти issue [CVE-2022-23943], подделки HTTP-запросов [CVE-2022-26377], чтения за пределами выделенного буфера памяти [CVE-2022-28614 CVE-2022-28615], отказа в обслуживании [CVE-2022-29404], чтения за пределами выделенного буфера памяти [CVE-2022-30556], возможного обхода аутентификации на основе IP [CVE-2022-31813] |
| base-files | Обновление для редакции 10.13 |
| clamav | Новый стабильный выпуск основной ветки разработки; исправления безопасности [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| commons-daemon | Исправление определения JVM |
| composer | Исправление введения кода [CVE-2022-24828]; обновления шаблона токена GitHub; использование заголовка Authorization вместо устаревшего параметра запроса access_token |
| debian-installer | Повторная сборка с учётом buster-proposed-updates; увеличение номера версии ABI Linux до 4.19.0-21 |
| debian-installer-netboot-images | Повторная сборка с учётом buster-proposed-updates; увеличение номера версии ABI Linux до 4.19.0-21 |
| debian-security-support | Обновление статуса безопасности различных пакетов |
| debootstrap | Гарантирование возможности создания chroot-окружений без объединённого каталога usr для старых выпусков и сборочных служб |
| distro-info-data | Добавление Ubuntu 22.04 LTS, Jammy Jellyfish и Ubuntu 22.10, Kinetic Kudu |
| dropbear | Исправление возможной проблемы с упорядочением имён пользователей [CVE-2019-12953] |
| eboard | Исправление ошибки сегментирования при выборе движка |
| esorex | Исправление ошибок тестирования на armhf и ppc64el, вызванных неправильным использованием libffi |
| evemu | Исправление ошибки сборки с новыми версиями ядра |
| feature-check | Исправление сравнения некоторых номеров версий |
| flac | Исправление записи за пределами выделенного буфера памяти issue [CVE-2021-0561] |
| foxtrotgps | Исправление ошибки сборки с новыми версиями imagemagick |
| freeradius | Исправление утечки через сторонние каналы, когда 1 в 2048 рукопожатиях завершается ошибкой [CVE-2019-13456], отказа в обслуживании из-за многопоточного доступа к BN_CTX [CVE-2019-17185], аварийной остановки из-за выделения памяти без защиты потоков |
| freetype | Исправление переполнения буфера [CVE-2022-27404]; исправление аварийных остановок [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Исправление переполнения буфера [CVE-2022-25308 CVE-2022-25309]; исправление аварийных остановок [CVE-2022-25310] |
| ftgl | Не пытаться преобразовывать PNG в EPS для latex, так как в нашей версии imagemagick отключена поддержка EPS в целях обеспечения безопасности |
| gif2apng | Исправление переполнений динамической памяти [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911] |
| gnucash | Исправление ошибки сборки с новыми версиями tzdata |
| gnutls28 | Исправление тестов с OpenSSL 1.1.1e и более новыми версиями |
| golang-github-docker-go-connections | Пропуск тестов, использующих устаревшие сертификаты |
| golang-github-pkg-term | Исправление сборки на новых ядрах ветки 4.19 |
| golang-github-russellhaering-goxmldsig | Исправление разыменования NULL-указателя [CVE-2020-7711] |
| grub-efi-amd64-signed | Новый выпуск основной ветки разработки |
| grub-efi-arm64-signed | Новый выпуск основной ветки разработки |
| grub-efi-ia32-signed | Новый выпуск основной ветки разработки |
| grub2 | Новый выпуск основной ветки разработки |
| htmldoc | Исправление бесконечного цикла [CVE-2022-24191], переполнения целых чисел [CVE-2022-27114] и переполнения динамической памяти [CVE-2022-28085] |
| iptables-netflow | Исправление регрессии сборки DKMS, вызванной изменениями в основной ветке ядра 4.19.191 |
| isync | Исправление переполнений буфера [CVE-2021-3657] |
| kannel | Исправление ошибки сборки путём отключения создания документации в формате Postscript |
| krb5 | Использование SHA256 в качестве Pkinit CMS Digest |
| libapache2-mod-auth-openidc | Улучшение проверки post-logout параметра URL при выходе [CVE-2019-14857] |
| libdatetime-timezone-perl | Обновление поставляемых данных |
| libhttp-cookiejar-perl | Исправление ошибки сборки путём увеличения даты устаревания куки для тестирования |
| libnet-freedb-perl | Изменение узла по умолчанию с неработающего freedb.freedb.org на gnudb.gnudb.org |
| libnet-ssleay-perl | Исправление ошибок тестирования с OpenSSL 1.1.1n |
| librose-db-object-perl | Исправление ошибок тестирования после 6/6/2020 |
| libvirt-php | Исправление ошибки сегментирования в libvirt_node_get_cpu_stats |
| llvm-toolchain-13 | Новый пакет с исходным кодом для поддержки сборки новых версий firefox-esr и thunderbird |
| minidlna | Проверка HTTP-запросов с целью защиты от переназначения DNS [CVE-2022-26505] |
| mokutil | Новая версия основной ветки разработки, позволяющая управлять SBAT |
| mutt | Исправление переполнения буфера uudecode [CVE-2022-1328] |
| node-ejs | Очистка опций и новых объектов [CVE-2022-29078] |
| node-end-of-stream | Временное решение ошибки тестирования |
| node-minimist | Исправление загрязнения прототипа [CVE-2021-44906] |
| node-node-forge | Исправление проверки подписи [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-require-from-string | Исправление теста с nodejs >= 10.16 |
| nvidia-graphics-drivers | Новый выпуск основной ветки разработки |
| nvidia-graphics-drivers-legacy-390xx | Новый выпуск основной ветки разработки; исправление записи за пределами выделенного буфера памяти [CVE-2022-28181 CVE-2022-28185]; исправления безопасности [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615] |
| octavia | Исправление проверок клиентского сертификата [CVE-2019-17134]; правильное определение того, что агент работает в системе Debian; исправление шаблона, создающего проверочный сценарий vrrp; добавление дополнительных зависимостей времени исполнения; поставка дополнительных настроек в пакете с агентом |
| orca | Исправление использования с WebKitGTK 2.36 |
| pacemaker | Обновление версий отношения для исправления обновлений с stretch LTS |
| pglogical | Исправление ошибки сборки |
| php-guzzlehttp-psr7 | Исправление неправильного грамматического разбора заголовка [CVE-2022-24775] |
| postfix | Новый выпуск основной ветки разработки; не изменять установленный пользователем параметр default_transport; if-up.d: не выводить ошибку, если postfix пока не может отправить почту; исправление дублирующих записей bounce_notice_recipient в выводе postconf |
| postgresql-common | pg_virtualenv: запись временного файла с паролем до изменения владельца этого файла |
| postsrsd | Исправление потенциального отказа в обслуживании, когда Postfix отправляет некоторые длинные поля с данными, такие как объединённые адреса электронной почты [CVE-2021-35525] |
| procmail | Исправление разыменования NULL-указателя |
| publicsuffix | Обновление поставляемых данных |
| python-keystoneauth1 | Обновление тестов с целью исправить ошибку сборки |
| python-scrapy | Не отправлять данные аутентификации со всеми запросами [CVE-2021-41125]; не раскрывать междоменные куки при перенаправлении [CVE-2022-0577] |
| python-udatetime | Правильная компоновка с библиотекой libm |
| qtbase-opensource-src | Исправление setTabOrder для составных виджетов; добавление ограничения раскрытия для XML-сущностей [CVE-2015-9541] |
| ruby-activeldap | Добавление отсутствующей зависимости от ruby-builder |
| ruby-hiredis | Пропуск некоторых ненадёжных тестов для того, чтобы исправить ошибку сборки |
| ruby-http-parser.rb | Исправление ошибки сборки при использовании http-parser, содержащего исправление для CVE-2019-15605 |
| ruby-riddle | Разрешить использование LOAD DATA LOCAL INFILE |
| sctk | Использовать pdftoppmвместо convertдля преобразования PDF в JPEG, так как последняя утилита завершает работу с ошибкой из-за изменения политики безопасности ImageMagick |
| twisted | Исправление неправильного метода проверки URI и HTTP [CVE-2019-12387], неправильной проверки сертификата в поддержке XMPP [CVE-2019-12855], отказа в обслуживании в HTTP/2, подделки HTTP-запросов [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], раскрытия информации при междоменных перенаправлениях [CVE-2022-21712], отказа в обслуживании во время рукопожатия SSH [CVE-2022-21716] |
| tzdata | Обновление часовых поясов для Ирана, Чили и Палестины; обновление списка корректировочных секунд |
| ublock-origin | Новый стабильный выпуск основной ветки разработки |
| unrar-nonfree | Исправление обхода каталога [CVE-2022-30333] |
| wireshark | Исправление удалённого выполнения кода [CVE-2021-22191], отказа в обслуживании [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586] |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
Удалённые пакеты
Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| elog | Не сопровождается; проблемы безопасности |
| libnet-amazon-perl | Зависит от удалённого API |
Программа установки Debian
Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию предыдущего стабильного выпуска.URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.