Обновлённый Debian 11: выпуск 11.5

10 Сентября 2022

Проект Debian с радостью сообщает о пятом обновлении своего стабильного выпуска Debian 11 (кодовое имя bullseye). Это обновление в основном содержит исправления проблем безопасности, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.

Заметьте, что это обновление не является новой версией Debian 11, а лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать старые носители с выпуском bullseye. После установки пакеты можно обновить до текущих версий, используя актуальное зеркало Debian.

Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.

Новые установочные образы будут доступны позже в обычном месте.

Обновление существующих систем до этой редакции можно выполнить с помощью системы управления пакетами, используя одно из множества HTTP-зеркал Debian. Исчерпывающий список зеркал доступен на странице:

https://www.debian.org/mirror/list

Исправления различных ошибок

Данное стабильное обновление вносит несколько важных исправлений для следующих пакетов:

Пакет	Причина
avahi	Исправление отображения URL, содержащих '&' в avahi-discover; не отключать очистку по таймауту при очистке при слежении; исправление аварийных остановок NULL-указателя при попытке разрешить неправильно сформированные имена узлов [CVE-2021-3502]
base-files	Обновление /etc/debian_version для редакции 11.5
cargo-mozilla	Новый пакет с исходным кодом для поддержки сборки новых версий firefox-esr и thunderbird
clamav	Новый стабильный выпуск основной ветки разработки
commons-daemon	Исправление обнаружения JVM
curl	Отклонять куки с control bytes [CVE-2022-35252]
dbus-broker	Исправление ошибки утверждения при отключении одноранговых групп; исправление утечки памяти; исправление разыменования null-указателя [CVE-2022-31213]
debian-installer	Повторная сборка с учётом proposed-updates; увеличение ABI ядра Linux до версии 5.10.0-18
debian-installer-netboot-images	Повторная сборка с учётом proposed-updates; увеличение ABI ядра Linux до версии 5.10.0-18
debian-security-support	Обновление статуса поддержки различных пакетов
debootstrap	Гарантирование возможности создания chroot-окружений без объединённого каталога usr для старых выпусков и сборочных служб
dlt-daemon	Исправление двойного освобождения памяти [CVE-2022-31291]
dnsproxy	Прослушивание по умолчанию локального узла, а не возможно недоступного 192.168.168.1
dovecot	Исправление возможных проблем безопасности, когда имеются записи настроек в passdb с тем же драйвером и набором аргументов [CVE-2022-30550]
dpkg	Исправление обработки удаления файлов настройки при обновлении, утечки памяти в обработке удаления при обновлении; Dpkg::Shlibs::Objdump: исправление apply_relocations для работы с символами, имеющими версии; добавление поддержки для ЦП ARCv2; несколько обновлений и исправлений dpkg-fsys-usrunmess
fig2dev	Исправление двойного освобождения памяти [CVE-2021-37529], отказа в обслуживании [CVE-2021-37530]; прекращение неправильного размещения встроенных изображений в формате eps
foxtrotgps	Исправление аварийной остановки путём гарантирования, что потоки всегда не имеют ссылок
gif2apng	Исправление переполнения динамической памяти [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
glibc	Исправление положительного/отрицательного переполнения буфера из-за ошибки на единицу в getcwd() [CVE-2021-3999]; исправление нескольких переполнений в функциях работы с расширенными символами; добавление нескольких оптимизированных EVEX функций работы со строками для исправления проблем с производительностью (до 40%) на ЦП Skylake-X; возможность использование grantpt после выполнения многопоточного форка; гарантировать, что защита libio vtable включена
golang-github-pkg-term	Исправление сборка на новых ядрах Linux
gri	Использовать ps2pdf вместо convert для преобразования PS в PDF
grub-efi-amd64-signed	Новый выпуск основной ветки разработки
grub-efi-arm64-signed	Новый выпуск основной ветки разработки
grub-efi-ia32-signed	Новый выпуск основной ветки разработки
grub2	Новый выпуск основной ветки разработки
http-parser	Сброс F_CHUNKED на новом заголовке Transfer-Encoding, исправляющий возможную подделку HTTP-запросов [CVE-2020-8287]
ifenslave	Исправление настроек связанных интерфейсов
inetutils	Исправление переполнения буфера [CVE-2019-0053], исчерпания стека, обработки ответов FTP PASV [CVE-2021-40491], отказа в обслуживании [CVE-2022-39028]
knot	Исправление перехода от IXFR к AXFR при использовании dnsmasq
krb5	Использование SHA256 в качестве Pkinit CMS Digest
libayatana-appindicator	Предоставление совместимости для ПО, зависящего от libappindicator
libdatetime-timezone-perl	Обновление поставляемых данных
libhttp-daemon-perl	Улучшение обработки заголовка Content-Length [CVE-2022-31081]
libreoffice	Поддержка EUR в локали .hr; добавление коэффициента преобразования HRK<->EUR к Calc и Euro Wizard; исправления безопасности [CVE-2021-25636 CVE-2022-26305 CVE-2022-26306 CVE-2022-26307]; исправление зависания при обращении к адресным книгам Evolution
linux	Новый стабильный выпуск основной ветки разработки
linux-signed-amd64	Новый стабильный выпуск основной ветки разработки
linux-signed-arm64	Новый стабильный выпуск основной ветки разработки
linux-signed-i386	Новый стабильный выпуск основной ветки разработки
llvm-toolchain-13	Новый пакет с исходным кодом для поддержки сборки новых версий firefox-esr и thunderbird
lwip	Исправление переполнения буфера [CVE-2020-22283 CVE-2020-22284]
mokutil	Новая версия основной ветки разработки, позволяющая управлять SBAT
node-log4js	Не создавать по умолчанию файлы, доступные для чтения всем пользователям [CVE-2022-21704]
node-moment	Исправление отказа в обслуживании из-за регулярного выражения [CVE-2022-31129]
nvidia-graphics-drivers	Новый выпуск основной ветки разработки; исправления безопасности [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
nvidia-graphics-drivers-legacy-390xx	Новый выпуск основной ветки разработки; исправления безопасности [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
nvidia-graphics-drivers-tesla-450	Новый выпуск основной ветки разработки; исправления безопасности [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
nvidia-graphics-drivers-tesla-470	Новый выпуск основной ветки разработки; исправления безопасности [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
nvidia-settings	Новый выпуск основной ветки разработки; исправление кроссплатформенной сборки
nvidia-settings-tesla-470	Новый выпуск основной ветки разработки; исправление кроссплатформенной сборки
pcre2	Исправление чтения за пределами выделенного буфера памяти [CVE-2022-1586 CVE-2022-1587]
postgresql-13	Не разрешать сценариям расширений заменять объекты, которые пока не принадлежат расширению [CVE-2022-2625]
publicsuffix	Обновление поставляемых данных
rocksdb	Исправление неправильной инструкции на arm64
sbuild	Buildd::Mail: поддержка закодированного MIME заголовка Subject:, а также копирования заголовка Content-Type: при пересылке почты
systemd	Удаление поставляемой копии linux/if_arp.h, исправление ошибок сборки с новыми заголовками ядра; поддержка определения гостевых систем ARM64 Hyper-V; обнаружение виртуальной машины OpenStack как KVM на arm
twitter-bootstrap4	Установка CSS map-файлов
tzdata	Обновление часовых поясов для Ирана и Чили
xtables-addons	Поддержка и старых, и новых версий security_skb_classify_flow()

Обновления безопасности

В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:

Идентификационный номер рекомендации	Пакет
DSA-5175	thunderbird
DSA-5176	blender
DSA-5177	ldap-account-manager
DSA-5178	intel-microcode
DSA-5179	php7.4
DSA-5180	chromium
DSA-5181	request-tracker4
DSA-5182	webkit2gtk
DSA-5183	wpewebkit
DSA-5184	xen
DSA-5185	mat2
DSA-5187	chromium
DSA-5188	openjdk-11
DSA-5189	gsasl
DSA-5190	spip
DSA-5191	linux-signed-amd64
DSA-5191	linux-signed-arm64
DSA-5191	linux-signed-i386
DSA-5191	linux
DSA-5192	openjdk-17
DSA-5193	firefox-esr
DSA-5194	booth
DSA-5195	thunderbird
DSA-5196	libpgjava
DSA-5197	curl
DSA-5198	jetty9
DSA-5199	xorg-server
DSA-5200	libtirpc
DSA-5201	chromium
DSA-5202	unzip
DSA-5203	gnutls28
DSA-5204	gst-plugins-good1.0
DSA-5205	ldb
DSA-5205	samba
DSA-5206	trafficserver
DSA-5207	linux-signed-amd64
DSA-5207	linux-signed-arm64
DSA-5207	linux-signed-i386
DSA-5207	linux
DSA-5208	epiphany-browser
DSA-5209	net-snmp
DSA-5210	webkit2gtk
DSA-5211	wpewebkit
DSA-5213	schroot
DSA-5214	kicad
DSA-5215	open-vm-tools
DSA-5216	libxslt
DSA-5217	firefox-esr
DSA-5218	zlib
DSA-5219	webkit2gtk
DSA-5220	wpewebkit
DSA-5221	thunderbird
DSA-5222	dpdk

Удалённые пакеты

Следующие пакеты были удалены из-за причин, на которые мы не можем повлиять:

Пакет	Причина
evenement	Несопровождается; требуется только для уже удалённого пакета movim
php-cocur-slugify	Несопровождается; требуется только для уже удалённого пакета movim
php-defuse-php-encryption	Несопровождается; требуется только для уже удалённого пакета movim
php-dflydev-fig-cookies	Несопровождается; требуется только для уже удалённого пакета movim
php-embed	Несопровождается; требуется только для уже удалённого пакета movim
php-fabiang-sasl	Несопровождается; требуется только для уже удалённого пакета movim
php-markdown	Несопровождается; требуется только для уже удалённого пакета movim
php-raintpl	Несопровождается; требуется только для уже удалённого пакета movim
php-react-child-process	Несопровождается; требуется только для уже удалённого пакета movim
php-react-http	Несопровождается; требуется только для уже удалённого пакета movim
php-respect-validation	Несопровождается; требуется только для уже удалённого пакета movim
php-robmorgan-phinx	Несопровождается; требуется только для уже удалённого пакета movim
ratchet-pawl	Несопровождается; требуется только для уже удалённого пакета movim
ratchet-rfc6455	Несопровождается; требуется только для уже удалённого пакета movim
ratchetphp	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-cache	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-dns	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-event-loop	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-promise-stream	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-promise-timer	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-socket	Несопровождается; требуется только для уже удалённого пакета movim
reactphp-stream	Несопровождается; требуется только для уже удалённого пакета movim

Программа установки Debian

Программа установки была обновлена с целью включения исправлений, добавленных в данную редакцию стабильного выпуска.

URL

Полный список пакетов, которые были изменены в данной редакции:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Текущий стабильный выпуск:

https://deb.debian.org/debian/dists/stable/

Предлагаемые обновления для стабильного выпуска:

https://deb.debian.org/debian/dists/proposed-updates

Информация о стабильном выпуске (информация о выпуске, известные ошибки и т. д.):

https://www.debian.org/releases/stable/

Анонсы безопасности и информация:

https://www.debian.org/security/

О Debian

Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.

Контактная информация

Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу <press@debian.org>, либо связавшись с командой стабильного выпуска по адресу <debian-release@lists.debian.org>.