Debian 10.8 发布,包括多项安全更新和错误修正
Debian项目团队很高兴地宣布其稳定发行版Debian 10的第八次更新(代号 "buster")。本次更新主要是对安全问题进行了修正,同时也对一些严重的问题进行了调整。安全公告已经单独发布,并在可用的地方进行了参考。
请注意,这个点发行版(point release)并不构成 Debian 10 的新版本,只是更新了其中的一些软件包。没有必要扔掉旧的 "buster "介质。安装后,可以使用最新的Debian镜像将软件包升级到当前版本。
那些经常从security.debian.org安装更新的人不会需要更新很多软件包,大多数这样的更新都包含在点发布中。
新的安装镜像很快就会在常规位置提供。
将现有的安装升级到这个版本可以通过将软件包管理系统指向Debian的许多HTTP镜像之一来实现。完整的镜像列表可在以下网址获得。
https://www.debian.org/mirror/list
杂项错误修正
这个稳定的更新为以下软件包添加了一些重要的修正。
| 包 | 原因 |
|---|---|
| atftp | 修复拒绝服务问题[CVE-2020-6097] |
| base-files | 更新/etc/debian_version以适应10.8点发行版的需要 |
| ca-certificates | 更新Mozilla CA bundle到2.40,黑名单过期 AddTrust External Root |
| cacti | 修正SQL注入问题[CVE-2020-35701]和存储XSS问题 |
| cairo | 修正图像合成器中掩码的使用 [CVE-2020-35492] |
| choose-mirror | 更新镜像列表 |
| cjson | 修正cJSON_Minify中的无限循环 |
| clevis | 修复initramfs创建;clevis-dracut。安装时触发initramfs的创建 |
| cyrus-imapd | 修正cron脚本中的版本比较 |
| debian-edu-config | 将主机keytabs清理代码从gosa-modify-host中移出,变成一个独立的脚本,将LDAP调用减少为一个查询 |
| debian-installer | 使用 4.19.0-14 Linux 内核 ABI;根据提议的更新进行重建 |
| debian-installer-netboot-images | 对拟议的更新进行重建 |
| debian-installer-utils | 支持USB UAS设备上的分区 |
| device-tree-compiler | 修正dtc上的segfault -I fs /proc/device-tree上的segfault |
| didjvu | 增加对tzdata的缺失的构建依赖性 |
| dovecot | 修复搜索包含畸形MIME邮件的邮箱时的崩溃问题 |
| dpdk | 新的上游稳定发布 |
| edk2 | CryptoPkg/BaseCryptLib:修复NULL析出[CVE-2019-14584] |
| emacs | OpenPGP用户ID没有电子邮件地址时,不要崩溃 |
| fcitx | 修正Flatpaks中的输入法支持 |
| file | 默认情况下,将名称递归深度增加到50 |
| geoclue-2.0 | 检查最大允许的准确度水平,即使是对系统应用程序也是如此;使Mozilla API密钥可配置,默认使用Debian特定的密钥;修复使用指示器的显示 |
| gnutls28 | 修复证书过期导致的测试套件错误 |
| grub2 | 非交互式升级 grub-pc 时,如果 grub-install 失败则退出;运行 grub-install 前明确检查目标设备是否存在; grub-install。增加备份和恢复功能;不要在刚安装 grub-pc 时调用 grub-install |
| highlight.js | 修复原型污染[CVE-2020-26237] |
| intel-microcode | 更新各种微码 |
| iproute2 | 修正JSON输出中的bug;修正在启动时使用ip netns add时导致系统DOS的竞赛条件 |
| irssi-plugin-xmpp | 不要过早地触发irssi核心连接超时,从而固定STARTTLS连接 |
| libdatetime-timezone-perl | 新版tzdata的更新 |
| libdbd-csv-perl | 修正libdbi-perl 1.642-1+deb10u2的测试失败 |
| libdbi-perl | 安全修复[CVE-2014-10402] |
| libmaxminddb | 修复基于堆的缓冲区超读 [CVE-2020-28241] |
| lttng-modules | 修正内核版本>=4.19.0-10的编译问题 |
| m2crypto | 修正与OpenSSL 1.1.1i及更新版本的兼容性 |
| mini-buildd | builder.py:sbuild调用:显式设置'--no-arch-all' |
| net-snmp | snmpd: 为EXTEND-MIB添加cacheTime和execType标志 |
| node-ini | 不允许使用无效的危险字符串作为部分名称[CVE-2020-7788] |
| node-y18n | 修复原型污染问题[CVE-2020-7774] |
| nvidia-graphics-drivers | 新的上游版本;修复可能的拒绝服务和信息披露[CVE-2021-1056] |
| nvidia-graphics-drivers-legacy-390xx | 新的上游版本;修复可能的拒绝服务和信息披露[CVE-2021-1056] |
| pdns | 安全性修复[CVE-2019-10203 CVE-2020-17482] |
| pepperflashplugin-nonfree | 变成一个虚包,负责删除之前安装的插件(不再有功能也不支持) |
| pngcheck | 修复缓冲区溢出 [CVE-2020-27818] |
| postgresql-11 | 新的上游稳定版;安全修复[CVE-2020-25694 CVE-2020-25695 CVE-2020-25696] |
| postsrsd | 确保时间戳标签在尝试解码之前不会太长[CVE-2020-35573] |
| python-bottle | 停止允许;作为查询字符串分隔符[CVE-2020-28473] |
| python-certbot | 自动使用ACMEv2 API进行续费,以避免ACMEv1 API删除的问题 |
| qxmpp | 修正潜在的SEGFAULT连接错误 |
| silx | python(3)-silx: 添加对 python(3)-scipy 的依赖 |
| slirp | 修复缓冲区溢出 [CVE-2020-7039 CVE-2020-8608] |
| steam | 新的上游版本 |
| systemd | journal: journal_file_close()被传递为NULL时,不触发断言 |
| tang | 避免keygen和更新之间的竞赛条件 |
| tzdata | 新的上游版本;更新包括时区数据 |
| unzip | 应用CVE-2019-13232的进一步修复 |
| wireshark | 修复各种崩溃、无限循环和内存泄漏[CVE-2019-16319 CVE-2019-19553 CVE-2020-11647 CVE-2020-13164 CVE-2020-15466 CVE-2020-25862 CVE-2020-25863 CVE-2020-26418 CVE-2020-26421 CVE-2020-26575 CVE-2020-28030 CVE-2020-7045 CVE-2020-9428 CVE-2020-9430 CVE-2020-9431] |
安全更新
本次修订为稳定版添加了以下安全更新。安全团队已经发布了关于这些更新的公告:
移除的包
由于我们无法控制的情况,以下包被删除:
| 包 | 原因 |
|---|---|
| compactheader | 与当前Thunderbird版本不兼容 |
Debian安装程序
安装程序已经更新,包含了稳定版的修正。
URLs
本次修订所改变的包的完整列表:
http://ftp.debian.org/debian/dists/buster/ChangeLog
目前稳定的分布:
http://ftp.debian.org/debian/dists/stable/
拟对稳定分布进行更新:
http://ftp.debian.org/debian/dists/proposed-updates
稳定的发布信息(发布说明、勘误表等):
https://www.debian.org/releases/stable/
安全公告和信息:
