Debian项目很高兴地宣布其稳定发行版Debian 10(代号buster)的第四次更新,该版本主要增加了对安全问题的更正,以及一些针对严重问题的调整。安全建议已经单独发布,并在可用的情况下提供参考。
请注意,单点发布并不构成Debian10的新版本,而只是更新了其中的一些包。没有必要丢弃旧的笨蛋媒体。安装后,可以使用最新的Debian镜像将软件包升级到当前版本。
那些经常从security.debian.org安装更新的用户不需要更新很多软件包,而且大多数这样的更新都包含在单点版本中。
将现有安装升级到此版本可以通过将软件包管理系统指向Debian众多HTTP镜像中的一个来实现。有关镜像的完整列表,请访问:
在维护作业触发中强制对服务器的安全调用[CVE-2020-5202];允许对tarball进行.zst压缩;增加用于读取配置文件的解压缩行缓冲区的大小。
降低日志消息的严重性,以避免在与新Orca版本一起使用时生成过多消息。
修复堆缓冲区溢出[CVE-2020-3898],`ippReadIO`函数可能会低估扩展字段[CVE-2019-8842]。
从安装后脚本中删除过时的udevadm命令;不要在清除时显式删除fuse.conf;修复fuse_session_new()中的内存泄漏
更正当getaddrinfo()库调用返回值中仍有未尝试的地址时ping将不正确退出并返回失败代码的问题。
防止对管理端点的不必要访问[CVE-2019-19791];修复使用双因素身份验证时无法禁止登录的授予会话插件;修复未使用redirect_uri时使用oidc的任意重定向。
新的上游稳定版本;修复了MAIL FROM期间后缀Multi-Milter配置的死机问题;修复了d/init.d运行更改,使其可以再次处理多实例。
修复mod_sftp中键盘交互代码中的内存访问问题;在键盘交互模式下正确处理调试、忽略、断开连接和未实现的消息。
修复z50-raspi-固件中DTB名称不匹配的问题;修复Raspberry PI系列1和0上的引导。
修复ethmonitor不会列出没有分配IP地址的接口;删除不再需要的xen-toolstack修补程序;修复ZFS代理中的非标准用法。
当用户通过gem update安装较新版本的Rubygems时,避免出现弃用警告--system。
改进补丁以处理前一版本中引入的编码错误;将默认编码切换为UTF-8;让x-add-key处理带有附加的带引号的可打印编码键的邮件;使用由Thunderbird创建的包含受保护标头的邮件修复x-attach-listkey
修复可能导致流表溢出和100%CPU使用率的断流聚合。
通过PolicyKit授权时,重新解析回调/用户数据而不是缓存[CVE-2020-1712];在udev-udeb和initramfs-tools中安装60-block.ules。
在PTK更新期间不要尝试检测PSK不匹配;在选择FT套件时检查FT支持;修复某些卡的MAC随机化问题。
xdg-open:修复pcmanfm检查和处理名称中包含空格的目录;xdg-creensaver:在通过D-Bus发送窗口名称之前对其进行清理;xdg-mime:如果配置目录尚不存在,则创建该目录。
此版本在稳定版本中添加了以下安全更新。安全团队已经为每个更新发布了建议:
安装程序已更新,包括单点版本合并到稳定版中的修复程序。
Debian项目是一个自由软件开发人员协会,他们自愿投入时间和精力来开发完全免费的操作系统Debian。
欲了解更多信息,请访问debian网页:https://www.debian.org/,,发送邮件至<;[email protected]>;,或联系稳定发布团队:<;[email protected]>;。