БЮЛЛЕТЕНЬ № 20181229SE16

Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

Контрольная сумма:

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав образ:

на вопрос об имени диска ввести "20181229se16".

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

6. После завершения регистрации всех компакт-дисков и образов выполнить команды:

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

acpi-support

• Обновление поддержки мультиуровневого МРД

adduser

• Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.

ald-parsec

• aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.

ald

• aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.

ansible

• playbook base dir (CVE-2018-10874)
• Avoid using ansible.cfg in a world writable dir (CVE-2018-10875)

apache2

• CVE-2017-15710
• CVE-2017-15715
• CVE-2018-11763
• CVE-2018-1283
• CVE-2018-1301
• CVE-2018-1303
• CVE-2018-1312
• CVE-2018-1333

apache2-se-tests

• Исправления связанные с новой версией apache2

apt

• SECURITY UPDATE: content injection in http method (CVE-2019-3462) (LP: #1812353)

• Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи

astra-safepolicy

• установка прав 0700 на домашние каталоги новых пользователей
• shebang: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения
• astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов

Обновление безопасности:

• astrase-fix-maildir до 0.2.2 работал за счёт проблемы в linux-astra-modules, не проверяющих полномочия администратора при изменении метки файла.
• astrase-fix-maildir 0.2.3 исправлен, чтобы работать в условиях восстановленной проверки с обновлёнными linux-astra-modules.

• Обновление версии релиза апдейта

bind9

• Добавление поддержки GSS-API

blender

v2.79b release and fixing following CVEs:

• CVE-2017-2899 CVE-2017-2900
• CVE-2017-2901 CVE-2017-2902
• CVE-2017-2903 CVE-2017-2904
• CVE-2017-2905 CVE-2017-2906
• CVE-2017-2907 CVE-2017-2908
• CVE-2017-2918 CVE-2017-12081
• CVE-2017-12082 CVE-2017-12086
• CVE-2017-12099 CVE-2017-12100
• CVE-2017-12101 CVE-2017-12102
• CVE-2017-12103 CVE-2017-12104
• CVE-2017-12105

• - CVE-2018-17462: Sandbox escape in AppCache. Reported by Ned Williamson
• - CVE-2018-17463: Remote code execution in V8. Reported by Ned Williamson
• - CVE-2018-17464: URL spoof in Omnibox. Reported by xisigr
• - CVE-2018-17465: Use after free in V8. Reported by Lin Zuojian
• - CVE-2018-17466: Memory corruption in Angle. Reported by Omair
• - CVE-2018-17467: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-17468: Cross-origin URL disclosure in Blink. Reported by James
• - CVE-2018-17469: Heap buffer overflow in PDFium. Reported by Zhen Zhou
• - CVE-2018-17470: Memory corruption in GPU Internals. Reported by Zhe Jin
• - CVE-2018-17471: Security UI occlusion in full screen mode. Reported by
• - CVE-2018-17473: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-17474: Use after free in Blink. Reported by Zhe Jin
• - CVE-2018-17475: URL spoof in Omnibox. Reported by Vladimir Metnew
• - CVE-2018-17476: Security UI occlusion in full screen mode. Reported by
• - CVE-2018-5179: Lack of limits on update() in ServiceWorker. Reported by
• - CVE-2018-17477: UI spoof in Extensions. Reported by Aaron Muir Hamilton
• - CVE-2018-16065: Out of bounds write in V8. Reported by Brendon Tiszka
• - CVE-2018-16066: Out of bounds read in Blink. Reported by cloudfuzzer
• - CVE-2018-16067: Out of bounds read in WebAudio. Reported by Zhe Jin
• - CVE-2018-16068: Out of bounds write in Mojo. Reported by Mark Brand
• - CVE-2018-16069: Out of bounds read in SwiftShader. Reported by Mark Brand
• - CVE-2018-16070: Integer overflow in Skia. Reported by Ivan Fratric
• - CVE-2018-16071: Use after free in WebRTC. Reported by Natalie Silvanovich
• - CVE-2018-16073: Site Isolation bypass after tab restore. Reported by Jun
• - CVE-2018-16074: Site Isolation bypass using Blob URLS. Reported by Jun
• - CVE-2018-16075: Local file access in Blink. Reported by Pepe Vila
• - CVE-2018-16076: Out of bounds read in PDFium. Reported by Aleksandar
• - CVE-2018-16077: Content security policy bypass in Blink. Reported by
• - CVE-2018-16078: Credit card information leak in Autofill. Reported by
• - CVE-2018-16079: URL spoof in permission dialogs. Reported by Markus
• - CVE-2018-16080: URL spoof in full screen mode. Reported by Khalil Zhani
• - CVE-2018-16081: Local file access in DevTools. Reported by Jann Horn
• - CVE-2018-16082: Stack buffer overflow in SwiftShader. Reported by Omair
• - CVE-2018-16083: Out of bounds read in WebRTC. Reported by Natalie
• - CVE-2018-16084: User confirmation bypass in external protocol handling.
• - CVE-2018-16085: Use after free in Memory Instrumentation. Reported by
• - CVE-2018-4117: Cross origin information leak in Blink. Reported by
• - CVE-2018-6044: Request privilege escalation in Extensions . Reported by
• - CVE-2018-6150: Cross origin information disclosure in Service Workers.
• - CVE-2018-6151: Bad cast in DevTools. Reported by Rob Wu
• - CVE-2018-6152: Local file write in DevTools. Reported by Rob Wu
• - CVE-2018-6153: Stack buffer overflow in Skia. Reported by Zhen Zhou
• - CVE-2018-6154: Heap buffer overflow in WebGL. Reported by Omair
• - CVE-2018-6155: Use after free in WebRTC. Reported by Natalie Silvanovich
• - CVE-2018-6156: Heap buffer overflow in WebRTC. Reported by Natalie
• - CVE-2018-6157: Type confusion in WebRTC. Reported by Natalie Silvanovich
• - CVE-2018-6158: Use after free in Blink. Reported by Zhe Jin
• - CVE-2018-6159: Same origin policy bypass in ServiceWorker. Reported by
• - CVE-2018-6161: Same origin policy bypass in WebAudio. Reported by Jun
• - CVE-2018-6162: Heap buffer overflow in WebGL. Reported by Omair
• - CVE-2018-6163: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-6164: Same origin policy bypass in ServiceWorker. Reported by
• - CVE-2018-6165: URL spoof in Omnibox. Reported by evi1m0
• - CVE-2018-6166: URL spoof in Omnibox. Reported by Lnyas Zhang
• - CVE-2018-6167: URL spoof in Omnibox. Reported by Lnyas Zhang
• - CVE-2018-6168: CORS bypass in Blink. Reported by Gunes Acar and Danny Y.
• - CVE-2018-6169: Permissions bypass in extension installation . Reported by
• - CVE-2018-6170: Type confusion in PDFium. Reported by Anonymous
• - CVE-2018-6171: Use after free in WebBluetooth.
• - CVE-2018-6172: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-6173: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-6174: Integer overflow in SwiftShader. Reported by Mark Brand
• - CVE-2018-6175: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-6176: Local user privilege escalation in Extensions. Reported by
• - CVE-2018-6177: Cross origin information leak in Blink. Reported by Ron
• - CVE-2018-6178: UI spoof in Extensions. Reported by Khalil Zhani
• - CVE-2018-6179: Local file information leak in Extensions.
• - CVE-2018-6118: Use after free in Media Cache. Reported by Ned Williamson
• - CVE-2018-6120: Heap buffer overflow in PDFium. Reported by Zhou Aiting
• - CVE-2018-6121: Privilege Escalation in extensions.
• - CVE-2018-6122: Type confusion in V8.
• - CVE-2018-6123: Use after free in Blink. Reported by Looben Yang
• - CVE-2018-6124: Type confusion in Blink. Reported by Guang Gong
• - CVE-2018-6125: Overly permissive policy in WebUSB. Reported by Yubico
• - CVE-2018-6126: Heap buffer overflow in Skia. Reported by Ivan Fratric
• - CVE-2018-6127: Use after free in indexedDB. Reported by Looben Yang
• - CVE-2018-6129: Out of bounds memory access in WebRTC. Reported by Natalie
• - CVE-2018-6130: Out of bounds memory access in WebRTC. Reported by Natalie
• - CVE-2018-6131: Incorrect mutability protection in WebAssembly. Reported
• - CVE-2018-6132: Use of uninitialized memory in WebRTC. Reported by Ronald
• - CVE-2018-6133: URL spoof in Omnibox. Reported by Khalil Zhani
• - CVE-2018-6134: Referrer Policy bypass in Blink. Reported by Jun Kokatsu
• - CVE-2018-6135: UI spoofing in Blink. Reported by Jasper Rebane
• - CVE-2018-6136: Out of bounds memory access in V8. Reported by Peter Wong
• - CVE-2018-6137: Leak of visited status of page in Blink. Reported by
• - CVE-2018-6138: Overly permissive policy in Extensions. Reported by
• - CVE-2018-6139: Restrictions bypass in the debugger extension API.
• - CVE-2018-6140: Restrictions bypass in the debugger extension API.
• - CVE-2018-6141: Heap buffer overflow in Skia. Reported by Yangkang
• - CVE-2018-6142: Out of bounds memory access in V8. Reported by Choongwoo
• - CVE-2018-6143: Out of bounds memory access in V8. Reported by Guang Gong
• - CVE-2018-6144: Out of bounds memory access in PDFium. Reported by pdknsk
• - CVE-2018-6145: Incorrect escaping of MathML in Blink. Reported by Masato
• - CVE-2018-6147: Password fields not taking advantage of OS protections in
• - CVE-2018-6148: Incorrect handling of CSP header. Reported by Michał
• - CVE-2018-6149: Out of bounds write in V8. Reported by Yu Zhou and

• CVE-2017-12865: Fix crash on malformed DNS response (Closes: #872844)

cups

• Исправлена ошибка при отправке основного задания на печать вместе с порожденными.
• В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.

• Fix SASL password overflow via integer overflow as per CVE-2018-16839
• Fix warning message out-of-buffer read as per CVE-2018-16842
• Fix NTLM password overflow via integer overflow as per CVE-2018-14618

• Fix CVE-2018-6561 (Closes: #898944)

• Fix base64d() buffer size (CVE-2018-6789) (Closes: #890000)

• CVE-2018-10958: denial of service through memory exhaustion and
• CVE-2018-10999: a heap-based buffer over-read via a crafted PNG image.
• CVE-2018-10998: denial of service through memory exhaustion and
• CVE-2018-11531: a heap-based buffer overflow and application crash by a
• CVE-2018-12264: integer overflow leading to out of bounds read by a
• CVE-2018-12265: integer overflow leading to out of bounds read by a

• Fix CVE-2017-9218, CVE-2017-9219, CVE-2017-9220, CVE-2017-9221,
• CVE-2017-9222, CVE-2017-9223, CVE-2017-9253, CVE-2017-9254, CVE-2017-9255,
• CVE-2017-9256, CVE-2017-9257.

• (CVE-2018-14395)
• - avfilter/vf_transpose: Fix used plane count. (CVE-2018-6392)
• (CVE-2018-6621)
• - avcodec/utvideodec: Check subsample factors. (CVE-2018-7557)
• - avcodec/utvideodec: Set pro flag based on fourcc. (CVE-2018-10001)
• mpeg4_encode_gop_header(). (CVE-2018-12458)
• (CVE-2018-13300)
• (CVE-2018-13302)

• CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396,
• CVE-2018-12397, CVE-2018-12398, CVE-2018-12399, CVE-2018-12401,
• CVE-2018-12402, CVE-2018-12403, CVE-2018-12388, CVE-2018-12390
• CVE-2018-12386, CVE-2018-12387
• CVE-2018-12385.
• CVE-2018-12377, CVE-2018-12378, CVE-2018-12383, CVE-2018-12375,
• CVE-2018-12376
• CVE-2018-12359, CVE-2018-12360, CVE-2018-12361, CVE-2018-12358,
• CVE-2018-12362, CVE-2018-5156, CVE-2018-12363, CVE-2018-12364,
• CVE-2018-12365, CVE-2018-12371, CVE-2018-12366, CVE-2018-12367,
• CVE-2018-12369, CVE-2018-12370, CVE-2018-5186, CVE-2018-5187,
• CVE-2018-5188.

• При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.

fly-admin-digsig

• При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в 'rw' при управлении ЗПС.

• Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)

fly-admin-local-se

• Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)

fly-admin-local

• Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.

• Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)

• Исправлена ошибка парсинга конфига

• В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.

• Исправлена ошибка при настройке общего доступа

• Исправлен конфликт при работе совместно с ALD.

• При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.

fly-dm

• устранено падение при выполнении "fly-dmctl rtcwake", т.е. без указания аргументов -t/-s secs
• устранена возможность управления systemd пользователем путем формирования команд типа "fly-dmctl suspendtohyibernate произвольная_команда -p" приводящих к выполнению "systemctl произвольная_команда -p suspend-to-hibernate.service"
• установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии

• Исправление документации апдейта

fly-fm

• При отмене перемещения файла между разными разделами исходный файл теперь не удаляется

fly-reflex

• устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями

fly-qdm

• Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры

fly-weather

• Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.

fly-wm

Обновление безопасности:

• fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
• с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы

fonts-pt

• Обновление пакета шрифтов.

freeipa

• Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи

fuse

• (CVE-2018-10906) (Closes: #904439)

• Fixes regression using ps2ascii after fix for CVE-2018-17183
• status operator honour SAFER option (CVE-2018-11645)
• Improve hiding of security critical custom operators (CVE-2018-17961)
• (CVE-2018-17961) (Closes: #911175)
• don't include operator arrays in execstack output (CVE-2018-18073)
• (CVE-2018-18284) (Closes: #911175)
• loadfontloop must be an operator (CVE-2018-17961) (Closes: #911175)
• Fixes for CVE-2018-16509 (fourth patch, rest were applied in deb9u4)
• CVE-2018-16802 and one additional issue with a CVE ID (yet)
• Add additional patch for CVE-2018-16543
• Buffer overflow in fill_threshold_buffer (CVE-2016-10317

git

• CVE-2018-17456

gnupg2_astra

• gpg: Sanitize diagnostic with the original file name (CVE-2018-12020)

• Отмена излишней сетевой активности в виде проверки обновлений

graphicsmagick

• CVE-2018-9018: avoid divide-by-zero if delay or timeout properties
• Fix CVE-2018-5685: infinite loop in ReadBMPImage() (closes: #887158).
• Fix CVE-2017-17913: stack-buffer-overflow in WriteWEBPImage() .
• Fix CVE-2017-17915: heap-buffer-overflow in ReadMNGImage() .
• Fix CVE-2017-17782: heap-based buffer over-read in ReadOneJNGImage()
• Fix CVE-2017-17783: buffer over-read in ReadPALMImage() (closes: #884904).
• Fix CVE-2017-16669: heap buffer overflow in AcquireCacheNexus()
• Fix CVE-2017-13134: heap buffer overflow in SFWScan() (closes: #881524).
• Fix CVE-2017-16547: remote denial of service (negative strncpy and
• Fix CVE-2017-16545: NULL pointer dereference (write) with malformed WPG
• Fix CVE-2017-16353: heap read overflow vulnerability in DescribeImage() .
• Fix CVE-2017-16352: heap-based buffer overflow vulnerability in
• Fix CVE-2017-15930: NULL pointer dereference while transferring JPEG
• Fix CVE-2017-13737: invalid free in MagickFree() (closes: #878511).
• Fix CVE-2017-15277: assure that global colormap is fully initialized in
• Fix CVE-2017-15238: use after free in ReadJNGImage() .
• Fix CVE-2017-14733: heap out of bounds read in ReadRLEImage() .
• Fix CVE-2017-14994: NULL pointer dereference in DICOM Decoder.
• Fix CVE-2017-14997: memory allocation error due to malformed image file.
• Update upstream changelog for CVE-2017-14103 .
• Fix CVE-2017-14649: denial of service due to assertion failure in
• Fix CVE-2017-14504: NULL pointer dereference triggered by malformed file.
• Fix CVE-2017-14314: heap-based buffer over-read in DrawDashPolygon() .
• Fix CVE-2017-14165: remote denial of service due to memory allocation
• Fix CVE-2017-14042: memory allocation failure in MagickRealloc()
• Fix CVE-2017-13775: denial of service issue in ReadJNXImage() .
• Fix CVE-2017-13776 and CVE-2017-13777: denial of service issue in
• Fix CVE-2017-14103: the ReadJNGImage() and ReadOneJNGImage() functions do because of an incomplete fix for CVE-2017-11403 .
• Fix CVE-2017-8350: crash while reading a malformed JNG file.
• Fix CVE-2017-13063: heap-based buffer overflow vulnerability in the
• Fix CVE-2017-13064: another heap-based buffer overflow vulnerability in
• Fix CVE-2017-13065: NULL pointer dereference vulnerability in the
• Fix CVE-2017-12935: invalid memory read in the SetImageColorCallBack()
• Fix CVE-2017-12936: use-after-free issue for data associated with
• Fix CVE-2017-12937: colormap heap-based buffer over-read in the
• Fix CVE-2017-11643: heap overflow in the WriteCMYKImage() function
• Fix CVE-2017-11636: heap overflow in the WriteRGBImage() function
• Fix CVE-2017-11638 and CVE-2017-11642: null pointer dereference or SEGV if
• Fix CVE-2017-11641: memory leak while writing Magick Persistent Cache
• Fix CVE-2017-11637: NULL pointer dereference in the WritePCLImage()
• Fix CVE-2017-11722: denial of service via a crafted file
• Fix CVE-2017-11140: denial of service (resource consumption) via crafted
• Fix CVE-2017-11102: remote denial of service during JNG reading via a
• META: Fix heap overflow while parsing 8BIM chunk (CVE-2016-7800).
• WPG: Fix heap overflow (CVE-2016-7996). Fix assertion crash (CVE-2016-7997).
• in a JDAT chunk must match the JHDR dimensions (CVE-2016-9830).
• have only 2 samples per pixel (CVE-2017-6335).
• JNG: Fix memory leak when reading invalid JNG image (CVE-2017-8350).
• only 1 sample per pixel (CVE-2017-10794) (closes: #867085).
• large image dimensions but insufficient backing data. (CVE-2017-10799)

hplip

• устранен недостаток работы системы печати с новыми моделями принтеров HP
  

imagemagick

• CVE-2018-16412
• CVE-2018-16413
• CVE-2018-16642
• CVE-2018-16644
• CVE-2018-16645
• 0113-CVE-2018-12599 (Closes: #902727)
• 0114-CVE-2018-11251
• 0115-CVE-2018-12600 (Closes: #902728)
• 0116-CVE-2018-5248 (Closes: #886588)

• CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
• First batch of fixes for: Intel SA-00115, CVE-2018-3639, CVE-2018-3640

• Запретить использовать опцию -p, если пользователь не root, т.к. через нее можно задать pattern (наполнение пакетов), через который можно передавать по сети данные внутри ICMP-пакетов.

• CVE-2018-16435

libapache-mod-auth-kerb

• Добавлена поддержка модулем kerberos аутентификации режима работы "AstraMode"

libcgroup

• CVE-2018-14348

libgcrypt20_astra

• ecc: Add blinding for ECDSA (CVE-2018-0495)

• Исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.

libice_astra

• CVE-2017-2626: Use libbsd for arc4random. Closes: #856400.

• CVE-2018-10017

libp11-openssl1

• Добавление возможности работы с ключами Rutoken

libpam-pwquality

• Проверка пароля на соответствие политики только для локальных пользователей

libparsec-mac-qt5

• Обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть

libsoup2

• Fix out of bounds access in the cookie jar (CVE-2018-12910)

• CVE-2018-10933

libtirpc

• CVE-2018-14622

libvirt

• Устранена ошибка, связанная с функционированием внешних файловых хранилищ с включенным режимом МКЦ.
• При добавлении нового внешнего файлового хранилища и создании на нем диска ВМ, после запуска виртуальной машины возникала ошибка запуска, связанная с невозможностью навесить метку целостности на диск ВМ. Данная ситуация возникает в связи с тем, что на файловое хранилище необходимо навесить максимально-возможные метки безопасности, а так же флаг CCNRA. В связи с этим, для решения проблемы был доработан модуль работы с внешними хранилищами.

• Fix CVE-2018-14598, CVE-2018-14599 and CVE-2018-14600
• CVE-2018-14599
• CVE-2018-14600
• CVE-2018-14598

linux-astra-modules

• исправлена утечка информации через prlimit,
• устранена возможность обхода ЗПС через запись в /proc/$PID/mem
• устранена возможность изменения меток произвольных файлов от любого пользователя
  

linux

• исправлено CVE-2018-18955 (было: некорректное обратное отображение UID в случае использования user namespace)

linux-meta

• Метапакет. Необходим для инфраструктуры апдейта

lkrg

• Обновление средства обнаружения уязвимостей

mutt

• subscription or unsubscription (CVE-2018-14354)
• subscription (CVE-2018-14357)
• leaving room for quote characters (CVE-2018-14352)
• Fix an integer underflow in imap_quote_string() (CVE-2018-14353)
• Fix mishandling of zero-length UID in pop.c (CVE-2018-14356)
• characters in pop.c (CVE-2018-14362)
• (CVE-2018-14355)
• INTERNALDATE field (CVE-2018-14350)
• RFC822.SIZE field (CVE-2018-14358)
• Fix mishandling of an IMAP NO response without a message (CVE-2018-14349)
• (CVE-2018-14351)
• Fix a buffer overflow via base64 data (CVE-2018-14359)
• (CVE-2018-14360)
• NNTP messages (CVE-2018-14361)
• characters in newsrc.c (CVE-2018-14363)

net-snmp

• CVE-2018-18065

nss-pam-ldapd_astra

• than FD_SETSIZE files are already open (closes: #690319) (CVE-2013-0288)
• incorrect password (CVE-2011-0438)
• option is used (CVE-2009-1073)

• Исправление работы с драйверами Рутокен S, проблемы с записью малых файлов

• обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте)

pam

• Устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir
• Внятные сообщения при блокировке pam_tally, pam_tally2

• Исправлена маркировка при печати из некоторых приложений.

parsec

• Добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA
• Исправлена ошибка работы с памятью в утилите pdp-ls
• Устранена ошибка запуска ceph OSD при загрузке
• Добавлены тесты МКЦ
• Обеспечена возможность администрирования системы при включенной МКЦ
• Исправлена ошибка в службе очистки swap-разделов
• Изменен порядок вызова PAM-модулей для предотвращения подъема привилегий
• Обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности
• Исправлена обработка имен уровней конфиденциальности, состоящих из цифр

patch

• Fix CVE-2018-1000156: arbitrary command execution in ed-style patches

• [SECURITY] CVE-2018-12015: fix directory traversal vulnerability

• [CVE-2018-10549]: Heap Buffer Overflow (READ: 1786) in exif_iif_add_value
• [CVE-2018-10546]: stream filter convert.iconv leads to infinite loop on invalid sequence
• [CVE-2018-10548]: Malicious LDAP-Server Response causes Crash
• [CVE-2018-10547]: fix for CVE-2018-5712 may not be complete
• [CVE-2018-10545]: Dumpable FPM child processes allow bypassing opcache access controls
• [CVE-2018-7584]: stack-buffer-overflow while parsing HTTP response

• Исправлены ограничения для субъектов с низким уровнем целостности

postgresql-9

• (CVE-2018-10915)
• user could also use it for disclosure of server memory. (CVE-2018-10925)
• pg_logfile_rotate() function. (CVE-2018-1115)
• (CVE-2018-1058)
• (CVE-2018-1058)
• non-world-readable (CVE-2018-1053)
• how the arbiter index was specified). (CVE-2017-15099)
• well. (CVE-2017-15098)
• (CVE-2017-7547; extends fix for CVE-2017-7484)
• (CVE-2017-7546)
• (CVE-2017-7548)
• stored as user mapping options (CVE-2017-7486)
• (CVE-2017-7484)
• (CVE-2017-7485)

• Исправления тестов связаны с обновлением безопасности postgresql-9.6

python2

• CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647

python3

• CVE-2017-1000158 CVE-2018-1060 CVE-2018-1061 CVE-2018-14647

python-django

• CVE-2018-14574: Fix an open redirect possibility in CommonMiddleware.
• CVE-2017-12794: Fix a cross-site scripting attack in the technical HTTP 500

• CVE-2017-5715 (spectre/meltdown) fixes for i386 and s390x:
• CVE-2017-5715/i386-increase-X86CPUDefinition-model_id-to-49.patch
• CVE-2017-5715/i386-add-support-for-SPEC_CTRL-MSR.patch
• CVE-2017-5715/i386-add-spec-ctrl-CPUID-bit.patch
• CVE-2017-5715/i386-add-FEAT_8000_0008_EBX-CPUID-feature-word.patch
• CVE-2017-5715/i386-add-new-IBRS-versions-of-Intel-CPU-models.patch
• CVE-2017-5715/s390x-kvm-introduce-branch-prediction-blocking-contr.patch
• CVE-2017-5715/s390x-kvm-handle-bpb-feature.patch
• Closes: #886532, CVE-2017-5715
• multiboot-bss_end_addr-can-be-zero-CVE-2018-7550.patch
• Closes: #892041, CVE-2018-7550
• vga-check-the-validation-of-memory-addr-when-draw-text-CVE-2018-5683.patch
• Closes: #887392, CVE-2018-5683
• osdep-fix-ROUND_UP-64-bit-32-bit-CVE-2017-18043.patch
• Closes: CVE-2017-18043
• virtio-check-VirtQueue-Vring-object-is-set-CVE-2017-17381.patch
• Closes: #883625, CVE-2017-17381
• ps2-check-PS2Queue-pointers-in-post_load-routine-CVE-2017-16845.patch
• Closes: #882136, CVE-2017-16845
• cirrus-fix-oob-access-in-mode4and5-write-functions-CVE-2017-15289.patch
• Closes: #880832, CVE-2017-15289
• io-monitor-encoutput-buffer-size-from-websocket-GSource-CVE-2017-15268.patch
• Closes: #880836, CVE-2017-15268
• nbd-server-CVE-2017-15119-Reject-options-larger-than-32M.patch
• Closes: #883399, CVE-2017-15119
• 9pfs-use-g_malloc0-to-allocate-space-for-xattr-CVE-2017-15038.patch
• Closes: #877890, CVE-2017-15038
• CVE-2017-15124 (VNC server unbounded memory usage) fixes:
• CVE-2017-15124/01-ui-remove-sync-parameter-from-vnc_update_client.patch
• CVE-2017-15124/02-ui-remove-unreachable-code-in-vnc_update_client.patch
• CVE-2017-15124/03-ui-remove-redundant-indentation-in-vnc_client_update.patch
• CVE-2017-15124/04-ui-avoid-pointless-VNC-updates-if-framebuffer-isn-t-.patch
• CVE-2017-15124/05-ui-track-how-much-decoded-data-we-consumed-when-doin.patch
• CVE-2017-15124/06-ui-introduce-enum-to-track-VNC-client-framebuffer-up.patch
• CVE-2017-15124/07-ui-correctly-reset-framebuffer-update-state-after-pr.patch
• CVE-2017-15124/08-ui-refactor-code-for-determining-if-an-update-should.patch
• CVE-2017-15124/09-ui-fix-VNC-client-throttling-when-audio-capture-is-a.patch
• CVE-2017-15124/10-ui-fix-VNC-client-throttling-when-forced-update-is-r.patch
• CVE-2017-15124/11-ui-place-a-hard-cap-on-VNC-server-output-buffer-size.patch
• CVE-2017-15124/12-ui-add-trace-events-related-to-VNC-client-throttling.patch
• CVE-2017-15124/13-ui-mix-misleading-comments-return-types-of-VNC-I-O-h.patch
• Closes: #884806, CVE-2017-15124

• [CVE-2017-17405]
• WEBrick to fix CVE-2017-17742 and CVE-2018-8777
• [CVE-2017-17742]
• [CVE-2017-17790]
• [CVE-2018-8780]
• CVE-2018-1000073: Prevent Path Traversal issue during gem installation.
• CVE-2018-1000074: Fix possible Unsafe Object Deserialization
• CVE-2018-1000075: Strictly interpret octal fields in tar headers.
• CVE-2018-1000076: Raise a security error when there are duplicate files
• CVE-2018-1000077: Enforce URL validation on spec homepage attribute.
• CVE-2018-1000078: Mitigate XSS vulnerability in homepage attribute when
• CVE-2018-1000079: Prevent path traversal when writing to a symlinked
• [CVE-2018-6914]
• [CVE-2018-8779]
• [CVE-2018-8778]

• CVE-2018-1000119 (Closes: #892250)

• Do not respond to http requests asking for a `file://` (CVE-2018-3760)

• Установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd

shadow

• Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.

• Обновление пакета позволяет работать с sabma через fly-fm.

spice-client-gtk

• CVE-2018-10873

sssd

• Решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток

symfony

• [CVE-2017-16652]
• scheme [CVE-2017-16653]
• prevent bundle readers from breaking out of paths [CVE-2017-16654]
• ensure that submitted data are uploaded files [CVE-2017-16790]
• fixation [CVE-2018-11385]
• fixation [CVE-2018-11385]
• is in loose mode [CVE-2018-11386]
• clear CSRF tokens when the user is logged out [CVE-2018-11406]
• [Ldap] cast to string when checking empty passwords [CVE-2016-2403]
• [CVE-2018-11408]

• CVE-2018-16864, CVE-2018-16865, CVE-2018-16866
• Использование MIC для контроля всех операций в systemd.

thunderbird-addon-firetray

• Требуется для обновленного пакета thunderbird

thunderbird

• CVE-2018-12392: Crash with nested event loops
• CVE-2018-12393: Integer overflow during Unicode conversion while loading
• CVE-2018-12389: Memory safety bugs fixed in Firefox ESR 60.3 and
• CVE-2018-12390: Memory safety bugs fixed in Firefox 63, Firefox ESR 60.3,
• Fixed CVE issues in upstream version 60.2.1 (MFSA 2018-25)
• CVE-2018-12377: Use-after-free in refresh driver timers
• CVE-2018-12378: Use-after-free in IndexedDB
• CVE-2018-12379: Out-of-bounds write with malicious MAR file
• CVE-2018-12376: Memory safety bugs fixed in Firefox 62 and Firefox ESR 60.2
• CVE-2018-12385: Crash in TransportSecurityInfo due to cached data
• CVE-2018-12383: Setting a master password post-Firefox 58 does not delete
• Fixed CVE issues in upstream version 52.9 (MFSA 2018-18)
• CVE-2018-12359: Buffer overflow using computed size of canvas element
• CVE-2018-12360: Use-after-free when using focus()
• CVE-2018-12372: S/MIME and PGP decryption oracles can be built with HTML
• CVE-2018-12373: S/MIME plaintext can be leaked through HTML reply/forward
• CVE-2018-12362: Integer overflow in SSSE3 scaler
• CVE-2018-12363: Use-after-free when appending DOM nodes
• CVE-2018-12364: CSRF attacks through 307 redirects and NPAPI plugins
• CVE-2018-12365: Compromised IPC child process can list local filenames
• CVE-2018-12366: Invalid data handling during QCMS transformations
• CVE-2018-12374: Using form to exfiltrate encrypted mail part by pressing
• CVE-2018-5188: Memory safety bugs fixed in Firefox 60, Firefox ESR 60.1,

• Повышение стабильности работы программ из пакета. Добавлены флаги сборки, предотвращающие эксплуатацию уязвимостей.

vim

• Сохранение атрибутов parsec при изменении файлов

vlc_astra

• mkv: Fix NULL pointer access. (CVE-2018-11529)
• Fix crash in libavcodec module (heap write out-of band). (CVE-2017-10699)
• Fix flac heap write overflow on format change. (CVE-2017-9300)
• demux: Fix heap buffer overflows (CVE-2017-8312)
• CVE-2016-5108. (Closes: #825728)
• upstream patch to fix CVE-2015-5949. (Closes: #796255)
• buffer overflow. (CVE-2014-9629)
• overflow in parsing of string boxes. (CVE-2014-9626, CVE-2014-9627,
• CVE-2014-9628)
• VLA for user controlled data. (CVE-2014-9630)
• CVE-2014-1684
• Security: Fix buffer overflow in the mp4a packetizer CVE-2013-4388
• Security: Fix XSPF integer overflow (CVE-2011-2194) (LP: #795410)
• Fix heap buffer overflow in Real demuxer (CVE-2010-3907) (LP: #690173)
• (VideoLAN-SA-1004, CVE-2010-2937) (Closes: #592669, LP: #616510)
• (VideoLAN-SA-0902, CVE pending)(urgency=high)
• Fix integer underflow in Real RTSP (DZC-2009-001, CVE pending)
• Fix integer overflow in Real demux (VideoLAN SA-2008-11, CVE-2008-5276)
• Security: Fix integer overflow in mms module (CVE-2008-3794)
• Drop patch 401-CVE-2008-2430, merged upstream.
• code execution (CVE-2008-4686.diff; Closes: #503118).
• Fix integer overflow in TTA (CVE-2008-3732) (405-CVE-2008-3732.diff)
• Fix buffer overflow (CVE-2008-1881)
• Fix out of bound array access (CVE-2008-1769)
• (CVE-2008-1489, CVE-2008-1768)
• Remove 105_min_mkv.patch, 400-CVE-2008-1489.diff and
• 401-CVE-2008-0073.diff, 402-CVE-2008-1881, 403-CVE-2008-1768.diff
• and 404-CVE-2008-1881 integrated upstream
• Fix buffer overflow in Wav demux.(CVE-2008-2430)(Closes: #489004)
• (Patch taken from upstream: 401-CVE-2008-2430.diff)
• CVE-2008-1769: out-of-bounds array access and memory corruption
• CVE-2008-1768: multiple integer overflow triggering buffer overflows
• CVE-2008-1881: stack-based buffer overflow in subtitle parsing leading
• CVE-2008-0073 (Closes: #473057)
• Mention CVE id in 0.8.6.e-1.1.
• large atom length value (Closes: #472635); CVE-2008-1489.
• CORE-2008-0130, VideoLAN-SA-0802, CVE-2008-0986: Arbitrary memory
• CVE-2008-0295: Heap-based buffer overflow in real_sdpplin.c
• CVE-2008-0296: Heap-based buffer overflow in libaccess_realrtsp plugin
• (CVE ids pending; Closes: #458318):
• media player unspecified Denial Of Service vulnerability (CVE-2007-0256).
• MOAB-02-01-2007-CVE-2007-0017.patch
• MOAB-02-01-2007-CVE-2007-0017.patch, CVE-2007-0017. Closes: #405425
• Build-depend on more recent versions of libavcodec to fix CVE-2005-4048.

• Fix MSet::snippet() to escape HTML in all cases (CVE-2018-499).

• XSA-273 (CVE-2018-3620,CVE-2018-3646)
• XSA-272 (no CVE yet)
• XSA-269 (no CVE yet)
• XSA-268 (no CVE yet)
• XSA-264 (no CVE yet)
• XSA-265 (no CVE yet)
• XSA-266 (no CVE yet)
• XSA-267 CVE-2018-3665

• Fix CVE-2017-12627: Alberto Garcia, Francisco Oca and Suleman Ali of

Обновление безопасности:

• исправлено падение Х сервера, запускаемого с аргументом -extension MIT-SHM
• запрещено XAllowEvents с арг. KeyboardReplay для недоверенных клиентов (устраняет еще один из видов кейлоггеров)
• разрешение XUngrabKeyboard для доверенных клиентов типа менеджера окон, для решения проблемы с запуском блокировщика экрана: fly-wm не мог запустить блокировщик из-за невозможности XGrabKeyboard, если этот вызов сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
• CVE-2018-14665