История страницы

Кумулятивное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6).

Предупреждение
Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по установке обновлений ОС Astra Linux с компакт-дисков.

Предупреждение

Всё программное обеспечение, разработанное с использованием обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими обновлениями безопасности.

Предупреждение
Совместимость версий ПК СВ Брест с обновлениями безопасности ОС СН Astra Linux SE

Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.

1. Загрузить образ диска с обновлениями по ссылке:

Скачать

Информация
Обновление диска со средствами разработки, соответствующее бюллетеню № 20181229SE16 доступно по ссылке.

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

Command
gostsum -d /mnt/20181229se16.iso

Контрольная сумма:

Информация

icon	false

7aaca232add4debdea4e93690bec88f3444c4f395dc8c1c462aea8337e99a77c

Подсказка

Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm

Предупреждение

title	Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
`sudo apt-cdrom add`

4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command
`sudo mount /mnt/20181229se16.iso /media/cdrom` `sudo apt-cdrom -m add sudo umount /media/cdrom`

на вопрос об имени диска ввести "20181229se16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Примечание
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.

Примечание

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
`sudo mount /mnt/20181229se16.iso /media/cdrom`

6. После завершения регистрации всех компакт-дисков и образов выполнить команды:

Command
`sudo apt update` `sudo apt dist-upgrade sudo apt -f install`

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

Предупреждение

title	Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

Раскрыть

title	Список уязвимостей, закрываемых обновлением

acpi-support

Обновление поддержки мультиуровневого МРД

adduser

Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.

ald-parsec

aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.

ald

aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.

ansible

playbook base dir (CVE-2018-10874)
Avoid using ansible.cfg in a world writable dir (CVE-2018-10875)

apache2

CVE-2017-15710
CVE-2017-15715
CVE-2018-11763
CVE-2018-1283
CVE-2018-1301
CVE-2018-1303
CVE-2018-1312
CVE-2018-1333

apache2-se-tests

Исправления связанные с новой версией apache2

apt

SECURITY UPDATE: content injection in http method (CVE-2019-3462) (LP: #1812353)

astra-freeipa

Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи

astra-safepolicy

установка прав 0700 на домашние каталоги новых пользователей
shebang: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения
astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов

astrase-fix-maildir

Обновление безопасности:

astrase-fix-maildir до 0.2.2 работал за счёт проблемы в linux-astra-modules, не проверяющих полномочия администратора при изменении метки файла.
astrase-fix-maildir 0.2.3 исправлен, чтобы работать в условиях восстановленной проверки с обновлёнными linux-astra-modules.

astra-version

Обновление версии релиза апдейта

bind9

Добавление поддержки GSS-API

blender

v2.79b release and fixing following CVEs:

CVE-2017-2899 CVE-2017-2900
CVE-2017-2901 CVE-2017-2902
CVE-2017-2903 CVE-2017-2904
CVE-2017-2905 CVE-2017-2906
CVE-2017-2907 CVE-2017-2908
CVE-2017-2918 CVE-2017-12081
CVE-2017-12082 CVE-2017-12086
CVE-2017-12099 CVE-2017-12100
CVE-2017-12101 CVE-2017-12102
CVE-2017-12103 CVE-2017-12104
CVE-2017-12105

chromium-browser

- CVE-2018-17462: Sandbox escape in AppCache. Reported by Ned Williamson
- CVE-2018-17463: Remote code execution in V8. Reported by Ned Williamson
- CVE-2018-17464: URL spoof in Omnibox. Reported by xisigr
- CVE-2018-17465: Use after free in V8. Reported by Lin Zuojian
- CVE-2018-17466: Memory corruption in Angle. Reported by Omair
- CVE-2018-17467: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-17468: Cross-origin URL disclosure in Blink. Reported by James
- CVE-2018-17469: Heap buffer overflow in PDFium. Reported by Zhen Zhou
- CVE-2018-17470: Memory corruption in GPU Internals. Reported by Zhe Jin
- CVE-2018-17471: Security UI occlusion in full screen mode. Reported by
- CVE-2018-17473: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-17474: Use after free in Blink. Reported by Zhe Jin
- CVE-2018-17475: URL spoof in Omnibox. Reported by Vladimir Metnew
- CVE-2018-17476: Security UI occlusion in full screen mode. Reported by
- CVE-2018-5179: Lack of limits on update() in ServiceWorker. Reported by
- CVE-2018-17477: UI spoof in Extensions. Reported by Aaron Muir Hamilton
- CVE-2018-16065: Out of bounds write in V8. Reported by Brendon Tiszka
- CVE-2018-16066: Out of bounds read in Blink. Reported by cloudfuzzer
- CVE-2018-16067: Out of bounds read in WebAudio. Reported by Zhe Jin
- CVE-2018-16068: Out of bounds write in Mojo. Reported by Mark Brand
- CVE-2018-16069: Out of bounds read in SwiftShader. Reported by Mark Brand
- CVE-2018-16070: Integer overflow in Skia. Reported by Ivan Fratric
- CVE-2018-16071: Use after free in WebRTC. Reported by Natalie Silvanovich
- CVE-2018-16073: Site Isolation bypass after tab restore. Reported by Jun
- CVE-2018-16074: Site Isolation bypass using Blob URLS. Reported by Jun
- CVE-2018-16075: Local file access in Blink. Reported by Pepe Vila
- CVE-2018-16076: Out of bounds read in PDFium. Reported by Aleksandar
- CVE-2018-16077: Content security policy bypass in Blink. Reported by
- CVE-2018-16078: Credit card information leak in Autofill. Reported by
- CVE-2018-16079: URL spoof in permission dialogs. Reported by Markus
- CVE-2018-16080: URL spoof in full screen mode. Reported by Khalil Zhani
- CVE-2018-16081: Local file access in DevTools. Reported by Jann Horn
- CVE-2018-16082: Stack buffer overflow in SwiftShader. Reported by Omair
- CVE-2018-16083: Out of bounds read in WebRTC. Reported by Natalie
- CVE-2018-16084: User confirmation bypass in external protocol handling.
- CVE-2018-16085: Use after free in Memory Instrumentation. Reported by
- CVE-2018-4117: Cross origin information leak in Blink. Reported by
- CVE-2018-6044: Request privilege escalation in Extensions . Reported by
- CVE-2018-6150: Cross origin information disclosure in Service Workers.
- CVE-2018-6151: Bad cast in DevTools. Reported by Rob Wu
- CVE-2018-6152: Local file write in DevTools. Reported by Rob Wu
- CVE-2018-6153: Stack buffer overflow in Skia. Reported by Zhen Zhou
- CVE-2018-6154: Heap buffer overflow in WebGL. Reported by Omair
- CVE-2018-6155: Use after free in WebRTC. Reported by Natalie Silvanovich
- CVE-2018-6156: Heap buffer overflow in WebRTC. Reported by Natalie
- CVE-2018-6157: Type confusion in WebRTC. Reported by Natalie Silvanovich
- CVE-2018-6158: Use after free in Blink. Reported by Zhe Jin
- CVE-2018-6159: Same origin policy bypass in ServiceWorker. Reported by
- CVE-2018-6161: Same origin policy bypass in WebAudio. Reported by Jun
- CVE-2018-6162: Heap buffer overflow in WebGL. Reported by Omair
- CVE-2018-6163: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-6164: Same origin policy bypass in ServiceWorker. Reported by
- CVE-2018-6165: URL spoof in Omnibox. Reported by evi1m0
- CVE-2018-6166: URL spoof in Omnibox. Reported by Lnyas Zhang
- CVE-2018-6167: URL spoof in Omnibox. Reported by Lnyas Zhang
- CVE-2018-6168: CORS bypass in Blink. Reported by Gunes Acar and Danny Y.
- CVE-2018-6169: Permissions bypass in extension installation . Reported by
- CVE-2018-6170: Type confusion in PDFium. Reported by Anonymous
- CVE-2018-6171: Use after free in WebBluetooth.
- CVE-2018-6172: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-6173: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-6174: Integer overflow in SwiftShader. Reported by Mark Brand
- CVE-2018-6175: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-6176: Local user privilege escalation in Extensions. Reported by
- CVE-2018-6177: Cross origin information leak in Blink. Reported by Ron
- CVE-2018-6178: UI spoof in Extensions. Reported by Khalil Zhani
- CVE-2018-6179: Local file information leak in Extensions.
- CVE-2018-6118: Use after free in Media Cache. Reported by Ned Williamson
- CVE-2018-6120: Heap buffer overflow in PDFium. Reported by Zhou Aiting
- CVE-2018-6121: Privilege Escalation in extensions.
- CVE-2018-6122: Type confusion in V8.
- CVE-2018-6123: Use after free in Blink. Reported by Looben Yang
- CVE-2018-6124: Type confusion in Blink. Reported by Guang Gong
- CVE-2018-6125: Overly permissive policy in WebUSB. Reported by Yubico
- CVE-2018-6126: Heap buffer overflow in Skia. Reported by Ivan Fratric
- CVE-2018-6127: Use after free in indexedDB. Reported by Looben Yang
- CVE-2018-6129: Out of bounds memory access in WebRTC. Reported by Natalie
- CVE-2018-6130: Out of bounds memory access in WebRTC. Reported by Natalie
- CVE-2018-6131: Incorrect mutability protection in WebAssembly. Reported
- CVE-2018-6132: Use of uninitialized memory in WebRTC. Reported by Ronald
- CVE-2018-6133: URL spoof in Omnibox. Reported by Khalil Zhani
- CVE-2018-6134: Referrer Policy bypass in Blink. Reported by Jun Kokatsu
- CVE-2018-6135: UI spoofing in Blink. Reported by Jasper Rebane
- CVE-2018-6136: Out of bounds memory access in V8. Reported by Peter Wong
- CVE-2018-6137: Leak of visited status of page in Blink. Reported by
- CVE-2018-6138: Overly permissive policy in Extensions. Reported by
- CVE-2018-6139: Restrictions bypass in the debugger extension API.
- CVE-2018-6140: Restrictions bypass in the debugger extension API.
- CVE-2018-6141: Heap buffer overflow in Skia. Reported by Yangkang
- CVE-2018-6142: Out of bounds memory access in V8. Reported by Choongwoo
- CVE-2018-6143: Out of bounds memory access in V8. Reported by Guang Gong
- CVE-2018-6144: Out of bounds memory access in PDFium. Reported by pdknsk
- CVE-2018-6145: Incorrect escaping of MathML in Blink. Reported by Masato
- CVE-2018-6147: Password fields not taking advantage of OS protections in
- CVE-2018-6148: Incorrect handling of CSP header. Reported by Michał
- CVE-2018-6149: Out of bounds write in V8. Reported by Yu Zhou and

connman_astra

CVE-2017-12865: Fix crash on malformed DNS response (Closes: #872844)

cups

Исправлена ошибка при отправке основного задания на печать вместе с порожденными.
В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.

curl

Fix SASL password overflow via integer overflow as per CVE-2018-16839
Fix warning message out-of-buffer read as per CVE-2018-16842
Fix NTLM password overflow via integer overflow as per CVE-2018-14618

dojo

Fix CVE-2018-6561 (Closes: #898944)

exim4_astra_se

Fix base64d() buffer size (CVE-2018-6789) (Closes: #890000)

exiv2

CVE-2018-10958: denial of service through memory exhaustion and
CVE-2018-10999: a heap-based buffer over-read via a crafted PNG image.
CVE-2018-10998: denial of service through memory exhaustion and
CVE-2018-11531: a heap-based buffer overflow and application crash by a
CVE-2018-12264: integer overflow leading to out of bounds read by a
CVE-2018-12265: integer overflow leading to out of bounds read by a

faad2

Fix CVE-2017-9218, CVE-2017-9219, CVE-2017-9220, CVE-2017-9221,
CVE-2017-9222, CVE-2017-9223, CVE-2017-9253, CVE-2017-9254, CVE-2017-9255,
CVE-2017-9256, CVE-2017-9257.

ffmpeg

(CVE-2018-14395)
- avfilter/vf_transpose: Fix used plane count. (CVE-2018-6392)
(CVE-2018-6621)
- avcodec/utvideodec: Check subsample factors. (CVE-2018-7557)
- avcodec/utvideodec: Set pro flag based on fourcc. (CVE-2018-10001)
mpeg4_encode_gop_header(). (CVE-2018-12458)
(CVE-2018-13300)
(CVE-2018-13302)

firefox

CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396,
CVE-2018-12397, CVE-2018-12398, CVE-2018-12399, CVE-2018-12401,
CVE-2018-12402, CVE-2018-12403, CVE-2018-12388, CVE-2018-12390
CVE-2018-12386, CVE-2018-12387
CVE-2018-12385.
CVE-2018-12377, CVE-2018-12378, CVE-2018-12383, CVE-2018-12375,
CVE-2018-12376
CVE-2018-12359, CVE-2018-12360, CVE-2018-12361, CVE-2018-12358,
CVE-2018-12362, CVE-2018-5156, CVE-2018-12363, CVE-2018-12364,
CVE-2018-12365, CVE-2018-12371, CVE-2018-12366, CVE-2018-12367,
CVE-2018-12369, CVE-2018-12370, CVE-2018-5186, CVE-2018-5187,
CVE-2018-5188.

fly-admin-ald-server

При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.

fly-admin-digsig

При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в 'rw' при управлении ЗПС.

fly-admin-gmc

Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)

fly-admin-local-se

Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)

fly-admin-local

Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.

fly-admin-mic

Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)

fly-admin-ntp

Исправлена ошибка парсинга конфига

fly-admin-printer-mac

В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.

fly-admin-printer

Исправлена ошибка при настройке общего доступа

fly-admin-samba

Исправлен конфликт при работе совместно с ALD.

fly-admin-service-se

При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.

fly-dm

устранено падение при выполнении "fly-dmctl rtcwake", т.е. без указания аргументов -t/-s secs
устранена возможность управления systemd пользователем путем формирования команд типа "fly-dmctl suspendtohyibernate произвольная_команда -p" приводящих к выполнению "systemctl произвольная_команда -p suspend-to-hibernate.service"
установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии

fly-doc

Исправление документации апдейта

fly-fm

При отмене перемещения файла между разными разделами исходный файл теперь не удаляется

fly-reflex

устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями

fly-qdm

Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры

fly-weather

Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.

fly-wm

Обновление безопасности:

fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы

fonts-pt

Обновление пакета шрифтов.

freeipa

Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи

fuse

(CVE-2018-10906) (Closes: #904439)

ghostscript

Fixes regression using ps2ascii after fix for CVE-2018-17183
status operator honour SAFER option (CVE-2018-11645)
Improve hiding of security critical custom operators (CVE-2018-17961)
(CVE-2018-17961) (Closes: #911175)
don't include operator arrays in execstack output (CVE-2018-18073)
(CVE-2018-18284) (Closes: #911175)
loadfontloop must be an operator (CVE-2018-17961) (Closes: #911175)
Fixes for CVE-2018-16509 (fourth patch, rest were applied in deb9u4)
CVE-2018-16802 and one additional issue with a CVE ID (yet)
Add additional patch for CVE-2018-16543
Buffer overflow in fill_threshold_buffer (CVE-2016-10317

git

CVE-2018-17456

gnupg2_astra

gpg: Sanitize diagnostic with the original file name (CVE-2018-12020)

goldendict

Отмена излишней сетевой активности в виде проверки обновлений

graphicsmagick

CVE-2018-9018: avoid divide-by-zero if delay or timeout properties
Fix CVE-2018-5685: infinite loop in ReadBMPImage() (closes: #887158).
Fix CVE-2017-17913: stack-buffer-overflow in WriteWEBPImage() .
Fix CVE-2017-17915: heap-buffer-overflow in ReadMNGImage() .
Fix CVE-2017-17782: heap-based buffer over-read in ReadOneJNGImage()
Fix CVE-2017-17783: buffer over-read in ReadPALMImage() (closes: #884904).
Fix CVE-2017-16669: heap buffer overflow in AcquireCacheNexus()
Fix CVE-2017-13134: heap buffer overflow in SFWScan() (closes: #881524).
Fix CVE-2017-16547: remote denial of service (negative strncpy and
Fix CVE-2017-16545: NULL pointer dereference (write) with malformed WPG
Fix CVE-2017-16353: heap read overflow vulnerability in DescribeImage() .
Fix CVE-2017-16352: heap-based buffer overflow vulnerability in
Fix CVE-2017-15930: NULL pointer dereference while transferring JPEG
Fix CVE-2017-13737: invalid free in MagickFree() (closes: #878511).
Fix CVE-2017-15277: assure that global colormap is fully initialized in
Fix CVE-2017-15238: use after free in ReadJNGImage() .
Fix CVE-2017-14733: heap out of bounds read in ReadRLEImage() .
Fix CVE-2017-14994: NULL pointer dereference in DICOM Decoder.
Fix CVE-2017-14997: memory allocation error due to malformed image file.
Update upstream changelog for CVE-2017-14103 .
Fix CVE-2017-14649: denial of service due to assertion failure in
Fix CVE-2017-14504: NULL pointer dereference triggered by malformed file.
Fix CVE-2017-14314: heap-based buffer over-read in DrawDashPolygon() .
Fix CVE-2017-14165: remote denial of service due to memory allocation
Fix CVE-2017-14042: memory allocation failure in MagickRealloc()
Fix CVE-2017-13775: denial of service issue in ReadJNXImage() .
Fix CVE-2017-13776 and CVE-2017-13777: denial of service issue in
Fix CVE-2017-14103: the ReadJNGImage() and ReadOneJNGImage() functions do because of an incomplete fix for CVE-2017-11403 .
Fix CVE-2017-8350: crash while reading a malformed JNG file.
Fix CVE-2017-13063: heap-based buffer overflow vulnerability in the
Fix CVE-2017-13064: another heap-based buffer overflow vulnerability in
Fix CVE-2017-13065: NULL pointer dereference vulnerability in the
Fix CVE-2017-12935: invalid memory read in the SetImageColorCallBack()
Fix CVE-2017-12936: use-after-free issue for data associated with
Fix CVE-2017-12937: colormap heap-based buffer over-read in the
Fix CVE-2017-11643: heap overflow in the WriteCMYKImage() function
Fix CVE-2017-11636: heap overflow in the WriteRGBImage() function
Fix CVE-2017-11638 and CVE-2017-11642: null pointer dereference or SEGV if
Fix CVE-2017-11641: memory leak while writing Magick Persistent Cache
Fix CVE-2017-11637: NULL pointer dereference in the WritePCLImage()
Fix CVE-2017-11722: denial of service via a crafted file
Fix CVE-2017-11140: denial of service (resource consumption) via crafted
Fix CVE-2017-11102: remote denial of service during JNG reading via a
META: Fix heap overflow while parsing 8BIM chunk (CVE-2016-7800).
WPG: Fix heap overflow (CVE-2016-7996). Fix assertion crash (CVE-2016-7997).
in a JDAT chunk must match the JHDR dimensions (CVE-2016-9830).
have only 2 samples per pixel (CVE-2017-6335).
JNG: Fix memory leak when reading invalid JNG image (CVE-2017-8350).
only 1 sample per pixel (CVE-2017-10794) (closes: #867085).
large image dimensions but insufficient backing data. (CVE-2017-10799)

hplip

устранен недостаток работы системы печати с новыми моделями принтеров HP

imagemagick

CVE-2018-16412
CVE-2018-16413
CVE-2018-16642
CVE-2018-16644
CVE-2018-16645
0113-CVE-2018-12599 (Closes: #902727)
0114-CVE-2018-11251
0115-CVE-2018-12600 (Closes: #902728)
0116-CVE-2018-5248 (Closes: #886588)

intel-microcode

CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
First batch of fixes for: Intel SA-00115, CVE-2018-3639, CVE-2018-3640

iputils

Запретить использовать опцию -p, если пользователь не root, т.к. через нее можно задать pattern (наполнение пакетов), через который можно передавать по сети данные внутри ICMP-пакетов.

lcms2

CVE-2018-16435

libapache-mod-auth-kerb

Добавлена поддержка модулем kerberos аутентификации режима работы "AstraMode"

libcgroup

CVE-2018-14348

libgcrypt20_astra

ecc: Add blinding for ECDSA (CVE-2018-0495)

libgost-astra

Исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.

libice_astra

CVE-2017-2626: Use libbsd for arc4random. Closes: #856400.

libopenmpt

CVE-2018-10017

libp11-openssl1

Добавление возможности работы с ключами Rutoken

libpam-pwquality

Проверка пароля на соответствие политики только для локальных пользователей

libparsec-mac-qt5

Обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть

libsoup2

Fix out of bounds access in the cookie jar (CVE-2018-12910)

libssh

CVE-2018-10933

libtirpc

CVE-2018-14622

libvirt

Устранена ошибка, связанная с функционированием внешних файловых хранилищ с включенным режимом МКЦ.
При добавлении нового внешнего файлового хранилища и создании на нем диска ВМ, после запуска виртуальной машины возникала ошибка запуска, связанная с невозможностью установить метку целостности на диск ВМ. Данная ситуация возникает в связи с тем, что на файловое хранилище необходимо установить максимально возможные метки безопасности, а так же флаг CCNRA. В связи с этим, для решения проблемы был доработан модуль работы с внешними хранилищами.

libx11

Fix CVE-2018-14598, CVE-2018-14599 and CVE-2018-14600
CVE-2018-14599
CVE-2018-14600
CVE-2018-14598

linux-astra-modules

исправлена утечка информации через prlimit,
устранена возможность обхода ЗПС через запись в /proc/$PID/mem
устранена возможность изменения меток произвольных файлов от любого пользователя

linux

исправлено CVE-2018-18955 (было: некорректное обратное отображение UID в случае использования user namespace)

linux-meta

Метапакет. Необходим для инфраструктуры апдейта

lkrg

Обновление средства обнаружения уязвимостей

mutt

subscription or unsubscription (CVE-2018-14354)
subscription (CVE-2018-14357)
leaving room for quote characters (CVE-2018-14352)
Fix an integer underflow in imap_quote_string() (CVE-2018-14353)
Fix mishandling of zero-length UID in pop.c (CVE-2018-14356)
characters in pop.c (CVE-2018-14362)
(CVE-2018-14355)
INTERNALDATE field (CVE-2018-14350)
RFC822.SIZE field (CVE-2018-14358)
Fix mishandling of an IMAP NO response without a message (CVE-2018-14349)
(CVE-2018-14351)
Fix a buffer overflow via base64 data (CVE-2018-14359)
(CVE-2018-14360)
NNTP messages (CVE-2018-14361)
characters in newsrc.c (CVE-2018-14363)

net-snmp

CVE-2018-18065

nss-pam-ldapd_astra

than FD_SETSIZE files are already open (closes: #690319) (CVE-2013-0288)
incorrect password (CVE-2011-0438)
option is used (CVE-2009-1073)

opensc

Исправление работы с драйверами Рутокен S, проблемы с записью малых файлов

openssh

обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте)

pam

Устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir
Внятные сообщения при блокировке pam_tally, pam_tally2

parsec-cups

Исправлена маркировка при печати из некоторых приложений.

parsec

Добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA
Исправлена ошибка работы с памятью в утилите pdp-ls
Устранена ошибка запуска ceph OSD при загрузке
Добавлены тесты МКЦ
Обеспечена возможность администрирования системы при включенной МКЦ
Исправлена ошибка в службе очистки swap-разделов
Изменен порядок вызова PAM-модулей для предотвращения подъема привилегий
Обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности
Исправлена обработка имен уровней конфиденциальности, состоящих из цифр

patch

Fix CVE-2018-1000156: arbitrary command execution in ed-style patches

perl

[SECURITY] CVE-2018-12015: fix directory traversal vulnerability

php7

[CVE-2018-10549]: Heap Buffer Overflow (READ: 1786) in exif_iif_add_value
[CVE-2018-10546]: stream filter convert.iconv leads to infinite loop on invalid sequence
[CVE-2018-10548]: Malicious LDAP-Server Response causes Crash
[CVE-2018-10547]: fix for CVE-2018-5712 may not be complete
[CVE-2018-10545]: Dumpable FPM child processes allow bypassing opcache access controls
[CVE-2018-7584]: stack-buffer-overflow while parsing HTTP response

policykit-1

Исправлены ограничения для субъектов с низким уровнем целостности

postgresql-9

(CVE-2018-10915)
user could also use it for disclosure of server memory. (CVE-2018-10925)
pg_logfile_rotate() function. (CVE-2018-1115)
(CVE-2018-1058)
(CVE-2018-1058)
non-world-readable (CVE-2018-1053)
how the arbiter index was specified). (CVE-2017-15099)
well. (CVE-2017-15098)
(CVE-2017-7547; extends fix for CVE-2017-7484)
(CVE-2017-7546)
(CVE-2017-7548)
stored as user mapping options (CVE-2017-7486)
(CVE-2017-7484)
(CVE-2017-7485)

postgresql-se-test-9

Исправления тестов связаны с обновлением безопасности postgresql-9.6

python2

CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647

python3

CVE-2017-1000158 CVE-2018-1060 CVE-2018-1061 CVE-2018-14647

python-django

CVE-2018-14574: Fix an open redirect possibility in CommonMiddleware.
CVE-2017-12794: Fix a cross-site scripting attack in the technical HTTP 500

qemu_astra_se

CVE-2017-5715 (spectre/meltdown) fixes for i386 and s390x:
CVE-2017-5715/i386-increase-X86CPUDefinition-model_id-to-49.patch
CVE-2017-5715/i386-add-support-for-SPEC_CTRL-MSR.patch
CVE-2017-5715/i386-add-spec-ctrl-CPUID-bit.patch
CVE-2017-5715/i386-add-FEAT_8000_0008_EBX-CPUID-feature-word.patch
CVE-2017-5715/i386-add-new-IBRS-versions-of-Intel-CPU-models.patch
CVE-2017-5715/s390x-kvm-introduce-branch-prediction-blocking-contr.patch
CVE-2017-5715/s390x-kvm-handle-bpb-feature.patch
Closes: #886532, CVE-2017-5715
multiboot-bss_end_addr-can-be-zero-CVE-2018-7550.patch
Closes: #892041, CVE-2018-7550
vga-check-the-validation-of-memory-addr-when-draw-text-CVE-2018-5683.patch
Closes: #887392, CVE-2018-5683
osdep-fix-ROUND_UP-64-bit-32-bit-CVE-2017-18043.patch
Closes: CVE-2017-18043
virtio-check-VirtQueue-Vring-object-is-set-CVE-2017-17381.patch
Closes: #883625, CVE-2017-17381
ps2-check-PS2Queue-pointers-in-post_load-routine-CVE-2017-16845.patch
Closes: #882136, CVE-2017-16845
cirrus-fix-oob-access-in-mode4and5-write-functions-CVE-2017-15289.patch
Closes: #880832, CVE-2017-15289
io-monitor-encoutput-buffer-size-from-websocket-GSource-CVE-2017-15268.patch
Closes: #880836, CVE-2017-15268
nbd-server-CVE-2017-15119-Reject-options-larger-than-32M.patch
Closes: #883399, CVE-2017-15119
9pfs-use-g_malloc0-to-allocate-space-for-xattr-CVE-2017-15038.patch
Closes: #877890, CVE-2017-15038
CVE-2017-15124 (VNC server unbounded memory usage) fixes:
CVE-2017-15124/01-ui-remove-sync-parameter-from-vnc_update_client.patch
CVE-2017-15124/02-ui-remove-unreachable-code-in-vnc_update_client.patch
CVE-2017-15124/03-ui-remove-redundant-indentation-in-vnc_client_update.patch
CVE-2017-15124/04-ui-avoid-pointless-VNC-updates-if-framebuffer-isn-t-.patch
CVE-2017-15124/05-ui-track-how-much-decoded-data-we-consumed-when-doin.patch
CVE-2017-15124/06-ui-introduce-enum-to-track-VNC-client-framebuffer-up.patch
CVE-2017-15124/07-ui-correctly-reset-framebuffer-update-state-after-pr.patch
CVE-2017-15124/08-ui-refactor-code-for-determining-if-an-update-should.patch
CVE-2017-15124/09-ui-fix-VNC-client-throttling-when-audio-capture-is-a.patch
CVE-2017-15124/10-ui-fix-VNC-client-throttling-when-forced-update-is-r.patch
CVE-2017-15124/11-ui-place-a-hard-cap-on-VNC-server-output-buffer-size.patch
CVE-2017-15124/12-ui-add-trace-events-related-to-VNC-client-throttling.patch
CVE-2017-15124/13-ui-mix-misleading-comments-return-types-of-VNC-I-O-h.patch
Closes: #884806, CVE-2017-15124

ruby2

[CVE-2017-17405]
WEBrick to fix CVE-2017-17742 and CVE-2018-8777
[CVE-2017-17742]
[CVE-2017-17790]
[CVE-2018-8780]
CVE-2018-1000073: Prevent Path Traversal issue during gem installation.
CVE-2018-1000074: Fix possible Unsafe Object Deserialization
CVE-2018-1000075: Strictly interpret octal fields in tar headers.
CVE-2018-1000076: Raise a security error when there are duplicate files
CVE-2018-1000077: Enforce URL validation on spec homepage attribute.
CVE-2018-1000078: Mitigate XSS vulnerability in homepage attribute when
CVE-2018-1000079: Prevent path traversal when writing to a symlinked
[CVE-2018-6914]
[CVE-2018-8779]
[CVE-2018-8778]

ruby-rack-protection

CVE-2018-1000119 (Closes: #892250)

ruby-sprockets

Do not respond to http requests asking for a `file://` (CVE-2018-3760)

samba

Установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd

shadow

Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.

smbnetfs

Обновление пакета позволяет работать с sabma через fly-fm.

spice-client-gtk

CVE-2018-10873

sssd

Решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток

symfony

[CVE-2017-16652]
scheme [CVE-2017-16653]
prevent bundle readers from breaking out of paths [CVE-2017-16654]
ensure that submitted data are uploaded files [CVE-2017-16790]
fixation [CVE-2018-11385]
fixation [CVE-2018-11385]
is in loose mode [CVE-2018-11386]
clear CSRF tokens when the user is logged out [CVE-2018-11406]
[Ldap] cast to string when checking empty passwords [CVE-2016-2403]
[CVE-2018-11408]

systemd

CVE-2018-16864, CVE-2018-16865, CVE-2018-16866
Использование MIC для контроля всех операций в systemd.

thunderbird-addon-firetray

Требуется для обновленного пакета thunderbird

thunderbird

CVE-2018-12392: Crash with nested event loops
CVE-2018-12393: Integer overflow during Unicode conversion while loading
CVE-2018-12389: Memory safety bugs fixed in Firefox ESR 60.3 and
CVE-2018-12390: Memory safety bugs fixed in Firefox 63, Firefox ESR 60.3,
Fixed CVE issues in upstream version 60.2.1 (MFSA 2018-25)
CVE-2018-12377: Use-after-free in refresh driver timers
CVE-2018-12378: Use-after-free in IndexedDB
CVE-2018-12379: Out-of-bounds write with malicious MAR file
CVE-2018-12376: Memory safety bugs fixed in Firefox 62 and Firefox ESR 60.2
CVE-2018-12385: Crash in TransportSecurityInfo due to cached data
CVE-2018-12383: Setting a master password post-Firefox 58 does not delete
Fixed CVE issues in upstream version 52.9 (MFSA 2018-18)
CVE-2018-12359: Buffer overflow using computed size of canvas element
CVE-2018-12360: Use-after-free when using focus()
CVE-2018-12372: S/MIME and PGP decryption oracles can be built with HTML
CVE-2018-12373: S/MIME plaintext can be leaked through HTML reply/forward
CVE-2018-12362: Integer overflow in SSSE3 scaler
CVE-2018-12363: Use-after-free when appending DOM nodes
CVE-2018-12364: CSRF attacks through 307 redirects and NPAPI plugins
CVE-2018-12365: Compromised IPC child process can list local filenames
CVE-2018-12366: Invalid data handling during QCMS transformations
CVE-2018-12374: Using form to exfiltrate encrypted mail part by pressing
CVE-2018-5188: Memory safety bugs fixed in Firefox 60, Firefox ESR 60.1,

tigervnc

Повышение стабильности работы программ из пакета. Добавлены флаги сборки, предотвращающие эксплуатацию уязвимостей.

vim

Сохранение атрибутов parsec при изменении файлов

vlc_astra

mkv: Fix NULL pointer access. (CVE-2018-11529)
Fix crash in libavcodec module (heap write out-of band). (CVE-2017-10699)
Fix flac heap write overflow on format change. (CVE-2017-9300)
demux: Fix heap buffer overflows (CVE-2017-8312)
CVE-2016-5108. (Closes: #825728)
upstream patch to fix CVE-2015-5949. (Closes: #796255)
buffer overflow. (CVE-2014-9629)
overflow in parsing of string boxes. (CVE-2014-9626, CVE-2014-9627,
CVE-2014-9628)
VLA for user controlled data. (CVE-2014-9630)
CVE-2014-1684
Security: Fix buffer overflow in the mp4a packetizer CVE-2013-4388
Security: Fix XSPF integer overflow (CVE-2011-2194) (LP: #795410)
Fix heap buffer overflow in Real demuxer (CVE-2010-3907) (LP: #690173)
(VideoLAN-SA-1004, CVE-2010-2937) (Closes: #592669, LP: #616510)
(VideoLAN-SA-0902, CVE pending)(urgency=high)
Fix integer underflow in Real RTSP (DZC-2009-001, CVE pending)
Fix integer overflow in Real demux (VideoLAN SA-2008-11, CVE-2008-5276)
Security: Fix integer overflow in mms module (CVE-2008-3794)
Drop patch 401-CVE-2008-2430, merged upstream.
code execution (CVE-2008-4686.diff; Closes: #503118).
Fix integer overflow in TTA (CVE-2008-3732) (405-CVE-2008-3732.diff)
Fix buffer overflow (CVE-2008-1881)
Fix out of bound array access (CVE-2008-1769)
(CVE-2008-1489, CVE-2008-1768)
Remove 105_min_mkv.patch, 400-CVE-2008-1489.diff and
401-CVE-2008-0073.diff, 402-CVE-2008-1881, 403-CVE-2008-1768.diff
and 404-CVE-2008-1881 integrated upstream
Fix buffer overflow in Wav demux.(CVE-2008-2430)(Closes: #489004)
(Patch taken from upstream: 401-CVE-2008-2430.diff)
CVE-2008-1769: out-of-bounds array access and memory corruption
CVE-2008-1768: multiple integer overflow triggering buffer overflows
CVE-2008-1881: stack-based buffer overflow in subtitle parsing leading
CVE-2008-0073 (Closes: #473057)
Mention CVE id in 0.8.6.e-1.1.
large atom length value (Closes: #472635); CVE-2008-1489.
CORE-2008-0130, VideoLAN-SA-0802, CVE-2008-0986: Arbitrary memory
CVE-2008-0295: Heap-based buffer overflow in real_sdpplin.c
CVE-2008-0296: Heap-based buffer overflow in libaccess_realrtsp plugin
(CVE ids pending; Closes: #458318):
media player unspecified Denial Of Service vulnerability (CVE-2007-0256).
MOAB-02-01-2007-CVE-2007-0017.patch
MOAB-02-01-2007-CVE-2007-0017.patch, CVE-2007-0017. Closes: #405425
Build-depend on more recent versions of libavcodec to fix CVE-2005-4048.

xapian-core

Fix MSet::snippet() to escape HTML in all cases (CVE-2018-499).

xen

XSA-273 (CVE-2018-3620,CVE-2018-3646)
XSA-272 (no CVE yet)
XSA-269 (no CVE yet)
XSA-268 (no CVE yet)
XSA-264 (no CVE yet)
XSA-265 (no CVE yet)
XSA-266 (no CVE yet)
XSA-267 CVE-2018-3665

xerces-c

Fix CVE-2017-12627: Alberto Garcia, Francisco Oca and Suleman Ali of

xorg-server

Обновление безопасности:

исправлено падение Х сервера, запускаемого с аргументом -extension MIT-SHM
запрещено XAllowEvents с арг. KeyboardReplay для недоверенных клиентов (устраняет еще один из видов кейлоггеров)
разрешение XUngrabKeyboard для доверенных клиентов типа менеджера окон, для решения проблемы с запуском блокировщика экрана: fly-wm не мог запустить блокировщик из-за невозможности XGrabKeyboard, если этот вызов сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
CVE-2018-14665

xorg

Параметр allow-user-xsession убран из /etc/X11/Xsession.options с тем чтоб пользователь не не мог переопределить свою Х сессию

Дерево страниц

Сравнение версий

Старая версия 5

Новая версия 6

Ключ