Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Кумулятивное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6).


Warning
Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.


Warning
Всё программное обеспечение, разработанное с использованием обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими обновлениями безопасности.


Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать


Info
Обновление диска со средствами разработки, соответствующее бюллетеню № 20181229SE16 доступно по ссылке.


2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command
gostsum -d /mnt/20181229se16.iso

Контрольная сумма:

Info
iconfalse

7aaca232add4debdea4e93690bec88f3444c4f395dc8c1c462aea8337e99a77c


Tip
Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm


Warning
titleВнимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
sudo apt-cdrom add

4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command

sudo mount /mnt/20181229se16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести "20181229se16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Note

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


Note

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
sudo mount /mnt/20181229se16.iso /media/cdrom


6. После завершения регистрации всех компакт-дисков и образов выполнить команды:

Command

sudo apt update
sudo apt dist-upgrade
sudo apt -f install

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

Warning
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.


Expand
titleСписок уязвимостей, закрываемых обновлением

acpi-support

  • Обновление поддержки мультиуровневого МРД


adduser

  • Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.


ald-parsec

  • aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.


ald

  • aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.


ansible

  • playbook base dir (CVE-2018-10874)
  • Avoid using ansible.cfg in a world writable dir (CVE-2018-10875)


apache2

  • CVE-2017-15710
  • CVE-2017-15715
  • CVE-2018-11763
  • CVE-2018-1283
  • CVE-2018-1301
  • CVE-2018-1303
  • CVE-2018-1312
  • CVE-2018-1333


apache2-se-tests

  • Исправления связанные с новой версией apache2


apt

  • SECURITY UPDATE: content injection in http method (CVE-2019-3462) (LP: #1812353)


astra-freeipa

  • Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи


astra-safepolicy

  • установка прав 0700 на домашние каталоги новых пользователей
  • shebang: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения
  • astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов


astrase-fix-maildir

Обновление безопасности:

  • astrase-fix-maildir до 0.2.2 работал за счёт проблемы в linux-astra-modules, не проверяющих полномочия администратора при изменении метки файла.
  • astrase-fix-maildir 0.2.3 исправлен, чтобы работать в условиях восстановленной проверки с обновлёнными linux-astra-modules.


astra-version

  • Обновление версии релиза апдейта


bind9

  • Добавление поддержки GSS-API


blender

v2.79b release and fixing following CVEs:

  • CVE-2017-2899 CVE-2017-2900
  • CVE-2017-2901 CVE-2017-2902
  • CVE-2017-2903 CVE-2017-2904
  • CVE-2017-2905 CVE-2017-2906
  • CVE-2017-2907 CVE-2017-2908
  • CVE-2017-2918 CVE-2017-12081
  • CVE-2017-12082 CVE-2017-12086
  • CVE-2017-12099 CVE-2017-12100
  • CVE-2017-12101 CVE-2017-12102
  • CVE-2017-12103 CVE-2017-12104
  • CVE-2017-12105


chromium-browser

  • - CVE-2018-17462: Sandbox escape in AppCache. Reported by Ned Williamson
  • - CVE-2018-17463: Remote code execution in V8. Reported by Ned Williamson
  • - CVE-2018-17464: URL spoof in Omnibox. Reported by xisigr
  • - CVE-2018-17465: Use after free in V8. Reported by Lin Zuojian
  • - CVE-2018-17466: Memory corruption in Angle. Reported by Omair
  • - CVE-2018-17467: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-17468: Cross-origin URL disclosure in Blink. Reported by James
  • - CVE-2018-17469: Heap buffer overflow in PDFium. Reported by Zhen Zhou
  • - CVE-2018-17470: Memory corruption in GPU Internals. Reported by Zhe Jin
  • - CVE-2018-17471: Security UI occlusion in full screen mode. Reported by
  • - CVE-2018-17473: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-17474: Use after free in Blink. Reported by Zhe Jin
  • - CVE-2018-17475: URL spoof in Omnibox. Reported by Vladimir Metnew
  • - CVE-2018-17476: Security UI occlusion in full screen mode. Reported by
  • - CVE-2018-5179: Lack of limits on update() in ServiceWorker. Reported by
  • - CVE-2018-17477: UI spoof in Extensions. Reported by Aaron Muir Hamilton
  • - CVE-2018-16065: Out of bounds write in V8. Reported by Brendon Tiszka
  • - CVE-2018-16066: Out of bounds read in Blink. Reported by cloudfuzzer
  • - CVE-2018-16067: Out of bounds read in WebAudio. Reported by Zhe Jin
  • - CVE-2018-16068: Out of bounds write in Mojo. Reported by Mark Brand
  • - CVE-2018-16069: Out of bounds read in SwiftShader. Reported by Mark Brand
  • - CVE-2018-16070: Integer overflow in Skia. Reported by Ivan Fratric
  • - CVE-2018-16071: Use after free in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-16073: Site Isolation bypass after tab restore. Reported by Jun
  • - CVE-2018-16074: Site Isolation bypass using Blob URLS. Reported by Jun
  • - CVE-2018-16075: Local file access in Blink. Reported by Pepe Vila
  • - CVE-2018-16076: Out of bounds read in PDFium. Reported by Aleksandar
  • - CVE-2018-16077: Content security policy bypass in Blink. Reported by
  • - CVE-2018-16078: Credit card information leak in Autofill. Reported by
  • - CVE-2018-16079: URL spoof in permission dialogs. Reported by Markus
  • - CVE-2018-16080: URL spoof in full screen mode. Reported by Khalil Zhani
  • - CVE-2018-16081: Local file access in DevTools. Reported by Jann Horn
  • - CVE-2018-16082: Stack buffer overflow in SwiftShader. Reported by Omair
  • - CVE-2018-16083: Out of bounds read in WebRTC. Reported by Natalie
  • - CVE-2018-16084: User confirmation bypass in external protocol handling.
  • - CVE-2018-16085: Use after free in Memory Instrumentation. Reported by
  • - CVE-2018-4117: Cross origin information leak in Blink. Reported by
  • - CVE-2018-6044: Request privilege escalation in Extensions . Reported by
  • - CVE-2018-6150: Cross origin information disclosure in Service Workers.
  • - CVE-2018-6151: Bad cast in DevTools. Reported by Rob Wu
  • - CVE-2018-6152: Local file write in DevTools. Reported by Rob Wu
  • - CVE-2018-6153: Stack buffer overflow in Skia. Reported by Zhen Zhou
  • - CVE-2018-6154: Heap buffer overflow in WebGL. Reported by Omair
  • - CVE-2018-6155: Use after free in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-6156: Heap buffer overflow in WebRTC. Reported by Natalie
  • - CVE-2018-6157: Type confusion in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-6158: Use after free in Blink. Reported by Zhe Jin
  • - CVE-2018-6159: Same origin policy bypass in ServiceWorker. Reported by
  • - CVE-2018-6161: Same origin policy bypass in WebAudio. Reported by Jun
  • - CVE-2018-6162: Heap buffer overflow in WebGL. Reported by Omair
  • - CVE-2018-6163: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6164: Same origin policy bypass in ServiceWorker. Reported by
  • - CVE-2018-6165: URL spoof in Omnibox. Reported by evi1m0
  • - CVE-2018-6166: URL spoof in Omnibox. Reported by Lnyas Zhang
  • - CVE-2018-6167: URL spoof in Omnibox. Reported by Lnyas Zhang
  • - CVE-2018-6168: CORS bypass in Blink. Reported by Gunes Acar and Danny Y.
  • - CVE-2018-6169: Permissions bypass in extension installation . Reported by
  • - CVE-2018-6170: Type confusion in PDFium. Reported by Anonymous
  • - CVE-2018-6171: Use after free in WebBluetooth.
  • - CVE-2018-6172: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6173: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6174: Integer overflow in SwiftShader. Reported by Mark Brand
  • - CVE-2018-6175: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6176: Local user privilege escalation in Extensions. Reported by
  • - CVE-2018-6177: Cross origin information leak in Blink. Reported by Ron
  • - CVE-2018-6178: UI spoof in Extensions. Reported by Khalil Zhani
  • - CVE-2018-6179: Local file information leak in Extensions.
  • - CVE-2018-6118: Use after free in Media Cache. Reported by Ned Williamson
  • - CVE-2018-6120: Heap buffer overflow in PDFium. Reported by Zhou Aiting
  • - CVE-2018-6121: Privilege Escalation in extensions.
  • - CVE-2018-6122: Type confusion in V8.
  • - CVE-2018-6123: Use after free in Blink. Reported by Looben Yang
  • - CVE-2018-6124: Type confusion in Blink. Reported by Guang Gong
  • - CVE-2018-6125: Overly permissive policy in WebUSB. Reported by Yubico
  • - CVE-2018-6126: Heap buffer overflow in Skia. Reported by Ivan Fratric
  • - CVE-2018-6127: Use after free in indexedDB. Reported by Looben Yang
  • - CVE-2018-6129: Out of bounds memory access in WebRTC. Reported by Natalie
  • - CVE-2018-6130: Out of bounds memory access in WebRTC. Reported by Natalie
  • - CVE-2018-6131: Incorrect mutability protection in WebAssembly. Reported
  • - CVE-2018-6132: Use of uninitialized memory in WebRTC. Reported by Ronald
  • - CVE-2018-6133: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6134: Referrer Policy bypass in Blink. Reported by Jun Kokatsu
  • - CVE-2018-6135: UI spoofing in Blink. Reported by Jasper Rebane
  • - CVE-2018-6136: Out of bounds memory access in V8. Reported by Peter Wong
  • - CVE-2018-6137: Leak of visited status of page in Blink. Reported by
  • - CVE-2018-6138: Overly permissive policy in Extensions. Reported by
  • - CVE-2018-6139: Restrictions bypass in the debugger extension API.
  • - CVE-2018-6140: Restrictions bypass in the debugger extension API.
  • - CVE-2018-6141: Heap buffer overflow in Skia. Reported by Yangkang
  • - CVE-2018-6142: Out of bounds memory access in V8. Reported by Choongwoo
  • - CVE-2018-6143: Out of bounds memory access in V8. Reported by Guang Gong
  • - CVE-2018-6144: Out of bounds memory access in PDFium. Reported by pdknsk
  • - CVE-2018-6145: Incorrect escaping of MathML in Blink. Reported by Masato
  • - CVE-2018-6147: Password fields not taking advantage of OS protections in
  • - CVE-2018-6148: Incorrect handling of CSP header. Reported by Michał
  • - CVE-2018-6149: Out of bounds write in V8. Reported by Yu Zhou and


connman_astra

  • CVE-2017-12865: Fix crash on malformed DNS response (Closes: #872844)


cups

  • Исправлена ошибка при отправке основного задания на печать вместе с порожденными.
  • В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.


curl

  • Fix SASL password overflow via integer overflow as per CVE-2018-16839
  • Fix warning message out-of-buffer read as per CVE-2018-16842
  • Fix NTLM password overflow via integer overflow as per CVE-2018-14618


dojo

  • Fix CVE-2018-6561 (Closes: #898944)


exim4_astra_se

  • Fix base64d() buffer size (CVE-2018-6789) (Closes: #890000)


exiv2

  • CVE-2018-10958: denial of service through memory exhaustion and
  • CVE-2018-10999: a heap-based buffer over-read via a crafted PNG image.
  • CVE-2018-10998: denial of service through memory exhaustion and
  • CVE-2018-11531: a heap-based buffer overflow and application crash by a
  • CVE-2018-12264: integer overflow leading to out of bounds read by a
  • CVE-2018-12265: integer overflow leading to out of bounds read by a


faad2

  • Fix CVE-2017-9218, CVE-2017-9219, CVE-2017-9220, CVE-2017-9221,
  • CVE-2017-9222, CVE-2017-9223, CVE-2017-9253, CVE-2017-9254, CVE-2017-9255,
  • CVE-2017-9256, CVE-2017-9257.


ffmpeg

  • (CVE-2018-14395)
  • - avfilter/vf_transpose: Fix used plane count. (CVE-2018-6392)
  • (CVE-2018-6621)
  • - avcodec/utvideodec: Check subsample factors. (CVE-2018-7557)
  • - avcodec/utvideodec: Set pro flag based on fourcc. (CVE-2018-10001)
  • mpeg4_encode_gop_header(). (CVE-2018-12458)
  • (CVE-2018-13300)
  • (CVE-2018-13302)


firefox

  • CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396,
  • CVE-2018-12397, CVE-2018-12398, CVE-2018-12399, CVE-2018-12401,
  • CVE-2018-12402, CVE-2018-12403, CVE-2018-12388, CVE-2018-12390
  • CVE-2018-12386, CVE-2018-12387
  • CVE-2018-12385.
  • CVE-2018-12377, CVE-2018-12378, CVE-2018-12383, CVE-2018-12375,
  • CVE-2018-12376
  • CVE-2018-12359, CVE-2018-12360, CVE-2018-12361, CVE-2018-12358,
  • CVE-2018-12362, CVE-2018-5156, CVE-2018-12363, CVE-2018-12364,
  • CVE-2018-12365, CVE-2018-12371, CVE-2018-12366, CVE-2018-12367,
  • CVE-2018-12369, CVE-2018-12370, CVE-2018-5186, CVE-2018-5187,
  • CVE-2018-5188.


fly-admin-ald-server

  • При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.


fly-admin-digsig

  • При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в 'rw' при управлении ЗПС.


fly-admin-gmc

  • Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)


fly-admin-local-se

  • Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)


fly-admin-local

  • Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.


fly-admin-mic

  • Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)


fly-admin-ntp

  • Исправлена ошибка парсинга конфига


fly-admin-printer-mac

  • В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.


fly-admin-printer

  • Исправлена ошибка при настройке общего доступа


fly-admin-samba

  • Исправлен конфликт при работе совместно с ALD.


fly-admin-service-se

  • При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.


fly-dm

  • устранено падение при выполнении "fly-dmctl rtcwake", т.е. без указания аргументов -t/-s secs
  • устранена возможность управления systemd пользователем путем формирования команд типа "fly-dmctl suspendtohyibernate произвольная_команда -p" приводящих к выполнению "systemctl произвольная_команда -p suspend-to-hibernate.service"
  • установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии


fly-doc

  • Исправление документации апдейта


fly-fm

  • При отмене перемещения файла между разными разделами исходный файл теперь не удаляется


fly-reflex

  • устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями


fly-qdm

  • Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры


fly-weather

  • Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.


fly-wm

Обновление безопасности:

  • fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
  • с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы


fonts-pt

  • Обновление пакета шрифтов.


freeipa

  • Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи


fuse

  • (CVE-2018-10906) (Closes: #904439)


ghostscript

  • Fixes regression using ps2ascii after fix for CVE-2018-17183
  • status operator honour SAFER option (CVE-2018-11645)
  • Improve hiding of security critical custom operators (CVE-2018-17961)
  • (CVE-2018-17961) (Closes: #911175)
  • don't include operator arrays in execstack output (CVE-2018-18073)
  • (CVE-2018-18284) (Closes: #911175)
  • loadfontloop must be an operator (CVE-2018-17961) (Closes: #911175)
  • Fixes for CVE-2018-16509 (fourth patch, rest were applied in deb9u4)
  • CVE-2018-16802 and one additional issue with a CVE ID (yet)
  • Add additional patch for CVE-2018-16543
  • Buffer overflow in fill_threshold_buffer (CVE-2016-10317


git

  • CVE-2018-17456


gnupg2_astra

  • gpg: Sanitize diagnostic with the original file name (CVE-2018-12020)


goldendict

  • Отмена излишней сетевой активности в виде проверки обновлений


graphicsmagick

  • CVE-2018-9018: avoid divide-by-zero if delay or timeout properties
  • Fix CVE-2018-5685: infinite loop in ReadBMPImage() (closes: #887158).
  • Fix CVE-2017-17913: stack-buffer-overflow in WriteWEBPImage() .
  • Fix CVE-2017-17915: heap-buffer-overflow in ReadMNGImage() .
  • Fix CVE-2017-17782: heap-based buffer over-read in ReadOneJNGImage()
  • Fix CVE-2017-17783: buffer over-read in ReadPALMImage() (closes: #884904).
  • Fix CVE-2017-16669: heap buffer overflow in AcquireCacheNexus()
  • Fix CVE-2017-13134: heap buffer overflow in SFWScan() (closes: #881524).
  • Fix CVE-2017-16547: remote denial of service (negative strncpy and
  • Fix CVE-2017-16545: NULL pointer dereference (write) with malformed WPG
  • Fix CVE-2017-16353: heap read overflow vulnerability in DescribeImage() .
  • Fix CVE-2017-16352: heap-based buffer overflow vulnerability in
  • Fix CVE-2017-15930: NULL pointer dereference while transferring JPEG
  • Fix CVE-2017-13737: invalid free in MagickFree() (closes: #878511).
  • Fix CVE-2017-15277: assure that global colormap is fully initialized in
  • Fix CVE-2017-15238: use after free in ReadJNGImage() .
  • Fix CVE-2017-14733: heap out of bounds read in ReadRLEImage() .
  • Fix CVE-2017-14994: NULL pointer dereference in DICOM Decoder.
  • Fix CVE-2017-14997: memory allocation error due to malformed image file.
  • Update upstream changelog for CVE-2017-14103 .
  • Fix CVE-2017-14649: denial of service due to assertion failure in
  • Fix CVE-2017-14504: NULL pointer dereference triggered by malformed file.
  • Fix CVE-2017-14314: heap-based buffer over-read in DrawDashPolygon() .
  • Fix CVE-2017-14165: remote denial of service due to memory allocation
  • Fix CVE-2017-14042: memory allocation failure in MagickRealloc()
  • Fix CVE-2017-13775: denial of service issue in ReadJNXImage() .
  • Fix CVE-2017-13776 and CVE-2017-13777: denial of service issue in
  • Fix CVE-2017-14103: the ReadJNGImage() and ReadOneJNGImage() functions do because of an incomplete fix for CVE-2017-11403 .
  • Fix CVE-2017-8350: crash while reading a malformed JNG file.
  • Fix CVE-2017-13063: heap-based buffer overflow vulnerability in the
  • Fix CVE-2017-13064: another heap-based buffer overflow vulnerability in
  • Fix CVE-2017-13065: NULL pointer dereference vulnerability in the
  • Fix CVE-2017-12935: invalid memory read in the SetImageColorCallBack()
  • Fix CVE-2017-12936: use-after-free issue for data associated with
  • Fix CVE-2017-12937: colormap heap-based buffer over-read in the
  • Fix CVE-2017-11643: heap overflow in the WriteCMYKImage() function
  • Fix CVE-2017-11636: heap overflow in the WriteRGBImage() function
  • Fix CVE-2017-11638 and CVE-2017-11642: null pointer dereference or SEGV if
  • Fix CVE-2017-11641: memory leak while writing Magick Persistent Cache
  • Fix CVE-2017-11637: NULL pointer dereference in the WritePCLImage()
  • Fix CVE-2017-11722: denial of service via a crafted file
  • Fix CVE-2017-11140: denial of service (resource consumption) via crafted
  • Fix CVE-2017-11102: remote denial of service during JNG reading via a
  • META: Fix heap overflow while parsing 8BIM chunk (CVE-2016-7800).
  • WPG: Fix heap overflow (CVE-2016-7996). Fix assertion crash (CVE-2016-7997).
  • in a JDAT chunk must match the JHDR dimensions (CVE-2016-9830).
  • have only 2 samples per pixel (CVE-2017-6335).
  • JNG: Fix memory leak when reading invalid JNG image (CVE-2017-8350).
  • only 1 sample per pixel (CVE-2017-10794) (closes: #867085).
  • large image dimensions but insufficient backing data. (CVE-2017-10799)


hplip

  • устранен недостаток работы системы печати с новыми моделями принтеров HP


imagemagick

  • CVE-2018-16412
  • CVE-2018-16413
  • CVE-2018-16642
  • CVE-2018-16644
  • CVE-2018-16645
  • 0113-CVE-2018-12599 (Closes: #902727)
  • 0114-CVE-2018-11251
  • 0115-CVE-2018-12600 (Closes: #902728)
  • 0116-CVE-2018-5248 (Closes: #886588)


intel-microcode

  • CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
  • First batch of fixes for: Intel SA-00115, CVE-2018-3639, CVE-2018-3640


iputils

  • Запретить использовать опцию -p, если пользователь не root, т.к. через нее можно задать pattern (наполнение пакетов), через который можно передавать по сети данные внутри ICMP-пакетов.


lcms2

  • CVE-2018-16435


libapache-mod-auth-kerb

  • Добавлена поддержка модулем kerberos аутентификации режима работы "AstraMode"


libcgroup

  • CVE-2018-14348


libgcrypt20_astra

  • ecc: Add blinding for ECDSA (CVE-2018-0495)


libgost-astra

  • Исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.


libice_astra

  • CVE-2017-2626: Use libbsd for arc4random. Closes: #856400.


libopenmpt

  • CVE-2018-10017


libp11-openssl1

  • Добавление возможности работы с ключами Rutoken


libpam-pwquality

  • Проверка пароля на соответствие политики только для локальных пользователей


libparsec-mac-qt5

  • Обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть


libsoup2

  • Fix out of bounds access in the cookie jar (CVE-2018-12910)


libssh

  • CVE-2018-10933


libtirpc

  • CVE-2018-14622


libvirt

  • Устранена ошибка, связанная с функционированием внешних файловых хранилищ с включенным режимом МКЦ.
  • При добавлении нового внешнего файлового хранилища и создании на нем диска ВМ, после запуска виртуальной машины возникала ошибка запуска, связанная с невозможностью установить метку целостности на диск ВМ. Данная ситуация возникает в связи с тем, что на файловое хранилище необходимо установить максимально возможные метки безопасности, а так же флаг CCNRA. В связи с этим, для решения проблемы был доработан модуль работы с внешними хранилищами.


libx11

  • Fix CVE-2018-14598, CVE-2018-14599 and CVE-2018-14600
  • CVE-2018-14599
  • CVE-2018-14600
  • CVE-2018-14598


linux-astra-modules

  • исправлена утечка информации через prlimit,
  • устранена возможность обхода ЗПС через запись в /proc/$PID/mem
  • устранена возможность изменения меток произвольных файлов от любого пользователя


linux

  • исправлено CVE-2018-18955 (было: некорректное обратное отображение UID в случае использования user namespace)


linux-meta

  • Метапакет. Необходим для инфраструктуры апдейта


lkrg

  • Обновление средства обнаружения уязвимостей


mutt

  • subscription or unsubscription (CVE-2018-14354)
  • subscription (CVE-2018-14357)
  • leaving room for quote characters (CVE-2018-14352)
  • Fix an integer underflow in imap_quote_string() (CVE-2018-14353)
  • Fix mishandling of zero-length UID in pop.c (CVE-2018-14356)
  • characters in pop.c (CVE-2018-14362)
  • (CVE-2018-14355)
  • INTERNALDATE field (CVE-2018-14350)
  • RFC822.SIZE field (CVE-2018-14358)
  • Fix mishandling of an IMAP NO response without a message (CVE-2018-14349)
  • (CVE-2018-14351)
  • Fix a buffer overflow via base64 data (CVE-2018-14359)
  • (CVE-2018-14360)
  • NNTP messages (CVE-2018-14361)
  • characters in newsrc.c (CVE-2018-14363)


net-snmp

  • CVE-2018-18065


nss-pam-ldapd_astra

  • than FD_SETSIZE files are already open (closes: #690319) (CVE-2013-0288)
  • incorrect password (CVE-2011-0438)
  • option is used (CVE-2009-1073)


opensc

  • Исправление работы с драйверами Рутокен S, проблемы с записью малых файлов


openssh

  • обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте)


pam

  • Устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir
  • Внятные сообщения при блокировке pam_tally, pam_tally2


parsec-cups

  • Исправлена маркировка при печати из некоторых приложений.


parsec

  • Добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA
  • Исправлена ошибка работы с памятью в утилите pdp-ls
  • Устранена ошибка запуска ceph OSD при загрузке
  • Добавлены тесты МКЦ
  • Обеспечена возможность администрирования системы при включенной МКЦ
  • Исправлена ошибка в службе очистки swap-разделов
  • Изменен порядок вызова PAM-модулей для предотвращения подъема привилегий
  • Обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности
  • Исправлена обработка имен уровней конфиденциальности, состоящих из цифр


patch

  • Fix CVE-2018-1000156: arbitrary command execution in ed-style patches


perl

  • [SECURITY] CVE-2018-12015: fix directory traversal vulnerability


php7

  • [CVE-2018-10549]: Heap Buffer Overflow (READ: 1786) in exif_iif_add_value
  • [CVE-2018-10546]: stream filter convert.iconv leads to infinite loop on invalid sequence
  • [CVE-2018-10548]: Malicious LDAP-Server Response causes Crash
  • [CVE-2018-10547]: fix for CVE-2018-5712 may not be complete
  • [CVE-2018-10545]: Dumpable FPM child processes allow bypassing opcache access controls
  • [CVE-2018-7584]: stack-buffer-overflow while parsing HTTP response


policykit-1

  • Исправлены ограничения для субъектов с низким уровнем целостности


postgresql-9

  • (CVE-2018-10915)
  • user could also use it for disclosure of server memory. (CVE-2018-10925)
  • pg_logfile_rotate() function. (CVE-2018-1115)
  • (CVE-2018-1058)
  • (CVE-2018-1058)
  • non-world-readable (CVE-2018-1053)
  • how the arbiter index was specified). (CVE-2017-15099)
  • well. (CVE-2017-15098)
  • (CVE-2017-7547; extends fix for CVE-2017-7484)
  • (CVE-2017-7546)
  • (CVE-2017-7548)
  • stored as user mapping options (CVE-2017-7486)
  • (CVE-2017-7484)
  • (CVE-2017-7485)


postgresql-se-test-9

  • Исправления тестов связаны с обновлением безопасности postgresql-9.6


python2

  • CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647


python3

  • CVE-2017-1000158 CVE-2018-1060 CVE-2018-1061 CVE-2018-14647


python-django

  • CVE-2018-14574: Fix an open redirect possibility in CommonMiddleware.
  • CVE-2017-12794: Fix a cross-site scripting attack in the technical HTTP 500


qemu_astra_se

  • CVE-2017-5715 (spectre/meltdown) fixes for i386 and s390x:
  • CVE-2017-5715/i386-increase-X86CPUDefinition-model_id-to-49.patch
  • CVE-2017-5715/i386-add-support-for-SPEC_CTRL-MSR.patch
  • CVE-2017-5715/i386-add-spec-ctrl-CPUID-bit.patch
  • CVE-2017-5715/i386-add-FEAT_8000_0008_EBX-CPUID-feature-word.patch
  • CVE-2017-5715/i386-add-new-IBRS-versions-of-Intel-CPU-models.patch
  • CVE-2017-5715/s390x-kvm-introduce-branch-prediction-blocking-contr.patch
  • CVE-2017-5715/s390x-kvm-handle-bpb-feature.patch
  • Closes: #886532, CVE-2017-5715
  • multiboot-bss_end_addr-can-be-zero-CVE-2018-7550.patch
  • Closes: #892041, CVE-2018-7550
  • vga-check-the-validation-of-memory-addr-when-draw-text-CVE-2018-5683.patch
  • Closes: #887392, CVE-2018-5683
  • osdep-fix-ROUND_UP-64-bit-32-bit-CVE-2017-18043.patch
  • Closes: CVE-2017-18043
  • virtio-check-VirtQueue-Vring-object-is-set-CVE-2017-17381.patch
  • Closes: #883625, CVE-2017-17381
  • ps2-check-PS2Queue-pointers-in-post_load-routine-CVE-2017-16845.patch
  • Closes: #882136, CVE-2017-16845
  • cirrus-fix-oob-access-in-mode4and5-write-functions-CVE-2017-15289.patch
  • Closes: #880832, CVE-2017-15289
  • io-monitor-encoutput-buffer-size-from-websocket-GSource-CVE-2017-15268.patch
  • Closes: #880836, CVE-2017-15268
  • nbd-server-CVE-2017-15119-Reject-options-larger-than-32M.patch
  • Closes: #883399, CVE-2017-15119
  • 9pfs-use-g_malloc0-to-allocate-space-for-xattr-CVE-2017-15038.patch
  • Closes: #877890, CVE-2017-15038
  • CVE-2017-15124 (VNC server unbounded memory usage) fixes:
  • CVE-2017-15124/01-ui-remove-sync-parameter-from-vnc_update_client.patch
  • CVE-2017-15124/02-ui-remove-unreachable-code-in-vnc_update_client.patch
  • CVE-2017-15124/03-ui-remove-redundant-indentation-in-vnc_client_update.patch
  • CVE-2017-15124/04-ui-avoid-pointless-VNC-updates-if-framebuffer-isn-t-.patch
  • CVE-2017-15124/05-ui-track-how-much-decoded-data-we-consumed-when-doin.patch
  • CVE-2017-15124/06-ui-introduce-enum-to-track-VNC-client-framebuffer-up.patch
  • CVE-2017-15124/07-ui-correctly-reset-framebuffer-update-state-after-pr.patch
  • CVE-2017-15124/08-ui-refactor-code-for-determining-if-an-update-should.patch
  • CVE-2017-15124/09-ui-fix-VNC-client-throttling-when-audio-capture-is-a.patch
  • CVE-2017-15124/10-ui-fix-VNC-client-throttling-when-forced-update-is-r.patch
  • CVE-2017-15124/11-ui-place-a-hard-cap-on-VNC-server-output-buffer-size.patch
  • CVE-2017-15124/12-ui-add-trace-events-related-to-VNC-client-throttling.patch
  • CVE-2017-15124/13-ui-mix-misleading-comments-return-types-of-VNC-I-O-h.patch
  • Closes: #884806, CVE-2017-15124


ruby2

  • [CVE-2017-17405]
  • WEBrick to fix CVE-2017-17742 and CVE-2018-8777
  • [CVE-2017-17742]
  • [CVE-2017-17790]
  • [CVE-2018-8780]
  • CVE-2018-1000073: Prevent Path Traversal issue during gem installation.
  • CVE-2018-1000074: Fix possible Unsafe Object Deserialization
  • CVE-2018-1000075: Strictly interpret octal fields in tar headers.
  • CVE-2018-1000076: Raise a security error when there are duplicate files
  • CVE-2018-1000077: Enforce URL validation on spec homepage attribute.
  • CVE-2018-1000078: Mitigate XSS vulnerability in homepage attribute when
  • CVE-2018-1000079: Prevent path traversal when writing to a symlinked
  • [CVE-2018-6914]
  • [CVE-2018-8779]
  • [CVE-2018-8778]


ruby-rack-protection

  • CVE-2018-1000119 (Closes: #892250)


ruby-sprockets

  • Do not respond to http requests asking for a `file://` (CVE-2018-3760)


samba

  • Установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd


shadow

  • Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.


smbnetfs

  • Обновление пакета позволяет работать с sabma через fly-fm.


spice-client-gtk

  • CVE-2018-10873


sssd

  • Решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток


symfony

  • [CVE-2017-16652]
  • scheme [CVE-2017-16653]
  • prevent bundle readers from breaking out of paths [CVE-2017-16654]
  • ensure that submitted data are uploaded files [CVE-2017-16790]
  • fixation [CVE-2018-11385]
  • fixation [CVE-2018-11385]
  • is in loose mode [CVE-2018-11386]
  • clear CSRF tokens when the user is logged out [CVE-2018-11406]
  • [Ldap] cast to string when checking empty passwords [CVE-2016-2403]
  • [CVE-2018-11408]


systemd

  • CVE-2018-16864, CVE-2018-16865, CVE-2018-16866
  • Использование MIC для контроля всех операций в systemd.


thunderbird-addon-firetray

  • Требуется для обновленного пакета thunderbird


thunderbird

  • CVE-2018-12392: Crash with nested event loops
  • CVE-2018-12393: Integer overflow during Unicode conversion while loading
  • CVE-2018-12389: Memory safety bugs fixed in Firefox ESR 60.3 and
  • CVE-2018-12390: Memory safety bugs fixed in Firefox 63, Firefox ESR 60.3,
  • Fixed CVE issues in upstream version 60.2.1 (MFSA 2018-25)
  • CVE-2018-12377: Use-after-free in refresh driver timers
  • CVE-2018-12378: Use-after-free in IndexedDB
  • CVE-2018-12379: Out-of-bounds write with malicious MAR file
  • CVE-2018-12376: Memory safety bugs fixed in Firefox 62 and Firefox ESR 60.2
  • CVE-2018-12385: Crash in TransportSecurityInfo due to cached data
  • CVE-2018-12383: Setting a master password post-Firefox 58 does not delete
  • Fixed CVE issues in upstream version 52.9 (MFSA 2018-18)
  • CVE-2018-12359: Buffer overflow using computed size of canvas element
  • CVE-2018-12360: Use-after-free when using focus()
  • CVE-2018-12372: S/MIME and PGP decryption oracles can be built with HTML
  • CVE-2018-12373: S/MIME plaintext can be leaked through HTML reply/forward
  • CVE-2018-12362: Integer overflow in SSSE3 scaler
  • CVE-2018-12363: Use-after-free when appending DOM nodes
  • CVE-2018-12364: CSRF attacks through 307 redirects and NPAPI plugins
  • CVE-2018-12365: Compromised IPC child process can list local filenames
  • CVE-2018-12366: Invalid data handling during QCMS transformations
  • CVE-2018-12374: Using form to exfiltrate encrypted mail part by pressing
  • CVE-2018-5188: Memory safety bugs fixed in Firefox 60, Firefox ESR 60.1,


tigervnc

  • Повышение стабильности работы программ из пакета. Добавлены флаги сборки, предотвращающие эксплуатацию уязвимостей.


vim

  • Сохранение атрибутов parsec при изменении файлов


vlc_astra

  • mkv: Fix NULL pointer access. (CVE-2018-11529)
  • Fix crash in libavcodec module (heap write out-of band). (CVE-2017-10699)
  • Fix flac heap write overflow on format change. (CVE-2017-9300)
  • demux: Fix heap buffer overflows (CVE-2017-8312)
  • CVE-2016-5108. (Closes: #825728)
  • upstream patch to fix CVE-2015-5949. (Closes: #796255)
  • buffer overflow. (CVE-2014-9629)
  • overflow in parsing of string boxes. (CVE-2014-9626, CVE-2014-9627,
  • CVE-2014-9628)
  • VLA for user controlled data. (CVE-2014-9630)
  • CVE-2014-1684
  • Security: Fix buffer overflow in the mp4a packetizer CVE-2013-4388
  • Security: Fix XSPF integer overflow (CVE-2011-2194) (LP: #795410)
  • Fix heap buffer overflow in Real demuxer (CVE-2010-3907) (LP: #690173)
  • (VideoLAN-SA-1004, CVE-2010-2937) (Closes: #592669, LP: #616510)
  • (VideoLAN-SA-0902, CVE pending)(urgency=high)
  • Fix integer underflow in Real RTSP (DZC-2009-001, CVE pending)
  • Fix integer overflow in Real demux (VideoLAN SA-2008-11, CVE-2008-5276)
  • Security: Fix integer overflow in mms module (CVE-2008-3794)
  • Drop patch 401-CVE-2008-2430, merged upstream.
  • code execution (CVE-2008-4686.diff; Closes: #503118).
  • Fix integer overflow in TTA (CVE-2008-3732) (405-CVE-2008-3732.diff)
  • Fix buffer overflow (CVE-2008-1881)
  • Fix out of bound array access (CVE-2008-1769)
  • (CVE-2008-1489, CVE-2008-1768)
  • Remove 105_min_mkv.patch, 400-CVE-2008-1489.diff and
  • 401-CVE-2008-0073.diff, 402-CVE-2008-1881, 403-CVE-2008-1768.diff
  • and 404-CVE-2008-1881 integrated upstream
  • Fix buffer overflow in Wav demux.(CVE-2008-2430)(Closes: #489004)
  • (Patch taken from upstream: 401-CVE-2008-2430.diff)
  • CVE-2008-1769: out-of-bounds array access and memory corruption
  • CVE-2008-1768: multiple integer overflow triggering buffer overflows
  • CVE-2008-1881: stack-based buffer overflow in subtitle parsing leading
  • CVE-2008-0073 (Closes: #473057)
  • Mention CVE id in 0.8.6.e-1.1.
  • large atom length value (Closes: #472635); CVE-2008-1489.
  • CORE-2008-0130, VideoLAN-SA-0802, CVE-2008-0986: Arbitrary memory
  • CVE-2008-0295: Heap-based buffer overflow in real_sdpplin.c
  • CVE-2008-0296: Heap-based buffer overflow in libaccess_realrtsp plugin
  • (CVE ids pending; Closes: #458318):
  • media player unspecified Denial Of Service vulnerability (CVE-2007-0256).
  • MOAB-02-01-2007-CVE-2007-0017.patch
  • MOAB-02-01-2007-CVE-2007-0017.patch, CVE-2007-0017. Closes: #405425
  • Build-depend on more recent versions of libavcodec to fix CVE-2005-4048.


xapian-core

  • Fix MSet::snippet() to escape HTML in all cases (CVE-2018-499).


xen

  • XSA-273 (CVE-2018-3620,CVE-2018-3646)
  • XSA-272 (no CVE yet)
  • XSA-269 (no CVE yet)
  • XSA-268 (no CVE yet)
  • XSA-264 (no CVE yet)
  • XSA-265 (no CVE yet)
  • XSA-266 (no CVE yet)
  • XSA-267 CVE-2018-3665


xerces-c

  • Fix CVE-2017-12627: Alberto Garcia, Francisco Oca and Suleman Ali of


xorg-server

Обновление безопасности:

  • исправлено падение Х сервера, запускаемого с аргументом -extension MIT-SHM
  • запрещено XAllowEvents с арг. KeyboardReplay для недоверенных клиентов (устраняет еще один из видов кейлоггеров)
  • разрешение XUngrabKeyboard для доверенных клиентов типа менеджера окон, для решения проблемы с запуском блокировщика экрана: fly-wm не мог запустить блокировщик из-за невозможности XGrabKeyboard, если этот вызов сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
  • CVE-2018-14665


xorg

  • Параметр allow-user-xsession убран из /etc/X11/Xsession.options с тем чтоб пользователь не не мог переопределить свою Х сессию