Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.

БЮЛЛЕТЕНЬ № 20181229SE16

Кумулятивное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6).

Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20181229se16.iso

Контрольная сумма:

7aaca232add4debdea4e93690bec88f3444c4f395dc8c1c462aea8337e99a77c

Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm


Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

sudo apt-cdrom add
4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

sudo mount /mnt/20181229se16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom
на вопрос об имени диска ввести "20181229se16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

sudo mount /mnt/20181229se16.iso /media/cdrom

6. После завершения регистрации всех компакт-дисков и образов выполнить команды:

sudo apt update
sudo apt dist-upgrade
sudo apt -f install
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

acpi-support

  • Обновление поддержки мультиуровневого МРД


adduser

  • Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.


ald-parsec

  • aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.


ald

  • aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.


ansible

  • playbook base dir (CVE-2018-10874)
  • Avoid using ansible.cfg in a world writable dir (CVE-2018-10875)


apache2

  • CVE-2017-15710
  • CVE-2017-15715
  • CVE-2018-11763
  • CVE-2018-1283
  • CVE-2018-1301
  • CVE-2018-1303
  • CVE-2018-1312
  • CVE-2018-1333


apache2-se-tests

  • Исправления связанные с новой версией apache2


apt

  • SECURITY UPDATE: content injection in http method (CVE-2019-3462) (LP: #1812353)


astra-freeipa

  • Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи


astra-safepolicy

  • установка прав 0700 на домашние каталоги новых пользователей
  • shebang: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения
  • astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов


astrase-fix-maildir

Обновление безопасности:

  • astrase-fix-maildir до 0.2.2 работал за счёт проблемы в linux-astra-modules, не проверяющих полномочия администратора при изменении метки файла.
  • astrase-fix-maildir 0.2.3 исправлен, чтобы работать в условиях восстановленной проверки с обновлёнными linux-astra-modules.


astra-version

  • Обновление версии релиза апдейта


bind9

  • Добавление поддержки GSS-API


blender

v2.79b release and fixing following CVEs:

  • CVE-2017-2899 CVE-2017-2900
  • CVE-2017-2901 CVE-2017-2902
  • CVE-2017-2903 CVE-2017-2904
  • CVE-2017-2905 CVE-2017-2906
  • CVE-2017-2907 CVE-2017-2908
  • CVE-2017-2918 CVE-2017-12081
  • CVE-2017-12082 CVE-2017-12086
  • CVE-2017-12099 CVE-2017-12100
  • CVE-2017-12101 CVE-2017-12102
  • CVE-2017-12103 CVE-2017-12104
  • CVE-2017-12105


chromium-browser

  • - CVE-2018-17462: Sandbox escape in AppCache. Reported by Ned Williamson
  • - CVE-2018-17463: Remote code execution in V8. Reported by Ned Williamson
  • - CVE-2018-17464: URL spoof in Omnibox. Reported by xisigr
  • - CVE-2018-17465: Use after free in V8. Reported by Lin Zuojian
  • - CVE-2018-17466: Memory corruption in Angle. Reported by Omair
  • - CVE-2018-17467: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-17468: Cross-origin URL disclosure in Blink. Reported by James
  • - CVE-2018-17469: Heap buffer overflow in PDFium. Reported by Zhen Zhou
  • - CVE-2018-17470: Memory corruption in GPU Internals. Reported by Zhe Jin
  • - CVE-2018-17471: Security UI occlusion in full screen mode. Reported by
  • - CVE-2018-17473: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-17474: Use after free in Blink. Reported by Zhe Jin
  • - CVE-2018-17475: URL spoof in Omnibox. Reported by Vladimir Metnew
  • - CVE-2018-17476: Security UI occlusion in full screen mode. Reported by
  • - CVE-2018-5179: Lack of limits on update() in ServiceWorker. Reported by
  • - CVE-2018-17477: UI spoof in Extensions. Reported by Aaron Muir Hamilton
  • - CVE-2018-16065: Out of bounds write in V8. Reported by Brendon Tiszka
  • - CVE-2018-16066: Out of bounds read in Blink. Reported by cloudfuzzer
  • - CVE-2018-16067: Out of bounds read in WebAudio. Reported by Zhe Jin
  • - CVE-2018-16068: Out of bounds write in Mojo. Reported by Mark Brand
  • - CVE-2018-16069: Out of bounds read in SwiftShader. Reported by Mark Brand
  • - CVE-2018-16070: Integer overflow in Skia. Reported by Ivan Fratric
  • - CVE-2018-16071: Use after free in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-16073: Site Isolation bypass after tab restore. Reported by Jun
  • - CVE-2018-16074: Site Isolation bypass using Blob URLS. Reported by Jun
  • - CVE-2018-16075: Local file access in Blink. Reported by Pepe Vila
  • - CVE-2018-16076: Out of bounds read in PDFium. Reported by Aleksandar
  • - CVE-2018-16077: Content security policy bypass in Blink. Reported by
  • - CVE-2018-16078: Credit card information leak in Autofill. Reported by
  • - CVE-2018-16079: URL spoof in permission dialogs. Reported by Markus
  • - CVE-2018-16080: URL spoof in full screen mode. Reported by Khalil Zhani
  • - CVE-2018-16081: Local file access in DevTools. Reported by Jann Horn
  • - CVE-2018-16082: Stack buffer overflow in SwiftShader. Reported by Omair
  • - CVE-2018-16083: Out of bounds read in WebRTC. Reported by Natalie
  • - CVE-2018-16084: User confirmation bypass in external protocol handling.
  • - CVE-2018-16085: Use after free in Memory Instrumentation. Reported by
  • - CVE-2018-4117: Cross origin information leak in Blink. Reported by
  • - CVE-2018-6044: Request privilege escalation in Extensions . Reported by
  • - CVE-2018-6150: Cross origin information disclosure in Service Workers.
  • - CVE-2018-6151: Bad cast in DevTools. Reported by Rob Wu
  • - CVE-2018-6152: Local file write in DevTools. Reported by Rob Wu
  • - CVE-2018-6153: Stack buffer overflow in Skia. Reported by Zhen Zhou
  • - CVE-2018-6154: Heap buffer overflow in WebGL. Reported by Omair
  • - CVE-2018-6155: Use after free in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-6156: Heap buffer overflow in WebRTC. Reported by Natalie
  • - CVE-2018-6157: Type confusion in WebRTC. Reported by Natalie Silvanovich
  • - CVE-2018-6158: Use after free in Blink. Reported by Zhe Jin
  • - CVE-2018-6159: Same origin policy bypass in ServiceWorker. Reported by
  • - CVE-2018-6161: Same origin policy bypass in WebAudio. Reported by Jun
  • - CVE-2018-6162: Heap buffer overflow in WebGL. Reported by Omair
  • - CVE-2018-6163: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6164: Same origin policy bypass in ServiceWorker. Reported by
  • - CVE-2018-6165: URL spoof in Omnibox. Reported by evi1m0
  • - CVE-2018-6166: URL spoof in Omnibox. Reported by Lnyas Zhang
  • - CVE-2018-6167: URL spoof in Omnibox. Reported by Lnyas Zhang
  • - CVE-2018-6168: CORS bypass in Blink. Reported by Gunes Acar and Danny Y.
  • - CVE-2018-6169: Permissions bypass in extension installation . Reported by
  • - CVE-2018-6170: Type confusion in PDFium. Reported by Anonymous
  • - CVE-2018-6171: Use after free in WebBluetooth.
  • - CVE-2018-6172: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6173: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6174: Integer overflow in SwiftShader. Reported by Mark Brand
  • - CVE-2018-6175: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6176: Local user privilege escalation in Extensions. Reported by
  • - CVE-2018-6177: Cross origin information leak in Blink. Reported by Ron
  • - CVE-2018-6178: UI spoof in Extensions. Reported by Khalil Zhani
  • - CVE-2018-6179: Local file information leak in Extensions.
  • - CVE-2018-6118: Use after free in Media Cache. Reported by Ned Williamson
  • - CVE-2018-6120: Heap buffer overflow in PDFium. Reported by Zhou Aiting
  • - CVE-2018-6121: Privilege Escalation in extensions.
  • - CVE-2018-6122: Type confusion in V8.
  • - CVE-2018-6123: Use after free in Blink. Reported by Looben Yang
  • - CVE-2018-6124: Type confusion in Blink. Reported by Guang Gong
  • - CVE-2018-6125: Overly permissive policy in WebUSB. Reported by Yubico
  • - CVE-2018-6126: Heap buffer overflow in Skia. Reported by Ivan Fratric
  • - CVE-2018-6127: Use after free in indexedDB. Reported by Looben Yang
  • - CVE-2018-6129: Out of bounds memory access in WebRTC. Reported by Natalie
  • - CVE-2018-6130: Out of bounds memory access in WebRTC. Reported by Natalie
  • - CVE-2018-6131: Incorrect mutability protection in WebAssembly. Reported
  • - CVE-2018-6132: Use of uninitialized memory in WebRTC. Reported by Ronald
  • - CVE-2018-6133: URL spoof in Omnibox. Reported by Khalil Zhani
  • - CVE-2018-6134: Referrer Policy bypass in Blink. Reported by Jun Kokatsu
  • - CVE-2018-6135: UI spoofing in Blink. Reported by Jasper Rebane
  • - CVE-2018-6136: Out of bounds memory access in V8. Reported by Peter Wong
  • - CVE-2018-6137: Leak of visited status of page in Blink. Reported by
  • - CVE-2018-6138: Overly permissive policy in Extensions. Reported by
  • - CVE-2018-6139: Restrictions bypass in the debugger extension API.
  • - CVE-2018-6140: Restrictions bypass in the debugger extension API.
  • - CVE-2018-6141: Heap buffer overflow in Skia. Reported by Yangkang
  • - CVE-2018-6142: Out of bounds memory access in V8. Reported by Choongwoo
  • - CVE-2018-6143: Out of bounds memory access in V8. Reported by Guang Gong
  • - CVE-2018-6144: Out of bounds memory access in PDFium. Reported by pdknsk
  • - CVE-2018-6145: Incorrect escaping of MathML in Blink. Reported by Masato
  • - CVE-2018-6147: Password fields not taking advantage of OS protections in
  • - CVE-2018-6148: Incorrect handling of CSP header. Reported by Michał
  • - CVE-2018-6149: Out of bounds write in V8. Reported by Yu Zhou and


connman_astra

  • CVE-2017-12865: Fix crash on malformed DNS response (Closes: #872844)


cups

  • Исправлена ошибка при отправке основного задания на печать вместе с порожденными.
  • В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.


curl

  • Fix SASL password overflow via integer overflow as per CVE-2018-16839
  • Fix warning message out-of-buffer read as per CVE-2018-16842
  • Fix NTLM password overflow via integer overflow as per CVE-2018-14618


dojo

  • Fix CVE-2018-6561 (Closes: #898944)


exim4_astra_se

  • Fix base64d() buffer size (CVE-2018-6789) (Closes: #890000)


exiv2

  • CVE-2018-10958: denial of service through memory exhaustion and
  • CVE-2018-10999: a heap-based buffer over-read via a crafted PNG image.
  • CVE-2018-10998: denial of service through memory exhaustion and
  • CVE-2018-11531: a heap-based buffer overflow and application crash by a
  • CVE-2018-12264: integer overflow leading to out of bounds read by a
  • CVE-2018-12265: integer overflow leading to out of bounds read by a


faad2

  • Fix CVE-2017-9218, CVE-2017-9219, CVE-2017-9220, CVE-2017-9221,
  • CVE-2017-9222, CVE-2017-9223, CVE-2017-9253, CVE-2017-9254, CVE-2017-9255,
  • CVE-2017-9256, CVE-2017-9257.


ffmpeg

  • (CVE-2018-14395)
  • - avfilter/vf_transpose: Fix used plane count. (CVE-2018-6392)
  • (CVE-2018-6621)
  • - avcodec/utvideodec: Check subsample factors. (CVE-2018-7557)
  • - avcodec/utvideodec: Set pro flag based on fourcc. (CVE-2018-10001)
  • mpeg4_encode_gop_header(). (CVE-2018-12458)
  • (CVE-2018-13300)
  • (CVE-2018-13302)


firefox

  • CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396,
  • CVE-2018-12397, CVE-2018-12398, CVE-2018-12399, CVE-2018-12401,
  • CVE-2018-12402, CVE-2018-12403, CVE-2018-12388, CVE-2018-12390
  • CVE-2018-12386, CVE-2018-12387
  • CVE-2018-12385.
  • CVE-2018-12377, CVE-2018-12378, CVE-2018-12383, CVE-2018-12375,
  • CVE-2018-12376
  • CVE-2018-12359, CVE-2018-12360, CVE-2018-12361, CVE-2018-12358,
  • CVE-2018-12362, CVE-2018-5156, CVE-2018-12363, CVE-2018-12364,
  • CVE-2018-12365, CVE-2018-12371, CVE-2018-12366, CVE-2018-12367,
  • CVE-2018-12369, CVE-2018-12370, CVE-2018-5186, CVE-2018-5187,
  • CVE-2018-5188.


fly-admin-ald-server

  • При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.


fly-admin-digsig

  • При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в 'rw' при управлении ЗПС.


fly-admin-gmc

  • Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)


fly-admin-local-se

  • Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)


fly-admin-local

  • Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.


fly-admin-mic

  • Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)


fly-admin-ntp

  • Исправлена ошибка парсинга конфига


fly-admin-printer-mac

  • В "фонарике" (оборотная сторона последнего листа документа) имеются поля "Исполнитель" и "Отпечатал". В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.


fly-admin-printer

  • Исправлена ошибка при настройке общего доступа


fly-admin-samba

  • Исправлен конфликт при работе совместно с ALD.


fly-admin-service-se

  • При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.


fly-dm

  • устранено падение при выполнении "fly-dmctl rtcwake", т.е. без указания аргументов -t/-s secs
  • устранена возможность управления systemd пользователем путем формирования команд типа "fly-dmctl suspendtohyibernate произвольная_команда -p" приводящих к выполнению "systemctl произвольная_команда -p suspend-to-hibernate.service"
  • установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии


fly-doc

  • Исправление документации апдейта


fly-fm

  • При отмене перемещения файла между разными разделами исходный файл теперь не удаляется


fly-reflex

  • устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями


fly-qdm

  • Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры


fly-weather

  • Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.


fly-wm

Обновление безопасности:

  • fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
  • с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы


fonts-pt

  • Обновление пакета шрифтов.


freeipa

  • Исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи


fuse

  • (CVE-2018-10906) (Closes: #904439)


ghostscript

  • Fixes regression using ps2ascii after fix for CVE-2018-17183
  • status operator honour SAFER option (CVE-2018-11645)
  • Improve hiding of security critical custom operators (CVE-2018-17961)
  • (CVE-2018-17961) (Closes: #911175)
  • don't include operator arrays in execstack output (CVE-2018-18073)
  • (CVE-2018-18284) (Closes: #911175)
  • loadfontloop must be an operator (CVE-2018-17961) (Closes: #911175)
  • Fixes for CVE-2018-16509 (fourth patch, rest were applied in deb9u4)
  • CVE-2018-16802 and one additional issue with a CVE ID (yet)
  • Add additional patch for CVE-2018-16543
  • Buffer overflow in fill_threshold_buffer (CVE-2016-10317


git

  • CVE-2018-17456


gnupg2_astra

  • gpg: Sanitize diagnostic with the original file name (CVE-2018-12020)


goldendict

  • Отмена излишней сетевой активности в виде проверки обновлений


graphicsmagick

  • CVE-2018-9018: avoid divide-by-zero if delay or timeout properties
  • Fix CVE-2018-5685: infinite loop in ReadBMPImage() (closes: #887158).
  • Fix CVE-2017-17913: stack-buffer-overflow in WriteWEBPImage() .
  • Fix CVE-2017-17915: heap-buffer-overflow in ReadMNGImage() .
  • Fix CVE-2017-17782: heap-based buffer over-read in ReadOneJNGImage()
  • Fix CVE-2017-17783: buffer over-read in ReadPALMImage() (closes: #884904).
  • Fix CVE-2017-16669: heap buffer overflow in AcquireCacheNexus()
  • Fix CVE-2017-13134: heap buffer overflow in SFWScan() (closes: #881524).
  • Fix CVE-2017-16547: remote denial of service (negative strncpy and
  • Fix CVE-2017-16545: NULL pointer dereference (write) with malformed WPG
  • Fix CVE-2017-16353: heap read overflow vulnerability in DescribeImage() .
  • Fix CVE-2017-16352: heap-based buffer overflow vulnerability in
  • Fix CVE-2017-15930: NULL pointer dereference while transferring JPEG
  • Fix CVE-2017-13737: invalid free in MagickFree() (closes: #878511).
  • Fix CVE-2017-15277: assure that global colormap is fully initialized in
  • Fix CVE-2017-15238: use after free in ReadJNGImage() .
  • Fix CVE-2017-14733: heap out of bounds read in ReadRLEImage() .
  • Fix CVE-2017-14994: NULL pointer dereference in DICOM Decoder.
  • Fix CVE-2017-14997: memory allocation error due to malformed image file.
  • Update upstream changelog for CVE-2017-14103 .
  • Fix CVE-2017-14649: denial of service due to assertion failure in
  • Fix CVE-2017-14504: NULL pointer dereference triggered by malformed file.
  • Fix CVE-2017-14314: heap-based buffer over-read in DrawDashPolygon() .
  • Fix CVE-2017-14165: remote denial of service due to memory allocation
  • Fix CVE-2017-14042: memory allocation failure in MagickRealloc()
  • Fix CVE-2017-13775: denial of service issue in ReadJNXImage() .
  • Fix CVE-2017-13776 and CVE-2017-13777: denial of service issue in
  • Fix CVE-2017-14103: the ReadJNGImage() and ReadOneJNGImage() functions do because of an incomplete fix for CVE-2017-11403 .
  • Fix CVE-2017-8350: crash while reading a malformed JNG file.
  • Fix CVE-2017-13063: heap-based buffer overflow vulnerability in the
  • Fix CVE-2017-13064: another heap-based buffer overflow vulnerability in
  • Fix CVE-2017-13065: NULL pointer dereference vulnerability in the
  • Fix CVE-2017-12935: invalid memory read in the SetImageColorCallBack()
  • Fix CVE-2017-12936: use-after-free issue for data associated with
  • Fix CVE-2017-12937: colormap heap-based buffer over-read in the
  • Fix CVE-2017-11643: heap overflow in the WriteCMYKImage() function
  • Fix CVE-2017-11636: heap overflow in the WriteRGBImage() function
  • Fix CVE-2017-11638 and CVE-2017-11642: null pointer dereference or SEGV if
  • Fix CVE-2017-11641: memory leak while writing Magick Persistent Cache
  • Fix CVE-2017-11637: NULL pointer dereference in the WritePCLImage()
  • Fix CVE-2017-11722: denial of service via a crafted file
  • Fix CVE-2017-11140: denial of service (resource consumption) via crafted
  • Fix CVE-2017-11102: remote denial of service during JNG reading via a
  • META: Fix heap overflow while parsing 8BIM chunk (CVE-2016-7800).
  • WPG: Fix heap overflow (CVE-2016-7996). Fix assertion crash (CVE-2016-7997).
  • in a JDAT chunk must match the JHDR dimensions (CVE-2016-9830).
  • have only 2 samples per pixel (CVE-2017-6335).
  • JNG: Fix memory leak when reading invalid JNG image (CVE-2017-8350).
  • only 1 sample per pixel (CVE-2017-10794) (closes: #867085).
  • large image dimensions but insufficient backing data. (CVE-2017-10799)


hplip

  • устранен недостаток работы системы печати с новыми моделями принтеров HP


imagemagick

  • CVE-2018-16412
  • CVE-2018-16413
  • CVE-2018-16642
  • CVE-2018-16644
  • CVE-2018-16645
  • 0113-CVE-2018-12599 (Closes: #902727)
  • 0114-CVE-2018-11251
  • 0115-CVE-2018-12600 (Closes: #902728)
  • 0116-CVE-2018-5248 (Closes: #886588)


intel-microcode

  • CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
  • First batch of fixes for: Intel SA-00115, CVE-2018-3639, CVE-2018-3640


iputils

  • Запретить использовать опцию -p, если пользователь не root, т.к. через нее можно задать pattern (наполнение пакетов), через который можно передавать по сети данные внутри ICMP-пакетов.


lcms2

  • CVE-2018-16435


libapache-mod-auth-kerb

  • Добавлена поддержка модулем kerberos аутентификации режима работы "AstraMode"


libcgroup

  • CVE-2018-14348


libgcrypt20_astra

  • ecc: Add blinding for ECDSA (CVE-2018-0495)


libgost-astra

  • Исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.


libice_astra

  • CVE-2017-2626: Use libbsd for arc4random. Closes: #856400.


libopenmpt

  • CVE-2018-10017


libp11-openssl1

  • Добавление возможности работы с ключами Rutoken


libpam-pwquality

  • Проверка пароля на соответствие политики только для локальных пользователей


libparsec-mac-qt5

  • Обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть


libsoup2

  • Fix out of bounds access in the cookie jar (CVE-2018-12910)


libssh

  • CVE-2018-10933


libtirpc

  • CVE-2018-14622


libvirt

  • Устранена ошибка, связанная с функционированием внешних файловых хранилищ с включенным режимом МКЦ.
  • При добавлении нового внешнего файлового хранилища и создании на нем диска ВМ, после запуска виртуальной машины возникала ошибка запуска, связанная с невозможностью установить метку целостности на диск ВМ. Данная ситуация возникает в связи с тем, что на файловое хранилище необходимо установить максимально возможные метки безопасности, а так же флаг CCNRA. В связи с этим, для решения проблемы был доработан модуль работы с внешними хранилищами.


libx11

  • Fix CVE-2018-14598, CVE-2018-14599 and CVE-2018-14600
  • CVE-2018-14599
  • CVE-2018-14600
  • CVE-2018-14598


linux-astra-modules

  • исправлена утечка информации через prlimit,
  • устранена возможность обхода ЗПС через запись в /proc/$PID/mem
  • устранена возможность изменения меток произвольных файлов от любого пользователя


linux

  • исправлено CVE-2018-18955 (было: некорректное обратное отображение UID в случае использования user namespace)


linux-meta

  • Метапакет. Необходим для инфраструктуры апдейта


lkrg

  • Обновление средства обнаружения уязвимостей


mutt

  • subscription or unsubscription (CVE-2018-14354)
  • subscription (CVE-2018-14357)
  • leaving room for quote characters (CVE-2018-14352)
  • Fix an integer underflow in imap_quote_string() (CVE-2018-14353)
  • Fix mishandling of zero-length UID in pop.c (CVE-2018-14356)
  • characters in pop.c (CVE-2018-14362)
  • (CVE-2018-14355)
  • INTERNALDATE field (CVE-2018-14350)
  • RFC822.SIZE field (CVE-2018-14358)
  • Fix mishandling of an IMAP NO response without a message (CVE-2018-14349)
  • (CVE-2018-14351)
  • Fix a buffer overflow via base64 data (CVE-2018-14359)
  • (CVE-2018-14360)
  • NNTP messages (CVE-2018-14361)
  • characters in newsrc.c (CVE-2018-14363)


net-snmp

  • CVE-2018-18065


nss-pam-ldapd_astra

  • than FD_SETSIZE files are already open (closes: #690319) (CVE-2013-0288)
  • incorrect password (CVE-2011-0438)
  • option is used (CVE-2009-1073)


opensc

  • Исправление работы с драйверами Рутокен S, проблемы с записью малых файлов


openssh

  • обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте)


pam

  • Устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir
  • Внятные сообщения при блокировке pam_tally, pam_tally2


parsec-cups

  • Исправлена маркировка при печати из некоторых приложений.


parsec

  • Добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA
  • Исправлена ошибка работы с памятью в утилите pdp-ls
  • Устранена ошибка запуска ceph OSD при загрузке
  • Добавлены тесты МКЦ
  • Обеспечена возможность администрирования системы при включенной МКЦ
  • Исправлена ошибка в службе очистки swap-разделов
  • Изменен порядок вызова PAM-модулей для предотвращения подъема привилегий
  • Обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности
  • Исправлена обработка имен уровней конфиденциальности, состоящих из цифр


patch

  • Fix CVE-2018-1000156: arbitrary command execution in ed-style patches


perl

  • [SECURITY] CVE-2018-12015: fix directory traversal vulnerability


php7

  • [CVE-2018-10549]: Heap Buffer Overflow (READ: 1786) in exif_iif_add_value
  • [CVE-2018-10546]: stream filter convert.iconv leads to infinite loop on invalid sequence
  • [CVE-2018-10548]: Malicious LDAP-Server Response causes Crash
  • [CVE-2018-10547]: fix for CVE-2018-5712 may not be complete
  • [CVE-2018-10545]: Dumpable FPM child processes allow bypassing opcache access controls
  • [CVE-2018-7584]: stack-buffer-overflow while parsing HTTP response


policykit-1

  • Исправлены ограничения для субъектов с низким уровнем целостности


postgresql-9

  • (CVE-2018-10915)
  • user could also use it for disclosure of server memory. (CVE-2018-10925)
  • pg_logfile_rotate() function. (CVE-2018-1115)
  • (CVE-2018-1058)
  • (CVE-2018-1058)
  • non-world-readable (CVE-2018-1053)
  • how the arbiter index was specified). (CVE-2017-15099)
  • well. (CVE-2017-15098)
  • (CVE-2017-7547; extends fix for CVE-2017-7484)
  • (CVE-2017-7546)
  • (CVE-2017-7548)
  • stored as user mapping options (CVE-2017-7486)
  • (CVE-2017-7484)
  • (CVE-2017-7485)


postgresql-se-test-9

  • Исправления тестов связаны с обновлением безопасности postgresql-9.6


python2

  • CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647


python3

  • CVE-2017-1000158 CVE-2018-1060 CVE-2018-1061 CVE-2018-14647


python-django

  • CVE-2018-14574: Fix an open redirect possibility in CommonMiddleware.
  • CVE-2017-12794: Fix a cross-site scripting attack in the technical HTTP 500


qemu_astra_se

  • CVE-2017-5715 (spectre/meltdown) fixes for i386 and s390x:
  • CVE-2017-5715/i386-increase-X86CPUDefinition-model_id-to-49.patch
  • CVE-2017-5715/i386-add-support-for-SPEC_CTRL-MSR.patch
  • CVE-2017-5715/i386-add-spec-ctrl-CPUID-bit.patch
  • CVE-2017-5715/i386-add-FEAT_8000_0008_EBX-CPUID-feature-word.patch
  • CVE-2017-5715/i386-add-new-IBRS-versions-of-Intel-CPU-models.patch
  • CVE-2017-5715/s390x-kvm-introduce-branch-prediction-blocking-contr.patch
  • CVE-2017-5715/s390x-kvm-handle-bpb-feature.patch
  • Closes: #886532, CVE-2017-5715
  • multiboot-bss_end_addr-can-be-zero-CVE-2018-7550.patch
  • Closes: #892041, CVE-2018-7550
  • vga-check-the-validation-of-memory-addr-when-draw-text-CVE-2018-5683.patch
  • Closes: #887392, CVE-2018-5683
  • osdep-fix-ROUND_UP-64-bit-32-bit-CVE-2017-18043.patch
  • Closes: CVE-2017-18043
  • virtio-check-VirtQueue-Vring-object-is-set-CVE-2017-17381.patch
  • Closes: #883625, CVE-2017-17381
  • ps2-check-PS2Queue-pointers-in-post_load-routine-CVE-2017-16845.patch
  • Closes: #882136, CVE-2017-16845
  • cirrus-fix-oob-access-in-mode4and5-write-functions-CVE-2017-15289.patch
  • Closes: #880832, CVE-2017-15289
  • io-monitor-encoutput-buffer-size-from-websocket-GSource-CVE-2017-15268.patch
  • Closes: #880836, CVE-2017-15268
  • nbd-server-CVE-2017-15119-Reject-options-larger-than-32M.patch
  • Closes: #883399, CVE-2017-15119
  • 9pfs-use-g_malloc0-to-allocate-space-for-xattr-CVE-2017-15038.patch
  • Closes: #877890, CVE-2017-15038
  • CVE-2017-15124 (VNC server unbounded memory usage) fixes:
  • CVE-2017-15124/01-ui-remove-sync-parameter-from-vnc_update_client.patch
  • CVE-2017-15124/02-ui-remove-unreachable-code-in-vnc_update_client.patch
  • CVE-2017-15124/03-ui-remove-redundant-indentation-in-vnc_client_update.patch
  • CVE-2017-15124/04-ui-avoid-pointless-VNC-updates-if-framebuffer-isn-t-.patch
  • CVE-2017-15124/05-ui-track-how-much-decoded-data-we-consumed-when-doin.patch
  • CVE-2017-15124/06-ui-introduce-enum-to-track-VNC-client-framebuffer-up.patch
  • CVE-2017-15124/07-ui-correctly-reset-framebuffer-update-state-after-pr.patch
  • CVE-2017-15124/08-ui-refactor-code-for-determining-if-an-update-should.patch
  • CVE-2017-15124/09-ui-fix-VNC-client-throttling-when-audio-capture-is-a.patch
  • CVE-2017-15124/10-ui-fix-VNC-client-throttling-when-forced-update-is-r.patch
  • CVE-2017-15124/11-ui-place-a-hard-cap-on-VNC-server-output-buffer-size.patch
  • CVE-2017-15124/12-ui-add-trace-events-related-to-VNC-client-throttling.patch
  • CVE-2017-15124/13-ui-mix-misleading-comments-return-types-of-VNC-I-O-h.patch
  • Closes: #884806, CVE-2017-15124


ruby2

  • [CVE-2017-17405]
  • WEBrick to fix CVE-2017-17742 and CVE-2018-8777
  • [CVE-2017-17742]
  • [CVE-2017-17790]
  • [CVE-2018-8780]
  • CVE-2018-1000073: Prevent Path Traversal issue during gem installation.
  • CVE-2018-1000074: Fix possible Unsafe Object Deserialization
  • CVE-2018-1000075: Strictly interpret octal fields in tar headers.
  • CVE-2018-1000076: Raise a security error when there are duplicate files
  • CVE-2018-1000077: Enforce URL validation on spec homepage attribute.
  • CVE-2018-1000078: Mitigate XSS vulnerability in homepage attribute when
  • CVE-2018-1000079: Prevent path traversal when writing to a symlinked
  • [CVE-2018-6914]
  • [CVE-2018-8779]
  • [CVE-2018-8778]


ruby-rack-protection

  • CVE-2018-1000119 (Closes: #892250)


ruby-sprockets

  • Do not respond to http requests asking for a `file://` (CVE-2018-3760)


samba

  • Установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd


shadow

  • Устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.


smbnetfs

  • Обновление пакета позволяет работать с sabma через fly-fm.


spice-client-gtk

  • CVE-2018-10873


sssd

  • Решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток


symfony

  • [CVE-2017-16652]
  • scheme [CVE-2017-16653]
  • prevent bundle readers from breaking out of paths [CVE-2017-16654]
  • ensure that submitted data are uploaded files [CVE-2017-16790]
  • fixation [CVE-2018-11385]
  • fixation [CVE-2018-11385]
  • is in loose mode [CVE-2018-11386]
  • clear CSRF tokens when the user is logged out [CVE-2018-11406]
  • [Ldap] cast to string when checking empty passwords [CVE-2016-2403]
  • [CVE-2018-11408]


systemd

  • CVE-2018-16864, CVE-2018-16865, CVE-2018-16866
  • Использование MIC для контроля всех операций в systemd.


thunderbird-addon-firetray

  • Требуется для обновленного пакета thunderbird


thunderbird

  • CVE-2018-12392: Crash with nested event loops
  • CVE-2018-12393: Integer overflow during Unicode conversion while loading
  • CVE-2018-12389: Memory safety bugs fixed in Firefox ESR 60.3 and
  • CVE-2018-12390: Memory safety bugs fixed in Firefox 63, Firefox ESR 60.3,
  • Fixed CVE issues in upstream version 60.2.1 (MFSA 2018-25)
  • CVE-2018-12377: Use-after-free in refresh driver timers
  • CVE-2018-12378: Use-after-free in IndexedDB
  • CVE-2018-12379: Out-of-bounds write with malicious MAR file
  • CVE-2018-12376: Memory safety bugs fixed in Firefox 62 and Firefox ESR 60.2
  • CVE-2018-12385: Crash in TransportSecurityInfo due to cached data
  • CVE-2018-12383: Setting a master password post-Firefox 58 does not delete
  • Fixed CVE issues in upstream version 52.9 (MFSA 2018-18)
  • CVE-2018-12359: Buffer overflow using computed size of canvas element
  • CVE-2018-12360: Use-after-free when using focus()
  • CVE-2018-12372: S/MIME and PGP decryption oracles can be built with HTML
  • CVE-2018-12373: S/MIME plaintext can be leaked through HTML reply/forward
  • CVE-2018-12362: Integer overflow in SSSE3 scaler
  • CVE-2018-12363: Use-after-free when appending DOM nodes
  • CVE-2018-12364: CSRF attacks through 307 redirects and NPAPI plugins
  • CVE-2018-12365: Compromised IPC child process can list local filenames
  • CVE-2018-12366: Invalid data handling during QCMS transformations
  • CVE-2018-12374: Using form to exfiltrate encrypted mail part by pressing
  • CVE-2018-5188: Memory safety bugs fixed in Firefox 60, Firefox ESR 60.1,


tigervnc

  • Повышение стабильности работы программ из пакета. Добавлены флаги сборки, предотвращающие эксплуатацию уязвимостей.


vim

  • Сохранение атрибутов parsec при изменении файлов


vlc_astra

  • mkv: Fix NULL pointer access. (CVE-2018-11529)
  • Fix crash in libavcodec module (heap write out-of band). (CVE-2017-10699)
  • Fix flac heap write overflow on format change. (CVE-2017-9300)
  • demux: Fix heap buffer overflows (CVE-2017-8312)
  • CVE-2016-5108. (Closes: #825728)
  • upstream patch to fix CVE-2015-5949. (Closes: #796255)
  • buffer overflow. (CVE-2014-9629)
  • overflow in parsing of string boxes. (CVE-2014-9626, CVE-2014-9627,
  • CVE-2014-9628)
  • VLA for user controlled data. (CVE-2014-9630)
  • CVE-2014-1684
  • Security: Fix buffer overflow in the mp4a packetizer CVE-2013-4388
  • Security: Fix XSPF integer overflow (CVE-2011-2194) (LP: #795410)
  • Fix heap buffer overflow in Real demuxer (CVE-2010-3907) (LP: #690173)
  • (VideoLAN-SA-1004, CVE-2010-2937) (Closes: #592669, LP: #616510)
  • (VideoLAN-SA-0902, CVE pending)(urgency=high)
  • Fix integer underflow in Real RTSP (DZC-2009-001, CVE pending)
  • Fix integer overflow in Real demux (VideoLAN SA-2008-11, CVE-2008-5276)
  • Security: Fix integer overflow in mms module (CVE-2008-3794)
  • Drop patch 401-CVE-2008-2430, merged upstream.
  • code execution (CVE-2008-4686.diff; Closes: #503118).
  • Fix integer overflow in TTA (CVE-2008-3732) (405-CVE-2008-3732.diff)
  • Fix buffer overflow (CVE-2008-1881)
  • Fix out of bound array access (CVE-2008-1769)
  • (CVE-2008-1489, CVE-2008-1768)
  • Remove 105_min_mkv.patch, 400-CVE-2008-1489.diff and
  • 401-CVE-2008-0073.diff, 402-CVE-2008-1881, 403-CVE-2008-1768.diff
  • and 404-CVE-2008-1881 integrated upstream
  • Fix buffer overflow in Wav demux.(CVE-2008-2430)(Closes: #489004)
  • (Patch taken from upstream: 401-CVE-2008-2430.diff)
  • CVE-2008-1769: out-of-bounds array access and memory corruption
  • CVE-2008-1768: multiple integer overflow triggering buffer overflows
  • CVE-2008-1881: stack-based buffer overflow in subtitle parsing leading
  • CVE-2008-0073 (Closes: #473057)
  • Mention CVE id in 0.8.6.e-1.1.
  • large atom length value (Closes: #472635); CVE-2008-1489.
  • CORE-2008-0130, VideoLAN-SA-0802, CVE-2008-0986: Arbitrary memory
  • CVE-2008-0295: Heap-based buffer overflow in real_sdpplin.c
  • CVE-2008-0296: Heap-based buffer overflow in libaccess_realrtsp plugin
  • (CVE ids pending; Closes: #458318):
  • media player unspecified Denial Of Service vulnerability (CVE-2007-0256).
  • MOAB-02-01-2007-CVE-2007-0017.patch
  • MOAB-02-01-2007-CVE-2007-0017.patch, CVE-2007-0017. Closes: #405425
  • Build-depend on more recent versions of libavcodec to fix CVE-2005-4048.


xapian-core

  • Fix MSet::snippet() to escape HTML in all cases (CVE-2018-499).


xen

  • XSA-273 (CVE-2018-3620,CVE-2018-3646)
  • XSA-272 (no CVE yet)
  • XSA-269 (no CVE yet)
  • XSA-268 (no CVE yet)
  • XSA-264 (no CVE yet)
  • XSA-265 (no CVE yet)
  • XSA-266 (no CVE yet)
  • XSA-267 CVE-2018-3665


xerces-c

  • Fix CVE-2017-12627: Alberto Garcia, Francisco Oca and Suleman Ali of


xorg-server

Обновление безопасности:

  • исправлено падение Х сервера, запускаемого с аргументом -extension MIT-SHM
  • запрещено XAllowEvents с арг. KeyboardReplay для недоверенных клиентов (устраняет еще один из видов кейлоггеров)
  • разрешение XUngrabKeyboard для доверенных клиентов типа менеджера окон, для решения проблемы с запуском блокировщика экрана: fly-wm не мог запустить блокировщик из-за невозможности XGrabKeyboard, если этот вызов сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
  • CVE-2018-14665


xorg

  • Параметр allow-user-xsession убран из /etc/X11/Xsession.options с тем чтоб пользователь не не мог переопределить свою Х сессию


  • No labels