Debian 12.9：带来 38 项安全修复和 72 项功能改进

Debian 12.9 发布！此次更新主要聚焦于提高系统的安全性，并修复了各类软件包中的重大问题。如果你经常通过security.debian.org更新系统，那么，这次更新的变化不大。大多数安全修复都已经在先前的更新中陆续推送过，本次发布主要是对之前的改进进行了全面整合。

Debian 12.9 主要更新

• debian-installer：将 Linux 内核 ABI 升级到 6.1.0-29，并基于 proposed-updates 重新构建。
• debian-installer-netboot-images：在 proposed-updates 中重新构建了更新的版本。
• debian-security-support：更新了 Bookworm 中仅提供有限支持的软件包列表。
• dnsmasq
  • 修复了多个拒绝服务漏洞 [CVE-2023-50387、CVE-2023-50868]。
  • 将默认的最大 EDNS.0 UDP 包大小设置为 1232，以修复潜在问题 [CVE-2023-28450]。
• glib2.0：修复了配置为使用 SOCKS4a 代理且带有超长用户名时，可能出现的缓冲区溢出问题 [CVE-2024-52533]。
• lxc：修复了使用共享 rootfs 时的空指针解引用问题。
• nfs-utils：修复了在禁用-enable-junction功能时，可能出现的路径引用问题。
• Nvidia-graphics-drivers：发布了来自上游的最新稳定版本，并修复了安全问题 [CVE-2024-0126]。
• OpenSSH
• 始终使用内部的mkdtemp实现方式，提升安全性。
• 修复了 gssapi-keyex 定义问题，并增加了 ssh-gssapi 的自动化测试功能。
• 当没有初始主机密钥时，不再默认优先选择主机绑定的公钥签名。
• 提供了无 @openssh.com 后缀的 sntrup761x25519-sha512 密钥交换算法支持。
• Python 3.11
  • 修复了email.parseaddr()函数无法识别格式错误的地址 [CVE-2023-27043]。
  • 在 email 模块中针对换行符的处理进行了编码修正 [CVE-2024-6923]。
  • 优化了对于带有反斜杠 Cookie 的解析效率，避免因解析复杂性过高造成的性能问题 [CVE-2024-7592]。
  • 修正了 venv 激活脚本中未正确引用路径造成的错误 [CVE-2024-9287]。
  • 修复了 urllib 函数在处理带括号的地址时的验证漏洞 [CVE-2024-11168]。
• qemu
  • 发布了上游的新错误修复版本 [CVE-2024-7409]。
  • 将内部代码生成工具的符号标记为隐藏类型，解决了在 arm64 架构上的构建问题。
• Redis
  • 修复了在使用错误格式的 ACL 选择器时，引发的拒绝服务攻击 [CVE-2024-31227]。
  • 修复了因未绑定模式匹配导致的潜在拒绝服务问题 [CVE-2024-31228]。
  • 修正了由堆栈溢出问题引发的漏洞 [CVE-2024-31449]。
• Systemd：集成了最新来自上游的稳定版本。
• TZdata
  • 新增了历史数据的改进，适用于部分时区。
  • 确认 2024 年不会添加闰秒。
• ZFS-linux
  • 添加了 libzfs4linux 和 libzpool5linux 中缺失的符号。
  • 修复了 dnode 标记脏操作的问题 [CVE-2023-49298]。
  • 修复了 sharenfs 对 IPv6 地址的解析问题 [CVE-2013-20001]。
  • 修复了与空指针处理和内存分配相关的多个漏洞。

升级到 Debian 12.9

需要注意的是，Debian 12.9 并未引入新的功能，主要集中在修复软件包中的 Bug 和安全问题。你可以通过以下命令升级到 Debian 12.9 稳定版：

sudo apt update && sudo apt full-upgrade

更多详细信息请访问 Debian 12.9 发布公告，或点击这里查看完整的软件包更新列表。

Debian 12.8 主要更新

• 7zip：修复了 NTFS 文件系统处理中的堆内存溢出问题，并解决了内存越界读取的安全隐患。
• ClamAV：更新到了最新版本，并修复了可能导致服务中断和文件损坏的漏洞。
• OpenSSL：完成稳定版更新，并解决了缓冲区过度读取和内存访问越界等安全问题。
• Glibc：修复了多个问题，包括更新克罗地亚语的货币设置、解决多个缓冲区相关问题，以及修复ungetc()函数可能导致系统崩溃的 Bug。
• Linux 内核：内核版本升级，应用程序二进制接口（ABI）版本更新至 6.1.0-27，涵盖了 amd64、arm64 和 i386 架构的签名认证内核。

此外，其他关键软件包如 libvirt、sqlite3、docker.io 和 curl 等也获得了重要的 Bug 修复和安全更新。建议所有用户及时升级系统，以获得这些安全性和稳定性方面的改进。

Debian 12.7 主要更新

• 引入了 Shim 15.8，并撤销了旧版本在 UEFI 固件中的签名。Shim 是 UEFI 系统的第一阶段引导加载程序。如果你在使用双系统时遇到问题，可以暂时禁用「安全启动」功能，以便顺利更新系统。
• 对amd64-microcode和intel-microcode软件包进行安全增强，修复了近期发现的安全漏洞。
• 更新了 Ansible 和 Apache2，以防止密钥和内容泄露，进一步提升系统安全性。
• 修复了 Calibre 中的远程代码执行和跨站脚本攻击漏洞。
• 对 systemd 软件包进行了多项底层调整，增强了硬件兼容性，并进一步提升系统性能和可靠性。