Debian 9: 9.2 veröffentlicht

7. Oktober 2017

Das Debian-Projekt freut sich, die zweite Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Paketverwaltung auf einen der vielen Debian-HTTP-Spiegel verwiesen. Eine umfassende Liste der Spiegelserver findet sich unter:

https://www.debian.org/mirror/list

Als Besonderheit bei dieser Zwischenveröffentlichung müssen alle, die apt-get für ihre Upgrades verwenden, dieses Mal den dist-upgrade-Befehl benutzen, damit die neuesten Kernel-Pakete eingespielt werden. Wer ein anderes Werkzeug wie apt oder aptitude einsetzt, bleibt beim upgrade-Befehl.

Verschiedene Fehlerkorrekturen

Wegen eines Versehens beim Vorbereiten dieser Zwischenversion ist die Aktualisierung mit der neuen Version des base-files-Pakets leider nicht mit enthalten. Sie wird in naher Zukunft via stretch-updates nachgeliefert.

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
apt Probleme in apt-daily-upgrade behoben; möglichen Absturz in der Spiegelmethode behoben
at-spi2-core Absturz beim Fensterwechsel behoben
bareos Berechtigungen der bareos-dir-Protokollrotation beim Upgrade korrigiert; Dateiverfälschung bei Verwendung von SHA1-Signaturen behoben
bind9 Unterstützung für den Import von DNSSEC KSK-2017 hinzugefügt
bridge-utils Problem mit einigen VLAN-Schnittstellen behoben, die nicht angelegt werden
caja Übermäßige CPU-Auslastung beim Laden des Hintergrundbilds reduziert
chrony 'burst'-Befehl nicht an chronyc weitergeben
cross-gcc Veraltete Unterstützung für gcc 6.3.0-18 entfernt
cvxopt Unnötige und nicht funktionierende Kompatibilitätsschicht für lpx_main() entfernen
db5.3 DB_CONFIG nicht abrufen, wenn db_home nicht gesetzt ist [CVE-2017-10140]
dbus Neue stabile Version der Originalautoren
debian-edu-doc Stretch-bezogene Dokumentations- und Übersetzungsaktualisierungen einfließen lassen; Debian-Edu-Stretch-Handbuch aus dem Wiki aktualisiert; derzeitige Bootmenü-Bilder durch aktuellere aus dem Wiki ersetzt
debian-installer Linux-Kernel ABI auf 4 aktualisiert
debian-installer-netboot-images Neubau gegen proposed-updates
desktop-base XML-Syntaxfehler in Gnome-Hintergrundbild-Beschreibung korrigiert, welche verhindert haben, dass die Joy-Hintergrundbilder standardmäßig zur Verfügung standen; sicherstellen, dass Postinst beim Upgrade nicht fehlschlägt, selbst wenn ein unvollständiges Themenpaket aktiv ist
dns-root-data Aktualisiert root.hints auf Version 2017072601; Ändert den Status von KSK-2017 auf VALID (gültig)
dnsdist Sicherheitskorrekturen [CVE-2016-7069 CVE-2017-7557]
dnsviz Gezielt Korrekturen der Originalautoren, welche Änderungen an root.hints und root.keys betreffen, übernommen
dose3 Versionierte Provides-Unterstüzung überarbeitet - Pakete, welche dasselbe virtuelle Paket in verschiedenen Versionen oder dasselbe virtuelle Paket als echtes Paket anbieten, sind jetzt nebeneinander installierbar
ecl Fehlende Abhängigkeit von libffi-dev nachgetragen
erlang-p1-tls ECDH-Kurven korrigiert
evolution Hänger bei Rechtsklick im Verfassen-Fenster behoben
expect Richtig auf EOF prüfen, damit keine Eingabe verloren geht
fife Speicherleck behoben
flatpak Neue stabile Version der Originalautoren; Installation von Dateien mit falschen Berechtigungen verhindern; Kompatibilität mit libostree 2017.7 wiederherstellen
freerdp Unterstützung für TLS >= 1.1 aktiviert
gnome-exe-thumbnailer Wechsel auf msitools' msiinfo zum Ermitteln der ProductVersion, um die unsichere VBScript-basierte Auswertung zu ersetzen [CVE-2017-11421]; unlesbaren Weiß-auf-weiß-Text bei Versionsnummern korrigiert
gnupg2 dirmngr-Probleme mit kaputtem Reverse-DNS, Assertion bei der Verwendung von tofu-default-policy ask, mehrere Probleme mit scdaemon und unberechtigte Warnungen beim Teilen einer Keybox mit gpg >= 2.1.20 behoben
gnutls28 OCSP-Verifikationsfehler behoben, vor allem bei ECDSA-Signaturen
gosa-plugin-mailaddress Parent-Constructor-Aufrufe zwecks Kompatibilität mit PHP7 korrigiert
gsoap Ganzzahl-Überlauf durch überlanges XML-Dokument behoben [CVE-2017-9765]
haveged haveged.service starten, nachdem systemd-tmpfiles-setup.service gelaufen ist
ipsec-tools Sicherheitskorrektur [CVE-2016-10396]
irssi Nullzeiger-Dereferenzierung behoben [CVE-2017-10965], Use-After-Free-Condition für die Nickliste [CVE-2017-10966]
kanatest DISABLE_DEPRECATED-Markierungen entfernt, diese verursachen eine implizite Zeigerkonvertierung und dadurch einen Speicherzugriffsfehler beim Starten
kdepim Später senden mit Verzögerung umgeht OpenPGP [CVE-2017-9604] behoben
kf5-messagelib Später senden mit Verzögerung umgeht OpenPGP [CVE-2017-9604] behoben
krb5 Sicherheitsproblem behoben, durch das fernauthentifizierte Angreifer den KDC zum Absturz bringen können [CVE-2017-11368]; Startprobleme für den Fall, dass getaddrinfo() eine v6-Adresse mit Platzhalter zurückgibt, gelöst und Handhabung von explizit angegebenen v4-Platzhalter-Adressen korrigiert; SRV-Lookups nachgebessert, damit sie sich ans udp_preference_limit halten
lava-tool Fehlende Abhängigkeit von python-simplejson nachgetragen
librsb Mehrere schwere Programmfehler behoben, die zu numerisch falschen Ergebnissen führen
libselinux Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
libsolv Abhängigkeiten von Python-3-Modulen überarbeitet
libwpd Dienstblockade behoben [CVE-2017-14226]
linux Neue stabile Version der Originalautoren
linux-latest Aktualisierung auf 4.9.0-4
lzma Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
mailman Kaputte Abhängigkeiten in contrib/SpamAssassin.py korrigiert
mate-power-manager Bei unbekanntem DBus-Signalnamen nicht abbrechen
mate-themes Schriftfarbe in Google Chromes URL-Leiste korrigiert
mate-tweak Fehlende Abhängigkeit von python3-gi nachgetragen
ncurses Verschiedene Absturzfehler in der tic-Bibliothek und der tic-Binärdatei behoben [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
node-brace-expansion Dienstblockade mit regulären Ausdrücken behoben
node-dateformat Zum Testen TZ=UTC gesetzt, um Bau-Fehlschläge zu beseitigen
ntp /usr/bin/sntp bauen und installieren
nvidia-graphics-drivers Neue Veröffentlichung 375.82 auf dem langlebigen Zweig der Originalautoren - Sicherheitskorrekturen [CVE-2017-6257 CVE-2017-6259], fügt Unterstützung für folgende GPUs hinzu: GeForce GTX 1080 mit Max-Q-Design, GeForce GTX 1070 mit Max-Q-Design, GeForce GTX 1060 mit Max-Q-Design; nvidia-kernel-dkms: Parallel-Einstellung aus dkms beachten
open-vm-tools Namen für Temporärverzeichnis zufällig generieren [CVE-2015-5191]
opendkim Als root starten und Privilegien in opendkim abgeben, damit die Schlüsseldatei den richtigen Besitzer hat
openldap libldap-2.4-2s Abhängigkeit von libldap-common entspannt, um auch spätere Versionen zu erlauben; Upgrade-Fehlschläge für die Fälle behoben, in denen olcSuffix einen umgekehrten Schrägstrich beinhaltet; Auslesen des Werts der LDAP_OPT_X_TLS_REQUIRE_CERT-Option aus vorher freigemachtem Speicher vermeiden; potenzielle endlose Replikationsschleife in einem multi-master delta-syncrepl-Szenario mit drei oder mehr Knoten behoben; Speicherkorrumpierung behoben, die durch mehrfachen und möglicherweise gleichzeitigen sasl_client_init()-Aufruf verursacht wird
openvpn Fehlschlagende Neuverbindungen wegen falscher Push-Digest-Berechnung korrigiert
osinfo-db Distributions-Information aktualisiert
pcb-rnd Codeausführung durch eine schadhaft geformte Design-Datei behoben
postfix Neue stabile Version der Originalautoren - Variablennamen mit einem Zeichen ohne {} an Milters schicken; MIME-Downgrade von durch Postfix generierte Nachrichten/Zustellungsstatus verhindert; Probleme durch Versuche der Berkeley DB, Einstellungen aus der DB_CONFIG-Datei zu lesen, umgangen
python-pampy Abhängigkeiten von Python-3-Modulen korrigiert
request-tracker4 Rückschritt in vorheriger Sicherheitsveröffentlichung behoben, durch den falsche SHA256-Passwörter einen Fehler provozieren konnten
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler}: Fehlende Abhängigkeiten nachgetragen
samba Sicherstellen, dass SMB-Signierung erzwungen wird [CVE-2017-12150]; benötigte Verschlüsselung über SMB3-DFS-Weiterleitungen hinweg beibehalten [CVE-2017-12151]; Serverspeicher-Informationsleck über SMB1 [CVE-2017-12163] behoben; neue Version der Originalautoren; libpam-winbind.prerm multiarch-sicher gemacht; fehlende Protokollrotierung für /var/log/samba/log.samba nachgerüstet; veraltete DNS-Root-Server korrigiert; Nicht-Kerberos-Anmeldungen schlagen bei winbind 4.x fehl, wenn krb5_auth in PAM konfiguriert ist behoben
smplayer Verbindungen zu YouTube korrigiert
speech-dispatcher spd-conf wieder zum Funktionieren gebracht
suricata Anzahl der rekursiven Aufrufe im DER/ASN.1-Dekoder reduziert, um Stapelüberläufe zu vermeiden
swift Neue stabile Version der Originalautoren
tbdialout Führendes Pluszeichen mitnehmen, wenn das URI-Schema mit tel: benutzt wird
tiny-initramfs Fehlende Abhängigkeit von cpio nachgetragen
topal Fehlbenutzung der sed-Zeichenklassensyntax behoben
torsocks check_addr() korrigiert, dass es entweder 0 oder 1 zurückliefert
trace-cmd Speicherzugriffsfehler bei der Verarbeitung gewisser Trace-Dateien behoben
unbound Installation des Vertrauensankers für den Fall überarbeitet, dass zwei Anker vorhanden sind; für KSK-20017 von dns-root-data (>= 2017072601~) abhängen
unknown-horizons Speicherleck geschlossen
up-imapproxy Systemd-Servicedatei korrigiert
vim Mehrere Abstürze/illegale Speicherzugriffe behoben [CVE-2017-11109]
waagent Neue Veröffentlichung der Originalautoren mit Unterstützung für Azure Stack
webkit2gtk Sicherheits- und Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois Whois-Verweise für .com, .net, .jobs, .bz, .cc und .tv korrigiert; mehrere neue indische TLD-Server hinzugefügt; Liste der gTLDs aktualisiert
wrk Baufehlschläge behoben
xfonts-ayu Erzeugung von fetten und kursiven Schriften überarbeitet
xkeyboard-config Indische Layouts zurück auf die Haupt-Layoutliste gesetzt, damit sie wieder verwendet werden können
yadm Race-Condition beseitigt, die den Zugriff auf private PGP- und SSH-Schlüssel ermöglichen könnte [CVE-2017-11353]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
clapack Veraltete und unbetreute Abspaltung von lapack

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.