Debian 9: 9.2 veröffentlicht

7. Oktober 2017

Das Debian-Projekt freut sich, die zweite Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.

Neue Installationsmedien können bald von den gewohnten Orten bezogen werden.

Für das Online-Upgrade auf diese Version wird in der Regel die Paketverwaltung auf einen der vielen Debian-HTTP-Spiegel verwiesen. Eine umfassende Liste der Spiegelserver findet sich unter:

https://www.debian.org/mirror/list

Als Besonderheit bei dieser Zwischenveröffentlichung müssen alle, die apt-get für ihre Upgrades verwenden, dieses Mal den dist-upgrade-Befehl benutzen, damit die neuesten Kernel-Pakete eingespielt werden. Wer ein anderes Werkzeug wie apt oder aptitude einsetzt, bleibt beim upgrade-Befehl.

Verschiedene Fehlerkorrekturen

Wegen eines Versehens beim Vorbereiten dieser Zwischenversion ist die Aktualisierung mit der neuen Version des base-files-Pakets leider nicht mit enthalten. Sie wird in naher Zukunft via stretch-updates nachgeliefert.

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
apt	Probleme in apt-daily-upgrade behoben; möglichen Absturz in der Spiegelmethode behoben
at-spi2-core	Absturz beim Fensterwechsel behoben
bareos	Berechtigungen der bareos-dir-Protokollrotation beim Upgrade korrigiert; Dateiverfälschung bei Verwendung von SHA1-Signaturen behoben
bind9	Unterstützung für den Import von DNSSEC KSK-2017 hinzugefügt
bridge-utils	Problem mit einigen VLAN-Schnittstellen behoben, die nicht angelegt werden
caja	Übermäßige CPU-Auslastung beim Laden des Hintergrundbilds reduziert
chrony	'burst'-Befehl nicht an chronyc weitergeben
cross-gcc	Veraltete Unterstützung für gcc 6.3.0-18 entfernt
cvxopt	Unnötige und nicht funktionierende Kompatibilitätsschicht für lpx_main() entfernen
db5.3	DB_CONFIG nicht abrufen, wenn db_home nicht gesetzt ist [CVE-2017-10140]
dbus	Neue stabile Version der Originalautoren
debian-edu-doc	Stretch-bezogene Dokumentations- und Übersetzungsaktualisierungen einfließen lassen; Debian-Edu-Stretch-Handbuch aus dem Wiki aktualisiert; derzeitige Bootmenü-Bilder durch aktuellere aus dem Wiki ersetzt
debian-installer	Linux-Kernel ABI auf 4 aktualisiert
debian-installer-netboot-images	Neubau gegen proposed-updates
desktop-base	XML-Syntaxfehler in Gnome-Hintergrundbild-Beschreibung korrigiert, welche verhindert haben, dass die Joy-Hintergrundbilder standardmäßig zur Verfügung standen; sicherstellen, dass Postinst beim Upgrade nicht fehlschlägt, selbst wenn ein unvollständiges Themenpaket aktiv ist
dns-root-data	Aktualisiert root.hints auf Version 2017072601; Ändert den Status von KSK-2017 auf VALID (gültig)
dnsdist	Sicherheitskorrekturen [CVE-2016-7069 CVE-2017-7557]
dnsviz	Gezielt Korrekturen der Originalautoren, welche Änderungen an root.hints und root.keys betreffen, übernommen
dose3	Versionierte Provides-Unterstüzung überarbeitet - Pakete, welche dasselbe virtuelle Paket in verschiedenen Versionen oder dasselbe virtuelle Paket als echtes Paket anbieten, sind jetzt nebeneinander installierbar
ecl	Fehlende Abhängigkeit von libffi-dev nachgetragen
erlang-p1-tls	ECDH-Kurven korrigiert
evolution	Hänger bei Rechtsklick im Verfassen-Fenster behoben
expect	Richtig auf EOF prüfen, damit keine Eingabe verloren geht
fife	Speicherleck behoben
flatpak	Neue stabile Version der Originalautoren; Installation von Dateien mit falschen Berechtigungen verhindern; Kompatibilität mit libostree 2017.7 wiederherstellen
freerdp	Unterstützung für TLS >= 1.1 aktiviert
gnome-exe-thumbnailer	Wechsel auf msitools' msiinfo zum Ermitteln der ProductVersion, um die unsichere VBScript-basierte Auswertung zu ersetzen [CVE-2017-11421]; unlesbaren Weiß-auf-weiß-Text bei Versionsnummern korrigiert
gnupg2	dirmngr-Probleme mit kaputtem Reverse-DNS, Assertion bei der Verwendung von tofu-default-policy ask, mehrere Probleme mit scdaemon und unberechtigte Warnungen beim Teilen einer Keybox mit gpg >= 2.1.20 behoben
gnutls28	OCSP-Verifikationsfehler behoben, vor allem bei ECDSA-Signaturen
gosa-plugin-mailaddress	Parent-Constructor-Aufrufe zwecks Kompatibilität mit PHP7 korrigiert
gsoap	Ganzzahl-Überlauf durch überlanges XML-Dokument behoben [CVE-2017-9765]
haveged	haveged.service starten, nachdem systemd-tmpfiles-setup.service gelaufen ist
ipsec-tools	Sicherheitskorrektur [CVE-2016-10396]
irssi	Nullzeiger-Dereferenzierung behoben [CVE-2017-10965], Use-After-Free-Condition für die Nickliste [CVE-2017-10966]
kanatest	DISABLE_DEPRECATED-Markierungen entfernt, diese verursachen eine implizite Zeigerkonvertierung und dadurch einen Speicherzugriffsfehler beim Starten
kdepim	Später senden mit Verzögerung umgeht OpenPGP [CVE-2017-9604] behoben
kf5-messagelib	Später senden mit Verzögerung umgeht OpenPGP [CVE-2017-9604] behoben
krb5	Sicherheitsproblem behoben, durch das fernauthentifizierte Angreifer den KDC zum Absturz bringen können [CVE-2017-11368]; Startprobleme für den Fall, dass getaddrinfo() eine v6-Adresse mit Platzhalter zurückgibt, gelöst und Handhabung von explizit angegebenen v4-Platzhalter-Adressen korrigiert; SRV-Lookups nachgebessert, damit sie sich ans udp_preference_limit halten
lava-tool	Fehlende Abhängigkeit von python-simplejson nachgetragen
librsb	Mehrere schwere Programmfehler behoben, die zu numerisch falschen Ergebnissen führen
libselinux	Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
libsolv	Abhängigkeiten von Python-3-Modulen überarbeitet
libwpd	Dienstblockade behoben [CVE-2017-14226]
linux	Neue stabile Version der Originalautoren
linux-latest	Aktualisierung auf 4.9.0-4
lzma	Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
mailman	Kaputte Abhängigkeiten in contrib/SpamAssassin.py korrigiert
mate-power-manager	Bei unbekanntem DBus-Signalnamen nicht abbrechen
mate-themes	Schriftfarbe in Google Chromes URL-Leiste korrigiert
mate-tweak	Fehlende Abhängigkeit von python3-gi nachgetragen
ncurses	Verschiedene Absturzfehler in der tic-Bibliothek und der tic-Binärdatei behoben [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle	Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren
node-brace-expansion	Dienstblockade mit regulären Ausdrücken behoben
node-dateformat	Zum Testen TZ=UTC gesetzt, um Bau-Fehlschläge zu beseitigen
ntp	/usr/bin/sntp bauen und installieren
nvidia-graphics-drivers	Neue Veröffentlichung 375.82 auf dem langlebigen Zweig der Originalautoren - Sicherheitskorrekturen [CVE-2017-6257 CVE-2017-6259], fügt Unterstützung für folgende GPUs hinzu: GeForce GTX 1080 mit Max-Q-Design, GeForce GTX 1070 mit Max-Q-Design, GeForce GTX 1060 mit Max-Q-Design; nvidia-kernel-dkms: Parallel-Einstellung aus dkms beachten
open-vm-tools	Namen für Temporärverzeichnis zufällig generieren [CVE-2015-5191]
opendkim	Als root starten und Privilegien in opendkim abgeben, damit die Schlüsseldatei den richtigen Besitzer hat
openldap	libldap-2.4-2s Abhängigkeit von libldap-common entspannt, um auch spätere Versionen zu erlauben; Upgrade-Fehlschläge für die Fälle behoben, in denen olcSuffix einen umgekehrten Schrägstrich beinhaltet; Auslesen des Werts der LDAP_OPT_X_TLS_REQUIRE_CERT-Option aus vorher freigemachtem Speicher vermeiden; potenzielle endlose Replikationsschleife in einem multi-master delta-syncrepl-Szenario mit drei oder mehr Knoten behoben; Speicherkorrumpierung behoben, die durch mehrfachen und möglicherweise gleichzeitigen sasl_client_init()-Aufruf verursacht wird
openvpn	Fehlschlagende Neuverbindungen wegen falscher Push-Digest-Berechnung korrigiert
osinfo-db	Distributions-Information aktualisiert
pcb-rnd	Codeausführung durch eine schadhaft geformte Design-Datei behoben
postfix	Neue stabile Version der Originalautoren - Variablennamen mit einem Zeichen ohne {} an Milters schicken; MIME-Downgrade von durch Postfix generierte Nachrichten/Zustellungsstatus verhindert; Probleme durch Versuche der Berkeley DB, Einstellungen aus der DB_CONFIG-Datei zu lesen, umgangen
python-pampy	Abhängigkeiten von Python-3-Modulen korrigiert
request-tracker4	Rückschritt in vorheriger Sicherheitsveröffentlichung behoben, durch den falsche SHA256-Passwörter einen Fehler provozieren konnten
ruby-gnome2	ruby-{gdk3,gtksourceview2,pango,poppler}: Fehlende Abhängigkeiten nachgetragen
samba	Sicherstellen, dass SMB-Signierung erzwungen wird [CVE-2017-12150]; benötigte Verschlüsselung über SMB3-DFS-Weiterleitungen hinweg beibehalten [CVE-2017-12151]; Serverspeicher-Informationsleck über SMB1 [CVE-2017-12163] behoben; neue Version der Originalautoren; libpam-winbind.prerm multiarch-sicher gemacht; fehlende Protokollrotierung für /var/log/samba/log.samba nachgerüstet; veraltete DNS-Root-Server korrigiert; Nicht-Kerberos-Anmeldungen schlagen bei winbind 4.x fehl, wenn krb5_auth in PAM konfiguriert ist behoben
smplayer	Verbindungen zu YouTube korrigiert
speech-dispatcher	spd-conf wieder zum Funktionieren gebracht
suricata	Anzahl der rekursiven Aufrufe im DER/ASN.1-Dekoder reduziert, um Stapelüberläufe zu vermeiden
swift	Neue stabile Version der Originalautoren
tbdialout	Führendes Pluszeichen mitnehmen, wenn das URI-Schema mit tel: benutzt wird
tiny-initramfs	Fehlende Abhängigkeit von cpio nachgetragen
topal	Fehlbenutzung der sed-Zeichenklassensyntax behoben
torsocks	check_addr() korrigiert, dass es entweder 0 oder 1 zurückliefert
trace-cmd	Speicherzugriffsfehler bei der Verarbeitung gewisser Trace-Dateien behoben
unbound	Installation des Vertrauensankers für den Fall überarbeitet, dass zwei Anker vorhanden sind; für KSK-20017 von dns-root-data (>= 2017072601~) abhängen
unknown-horizons	Speicherleck geschlossen
up-imapproxy	Systemd-Servicedatei korrigiert
vim	Mehrere Abstürze/illegale Speicherzugriffe behoben [CVE-2017-11109]
waagent	Neue Veröffentlichung der Originalautoren mit Unterstützung für Azure Stack
webkit2gtk	Sicherheits- und Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois	Whois-Verweise für .com, .net, .jobs, .bz, .cc und .tv korrigiert; mehrere neue indische TLD-Server hinzugefügt; Liste der gTLDs aktualisiert
wrk	Baufehlschläge behoben
xfonts-ayu	Erzeugung von fetten und kursiven Schriften überarbeitet
xkeyboard-config	Indische Layouts zurück auf die Haupt-Layoutliste gesetzt, damit sie wieder verwendet werden können
yadm	Race-Condition beseitigt, die den Zugriff auf private PGP- und SSH-Schlüssel ermöglichen könnte [CVE-2017-11353]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-3881	firefox-esr
DSA-3898	expat
DSA-3904	bind9
DSA-3909	samba
DSA-3913	apache2
DSA-3914	imagemagick
DSA-3915	ruby-mixlib-archive
DSA-3916	atril
DSA-3917	catdoc
DSA-3919	openjdk-8
DSA-3920	qemu
DSA-3921	enigmail
DSA-3923	freerdp
DSA-3924	varnish
DSA-3925	qemu
DSA-3926	chromium-browser
DSA-3927	linux
DSA-3928	firefox-esr
DSA-3929	libsoup2.4
DSA-3930	freeradius
DSA-3931	ruby-rack-cors
DSA-3932	subversion
DSA-3934	git
DSA-3936	postgresql-9.6
DSA-3938	libgd2
DSA-3940	cvs
DSA-3941	iortcw
DSA-3942	supervisor
DSA-3946	libmspack
DSA-3947	newsbeuter
DSA-3948	ioquake3
DSA-3949	augeas
DSA-3950	libraw
DSA-3952	libxml2
DSA-3953	aodh
DSA-3955	mariadb-10.1
DSA-3956	connman
DSA-3957	ffmpeg
DSA-3958	fontforge
DSA-3959	libgcrypt20
DSA-3961	libgd2
DSA-3962	strongswan
DSA-3963	mercurial
DSA-3964	asterisk
DSA-3965	file
DSA-3966	ruby2.3
DSA-3967	mbedtls
DSA-3968	icedove
DSA-3969	xen
DSA-3970	emacs24
DSA-3971	tcpdump
DSA-3972	bluez
DSA-3973	wordpress-shibboleth
DSA-3974	tomcat8
DSA-3975	emacs25
DSA-3976	freexl
DSA-3977	newsbeuter
DSA-3978	gdk-pixbuf
DSA-3979	pyjwt
DSA-3980	apache2
DSA-3982	perl
DSA-3984	git
DSA-3985	chromium-browser
DSA-3986	ghostscript
DSA-3987	firefox-esr
DSA-3988	libidn2-0

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
clapack	Veraltete und unbetreute Abspaltung von lapack

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.