Debian 9 aktualisiert: 9.4 veröffentlicht
10. März 2018
Das Debian-Projekt freut sich, die vierte Aktualisierung seiner
Stable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
acme-tiny | Veraltete Version des Abonnementvertrags korrigiert |
activity-log-manager | Fehlende Abhängigkeit von python-zeitgeist nachgetragen |
agenda.app | Bei Erstellung von Aufgaben und Terminen nachgebessert |
apparmor | Features-Datei nach /usr/share/apparmor-features verschoben; das AppArmor-Feature-Set an den Stretch-Kernel angebunden |
auto-apt-proxy | APT-Konfiguration bei Entfernung beiseite schaffen und bei Neuinstallation zurückholen |
bareos | Backup-Fehlschläge mit Kein Volume-Name angegebenbehoben |
base-files | Aktualisierung auf die Zwischenveröffentlichung |
cappuccino | Fehlende Abhängigkeit von gir1.2-gtk-3.0 nachgetragen |
cerealizer | Python3-Abhängigkeiten überarbeitet |
clamav | Neue Version der Originalautoren; Sicherheitsaktualisierung [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] |
cron | System-Jobs richtig in den SELinux-Kontext system_cronjob_t überführen und nicht länger auf refpolicy-spezifische Identifikatoren verlassen |
cups | Ausführung beliebiger IPP-Befehle durch das Senden von POST-Anfragen an den CUPS-Daemon, zusammen mit DNS-Rebinding, unterbunden [CVE-2017-18190] |
dbus | Neue Version der Originalautoren; früher die Dateideskriptorengrenze erreichen, um eine Regression in der Lokal-DoS-Korrektur zu beheben |
debian-edu-config | Chromium-Webbrowser systemweit vorkonfigurieren, damit er Proxy-Einstellungen automatisch via WPAD ermittelt; Beitritt von Windows-10-Clients zur Samba-NT4-Domäne erlauben |
debian-installer | Linux-Kernel-Version von 4.9.0-4 auf 4.9.0-6 gebracht |
debian-installer-netboot-images | Aktualisierung auf die 20170615+deb9u3-Images aus stretch-proposed-updates |
directfb | Architekturbasierten Filter angepasst, damit Treiber wirklich installiert werden |
dpdk | Aktualisierung auf die neue Stable-Zwischenveröffentlichung |
espeakup | udeb: Fall bereinigen, in dem Karte 0 keine ID hat oder Karten keinen fortlaufenden Index haben; standardmäßig Englisch benutzen; im installierten System Karten-ID benutzen, um Schwierigkeiten durch die Reihenfolge bei der Erkennung der Karten zu vermeiden |
exam | Python3-Abhängigkeiten überarbeitet |
flatpak | Neue Version der Originalautoren; Umgehung des D-Bus-Filtering in flatpak-dbus-proxy behoben; nicht von unerkannten Berechtigungs-Zeichenketten stören lassen, sondern ignorieren; kein ungefiltertes Abhören des D-Bus-Session-Bus erlauben |
fuse-zip | Writeback-Fehlschlag mit libzip 1.0 behoben |
glade | Mögliche Endlosschleife behoben |
glibc | /etc/nsswitch.conf nicht aktualisieren, wenn sein Inhalt bereits den Voreinstellungen entspricht; debian/script.in/nohwcap.sh: immer auf alle optimierten Pakete prüfen, da Multiarch auch das Installieren für fremde Architekturen erlaubt; Use-after-free-Lesezugriff in clntudp_call verhindern [CVE-2017-12133]; Collation für malayalamische Chillu-Zeichen und der malayalamischen Zeichen U+0D36 und U+0D37 korrigiert; unzulässiger cast in Group-Merging (betreffend ppc64 und s390x) behoben; Kompatibilität mit Intel C++ __regcall-Aufrufkonvention verbessert; libc-otherbuild postinst- und postrm-Skripte im libc6-i686-Übergangspaket installieren, um sicherzustellen, dass /etc/ld.so.nohwcap nach einem Upgrade korrekt entfernt wird |
global | Gozilla: URLs vor der Weitergabe an BROWSER in Anführungszeichen setzen [CVE-2017-17531] |
gnumail | Nicht mehr auf OpenSSL linken |
golang-github-go-ldap-ldap | Leere Passwörter nur noch zulassen, wenn sie absichtlich gewählt werden |
gosa-plugin-pwreset | Veralteten Konstruktor-Aufruf ersetzt |
grilo-plugins | Quelle für Radio France korrigiert |
hdf5 | javahelper-Aufruf überarbeitet |
inputlirc | input-event-codes.h statt input.h integrieren, um Baufehlschlag zu beheben |
intercal | Neukompilierung mit PIE |
java-atk-wrapper | Iterator-Initialisierung überarbeitet; fehlende Referenz für Kinder nachgereicht |
kildclient | Unterstützung für benutzerdefinierte Browser beenden [CVE-2017-17511] |
libdate-holidays-de-perl | Reformationstag in Hamburg and Schleswig-Holstein ab 2018 als Feiertag kennzeichnen |
libdatetime-timezone-perl | Neue Version der Originalautoren |
libhibernate-validator-java | Potenzielle Privilegieneskalation durch Umgehung der Security-Manager-Berechtigungen behoben [CVE-2017-7536] |
libperlx-assert-perl | Fehlende Abhängigkeiten von libkeyword-simple-perl und libdevel-declare-perl behoben |
libreoffice | Erlauben, dass FunctionAccess WEBSERVICE ausführt; richtigen Fehlercode bei WEBSERVICE()-Fehlern benutzen |
libvhdi | Fehlende Python3-Abhängigkeit nachgetragen |
libvirt | QEMU: Gemeinsam genutzte Festplatten mit cache=directsync sollten migrationssicher sein; Dienstblockade beim Lesen vom QEMU-Monitor behoben [CVE-2018-5748] |
linux | Neue Version der Originalautoren |
lxc | Erstellung von Testing- und Unstable-Containern durch Inkludieren von iproute2anstelle von iproutekorrigiert |
mapproxy | Cross-Site-Scripting-Problem (XSS) im Demodienst behoben [CVE-2017-1000426] |
mosquitto | Für-alle-Lesbarkeit der Persistence-Datei korrigiert [CVE-2017-9868] |
mpi4py | Aktuelle Version der libmpi unterstützen |
ncurses | Pufferüberlauf in der Funktion _nc_write_entry behoben [CVE-2017-16879] |
needrestart | Umschaltung auf Listenmodus überarbeitet, wenn Debconf nicht-interaktiv ausgeführt wird |
ntp | Stack-Größe mindestens auf 32kB vergrößern |
nvidia-graphics-drivers-legacy-304xx | Neue Veröffentlichung der Originalautoren |
nvidia-graphics-drivers-legacy-340xx | Neue Veröffentlichung der Originalautoren |
nvidia-modprobe | Neue Veröffentlichung der Originalautoren; vor dem Fork von modprobe setuid(0) ausführen, damit die Berechtigungen über Shell-Aufrufe und rekursive modprobe-Aufrufe hinweg beibehalten werden |
nvidia-persistenced | Neue Veröffentlichung der Originalautoren |
nvidia-settings | Neue Veröffentlichung der Originalautoren; Fehler behoben, der verhindert hat, dass Änderungen an der Stereo-Augenzuweisung durch das nvidia-settings-Kontrollzentrum beibehalten werden |
nvidia-xconfig | Neue Veröffentlichung der Originalautoren; Rückschritt behoben, der verhindert hat, dass nvidia-xconfig einige GPUs abfragt, bspw. beim Ausführen von `nvidia-xconfig -a` |
ocfs2-tools | Umstellung von rcS auf Standard-Runlevels |
opendmarc | opendmarc-Dienstdatei aktualisiert, sodass Änderungen in opendmarc.conf übernommen werden |
openssh | Im Nur-Lese-Modus hat sftp-server fälschlicherweise die Erstellung von Dateien mit Nulllänge erlaubtbehoben [CVE-2017-15906] |
osinfo-db | Enthaltene Daten aktualisiert |
pdns-recursor | Neubau gegen publicsuffix 20171028.2055-0+deb9u1 |
postfix | Neue Fehlerbereinigungs-Veröffentlichung der Originalautoren; keine Warnungen protokollieren, dass einige Restriktionen OK zurückliefern, wenn das Zugriffs-Map-DISCARD-Feature aktiv ist; fehlende dynamicmaps-Unterstützung im Postfix-sendmail-Befehl nachgeliefert; Senden zu Sites mit TLSA 2 X X-Einträgen überarbeitet |
postgresql-9.6 | Neue Version der Originalautoren |
publicsuffix | Enthaltene Daten aktualisiert |
python-evtx | Fehlende Python3-Abhängigkeit behoben |
python-hacking | Python3-Abhängigkeiten überarbeitet |
python-hkdf | Python3-Abhängigkeiten überarbeitet |
python-mimeparse | Python3-Abhängigkeiten überarbeitet |
python-pyperclip | Python3-Abhängigkeiten überarbeitet |
python-spake2 | Python3-Abhängigkeiten überarbeitet |
qtpass | Unsicherheit des eingebauten Passwort-Generators behoben [CVE-2017-18021] |
quota | Verhindert, dass quotacheck in eine Endlosschleife läuft |
reportbug | Keine E-Mails mehr an secure-testing-team@lists.alioth.debian.org senden |
rpy | Neubau gegen r-base 3.3 |
ruby-redis-store | Verhindert, dass unsichere Objekte von redis geladen werden [CVE-2017-1000248] |
salt | Anfälligkeit für Verzeichnisüberschreitungen durch präparierte Minion-IDs bei salt-master behoben [CVE-2017-12791]; Anfälligkeit für Verzeichnisüberschreitungen in Minion-ID-Validierung von SaltStack behoben [CVE-2017-14695]; Dienstblockade aus der Ferne durch speziell bearbeitete Authentifizierungsanfrage behoben [CVE-2017-14696]; prüfen, ob data[return] vom Typ dictist |
slic3r | Zeile use libin allen installierten Binärdateien korrigiert; Fehlen des GL_MULTISAMPLE-Makros provisorisch behoben; Importierung von binären STLs auf Big-Endian-Architekturen überarbeitet |
soundtouch | Sicherheitskorrekturen [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] |
systemd | networkd: MTU-Feld in IPv6 RA behandeln; Linker-Skript zum Verhinden von Symbolkollisionen, vor allem mit PAM-Modulen, hinzugefügt; Schleife bei Paketen mit Pseudo-DNS-Typen behoben [CVE-2017-15908]; machinectl: Nicht Keine Maschinen.ausgeben, wenn die --no-legend-Option angegeben wurde |
tzdata | Neue Version der Originalautoren |
ust | Laderoutine der Python-Agent-Bibliothek in Ordnung gebracht |
uwsgi | Stapelbasierter Pufferüberlauf in Funktion uwsgi_expand_path behoben [CVE-2018-6758] |
vagrant | Boxen von app.vagrantcloud.com statt vom missbilligten atlas.hashicorp.com herunterladen |
vdirsyncer | Auffinden von Google-Kontakten korrigiert |
virt-what | virt-Erkennung auf arm/aarch64 repariert |
w3m | Stapelüberlauf [CVE-2018-6196], Nullzeiger-Dererferenzierung [CVE-2018-6197] und Raceconditions bei /tmp-Dateien behoben [CVE-2018-6198] |
waagent | Neue Version der Originalautoren |
webkit2gtk | Neue stabile Veröffentlichung der Originalautoren |
xchain | Abhängigkeit von wishhinzugefügt |
xrdp | Sicherheitsproblem behoben [CVE-2017-16927]; hohe CPU-Last bei ssl_tls_accept behoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
dolibarr | Ordnungsgemäße Betreuung in Debian verursacht zu viel Arbeit |
electrum | Sicherheitsprobleme; wegen Änderungen durch die Originalautoren defekt |
jirc | Defekt mit Stretchs libpoe-filter-xml-perl |
pgmodeler | Inkompatibel mit Stretchs Postgresql |
seelablet | Verwaist, defekt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.