Debian 10 aktualisiert: 10.5 veröffentlicht
1. August 2020
Das Debian-Projekt freut sich, die fünfte Aktualisierung seiner
Stable-Veröffentlichung Debian 10 (Codename Buster
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Diese Zwischenveröffentlichung behandelt auch die folgende Sicherheitsankündigung: DSA-4735-1 grub2 -- security update In ihr geht es um mehrere Sicherheitslücken, die unter dem Namen GRUB2 UEFI SecureBoot ›BootHole‹ zusammengefasst wurden.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
appstream-glib | Kompilierungsfehlschlag im Jahr 2020 und später behoben |
asunder | Standardmäßig gnudb statt freedb verwenden |
b43-fwcutter | Sicherstellen, dass die Entfernung unter nicht-englischen Locales funktioniert; Entfernung nicht fehlschlagen lassen, wenn einige Dateien nicht mehr existieren; fehlende Abhängigkeiten von pciutils und ca-certificates ergänzt |
balsa | Beim Validieren von Zertifikaten die Server-Identität mitteilen, sodass die Validierung klappt, wenn die glib-networking-Korrektur für CVE-2020-13645 verwendet wird |
base-files | Aktualisierung auf die Zwischenveröffentlichung |
batik | Serverseitige Abfragefälschung via xlink:href-Attribut behoben [CVE-2019-17566] |
borgbackup | Fehler beseitigt, der den Index ruiniert und so zu Datenverlust führt |
bundler | Erforderliche Version der ruby-molinillo geändert |
c-icap-modules | Unterstützung für ClamAV 0.102 hinzugefügt |
cacti | Problem behoben, dass UNIX-Zeitstempel nach dem 13. September 2020 als Graph-Start oder -Ende abgelehnt wurden; Code-Fernausführung behoben [CVE-2020-7237], Seitenübergreifendes Scripting behoben [CVE-2020-7106], genauso ein CSRF-Problem [CVE-2020-13231]; Deaktivierung eines Benutzerkontos sperrt nicht automatisch seine Berechtigungen [CVE-2020-13230] |
calamares-settings-debian | Displaymanager-Modul freigeschaltet, um Autologin-Optionen zu berichtigen; xdg-user-dir zum Angeben des Desktop-Verzeichnisses verwenden |
clamav | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481] |
cloud-init | Neue Veröffentlichung der Originalautoren |
commons-configuration2 | Erzeugung von Objekten beim Laden von YAML-Dateien verhindern [CVE-2020-1953] |
confget | Umgang des Python-Modules mit Werten mit =überarbeitet |
dbus | Neue stabile Veröffentlichung der Originalautoren; Anfälligkeit für Dienstblockade abgeschafft [CVE-2020-12049]; Use-after-free, wenn zwei Benutzernamen sich eine UID teilen, verhindert |
debian-edu-config | Verlust der dynamisch allozierten IPv4-Adresse behoben |
debian-installer | Linux-ABI auf 4.19.0-10 aktualisiert |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
debian-ports-archive-keyring | Ablaufdatum des 2020-Schlüssels (84C573CD4E1AFD6C) um ein Jahr nach hinten verschoben; Debian Ports Archive Automatic Signing Key hinzugefügt (2021); 2018er Schlüssel (ID: 06AED62430CB581C) auf den Entfernt-Schlüsselbund verschoben |
debian-security-support | Unterstützungs-Status für diverse Pakete aktualisiert |
dpdk | Neue Veröffentlichung der Originalautoren |
exiv2 | Über-restriktive Sicherheitskorrektur nachjustiert [CVE-2018-10958 und CVE-2018-10999]; Dienstblockade-Problem beseitigt [CVE-2018-16336] |
fdroidserver | Litecoin-Adressüberprüfung überarbeitet |
file-roller | Sicherheitskorrektur [CVE-2020-11736] |
freerdp2 | Smartcard-Anmeldungen überarbeitet; Sicherheitskorrekturen [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526] |
fwupd | Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden |
fwupd-amd64-signed | Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden |
fwupd-arm64-signed | Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden |
fwupd-armhf-signed | Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden |
fwupd-i386-signed | Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden |
fwupdate | Rotierte Debian-Signierschlüssel verwenden |
fwupdate-amd64-signed | Rotierte Debian-Signierschlüssel verwenden |
fwupdate-arm64-signed | Rotierte Debian-Signierschlüssel verwenden |
fwupdate-armhf-signed | Rotierte Debian-Signierschlüssel verwenden |
fwupdate-i386-signed | Rotierte Debian-Signierschlüssel verwenden |
gist | Veraltete Autorisierungs-API vermeiden |
glib-networking | Nicht gesetzte Identität als Identitätsfehler melden [CVE-2020-13645]; balsa-Versionen vor 2.5.6-2+deb10u1 als defekt betrachten, weil die Korrektur für CVE-2020-13645 balsas Zertifikatsverifizierung beschädigt |
gnutls28 | TLS1.2-Wiederaufnahmefehler behoben; Speicherleck behoben; Sitzungstickets mit Länge null akzeptieren, um Verbindungsprobleme bei TLS1.2-Sitzungen mit einigen großen Hosting-Anbietern zu beheben; Überprüfungsfehler mit alternativer Zertifikatskette behoben |
intel-microcode | Einige Microcodes durch frühere Versionen ersetzt, um Hänger beim Hochfahren von Skylake-U/Y und Skylake Xeon E3 zu vermeiden |
jackson-databind | Mehrere Sicherheitsprobleme betreffend BeanDeserializerFactory behoben [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267] |
jameica | mckoisqldb zum classpath hinzufügen, sodass das SynTAX-Plugin verwendet werden kann |
jigdo | HTTPS-Unterstützung in jigdo-lite und jigdo-mirror überarbeitet |
ksh | Problem mit Begrenzungen der Umgebungsvariablen behoben [CVE-2019-14868] |
lemonldap-ng | Regression in der nginx-Konfiguration behoben, welche durch die Korrektur für CVE-2019-19791 verursacht wurde |
libapache-mod-jk | Apache-Konfigurationsdatei umbenennen, sodass sie automatisch aktiviert und deaktiviert werden kann |
libclamunrar | Neue stabile Veröffentlichung der Originalautoren; unversioniertes Metapaket hinzugefügt |
libembperl-perl | Umgang mit Fehlerseiten von Apache >= 2.4.40 verbessert |
libexif | Sicherheitskorrekturen [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; Pufferüberlauf [CVE-2020-0182] und Ganzzahlüberlauf behoben [CVE-2020-0198] |
libinput | Quirks: Trackpoint-Integrationsattribut hinzugefügt |
libntlm | Pufferüberlauf behoben [CVE-2019-17455] |
libpam-radius-auth | Pufferüberlauf im Passwortfeld behoben [CVE-2015-9542] |
libunwind | Speicherzugriffsfehler auf mips behoben; Unterstützung für C++-Ausnahmen nur auf i386 und amd64 per Hand aktiviert |
libyang | Absturz wegen Cache-Korrumpierung behoben, CVE-2019-19333, CVE-2019-19334 |
linux | Neue stabile Veröffentlichung der Originalautoren |
linux-latest | Aktualisierung für Kernel-ABI 4.19.0-10 |
linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren |
lirc | Verwaltung der Konfigurationsdateien überarbeitet |
mailutils | maidag: Setuid-Privilegien für alle Lieferoperationen außer mda abgeben [CVE-2019-18862] |
mariadb-10.3 | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; Regression in RocksDB-ZSTD-Suche behoben |
mod-gnutls | Möglichen Speicherzugriffsfehler bei fehlgeschlagenem TLS-Handshake behoben; Testfehlschläge behoben |
multipath-tools | kpartx: richtigen Pfad zu partx in der udev-Regel verwenden |
mutt | IMAP-PREAUTH-Verschlüsselung nicht überprüfen, wenn $tunnel verwendet wird |
mydumper | Verknüpfung mit libm |
nfs-utils | statd: user-id aus /var/lib/nfs/sm entnehmen [CVE-2019-3689]; statd nicht zum Besitzer von /var/lib/nfs machen |
nginx | Anfälligkeit für Anfrageschmuggel auf Fehlerseiten behoben [CVE-2019-20372] |
nmap | Standard-Schlüssellänge auf 2048 Bit geändert |
node-dot-prop | Regression behoben, die durch die Korrektur von CVE-2020-8116 verursacht wurde |
node-handlebars | Direkten Aufruf von helperMissingund blockHelperMissingunterbunden [CVE-2019-19919] |
node-minimist | Prototype Pollution behoben [CVE-2020-7598] |
nvidia-graphics-drivers | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-5963 CVE-2020-5967] |
nvidia-graphics-drivers-legacy-390xx | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-5963 CVE-2020-5967] |
openstack-debian-images | resolvconf bei der Installation von cloud-init mitinstallieren |
pagekite | Probleme, die mit dem Auslaufen der mitgelieferten SSL-Zertifikate zusammenhängen, verhindet, indem die aus dem ca-certifcates-Paket benutzt werden |
pdfchain | Absturz beim Programmstart behoben |
perl | Mehrere Sicherheitskorrekturen im Zusammenhang mit regulären Ausdrücken [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
php-horde | Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2020-8035] |
php-horde-gollem | Anfälligkeit für seitenübergreifendes Skripting in Brotkrumen-Ausgabe beseitigt [CVE-2020-8034] |
pillow | Mehrere Probleme mit Lesezugriff außerhalb der Grenzen behoben [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177] |
policyd-rate-limit | Accounting-Probleme durch Socket-Wiederverwendung behoben |
postfix | Neue stabile Veröffentlichung der Originalautoren; Speicherzugriffsfehler in der tlsproxy-Client-Rolle behoben, wo die Serverrolle abgeschaltet war; maillog_file_rotate_suffix default value used the minute instead of the month(maillog_file_rotate_suffix-Standardwert hatte die Minute statt des Monats) behoben; mehrere Probleme mit TLS behoben; README.Debian überarbeitet |
python-markdown2 | Problem mit seitenübergreifendem Skripting behoben [CVE-2020-11888] |
python3.7 | Endlosschleife bei Verwendung des tarfile-Moduls und gezielt angefertigten TAR-Dateien behoben [CVE-2019-20907]; Hash-Kollisionen für IPv4Interface und IPv6Interface behoben [CVE-2020-14422]; Dienstblockade in urllib.request.AbstractBasicAuthHandler behoben [CVE-2020-8492] |
qdirstat | Speicherung der benutzerkonfigurierten MIME-Kategorien überarbeitet |
raspi3-firmware | Tippfehler, der das System am Booten hindern kann, korrigiert |
resource-agents | IPsrcaddr: protooptional machen, um Regression zu beheben, wenn das Programm ohne NetworkManager verwendet wird |
ruby-json | Anfälligkeit für unsichere Objekterzeugung behoben [CVE-2020-10663] |
shim | Rotierte Debian-Signierschlüssel verwenden |
shim-helpers-amd64-signed | Rotierte Debian-Signierschlüssel verwenden |
shim-helpers-arm64-signed | Rotierte Debian-Signierschlüssel verwenden |
shim-helpers-i386-signed | Rotierte Debian-Signierschlüssel verwenden |
speedtest-cli | Die richtigen Kopfzeilen verwenden, sodass der Upload-Geschwindigkeitstest richtig funktioniert |
ssvnc | Schreibzugriff außerhalb der Grenzen behoben [CVE-2018-20020], außerdem eine Endlosschleife [CVE-2018-20021], unordentliche Initialisierung [CVE-2018-20022] und eine potenzielle Dienstblockade [CVE-2018-20024] |
storebackup | Mögliche Anfälligkeit für Privilegieneskalation behoben [CVE-2020-7040] |
suricata | Fallenlassen der Privilegien im nflog-Ausführungsmodus überarbeitet |
tigervnc | libunwind nicht auf armel, armhf oder arm64 verwenden |
transmission | Potenzielle Dienstblockade behoben [CVE-2018-10756] |
wav2cdr | C99-Ganzzahltypen fester Länge verwenden, um Laufzeit-Assertion auf Nicht-amd64 und -alpha zu korrigieren |
zipios++ | Sicherheitskorrektur [CVE-2019-13453] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
golang-github-unknwon-cae | Sicherheitsprobleme; unbetreut |
janus | Keine Unterstützung in Stable möglich |
mathematica-fonts | Verlässt sich auf nicht verfügbare Download-Quelle |
matrix-synapse | Sicherheitsproblme; nicht unterstützungsfähig |
selenium-firefoxdriver | Inkompatibel mit neueren Firefox-ESR-Versionen |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.