Debian 10 aktualisiert: 10.6 veröffentlicht
26. September 2020
Das Debian-Projekt freut sich, die sechste Aktualisierung seiner
Stable-Veröffentlichung Debian 10 (Codename Buster
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor.
Bitte beachten Sie, dass die Aktualisierungen für die Pakete cargo, rustc und
rustc-bindgen auf der armel
-Architektur wegen
Kompilierungsproblemen zur Zeit nicht verfügbar sind.
Sie werden nachgereicht, nachdem die Probleme behoben wurden.
Paket | Grund |
---|---|
arch-test | Gelegentlich fehlschlagende s390x-Erkennung überarbeitet |
asterisk | Absturz beim Aushandeln von T.38 mit einem Declined-Stream [CVE-2019-15297], SIP-Anfrage kann die Adresse einer SIP-Gegenstelle ändern[CVE-2019-18790], AMI-Benutzer konnte Systembefehle ausführen[CVE-2019-18610], Speicherzugriffsfehler in pjsip show history mit IPv6-Gegenstellen behoben |
bacula | Überlange Digest-Zeichenketten erlauben einem bösartigen Client, einen Heap-Überlauf im Speicher des Directors zu verursachenbehoben [CVE-2020-11061] |
base-files | /etc/debian_version auf diese Zwischenveröffentlichung aktualisiert |
calamares-settings-debian | Displaymanager-Modul deaktiviert |
cargo | Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen |
chocolate-doom | Fehlende Validierung nachgereicht [CVE-2020-14983] |
chrony | Symlink-Race beim Schreiben in die PID-Datei verhindern [CVE-2020-14367]; Temperaturerfassung überarbeitet |
debian-installer | Linux-ABI auf 4.19.0-11 aktualisiert |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
diaspora-installer | --frozen auf die Bundle-Installation anwenden, um die Gemfile.lock der Originalautoren zu verwenden; Gemfile.lock bei Upgrades nicht ausschließen; bei Upgrades config/oidc_key.pem nicht überscreiben; config/schedule.yml beschreibbar machen |
dojo | Prototype-Pollution in der deepCopy-Methode [CVE-2020-5258] und in der jqMix-Methode [CVE-2020-5259] behoben |
dovecot | Dsync-Sieve-Filter-Sync-Regression behoben; Umgang mit dem Resultat von getpwent in userdb-passwd korrigiert |
facter | Google-GCE-Metadaten-Endpunkt von v1beta1auf v1geändert |
gnome-maps | Problem mit falsch ausgerichtetem Shape-Layer-Rendering behoben |
gnome-shell | LoginDialog: Bei der VT-Umschaltung den Anmeldedialog vor dem Erscheinenlassen zurücksetzen [CVE-2020-17489] |
gnome-weather | Absturz, wenn die konfigurierten Orte ungültig sind, verhindert |
grunt | safeLoad beim Laden von YAML-Dateien verwenden [CVE-2020-7729] |
gssdp | Neue stabile Veröffentlichung der Originalautoren |
gupnp | Neue stabile Veröffentlichung der Originalautoren; CallStranger-Angriff verhindern [CVE-2020-12695]; GSSDP 1.0.5 voraussetzen |
haproxy | logrotate.conf: rsyslog-Helfer statt SysV-Initskript verwenden; Nachrichten zurückweisen, bei denen chunkedim Transfer-Encoding fehlt [CVE-2019-18277] |
icinga2 | Symlink-Angriff verhindert [CVE-2020-14004] |
incron | Aufräumen der Zombie-Prozesse überarbeitet |
inetutils | Problem mit Code-Fernausführung behoben [CVE-2020-10188] |
libcommons-compress-java | Dienstblockade beseitigt [CVE-2019-12402] |
libdbi-perl | Speicherkorrumpierung in XS-Funktionen behoben, wenn der Perl-Stack neu alloziert wird [CVE-2020-14392]; Pufferüberlauf bei einem überlangen DBD-Klassennamen behoben [CVE-2020-14393]; NULL-Profil-Dereferenzierung in dbi_profile() behoben [CVE-2019-20919] |
libvncserver | libvncclient: Abspringen, wenn der UNIX-Socketname überzulaufen droht [CVE-2019-20839]; Problem mit Pointer-Aliasing/-Alignment behoben [CVE-2020-14399]; Textchat-Maximallänge begrenzen [CVE-2020-14405]; libvncserver: Fehlende NULL-Zeiger-Überprüfung nachgetragen [CVE-2020-14397]; Problem mit Zeiger-Aliasing/-Alignment behoben [CVE-2020-14400]; scale: vor dem Verschieben auf 64 Bit umwandeln [CVE-2020-14401]; OOB-Zugriffe (außerhalb der Grenzen) verhindert [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
libx11 | Ganzzahlüberläufe behoben [CVE-2020-14344 CVE-2020-14363] |
lighttpd | Mehrere Benutzerfreundlichkeits- und Sicherheitskorrekturen zurückportiert |
linux | Neue stabile Veröffentlichung der Originalautoren; ABI auf 11 angehoben |
linux-latest | Aktualisierung auf -11 Linux-Kernel-ABI |
linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren |
llvm-toolchain-7 | Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen; Fehler behoben, welche die rustc-Kompilierung beeinträchtigt haben |
lucene-solr | Sicherheitsproblem in der Handhabung der DataImportHandler-Konfiguration behoben [CVE-2019-0193] |
milkytracker | Heap-Überlauf [CVE-2019-14464], Stack-Überlauf [CVE-2019-14496], Heap-Überlauf [CVE-2019-14497], Use-after-free behoben [CVE-2020-15569] |
node-bl | Anfälligkeit für Über-Lesen behoben [CVE-2020-8244] |
node-elliptic | Signatur-Anpassbarkeit und Überläufe behoben [CVE-2020-13822] |
node-mysql | localInfile-Option zur Kontrolle von LOAD DATA LOCAL INFILE hinzugefügt [CVE-2019-14939] |
node-url-parse | Unzureichende Validierung und Überprüfung von Benutzereingaben korrigiert [CVE-2020-8124] |
npm | Keine Passwörter in Logs anzeigen [CVE-2020-15095] |
orocos-kdl | Explizite Inklusion des Standard-Include-Pfads entfernt, um Probleme mit cmake < 3.16 zu lösen |
postgresql-11 | Neue stabile Veröffentlichung der Originalautoren; sicheren search_path in Logical-Replication-Walsenders und Apply-Workern setzen [CVE-2020-14349]; Contrib-Modulinstallation sicherer machen [CVE-2020-14350] |
postgresql-common | plpgsql nicht löschen, bevor die Erweiterungen getestet sind |
pyzmq | Asyncio: auf POLLOUT beim Sender in can_connect warten |
qt4-x11 | Pufferüberlauf in XBM-Auswertungsroutine behoben [CVE-2020-17507] |
qtbase-opensource-src | Pufferüberlauf in XBM-Auswertungsroutine behoben [CVE-2020-17507]; Ausfall der Zwischenablage behoben, wenn der Zeitgeber nach 50 Tagen umbricht |
ros-actionlib | YAML sicher laden [CVE-2020-10289] |
rustc | Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen |
rust-cbindgen | Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen |
ruby-ronn | Umgang mit UTF-8-Inhalt auf Handbuchseiten überarbeitet |
s390-tools | ${perl:Depends} mit hartkodierter Perl-Abhängigkeit ersetzt, um die Installation unter debootstrap zu reparieren |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.