Debian 12 is bijgewerkt: 12.2 werd uitgebracht
7 oktober 2023
Het Debian-project kondigt met genoegen de tweede update aan van zijn
stabiele distributie Debian 12 (codenaam bookworm
).
Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe,
samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen
werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar
verwezen.
Merk op dat de tussenrelease geen nieuwe versie van Debian 12 is,
maar slechts een update van enkele van de meegeleverde pakketten. Het is niet
nodig om oude media met bookworm
weg te gooien. Na de installatie
kunnen pakketten worden opgewaardeerd naar de huidige versie door een
bijgewerkte Debian-spiegelserver te gebruiken.
Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.
Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.
Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst met spiegelservers is beschikbaar op:
Oplossingen voor diverse problemen
Met deze update van stable, de stabiele distributie, worden een paar belangrijke correcties aangebracht aan de volgende pakketten:
| Pakket | Reden |
|---|---|
| amd64-microcode | Bijwerken van meegeleverde microcode, inclusief een oplossing voor AMD Inceptionop AMD Zen4-processors [CVE-2023-20569] |
| arctica-greeter | Ondersteuning voor het configureren van het schermtoetsenbordthema via de gsettings van ArcticaGreeter; OSK lay-out Compactgebruiken (in plaats van Small) die speciale toetsen zoals Duitse Umlauts bevat; weergave van berichten over mislukte verificatie verbeteren; het thema active gebruiken in plaats van emerald |
| autofs | Regressie repareren die de bereikbaarheid op dual-stack-hosts bepaalt |
| base-files | Update voor tussenrelease 12.2 |
| batik | Problemen met vervalsing van Server Side-verzoeken oplossen [CVE-2022-44729 CVE-2022-44730] |
| boxer-data | Niet langer https-everywhere installeren voor Firefox |
| brltty | xbrlapi: brltty niet proberen te starten met ba+a2 als het niet beschikbaar is; cursorrouting en braille-verplaatsing in Orca repareren wanneer xbrlapi is geïnstalleerd, maar het a2-schermstuurprogramma niet |
| ca-certificates-java | Tijdelijke oplossing voor niet-geconfigureerde JRE tijdens nieuwe installaties |
| cairosvg | Gegevens verwerken: URL's in veilige modus |
| calibre | Exportfunctie repareren |
| clamav | Nieuwe bovenstroomse stabiele release; beveiligingsoplossingen [CVE-2023-20197 CVE-2023-20212] |
| cryptmount | Problemen met geheugeninitialisatie vermijden in opdrachtregelverwerker |
| cups | Probleem met op heap gebaseerde bufferoverloop oplossen [CVE-2023-4504]; probleem met niet-geauthenticeerde toegang oplossen [CVE-2023-32360] |
| curl | Bouwen met OpenLDAP om onjuist ophalen van binaire LDAP-attributen te corrigeren; probleem met overmatig geheugengebruik oplossen [CVE-2023-38039] |
| cyrus-imapd | Ervoor zorgen dat postbussen niet verloren gaan bij upgrades van bullseye |
| dar | Problemen oplossen met het maken van geïsoleerde catalogi wanneer dar is gebouwd met een recente gcc-versie |
| dbus | Nieuwe bovenstroomse stabiele release; reparatie voor een dbus-daemon-crash tijdens het herladen van het beleid als een verbinding behoort tot een gebruikersaccount dat is verwijderd, of als een Name Service Switch plugin defect is, bij kernels die SO_PEERGROUPS niet ondersteunen; de fout correct rapporteren als het verkrijgen van de groepen van een uid mislukt; dbus-user-session: XDG_CURRENT_DESKTOP kopiëren naar activeringsomgeving |
| debian-archive-keyring | Overgebleven sleutelbossen opruimen in trusted.gpg.d |
| debian-edu-doc | Bijwerken van de handleiding voor Debian Edu Bookworm |
| debian-edu-install | Nieuwe bovenstroomse release; de automatische partitiegroottes van D-I aanpassen |
| debian-installer | Linux kernel ABI verhogen naar 6.1.0-13; opnieuw bouwen tegen proposed-updates |
| debian-installer-netboot-images | Opnieuw bouwen tegen proposed-updates |
| debian-parl | Opnieuw bouwen met nieuwere boxer-data; niet langer webext-https-everywhere vereisen |
| debianutils | Dubbele vermeldingen in /etc/shells repareren; /bin/sh beheren in het statusbestand; conform maken van shells in locaties onder alias oplossen |
| dgit | De oude map /updates voor beveiligingen enkel gebruiken voor buster; het pushen naar oudere versies die al in het archief zitten, voorkomen |
| dhcpcd5 | Opwaarderingen met overblijfsels van wheezy makkelijker maken; verouderde ntpd-integratie laten vallen; versie repareren in opruimscript |
| dpdk | Nieuwe bovenstroomse stabiele release |
| dput-ng | Toegestane uploaddoelen bijwerken; probleem met bouwen vanaf broncode oplossen |
| efibootguard | Oplossing voor onvoldoende of ontbrekende validatie en opschoning van invoer uit onbetrouwbare bootloader-omgevingsbestanden [CVE-2023-39950] |
| electrum | Een beveiligingsprobleem met Lightning oplossen |
| filezilla | Bouwen voor 32-bits architecturen repareren; oplossing voor crash bij het verwijderen van bestandstypes uit de lijst |
| firewalld | Geen IPv4- en IPv6-adressen vermengen in één enkele nftables-regel |
| flann | Extra -llz4 uit flann.pc verwijderen |
| foot | XTGETTCAP-opzoekingen met ongeldige hexadecimale coderingen negeren |
| freedombox | In apt-voorkeuren n= gebruiken voor vlotte upgrades |
| freeradius | Ervoor zorgen dat TLS-Client-Cert-Common-Name de juiste gegevens bevat |
| ghostscript | Probleem met bufferoverloop oplossen [CVE-2023-38559]; proberen het opstarten van de IJS-server te beveiligen [CVE-2023-43115] |
| gitit | Opnieuw bouwen tegen nieuw pandoc |
| gjs | Oneindige lussen van inactieve callbacks voorkomen als een inactieve verwerker wordt aangeroepen tijdens GC |
| glibc | De waarde van F_GETLK/F_SETLK/F_SETLKW met __USE_FILE_OFFSET64 op ppc64el repareren; oplossing voor een overloop bij het lezen van de stack in getaddrinfo in de modus no-aaaa [CVE-2023-4527]; oplossing voor gebruik na vrijgave in getcanonname [CVE-2023-4806 CVE-2023-5156]; reparatie van _dl_find_object om correcte waarden terug te geven, zelfs tijdens een vroege start |
| gosa-plugins-netgroups | Waarschuwingen over verouderd zijn weglaten in de webinterface |
| gosa-plugins-systems | Beheer van DHCP/DNS-vermeldingen in standaardthema verbeteren; probleem oplossen met het toevoegen van (zelfstandige) netwerkprinter-systemen; probleem met het genereren van doel-DN's voor verschillende systeemtypen oplossen; pictogramweergave in DHCP-servlet repareren; computernaam zonder volledige unieke domeinnaam afdwingen voor werkstations |
| gtk+3.0 | Nieuwe bovenstroomse stabiele release; oplossing voor verschillende crashes; meer informatie tonen in de foutopsporingsinterface inspector; stilleggen van GFileInfo-waarschuwingen bij gebruik met een backport-versie van GLib; een lichte kleur gebruiken voor de cursor in donkere thema's, waardoor deze in sommige apps, met name in Evince, veel gemakkelijker te zien is |
| gtk4 | Reparatie van tekstafbreking in de zijbalk voor plaatsnamen met de toegankelijkheidsinstelling grote tekst |
| haskell-hakyll | Opnieuw bouwen tegen nieuw pandoc |
| highway | Oplossing voor ondersteuning voor armhf-systemen zonder NEON |
| hnswlib | Oplossing voor dubbele vrijgave in init_index wanneer het M-argument een groot geheel getal is [CVE-2023-37365] |
| horizon | Probleem met open omleidingen oplossen [CVE-2022-45582] |
| icingaweb2 | Ongewenste meldingen over verouderd zijn onderdrukken |
| imlib2 | Het behoud van de alfakanaalvlag repareren |
| indent | Oplossing voor lezen buiten buffer; bufferoverschrijving repareren [CVE-2023-40305] |
| inetutils | De terugkeerwaarden controleren bij het laten vallen van privileges [CVE-2023-40303] |
| inn2 | Oplossing voor hangen van nnrpd wanneer compressie is ingeschakeld; ondersteuning toevoegen voor syslog-tijdstempels met hoge precisie; inn-{radius,secrets}.conf niet voor iedereen leesbaar maken |
| jekyll | YAML-aliassen ondersteunen |
| kernelshark | Segmentatiefout in libshark-tepdata repareren; vastleggen verbeteren wanneer doelmap een spatie bevat |
| krb5 | Probleem met het vrijgeven van een niet-geïnitialiseerde pointer oplossen [CVE-2023-36054] |
| lemonldap-ng | Aanmeldingscontrole toepassen op auth-slave verzoeken; open omleiding repareren als gevolg van onjuiste escape-afhandeling; open omleiding repareren wanneer OIDC RP geen omleidings-URI's heeft; probleem met vervalsing van Server Side-verzoeken oplossen [CVE-2023-44469] |
| libapache-mod-jk | Verwijderen van de impliciete omzettingsfunctionaliteit, die zou kunnen leiden tot onbedoelde blootstelling van de statuswerker en/of het omzeilen van beveiligingsbeperkingen [CVE-2023-41081] |
| libclamunrar | Nieuwe bovenstroomse stabiele release |
| libmatemixer | Oplossen van heap-beschadigingen/applicatiecrashes bij het verwijderen van audioapparaten |
| libpam-mklocaluser | pam-auth-update: ervoor zorgen dat de module vóór andere modules van het sessietype wordt gerangschikt |
| libxnvctrl | Nieuw bronpakket afgesplitst van nvidia-settings |
| linux | Nieuwe bovenstroomse stabiele release |
| linux-signed-amd64 | Nieuwe bovenstroomse stabiele release |
| linux-signed-arm64 | Nieuwe bovenstroomse stabiele release |
| linux-signed-i386 | Nieuwe bovenstroomse stabiele release |
| llvm-defaults | Reparatie van symbolische koppeling naar /usr/include/lld; Breaks toevoegen tegen pakketten die niet samen geïnstalleerd kunnen worden voor een soepelere upgrade van bullseye |
| ltsp | Het gebruik van mv vermijden bij symbolische koppeling naar init |
| lxc | Syntaxis van nftables verbeteren voor IPv6 NAT |
| lxcfs | CPU-rapportage verbeteren binnen een arm32-container met grote aantallen CPU's |
| marco | Compositie enkel inschakelen als het beschikbaar is |
| mariadb | Nieuwe bovenstroomse release met probleemoplossingen |
| mate-notification-daemon | Twee geheugenlekken repareren |
| mgba | Defecte audio repareren in libretro core; fcrash repareren op hardware die OpenGL 3.2 niet ondersteunt |
| modsecurity | Probleem van denial of service oplossen [CVE-2023-38285] |
| monitoring-plugins | check_disk: aankoppelen vermijden bij het zoeken naar overeenkomende koppelpunten, waarmee een snelheidsafname ten opzichte van bullseye wordt opgelost |
| mozjs102 | Nieuwe bovenstroomse stabiele release; oplossingem voor onjuiste waarde gebruikt tijdens WASM-compilatie[CVE-2023-4046], mogelijk probleem van gebruik na vrijgave [CVE-2023-37202], probleem met geheugenbeveiliging [CVE-2023-37211 CVE-2023-34416] |
| mutt | Nieuwe bovenstroomse stabiele release |
| nco | Ondersteuning voor udunits2 opnieuw inschakelen |
| nftables | Oplossing voor probleem van genereren van onjuiste bytecode bij een nieuwe kernelcontrole die het toevoegen van regels aan gebonden ketens weigert |
| node-dottie | Oplossen van veiligheidsprobleem (prototypepollutie) [CVE-2023-26132] |
| nvidia-settings | Nieuwe bovenstroomse release met probleemoplossingen |
| nvidia-settings-tesla | Nieuwe bovenstroomse release met probleemoplossingen |
| nx-libs | Oplossing voor ontbrekende symbolische koppeling naar /usr/share/nx/fonts; verbetering aan manpagina |
| open-ath9k-htc-firmware | De juiste firmware laden |
| openbsd-inetd | Problemen met geheugenverwerking oplossen |
| openrefine | Probleem met uitvoering van willekeurige code oplossen [CVE-2023-37476] |
| openscap | Vereisten van openscap-utils en python3-openscap oplossen |
| openssh | Probleem met uitvoering van externe code via een doorgestuurde agent-socket oplossen [CVE-2023-38408] |
| openssl | Nieuwe bovenstroomse stabiele release; oplossingen voor beveiligingsproblemen [CVE-2023-2975 CVE-2023-3446 CVE-2023-3817] |
| pam | Reparatie van pam-auth-update --disable; bijgewerkte Turkse vertaling |
| pandoc | Probleem met willekeurig schrijven in bestanden oplossen [CVE-2023-35936] |
| plasma-framework | Plasmashell-crashes verhelpen |
| plasma-workspace | Crash in krunner verhelpen |
| python-git | Oplossen van probleem met uitvoering van externe code [CVE-2023-40267] en van probleem met insluiting van blind lokaal bestand [CVE-2023-41040] |
| pywinrm | Oplossing voor compatibiliteit met Python 3.11 |
| qemu | Bijwerken naar bovenstroomse 7.2.5-structuur; ui/vnc-clipboard: oneindige lus in inflate_buffer repareren [CVE-2023-3255]; probleem met NULL pointer dereference oplossen [CVE-2023-3354]; probleem van bufferoverloop oplossen [CVE-2023-3180] |
| qtlocation-opensource-src | Oplossing voor vastlopen bij het laden van kaarttegels |
| rar | Nieuwe bovenstroomse release met probleemoplossingen [CVE-2023-40477] |
| reprepro | Rasconditie verhelpen bij gebruik van externe decompressors |
| rmlint | Herstellen van een fout in andere pakketten veroorzaakt door een ongeldige Python-pakketversie; fout bij opstarten van GUI met recente python3.11 oplossen |
| roundcube | Nieuwe bovenstroomse stabiele release; repareren van OAuth2-authenticatie; problemen met cross-site scripting oplossen [CVE-2023-43770] |
| runit-services | dhclient: gebruik van eth1 niet vast coderen |
| samba | Nieuwe bovenstroomse stabiele release |
| sitesummary | Nieuwe bovenstroomse release; installatie van CRON/systemd-timerd-script voor sitesummary-onderhoud repareren; het onveilig aanmaken van tijdelijke bestanden en mappen repareren |
| slbackup-php | Probleemoplossingen: externe commando's loggen naar stderr; known hosts-bestanden van SSH uitschakelen; PHP 8 compatibiliteit |
| spamprobe | Crashes bij het verwerken van JPEG-bijlagen repareren |
| stunnel4 | Verbeterde afhandeling van een peer die een TLS-verbinding sluit zonder de juiste afsluitberichten |
| systemd | Nieuwe bovenstroomse stabiele release; oplossen van klein beveiligingsprobleem in arm64 en riscv64 systemd-boot (EFI) terwijl blobs voor de apparaatboom worden geladen |
| testng7 | Backporten naar stable voor toekomstige compilaties van openjdk-17 |
| timg | Oplossing voor kwetsbaarheid voor bufferoverloop [CVE-2023-40968] |
| transmission | Vervangen van patch voor compatiliteit met openssl3 om geheugenlek te repareren |
| unbound | Oplossen van overstromen van foutenlogboek bij gebruik van DNS over TLS met openssl 3.0 |
| unrar-nonfree | Oplossen van een probleem van uitvoeren van externe code [CVE-2023-40477] |
| vorta | Veranderingen in ctime en mtime verwerken in diffs |
| vte2.91 | Ringweergave vaker ongeldig maken als dat nodig is, om verschillende bevestigingsfouten tijdens de afhandeling van gebeurtenissen op te lossen |
| x2goserver | x2goruncommand: ondersteuning toevoegen voor KDE Plasma 5; x2gostartagent: bederf van logbestanden voorkomen; keystrokes.cfg: synchroniseren met nx-libs; codering van Finse vertaling repareren |
Beveiligingsupdates
Met deze revisie worden de volgende beveiligingsupdates toegevoegd aan de stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:
Verwijderde pakketten
De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:
| Pakket | Reden |
|---|---|
| https-everywhere | verouderd, belangrijke browsers bieden er zelf ondersteuning voor |
Het Debian-installatiesysteem
Het installatiesysteem werd bijgewerkt om de reparaties die met deze tussenrelease in stable, de stabiele release, opgenomen werden, toe te voegen.
URL's
De volledige lijsten met pakketten die met deze revisie gewijzigd werden:
De huidige stabiele distributie:
Voorgestelde updates voor de stabiele distributie:
informatie over de stabiele distributie (notities bij de release, errata, enz.):
Beveiligingsaankondigingen en -informatie:
Over Debian
Het Debian-project is een samenwerkingsverband van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.
Contactinformatie
Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele release op <debian-release@lists.debian.org>.