Debian 11 aktualisiert: 11.8 veröffentlicht

7. Oktober 2023

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Oldstable-Distribution Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wo möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket	Grund
adduser	Anfälligkeit für Befehlsinjektion in deluser behoben
aide	Umgang mit erweiterten Attributen in symbolischen Links behoben
amd64-microcode	Enthaltenen Mikrocode aktualisiert, darunter auch Korrekturen für AMD Inception auf AMD Zen4-Prozessoren [CVE-2023-20569]
appstream-glib	Handhabung der Tags <em> und <code> in Metadaten
asmtools	Für künftige openjdk-11-Kompilate nach Bullseye zurückportiert
autofs	Fehlende mutex-Entsperrung hinzugefügt; kein rpcbind für NFS4-Einhängungen verwenden; Regression beim Feststellen der Erreichbarkeit auf Dual-Stack-Maschinen behoben
base-files	Aktualisierung auf die Zwischenveröffentlichung 11.8
batik	Probleme mit serverseitiger Anfragefälschung behoben [CVE-2022-44729 CVE-2022-44730]
bmake	Konflikt mit bsdowl (<< 2.2.2-1.2~) eingetragen, um glattlaufende Upgrades sicherzustellen
boxer-data	Thunderbird-Kompatibilitäts-Korrekturen zurückportiert
ca-certificates-java	Behelfslösung für unkonfiguriertes jre während der Installation eingebaut
cairosvg	Data:-URLs im sicheren Modus verarbeiten
cargo-mozilla	Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
clamav	Neue stabile Version der Originalautoren; Anfälligkeit für Dienstblockade via HFS+-Parser behoben [CVE-2023-20197]
cpio	Eigenmächtige Codeausführung unterbunden [CVE-2021-38185]; Empfehlung von libarchive1 mit Empfehlung von libarchive-dev ersetzt
cryptmount	Speicher-Initialisierung im Befehlszeilen-Parser überarbeitet
cups	Heap-basierten Pufferüberlauf [CVE-2023-4504 CVE-2023-32324], unautorisierten Zugriff [CVE-2023-32360], Use-after-free [CVE-2023-34241] abgestellt
curl	Codeausführung [CVE-2023-27533 CVE-2023-27534], Informationsoffenlegung [CVE-2023-27535 CVE-2023-27536 CVE-2023-28322], unzulässige Wiederverwendung von Verbindungen [CVE-2023-27538], ungeeignete Zertifikatsüberprüfung [CVE-2023-28321] behoben
dbus	Neue stabile Version der Originalautoren; Dienstblockade abgestellt [CVE-2023-34969]
debian-design	Neukompilierung mit neuerem boxer-data
debian-installer	Linux-Kernel-ABI auf 5.10.0-26 angehoben; Neukompilierung gegen proposed-updates
debian-installer-netboot-images	Neukompilierung gegen proposed-updates
debian-parl	Neukompilierung mit neuerem boxer-data
debian-security-support	DEB_NEXT_VER_ID=12 gesetzt, weil Bookworm die nächste Veröffentlichung ist; security-support-limited: gnupg1 hinzugefügt
distro-info-data	Debian 14 Forky hinzugefügt; Veröffentlichungsdatum von Ubuntu 23.04 korrigiert; Ubuntu 23.10 Mantic Minotaur hinzugefügt; geplantes Veröffentlichungsdatum für Debian Bookworm hinzugefügt
dkimpy	Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
dpdk	Neue stabile Version der Originalautoren
dpkg	Unterstützung für die loong64-CPU hinzugefügt; beim Formatieren von source:Upstream-Version nicht von fehlender Version stören lassen; varbuf-Speicherleck in pkg_source_version() geflickt
flameshot	Hochladen zu imgur standardmäßig deaktiviert; Name der d/NEWS-Datei aus dem vorherigen Upload korrigiert
ghostscript	Pufferüberlauf unterbunden [CVE-2023-38559]; versucht, den IJS-Server-Start abzusichern [CVE-2023-43115]
gitit	Neukompilierung gegen neues pandoc
grunt	Race-Condition beim Kopieren symbolischer Links behoben [CVE-2022-1537]
gss	Beschädigt+Ersetzt hinzugefügt: libgss0 (<< 0.1)
haskell-hakyll	Neukompilierung gegen neues pandoc
haskell-pandoc-citeproc	Neukompilierung gegen neues pandoc
hnswlib	Doppel-Free in init_index behoben, das auftrat, wenn das M-Argument eine große Ganzzahl ist [CVE-2023-37365]
horizon	Offene Weiterleitung geschlossen [CVE-2022-45582]
inetutils	Rückgabewerte der set*id()-Funktionen kontrollieren, um potenziellen Sicherheitsproblemen vorzubeugen [CVE-2023-40303]
krb5	Free eines nicht initialisierten Zeigers abgestellt [CVE-2023-36054]
kscreenlocker	Authentifizierungsfehler bei Verwendung mit PAM behoben
lacme	Richtig mit CA ready-, processing- und valid-Zuständen umgehen
lapack	eigenvector-Matrix nachgebessert
lemonldap-ng	Offene Weiterleitung in dem Fall, dass OIDC RP keine Weiterleitungs-URIs hat, geschlossen; serverseitige Anfragefälschung behoben [CVE-2023-44469]; offene Weiterleitung wegen fehlerhaftem Umgang mit Escaping behoben
libapache-mod-jk	Funktionalität für implizites Mapping, die zu unbeabsichtigter Freilegung des Status-Workers und/oder Umgehung der Sicherheitsbeschränkungen führen kann, entfernt [CVE-2023-41081]
libbsd	Endlosschleife in MD5File behoben
libclamunrar	Neue stabile Version der Originalautoren
libprelude	Python-Modul verwendbar gemacht
libreswan	Dienstblockade behoben [CVE-2023-30570]
libsignal-protocol-c	Ganzzahlüberlauf behoben [CVE-2022-48468]
linux	Neue stabile Version der Originalautoren
linux-signed-amd64	Neue stabile Version der Originalautoren
linux-signed-arm64	Neue stabile Version der Originalautoren
linux-signed-i386	Neue stabile Version der Originalautoren
logrotate	Ersetzung von /dev/null mit regulärer Datei, wenn sie für das State-File benutzt wird, vermeiden
ltsp	Verwendung von mv auf Init-Symlink vermeiden, um Problem mit overlayfs aus dem Weg zu gehen
lttng-modules	Kompilierungsprobleme mit neueren Kernel-Versionen behoben
lua5.3	Use-after-free in lua_upvaluejoin (lapi.c) behoben [CVE-2019-6706]; Speicherzugriffsfehler in getlocal und setlocal (ldebug.c) abgestellt [CVE-2020-24370]
mariadb-10.5	Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2022-47015]
mujs	Sicherheitskorrektur
ncurses	Laden von eigenen terminfo-Einträgen in setuid/setgid-Programmen verboten [CVE-2023-29491]
node-css-what	Auf regulären Ausdrücken basierende Dienstblockade abgestellt [CVE-2022-21222 CVE-2021-33587]
node-json5	Prototype Pollution beseitigt [CVE-2022-46175]
node-tough-cookie	Sicherheitskorrektur: Prototype Pollution [CVE-2023-26136]
nvidia-graphics-drivers	Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516]; Kompatiblität mit neueren Kerneln verbessert
nvidia-graphics-drivers-tesla-450	Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516]
nvidia-graphics-drivers-tesla-470	Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2023-25515 CVE-2023-25516]
openblas	Ergebnisse von DGEMM auf AVX512-fähiger Hardware, wenn das Paket auf vof-AVX2-Geräten kompiliert wurde, korrigiert
openssh	Codeausführung aus der Ferne durch einen weitergeleiteten Agent-Socket unterbunden [CVE-2023-38408]
openssl	Neue stabile Version der Originalautoren; Dienstblockade behoben [CVE-2023-3446 CVE-2023-3817]
org-mode	Anfälligkeit für Befehlsinjektion korrigiert [CVE-2023-28617]
pandoc	Eigenmächtige schreibende Dateizugriffe unterbunden [CVE-2023-35936 CVE-2023-38745]
pev	Pufferüberlauf abgestellt [CVE-2021-45423]
php-guzzlehttp-psr7	Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197]
php-nyholm-psr7	Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197]
postgis	Regression bei Achsenreihenfolge entfernt
protobuf	Sicherheitskorrekturen: Dienstblockade in Java [CVE-2021-22569]; Nullzeiger-Dereferenzierung [CVE-2021-22570]; Speicher-Dienstblockade [CVE-2022-1941]
python2.7	parameter cloaking (Parameter-Verbergen) [CVE-2021-23336], URL-Injektion [CVE-2022-0391], Use-after-free [CVE-2022-48560], XML External Entity [CVE-2022-48565] behoben; zeitlich konstante Vergleiche in compare_digest() überarbeitet [CVE-2022-48566]; URL-Verarbeitung verbessert [CVE-2023-24329]; Lesen von unauthentifizierten Daten auf einem SSL-Socket verhindert [CVE-2023-40217]
qemu	Endlosschleife behoben [CVE-2020-14394], Nullzeiger-Dereferenzierung [CVE-2021-20196], Ganzzahlüberlauf [CVE-2021-20203], Pufferüberlauf [CVE-2021-3507 CVE-2023-3180], Dienstblockade [CVE-2021-3930 CVE-2023-3301], Use-after-free [CVE-2022-0216], mögliche Ganzzahlüberläufe und Use-after-free [CVE-2023-0330], Lesezugriff außerhalb der Grenzen [CVE-2023-1544]
rar	Neue Veröffentlichung durch die Originalautoren; Verzeichnisüberschreitung behoben [CVE-2022-30333]; Eigenmächtige Codeausführung unterbunden [CVE-2023-40477]
rhonabwy	aesgcm-Pufferüberlauf behoben [CVE-2022-32096]
roundcube	Neue stabile Version der Originalautoren; seitenübergreifendes Skripting unterbunden [CVE-2023-43770]; Enigma: Erstsynchronisierung der privaten Schlüssel korrigiert
rust-cbindgen	Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
rustc-mozilla	Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
schleuder	Versionierte Abhängigkeit von ruby-activerecord hinzugeügt
sgt-puzzles	Verschiedene Sicherheitsprobleme beim Laden von Spielen behoben [CVE-2023-24283 CVE-2023-24284 CVE-2023-24285 CVE-2023-24287 CVE-2023-24288 CVE-2023-24291]
spip	Mehrere Sicherheitskorrekturen; Sicherheitskorrektur für erweiterte Authentifizierungsdaten-Filterung
spyder	Fehlerhafte Korrektur aus vorheriger Aktualisierung nachgebessert
systemd	Udev: Erstellung von symbolischen Links für USB-Geräte unter /dev/serial/by-id/ überarbeiet; Speicherleck beim Neuladen des Daemons geflickt; Hänger beim Berechnen der Kalenderdaten behoben, der beim Sommerzeit-/Winterzeitwechsel in der Zeitzone Europe/Dublin auftrat
tang	Race Condition beim Erzeugen/Rotieren von Schlüsseln behoben; strenge Berechtigungen auf das Schlüsselverzeichnis anwenden [CVE-2023-1672]; tangd-rotate-keys ausführbar machen
testng7	Für künftige openjdk-17-Kompilate nach Oldstable zurückportiert
tinyssh	Problemumgehung für eingehenden Pakete, die sich nicht an die Maximallänge halten
unrar-nonfree	Problem mit Dateiüberschreitung behoben [CVE-2022-48579]; Codeausführung aus der Ferne abgestellt [CVE-2023-40477]
xen	Neue stabile Version der Originalautoren; Sicherheitsprobleme behoben [CVE-2023-20593 CVE-2023-20569 CVE-2022-40982]
yajl	Sicherheitskorrektur für Speicherleck; Sicherheitskorrekturen: potenzielle Dienstblockade mit speziell angefertigter JSON-Datei [CVE-2017-16516]; Heap-Speicher-Beschädigung beim Umgang mit großen (~2GB) Eingaben [CVE-2022-24795]; unvollständige Korrektur für CVE-2023-33460 fertiggestellt

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-5394	ffmpeg
DSA-5395	nodejs
DSA-5396	evolution
DSA-5396	webkit2gtk
DSA-5397	wpewebkit
DSA-5398	chromium
DSA-5399	odoo
DSA-5400	firefox-esr
DSA-5401	postgresql-13
DSA-5402	linux-signed-amd64
DSA-5402	linux-signed-arm64
DSA-5402	linux-signed-i386
DSA-5402	linux
DSA-5403	thunderbird
DSA-5404	chromium
DSA-5405	libapache2-mod-auth-openidc
DSA-5406	texlive-bin
DSA-5407	cups-filters
DSA-5408	libwebp
DSA-5409	libssh
DSA-5410	sofia-sip
DSA-5411	gpac
DSA-5412	libraw
DSA-5413	sniproxy
DSA-5414	docker-registry
DSA-5415	libreoffice
DSA-5416	connman
DSA-5417	openssl
DSA-5418	chromium
DSA-5419	c-ares
DSA-5420	chromium
DSA-5421	firefox-esr
DSA-5422	jupyter-core
DSA-5423	thunderbird
DSA-5424	php7.4
DSA-5426	owslib
DSA-5427	webkit2gtk
DSA-5428	chromium
DSA-5430	openjdk-17
DSA-5431	sofia-sip
DSA-5432	xmltooling
DSA-5433	libx11
DSA-5434	minidlna
DSA-5435	trafficserver
DSA-5436	hsqldb1.8.0
DSA-5437	hsqldb
DSA-5438	asterisk
DSA-5439	bind9
DSA-5440	chromium
DSA-5441	maradns
DSA-5442	flask
DSA-5443	gst-plugins-base1.0
DSA-5444	gst-plugins-bad1.0
DSA-5445	gst-plugins-good1.0
DSA-5446	ghostscript
DSA-5447	mediawiki
DSA-5449	webkit2gtk
DSA-5450	firefox-esr
DSA-5451	thunderbird
DSA-5452	gpac
DSA-5453	linux-signed-amd64
DSA-5453	linux-signed-arm64
DSA-5453	linux-signed-i386
DSA-5453	linux
DSA-5455	iperf3
DSA-5456	chromium
DSA-5457	webkit2gtk
DSA-5459	amd64-microcode
DSA-5461	linux-signed-amd64
DSA-5461	linux-signed-arm64
DSA-5461	linux-signed-i386
DSA-5461	linux
DSA-5463	thunderbird
DSA-5464	firefox-esr
DSA-5465	python-django
DSA-5467	chromium
DSA-5468	webkit2gtk
DSA-5470	python-werkzeug
DSA-5471	libhtmlcleaner-java
DSA-5472	cjose
DSA-5473	orthanc
DSA-5474	intel-microcode
DSA-5475	linux-signed-amd64
DSA-5475	linux-signed-arm64
DSA-5475	linux-signed-i386
DSA-5475	linux
DSA-5476	gst-plugins-ugly1.0
DSA-5478	openjdk-11
DSA-5479	chromium
DSA-5480	linux-signed-amd64
DSA-5480	linux-signed-arm64
DSA-5480	linux-signed-i386
DSA-5480	linux
DSA-5481	fastdds
DSA-5482	tryton-server
DSA-5483	chromium
DSA-5484	librsvg
DSA-5485	firefox-esr
DSA-5486	json-c
DSA-5487	chromium
DSA-5489	file
DSA-5490	aom
DSA-5491	chromium
DSA-5493	open-vm-tools
DSA-5494	mutt
DSA-5495	frr
DSA-5497	libwebp
DSA-5500	flac
DSA-5502	xorgxrdp
DSA-5502	xrdp
DSA-5503	netatalk
DSA-5504	bind9
DSA-5505	lldpd
DSA-5507	jetty9
DSA-5510	libvpx

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernet, die sich unserer Kontrolle entziehen:

Paket	Grund
atlas-cpp	Version der Originalautoren zu unbeständig für Debian
ember-media	Version der Originalautoren zu unbeständig für Debian
eris	Version der Originalautoren zu unbeständig für Debian
libwfut	Version der Originalautoren zu unbeständig für Debian
mercator	Version der Originalautoren zu unbeständig für Debian
nomad	Sicherheitskorrekturen nicht länger verfügbar
nomad-driver-lxc	hängt von nomad ab, das entfernt wird
skstream	Version der Originalautoren zu unbeständig für Debian
varconf	Version der Originalautoren zu unbeständig für Debian
wfmath	Version der Originalautoren zu unbeständig für Debian

h2>Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Oldstable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.