Debian 9: 9.2 veröffentlicht
7. Oktober 2017
Das Debian-Projekt freut sich, die zweite Aktualisierung seiner
Stable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-CDs oder -DVDs wegzuwerfen, denn es reicht, neue Installationen mit einem aktuellen Debian-Spiegelserver abzugleichen, damit alle veralteten Pakete ausgetauscht werden.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen von security.debian.org sind in dieser Revision enthalten.
Neue Installationsmedien können bald von den gewohnten Orten bezogen werden.
Für das Online-Upgrade auf diese Version wird in der Regel die Paketverwaltung auf einen der vielen Debian-HTTP-Spiegel verwiesen. Eine umfassende Liste der Spiegelserver findet sich unter:
Als Besonderheit bei dieser Zwischenveröffentlichung müssen alle, die
apt-get
für ihre Upgrades verwenden, dieses Mal den dist-upgrade
-Befehl
benutzen, damit die neuesten Kernel-Pakete eingespielt werden. Wer ein anderes
Werkzeug wie apt
oder aptitude
einsetzt, bleibt beim upgrade
-Befehl.
Verschiedene Fehlerkorrekturen
Wegen eines Versehens beim Vorbereiten dieser Zwischenversion ist die
Aktualisierung mit der neuen Version des base-files
-Pakets leider nicht
mit enthalten. Sie wird in naher Zukunft via stretch-updates
nachgeliefert.
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
apt | Probleme in apt-daily-upgrade behoben; möglichen Absturz in der Spiegelmethode behoben |
at-spi2-core | Absturz beim Fensterwechsel behoben |
bareos | Berechtigungen der bareos-dir-Protokollrotation beim Upgrade korrigiert; Dateiverfälschung bei Verwendung von SHA1-Signaturen behoben |
bind9 | Unterstützung für den Import von DNSSEC KSK-2017 hinzugefügt |
bridge-utils | Problem mit einigen VLAN-Schnittstellen behoben, die nicht angelegt werden |
caja | Übermäßige CPU-Auslastung beim Laden des Hintergrundbilds reduziert |
chrony | 'burst'-Befehl nicht an chronyc weitergeben |
cross-gcc | Veraltete Unterstützung für gcc 6.3.0-18 entfernt |
cvxopt | Unnötige und nicht funktionierende Kompatibilitätsschicht für lpx_main() entfernen |
db5.3 | DB_CONFIG nicht abrufen, wenn db_home nicht gesetzt ist [CVE-2017-10140] |
dbus | Neue stabile Version der Originalautoren |
debian-edu-doc | Stretch-bezogene Dokumentations- und Übersetzungsaktualisierungen einfließen lassen; Debian-Edu-Stretch-Handbuch aus dem Wiki aktualisiert; derzeitige Bootmenü-Bilder durch aktuellere aus dem Wiki ersetzt |
debian-installer | Linux-Kernel ABI auf 4 aktualisiert |
debian-installer-netboot-images | Neubau gegen proposed-updates |
desktop-base | XML-Syntaxfehler in Gnome-Hintergrundbild-Beschreibung korrigiert, welche verhindert haben, dass die Joy-Hintergrundbilder standardmäßig zur Verfügung standen; sicherstellen, dass Postinst beim Upgrade nicht fehlschlägt, selbst wenn ein unvollständiges Themenpaket aktiv ist |
dns-root-data | Aktualisiert root.hints auf Version 2017072601; Ändert den Status von KSK-2017 auf VALID (gültig) |
dnsdist | Sicherheitskorrekturen [CVE-2016-7069 CVE-2017-7557] |
dnsviz | Gezielt Korrekturen der Originalautoren, welche Änderungen an root.hints und root.keys betreffen, übernommen |
dose3 | Versionierte Provides-Unterstüzung überarbeitet - Pakete, welche dasselbe virtuelle Paket in verschiedenen Versionen oder dasselbe virtuelle Paket als echtes Paket anbieten, sind jetzt nebeneinander installierbar |
ecl | Fehlende Abhängigkeit von libffi-dev nachgetragen |
erlang-p1-tls | ECDH-Kurven korrigiert |
evolution | Hänger bei Rechtsklick im Verfassen-Fenster behoben |
expect | Richtig auf EOF prüfen, damit keine Eingabe verloren geht |
fife | Speicherleck behoben |
flatpak | Neue stabile Version der Originalautoren; Installation von Dateien mit falschen Berechtigungen verhindern; Kompatibilität mit libostree 2017.7 wiederherstellen |
freerdp | Unterstützung für TLS >= 1.1 aktiviert |
gnome-exe-thumbnailer | Wechsel auf msitools' msiinfo zum Ermitteln der ProductVersion, um die unsichere VBScript-basierte Auswertung zu ersetzen [CVE-2017-11421]; unlesbaren Weiß-auf-weiß-Text bei Versionsnummern korrigiert |
gnupg2 | dirmngr-Probleme mit kaputtem Reverse-DNS, Assertion bei der Verwendung von tofu-default-policy ask, mehrere Probleme mit scdaemon und unberechtigte Warnungen beim Teilen einer Keybox mit gpg >= 2.1.20 behoben |
gnutls28 | OCSP-Verifikationsfehler behoben, vor allem bei ECDSA-Signaturen |
gosa-plugin-mailaddress | Parent-Constructor-Aufrufe zwecks Kompatibilität mit PHP7 korrigiert |
gsoap | Ganzzahl-Überlauf durch überlanges XML-Dokument behoben [CVE-2017-9765] |
haveged | haveged.service starten, nachdem systemd-tmpfiles-setup.service gelaufen ist |
ipsec-tools | Sicherheitskorrektur [CVE-2016-10396] |
irssi | Nullzeiger-Dereferenzierung behoben [CVE-2017-10965], Use-After-Free-Condition für die Nickliste [CVE-2017-10966] |
kanatest | DISABLE_DEPRECATED-Markierungen entfernt, diese verursachen eine implizite Zeigerkonvertierung und dadurch einen Speicherzugriffsfehler beim Starten |
kdepim | Später senden mit Verzögerung umgeht OpenPGP[CVE-2017-9604] behoben |
kf5-messagelib | Später senden mit Verzögerung umgeht OpenPGP[CVE-2017-9604] behoben |
krb5 | Sicherheitsproblem behoben, durch das fernauthentifizierte Angreifer den KDC zum Absturz bringen können [CVE-2017-11368]; Startprobleme für den Fall, dass getaddrinfo() eine v6-Adresse mit Platzhalter zurückgibt, gelöst und Handhabung von explizit angegebenen v4-Platzhalter-Adressen korrigiert; SRV-Lookups nachgebessert, damit sie sich ans udp_preference_limit halten |
lava-tool | Fehlende Abhängigkeit von python-simplejson nachgetragen |
librsb | Mehrere schwere Programmfehler behoben, die zu numerisch falschen Ergebnissen führen |
libselinux | Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren |
libsolv | Abhängigkeiten von Python-3-Modulen überarbeitet |
libwpd | Dienstblockade behoben [CVE-2017-14226] |
linux | Neue stabile Version der Originalautoren |
linux-latest | Aktualisierung auf 4.9.0-4 |
lzma | Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren |
mailman | Kaputte Abhängigkeiten in contrib/SpamAssassin.py korrigiert |
mate-power-manager | Bei unbekanntem DBus-Signalnamen nicht abbrechen |
mate-themes | Schriftfarbe in Google Chromes URL-Leiste korrigiert |
mate-tweak | Fehlende Abhängigkeit von python3-gi nachgetragen |
ncurses | Verschiedene Absturzfehler in der tic-Bibliothek und der tic-Binärdatei behoben [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
nettle | Neubau mit neuem sbuild, um das Changelog-Datum zu korrigieren |
node-brace-expansion | Dienstblockade mit regulären Ausdrücken behoben |
node-dateformat | Zum Testen TZ=UTC gesetzt, um Bau-Fehlschläge zu beseitigen |
ntp | /usr/bin/sntp bauen und installieren |
nvidia-graphics-drivers | Neue Veröffentlichung 375.82 auf dem langlebigen Zweig der Originalautoren - Sicherheitskorrekturen [CVE-2017-6257 CVE-2017-6259], fügt Unterstützung für folgende GPUs hinzu: GeForce GTX 1080 mit Max-Q-Design, GeForce GTX 1070 mit Max-Q-Design, GeForce GTX 1060 mit Max-Q-Design; nvidia-kernel-dkms: Parallel-Einstellung aus dkms beachten |
open-vm-tools | Namen für Temporärverzeichnis zufällig generieren [CVE-2015-5191] |
opendkim | Als root starten und Privilegien in opendkim abgeben, damit die Schlüsseldatei den richtigen Besitzer hat |
openldap | libldap-2.4-2s Abhängigkeit von libldap-common entspannt, um auch spätere Versionen zu erlauben; Upgrade-Fehlschläge für die Fälle behoben, in denen olcSuffix einen umgekehrten Schrägstrich beinhaltet; Auslesen des Werts der LDAP_OPT_X_TLS_REQUIRE_CERT-Option aus vorher freigemachtem Speicher vermeiden; potenzielle endlose Replikationsschleife in einem multi-master delta-syncrepl-Szenario mit drei oder mehr Knoten behoben; Speicherkorrumpierung behoben, die durch mehrfachen und möglicherweise gleichzeitigen sasl_client_init()-Aufruf verursacht wird |
openvpn | Fehlschlagende Neuverbindungen wegen falscher Push-Digest-Berechnung korrigiert |
osinfo-db | Distributions-Information aktualisiert |
pcb-rnd | Codeausführung durch eine schadhaft geformte Design-Datei behoben |
postfix | Neue stabile Version der Originalautoren - Variablennamen mit einem Zeichen ohne {} an Milters schicken; MIME-Downgrade von durch Postfix generierte Nachrichten/Zustellungsstatus verhindert; Probleme durch Versuche der Berkeley DB, Einstellungen aus der DB_CONFIG-Datei zu lesen, umgangen |
python-pampy | Abhängigkeiten von Python-3-Modulen korrigiert |
request-tracker4 | Rückschritt in vorheriger Sicherheitsveröffentlichung behoben, durch den falsche SHA256-Passwörter einen Fehler provozieren konnten |
ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: Fehlende Abhängigkeiten nachgetragen |
samba | Sicherstellen, dass SMB-Signierung erzwungen wird [CVE-2017-12150]; benötigte Verschlüsselung über SMB3-DFS-Weiterleitungen hinweg beibehalten [CVE-2017-12151]; Serverspeicher-Informationsleck über SMB1 [CVE-2017-12163] behoben; neue Version der Originalautoren; libpam-winbind.prerm multiarch-sicher gemacht; fehlende Protokollrotierung für /var/log/samba/log.samba nachgerüstet; veraltete DNS-Root-Server korrigiert; Nicht-Kerberos-Anmeldungen schlagen bei winbind 4.x fehl, wenn krb5_auth in PAM konfiguriert istbehoben |
smplayer | Verbindungen zu YouTube korrigiert |
speech-dispatcher | spd-conf wieder zum Funktionieren gebracht |
suricata | Anzahl der rekursiven Aufrufe im DER/ASN.1-Dekoder reduziert, um Stapelüberläufe zu vermeiden |
swift | Neue stabile Version der Originalautoren |
tbdialout | Führendes Pluszeichen mitnehmen, wenn das URI-Schema mit tel: benutzt wird |
tiny-initramfs | Fehlende Abhängigkeit von cpio nachgetragen |
topal | Fehlbenutzung der sed-Zeichenklassensyntax behoben |
torsocks | check_addr() korrigiert, dass es entweder 0 oder 1 zurückliefert |
trace-cmd | Speicherzugriffsfehler bei der Verarbeitung gewisser Trace-Dateien behoben |
unbound | Installation des Vertrauensankers für den Fall überarbeitet, dass zwei Anker vorhanden sind; für KSK-20017 von dns-root-data (>= 2017072601~) abhängen |
unknown-horizons | Speicherleck geschlossen |
up-imapproxy | Systemd-Servicedatei korrigiert |
vim | Mehrere Abstürze/illegale Speicherzugriffe behoben [CVE-2017-11109] |
waagent | Neue Veröffentlichung der Originalautoren mit Unterstützung für Azure Stack |
webkit2gtk | Sicherheits- und Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
whois | Whois-Verweise für .com, .net, .jobs, .bz, .cc und .tv korrigiert; mehrere neue indische TLD-Server hinzugefügt; Liste der gTLDs aktualisiert |
wrk | Baufehlschläge behoben |
xfonts-ayu | Erzeugung von fetten und kursiven Schriften überarbeitet |
xkeyboard-config | Indische Layouts zurück auf die Haupt-Layoutliste gesetzt, damit sie wieder verwendet werden können |
yadm | Race-Condition beseitigt, die den Zugriff auf private PGP- und SSH-Schlüssel ermöglichen könnte [CVE-2017-11353] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
clapack | Veraltete und unbetreute Abspaltung von lapack |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.