Debian 9 aktualisiert: 9.3 veröffentlicht

9. Dezember 2017

Das Debian-Projekt freut sich, die dritte Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Please note that the point release does not constitute a new version of Debian 9 but only updates some of the packages included. There is no need to throw away old Stretch media. After installation, packages can be upgraded to the current versions using an up-to-date Debian mirror.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
abiword Flackern behoben
base-files Aktualisierung auf die Zwischenveröffentlichung
berusky Abstürze beim Start behoben, die mit diversen Grafikkarten-Konfigurationen in Verbindung stehen
charmtimetracker Fehlende binäre Abhänigkeit von libqt5sql5-sqlite hinzgefügt
corebird Maximale Tweet-Länge jetzt 280 Zeichen
dbus Beim Auswerten der dbus-daemon-Konfiguration den Start nicht aufschieben, auch wenn noch keine hochqalitative Entropie verfügbar ist; bei Verwendung der Monitoring-Schnittstelle Nachrichten, die ein Ziel angeben, richtig filtern; listen()-Backlog von AF_UNIX-Sockets soweit möglich erhöhen, um die Anzahl fehlschlagender Verbindungsversuche unter großer Last zu minimieren
debian-edu-doc Stretch-bezogene Dokumentation und Übersetzungen von Unstable und aus dem Wiki zusammenführen; documentation/common/edu.css.xml: HTML besser manuell lesbar machen
debian-installer Neubau für neue Zwischenveröffentlichung
dehydrated Neuer URL für Abonnenten-Lizenzabkommen
doit nikola (<< 7.6.0-1~) bei Beschädigt: eingetragen, um seine Entfernung bei Upgrades von Jessie sicherzustellen
eclipse-titan Neubau gegen aktuellen Stretch-GCC
fig2dev Eingabeüberprüfung für FIG-Dateien hinzugefügt [CVE-2017-16899]; eingegebene Füllmuster überprüfen
flickcurl OAuth-Token-Abruf überarbeitet; Doppel-Free-Korruption während Authentifizierung verhindern
flightgear Schadhafte Erweiterungen/Add-Ons vom Außerkraftsetzen beliebiger Dateien abhalten [CVE-2017-13709]
ganeti Originalautoren-Unterstützung für nicht-DSA-SSH-Schlüssel zurückportiert; Wegwechseln von toten Knoten (Failover) bei Verwendung von extstorage überarbeitet; Import/Export/Verschieben von Instanzen mit aktuellen Socat-Versionen überarbeitet
gdm3 Meherere Fehlerkorrekturen zurückportiert, um die XDMCP-Unterstützung hinzubekommen
getmail4 Problem in Verbindung mit fehlformatierten Fingerabdrücken gelöst
grok Zeiger-Aliasing-Fehler behoben; libgrok-dev: fehlende Abhängigkeiten von libgrok1 und libtokyocabinet-dev nachgetragen
gunicorn Unnötige Vor-Abhängigkeit von dpkg-dev entfernt, die dazu geführt hat, dass gunicorn und python-gunicorn einen Compiler als Paketabhängigkeit mitgeschleppt haben
icu Doppel-Free in createMetazoneMappings() behoben [CVE-2017-14952]
inn2 [i386] Neubau, um den Pfad zur gzip-Binärdatei zu korrigieren
iproute2 Speicherzugriffsfehler bei tc mit iptables 1.6 behoben
jdcal Python3-Abhängigkeiten überarbeitet
kde-gtk-config Vorschau-Tasten in der KDE-GTK-Konfigurationsoberfläche überarbeitet
lasi liblasi-dev: fehlende Abhängigkeiten von libpango1.0-dev und libfreetype6-dev nachgereicht
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libdbd-firebird-perl Abruf von dezimalen(x,y) Werten zwischen -1 und 0 überarbeitet
libdbi Error-Handler-Aufruf in dbi_result_next_row() wieder aktualisiert
liblog-log4perl-perl Problem umgangen, dass Perl 5.24 syswrite und utf8 zusammen nicht mehr erlaubt
liblouis Pufferüberlauf und Use-after-free-Probleme behoben [CVE-2017-13738 CVE-2017-13739 CVE-2017-13740 CVE-2017-13741 CVE-2017-13742 CVE-2017-13743 CVE-2017-13744]
libmpd libmpd-dev: Fehlende Abhängigkeit von libglib2.0-dev nachgetragen
libofx Sicherheitsproblemlösungen [CVE-2017-2816 CVE-2017-14731]
libxkbcommon libxkbcommon-x11-dev: Fehlende Abhängigkeit von libxkbcommon-dev nachgetragen
libxsettings-client Fehlende Abhängigkeit libxsettings-client-dev -> libxsettings-dev nachgetragen
linux xen/time: Steal-time nach xen-Live-Migration nicht senken; neue stabile Kernel-Version 4.9.65
live-config Automatische Anmeldung für KDE-/Plasma-Live-Abbilder konfiguriert
lxc Liste der gültigen Debian-Veröffentlichungen nicht hartkodieren, sodass Container für Stable, Buster, Testing und Unstable erstellt werden können; keine C.*-Locales in /etc/locale.gen eintragen
mongodb Speicherzugriffsfehler/FTBFS auf ARM64 mit virtuellen 48-bit-Adressen, spidermonkey-GC-Speicherzugriffsfehler, wenn mit GCC6 gebaut, behoben; mongodb.service: nach network.target starten
openssh Vor dem Starten oder Neuladen von sshd unter systemd die Konfiguration testen; Kompatibilitätsmuster angepasst, sodass WinSCP korrekt die Versionen identifiziert, welche nur das veraltete DH-Group-Exchange-Schema implementieren; bei -- vor dem Hostnamen auch die Argumentsauswertung nach dem Hostnamen beenden
pdns Inkorrekte qname-Großschreibung bei der NSEC3-Generierung überarbeitet; fehlende Prüfung bei API-Operationen hinzugefügt [CVE-2017-15091]
pdns-recursor Sicherheitskorrekturen: Unzureichende Validierung von DNSSEC-Signaturen [CVE-2017-15090]; Cross-Site-Scripting auf der Weboberfläche [CVE-2017-15092]; Konfigurationsdatei-Injizierung im API [CVE-2017-15093]; Speicherleck bei DNSSEC-Auswertung [CVE-2017-15094]
postgresql-9.6 Fehlerkorrektur-Veröffentlichung der Originalautoren
publicsuffix Enthaltene Daten aktualisiert
pyosmium Fehlerkorrektur-Veröffentlichung der Originalautoren: Handler-Funktionen werden nicht aufgerufen, wenn ein Replikationsdienst oder Reader anstelle von File genutzt wird
python-diff-match-patch Fehlende python3-Abhängigkeit vom Python-3-Paket nachgetragen
python-inflect Python-3-Abhängigkeiten überarbeitet
python-tablib YAML sicher laden [CVE-2017-2810]
python2.7 Ganzzahlüberlauf in PyString_DecodeEscape [CVE-2017-1000158] behoben; alle Gruppen in TLS-Kommunikation unterstützen
qtcurve Abstürze durch Benutzung von strncmp() statt memcmp() behoben
ruby-httparty Versionsabhängigkeit in gem-Abhängigkeit von json gelockert
ruby-ox Absturz verhindern, wenn Oj.parse_obj() ungültiges XML zugeführt wird [CVE-2017-15928]
ruby-pygments.rb Schließen von zu vielen Dateien beim Start von mentos verhindern, was zu Baufehlschlägen bei anderen Paketen führen kann, wenn das System nicht so schnell ist
schroot Bash-Vervollständigungsdatei überarbeitet; systemd-Service-Datei mit Type=oneshot hinzugefügt, damit bei zu vielen offenen Sitzungen keine Zeitüberschreitungen auftreten
simutrans Ton für simutrans wieder aktivieren. Umstellung vom SDL- auf das mixer_sdl-Backend
sitesummary Nagios-Kernelversion-Prüfmodul angepasst, damit es bei 4.x-Kernels funktioniert
slic3r Fehlende Abhängigkeit von perlapi-* hinzugefügt
spamassassin bb.barracudacentral.org deaktiviert; systemd-Unit-File aktualisiert, damit sie dieselbe PID-Datei benutzt wie das SysV-Initskript; systemd-Unit-Abhängigkeiten angepasst, damit sie auch network und syslog enthalten; unpassenden Aufruf von invoke-rc.d im Cron-Skript korrigiert
sqldeveloper-package Baufehlschläge behoben
sqlite3 Heap-basiertes Puffer-Überlesen wegen untergroßen RTree-Blobs behoben [CVE-2017-10989]
syslinux Adressumlegung von logischen auf physische Blöcke in btrfs überarbeitet; Boot-Problem bei alter BIOS-Firmware durch korreke C/H/S-Reihenfolge behoben; 64-Bit-Funktionsmerkmal in ext4 unterstützen
tdbcodbc Fehler in ODBC-Bibliothekssuche behoben
tor Bastet-Verzeichnisautorität hinzugefügt; Timing-basierten Assertion-Fehlschlag behoben; geoip und geoip6 auf die Maxmind GeoLite2 Länderdatenbank vom 4. Oktober 2017 aktualisiert
tzdata Neue Version der Originalautoren
udftools Pfad zum pktsetup im udftools-Initskript behoben
weechat logger: strftime vor dem Ersetzen von pufferlokalen Variablen aufrufen [CVE-2017-14727]
xml2 Korrumpierung beim Umgang mit UTF-8-Dateien und der Verwendungs-Zeichenkette des 2csv-Werkzeugs behoben
xrdp Hohe CPU-Last beim SSL-Herunterfahren behoben
zsh Neubau, um die aktualisierten Bibliotheken für zsh-static hereinzuholen

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-3989 dnsmasq
DSA-3990 asterisk
DSA-3991 qemu
DSA-3992 curl
DSA-3993 tor
DSA-3994 nautilus
DSA-3995 libxfont
DSA-3996 ffmpeg
DSA-3997 wordpress
DSA-3998 nss
DSA-3999 wpa
DSA-4000 xorg-server
DSA-4001 yadifa
DSA-4003 libvirt
DSA-4004 jackson-databind
DSA-4006 mupdf
DSA-4007 curl
DSA-4008 wget
DSA-4009 shadowsocks-libev
DSA-4011 quagga
DSA-4013 openjpeg2
DSA-4014 thunderbird
DSA-4015 openjdk-8
DSA-4016 irssi
DSA-4017 openssl1.0
DSA-4018 openssl
DSA-4019 imagemagick
DSA-4020 chromium-browser
DSA-4021 otrs2
DSA-4023 slurm-llnl
DSA-4024 chromium-browser
DSA-4025 libpam4j
DSA-4026 bchunk
DSA-4028 postgresql-9.6
DSA-4029 postgresql-common
DSA-4030 roundcube
DSA-4031 ruby2.3
DSA-4032 imagemagick
DSA-4033 konversation
DSA-4034 varnish
DSA-4035 firefox-esr
DSA-4036 mediawiki
DSA-4037 jackson-databind
DSA-4038 shibboleth-sp2
DSA-4039 opensaml2
DSA-4041 procmail
DSA-4042 libxml-libxml-perl
DSA-4043 samba
DSA-4044 swauth
DSA-4045 vlc
DSA-4047 otrs2
DSA-4049 ffmpeg
DSA-4050 xen
DSA-4051 curl
DSA-4052 bzr
DSA-4053 exim4

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
libnet-ping-external-perl Unbetreut, Sicherheitsprobleme

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.