Debian 9 aktualisiert: 9.4 veröffentlicht

10. März 2018

Das Debian-Projekt freut sich, die vierte Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
acme-tiny Veraltete Version des Abonnementvertrags korrigiert
activity-log-manager Fehlende Abhängigkeit von python-zeitgeist nachgetragen
agenda.app Bei Erstellung von Aufgaben und Terminen nachgebessert
apparmor Features-Datei nach /usr/share/apparmor-features verschoben; das AppArmor-Feature-Set an den Stretch-Kernel angebunden
auto-apt-proxy APT-Konfiguration bei Entfernung beiseite schaffen und bei Neuinstallation zurückholen
bareos Backup-Fehlschläge mit Kein Volume-Name angegeben behoben
base-files Aktualisierung auf die Zwischenveröffentlichung
cappuccino Fehlende Abhängigkeit von gir1.2-gtk-3.0 nachgetragen
cerealizer Python3-Abhängigkeiten überarbeitet
clamav Neue Version der Originalautoren; Sicherheitsaktualisierung [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron System-Jobs richtig in den SELinux-Kontext system_cronjob_t überführen und nicht länger auf refpolicy-spezifische Identifikatoren verlassen
cups Ausführung beliebiger IPP-Befehle durch das Senden von POST-Anfragen an den CUPS-Daemon, zusammen mit DNS-Rebinding, unterbunden [CVE-2017-18190]
dbus Neue Version der Originalautoren; früher die Dateideskriptorengrenze erreichen, um eine Regression in der Lokal-DoS-Korrektur zu beheben
debian-edu-config Chromium-Webbrowser systemweit vorkonfigurieren, damit er Proxy-Einstellungen automatisch via WPAD ermittelt; Beitritt von Windows-10-Clients zur Samba-NT4-Domäne erlauben
debian-installer Linux-Kernel-Version von 4.9.0-4 auf 4.9.0-6 gebracht
debian-installer-netboot-images Aktualisierung auf die 20170615+deb9u3-Images aus stretch-proposed-updates
directfb Architekturbasierten Filter angepasst, damit Treiber wirklich installiert werden
dpdk Aktualisierung auf die neue Stable-Zwischenveröffentlichung
espeakup udeb: Fall bereinigen, in dem Karte 0 keine ID hat oder Karten keinen fortlaufenden Index haben; standardmäßig Englisch benutzen; im installierten System Karten-ID benutzen, um Schwierigkeiten durch die Reihenfolge bei der Erkennung der Karten zu vermeiden
exam Python3-Abhängigkeiten überarbeitet
flatpak Neue Version der Originalautoren; Umgehung des D-Bus-Filtering in flatpak-dbus-proxy behoben; nicht von unerkannten Berechtigungs-Zeichenketten stören lassen, sondern ignorieren; kein ungefiltertes Abhören des D-Bus-Session-Bus erlauben
fuse-zip Writeback-Fehlschlag mit libzip 1.0 behoben
glade Mögliche Endlosschleife behoben
glibc /etc/nsswitch.conf nicht aktualisieren, wenn sein Inhalt bereits den Voreinstellungen entspricht; debian/script.in/nohwcap.sh: immer auf alle optimierten Pakete prüfen, da Multiarch auch das Installieren für fremde Architekturen erlaubt; Use-after-free-Lesezugriff in clntudp_call verhindern [CVE-2017-12133]; Collation für malayalamische Chillu-Zeichen und der malayalamischen Zeichen U+0D36 und U+0D37 korrigiert; unzulässiger cast in Group-Merging (betreffend ppc64 und s390x) behoben; Kompatibilität mit Intel C++ __regcall-Aufrufkonvention verbessert; libc-otherbuild postinst- und postrm-Skripte im libc6-i686-Übergangspaket installieren, um sicherzustellen, dass /etc/ld.so.nohwcap nach einem Upgrade korrekt entfernt wird
global Gozilla: URLs vor der Weitergabe an BROWSER in Anführungszeichen setzen [CVE-2017-17531]
gnumail Nicht mehr auf OpenSSL linken
golang-github-go-ldap-ldap Leere Passwörter nur noch zulassen, wenn sie absichtlich gewählt werden
gosa-plugin-pwreset Veralteten Konstruktor-Aufruf ersetzt
grilo-plugins Quelle für Radio France korrigiert
hdf5 javahelper-Aufruf überarbeitet
inputlirc input-event-codes.h statt input.h integrieren, um Baufehlschlag zu beheben
intercal Neukompilierung mit PIE
java-atk-wrapper Iterator-Initialisierung überarbeitet; fehlende Referenz für Kinder nachgereicht
kildclient Unterstützung für benutzerdefinierte Browser beenden [CVE-2017-17511]
libdate-holidays-de-perl Reformationstag in Hamburg and Schleswig-Holstein ab 2018 als Feiertag kennzeichnen
libdatetime-timezone-perl Neue Version der Originalautoren
libhibernate-validator-java Potenzielle Privilegieneskalation durch Umgehung der Security-Manager-Berechtigungen behoben [CVE-2017-7536]
libperlx-assert-perl Fehlende Abhängigkeiten von libkeyword-simple-perl und libdevel-declare-perl behoben
libreoffice Erlauben, dass FunctionAccess WEBSERVICE ausführt; richtigen Fehlercode bei WEBSERVICE()-Fehlern benutzen
libvhdi Fehlende Python3-Abhängigkeit nachgetragen
libvirt QEMU: Gemeinsam genutzte Festplatten mit cache=directsync sollten migrationssicher sein; Dienstblockade beim Lesen vom QEMU-Monitor behoben [CVE-2018-5748]
linux Neue Version der Originalautoren
lxc Erstellung von Testing- und Unstable-Containern durch Inkludieren von iproute2 anstelle von iproute korrigiert
mapproxy Cross-Site-Scripting-Problem (XSS) im Demodienst behoben [CVE-2017-1000426]
mosquitto Für-alle-Lesbarkeit der Persistence-Datei korrigiert [CVE-2017-9868]
mpi4py Aktuelle Version der libmpi unterstützen
ncurses Pufferüberlauf in der Funktion _nc_write_entry behoben [CVE-2017-16879]
needrestart Umschaltung auf Listenmodus überarbeitet, wenn Debconf nicht-interaktiv ausgeführt wird
ntp Stack-Größe mindestens auf 32kB vergrößern
nvidia-graphics-drivers-legacy-304xx Neue Veröffentlichung der Originalautoren
nvidia-graphics-drivers-legacy-340xx Neue Veröffentlichung der Originalautoren
nvidia-modprobe Neue Veröffentlichung der Originalautoren; vor dem Fork von modprobe setuid(0) ausführen, damit die Berechtigungen über Shell-Aufrufe und rekursive modprobe-Aufrufe hinweg beibehalten werden
nvidia-persistenced Neue Veröffentlichung der Originalautoren
nvidia-settings Neue Veröffentlichung der Originalautoren; Fehler behoben, der verhindert hat, dass Änderungen an der Stereo-Augenzuweisung durch das nvidia-settings-Kontrollzentrum beibehalten werden
nvidia-xconfig Neue Veröffentlichung der Originalautoren; Rückschritt behoben, der verhindert hat, dass nvidia-xconfig einige GPUs abfragt, bspw. beim Ausführen von `nvidia-xconfig -a`
ocfs2-tools Umstellung von rcS auf Standard-Runlevels
opendmarc opendmarc-Dienstdatei aktualisiert, sodass Änderungen in opendmarc.conf übernommen werden
openssh Im Nur-Lese-Modus hat sftp-server fälschlicherweise die Erstellung von Dateien mit Nulllänge erlaubt behoben [CVE-2017-15906]
osinfo-db Enthaltene Daten aktualisiert
pdns-recursor Neubau gegen publicsuffix 20171028.2055-0+deb9u1
postfix Neue Fehlerbereinigungs-Veröffentlichung der Originalautoren; keine Warnungen protokollieren, dass einige Restriktionen OK zurückliefern, wenn das Zugriffs-Map-DISCARD-Feature aktiv ist; fehlende dynamicmaps-Unterstützung im Postfix-sendmail-Befehl nachgeliefert; Senden zu Sites mit TLSA 2 X X-Einträgen überarbeitet
postgresql-9.6 Neue Version der Originalautoren
publicsuffix Enthaltene Daten aktualisiert
python-evtx Fehlende Python3-Abhängigkeit behoben
python-hacking Python3-Abhängigkeiten überarbeitet
python-hkdf Python3-Abhängigkeiten überarbeitet
python-mimeparse Python3-Abhängigkeiten überarbeitet
python-pyperclip Python3-Abhängigkeiten überarbeitet
python-spake2 Python3-Abhängigkeiten überarbeitet
qtpass Unsicherheit des eingebauten Passwort-Generators behoben [CVE-2017-18021]
quota Verhindert, dass quotacheck in eine Endlosschleife läuft
reportbug Keine E-Mails mehr an secure-testing-team@lists.alioth.debian.org senden
rpy Neubau gegen r-base 3.3
ruby-redis-store Verhindert, dass unsichere Objekte von redis geladen werden [CVE-2017-1000248]
salt Anfälligkeit für Verzeichnisüberschreitungen durch präparierte Minion-IDs bei salt-master behoben [CVE-2017-12791]; Anfälligkeit für Verzeichnisüberschreitungen in Minion-ID-Validierung von SaltStack behoben [CVE-2017-14695]; Dienstblockade aus der Ferne durch speziell bearbeitete Authentifizierungsanfrage behoben [CVE-2017-14696]; prüfen, ob data[return] vom Typ dict ist
slic3r Zeile use lib in allen installierten Binärdateien korrigiert; Fehlen des GL_MULTISAMPLE-Makros provisorisch behoben; Importierung von binären STLs auf Big-Endian-Architekturen überarbeitet
soundtouch Sicherheitskorrekturen [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd networkd: MTU-Feld in IPv6 RA behandeln; Linker-Skript zum Verhinden von Symbolkollisionen, vor allem mit PAM-Modulen, hinzugefügt; Schleife bei Paketen mit Pseudo-DNS-Typen behoben [CVE-2017-15908]; machinectl: Nicht Keine Maschinen. ausgeben, wenn die --no-legend-Option angegeben wurde
tzdata Neue Version der Originalautoren
ust Laderoutine der Python-Agent-Bibliothek in Ordnung gebracht
uwsgi Stapelbasierter Pufferüberlauf in Funktion uwsgi_expand_path behoben [CVE-2018-6758]
vagrant Boxen von app.vagrantcloud.com statt vom missbilligten atlas.hashicorp.com herunterladen
vdirsyncer Auffinden von Google-Kontakten korrigiert
virt-what virt-Erkennung auf arm/aarch64 repariert
w3m Stapelüberlauf [CVE-2018-6196], Nullzeiger-Dererferenzierung [CVE-2018-6197] und Raceconditions bei /tmp-Dateien behoben [CVE-2018-6198]
waagent Neue Version der Originalautoren
webkit2gtk Neue stabile Veröffentlichung der Originalautoren
xchain Abhängigkeit von wish hinzugefügt
xrdp Sicherheitsproblem behoben [CVE-2017-16927]; hohe CPU-Last bei ssl_tls_accept behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Anweisungs-ID Paket
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
dolibarr Ordnungsgemäße Betreuung in Debian verursacht zu viel Arbeit
electrum Sicherheitsprobleme; wegen Änderungen durch die Originalautoren defekt
jirc Defekt mit Stretchs libpoe-filter-xml-perl
pgmodeler Inkompatibel mit Stretchs Postgresql
seelablet Verwaist, defekt

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.