Debian 9 aktualisiert: 9.6 veröffentlicht

10. November 2018

Das Debian-Projekt freut sich, die sechste Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen ird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
accerciser Zugriffszeiten ohne Compositor korrigiert; Python-Konsole überarbeitet; fehlende Abhängigkeit von python3-xlib
apache2 mod_http2: Dienstblockade durch Worker-Erschöpfung [CVE-2018-1333] und durch kontinuierliche SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: Speicherzugriffsfehler behoben
base-files /etc/debian_version auf die Zwischenveröffentlichung aktualisiert
brltty Polkit-Authentifizierung überarbeitet
canna Dateikonflikt zwischen canna-dbgsym und canna-utils-dbgsym behoben
cargo Neues Paket, um Firefox ESR60 zu unterstützen
clamav Neue Version der Originalautoren; Anfälligkeiten für HWP-Integer-Überlauf und Endlosschleife behoben [CVE-2018-0360]; Problem mit PDF-Objektlängenprüfung behoben, wegen dem das Auswerten recht kleiner Dateien unzumutbar lange gedauert hat [CVE-2018-0361]; neue Version der Originalautoren; Dienstblockade behoben [CVE-2018-15378]; Endlosschleife in dpkg-reconfigure behoben
confuse Lesezugriff außerhalb der Grenzen in trim_whitespace behoben [CVE-2018-14447]
debian-installer Auf -8er-Kernel-ABI aktualisiert
debian-installer-netboot-images Neubau für die Zwischenveröffentlichung
dnsmasq trust-anchors.conf: neuesten DNS-Vertrauensanker KSK-2017 eingepflegt
dom4j XML-Injektions-Angriff behoben [CVE-2018-1000632]; mit source/target 1.5 kompiliert, um ein Problem mit String.format zu beseitigen
dpdk Neue Version der Originalautoren
dropbear Anfälligkeit für Anwender-Enumeration behoben [CVE-2018-15599]
easytag OGG-Korrumpierung behoben
enigmail Kompatibilität mit neueren Thunderbird-Versionen hinzugefügt
espeakup espeakup.service: Beim Daemon-Start automatisch speakup_soft laden
fastforward Speicherzugriffsfehler auf 64-bit-Architekturen behoben
firetray Kompatibilität mit neueren Thunderbird-Versionen hinzugefügt
firmware-nonfree Sicherheitsprobleme in Broadcom-WLAN-Firmware behoben [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; Übergangspaket für firmware-{adi,ralink} wieder hinzugefügt
fofix-dfsg Fehler beim Start behoben
fuse autofs und FAT als valide Einhängepunkt-Dateisysteme weißlisten
ganeti SSL-Zertifikate während VM-Export ordnungsgemäß verifizieren; generierte Zertifikate statt mit SHA1 mit SHA256 signieren1; Bash-Vervollständigungen automatisch ladbar machen
globus-gsi-credential Problem mit voms-Proxy und openssl 1.1 behoben
gnupg2 Sicherheitskorrekturen; Funktionsmerkmal zurückportiert, welches vom neuen Enigmail benötigt wird
gnutls28 Sicherheitsprobleme behoben [CVE-2018-10844 CVE-2018-10845]
gphoto2-cffi python3-gphoto2cffi wieder zum Laufen gebracht
grub2 grub-mknetdir: Unterstützung für ARM64-EFI hinzugefügt; standardmäßige TSC-Kalibrierungsmethode auf EFI-Systemen auf pmtimer umgestellt
hdparm APM nur auf Geräten erlauben, die es bewerben
https-everywhere Neue Version der Originalautoren zurückportiert, damit sie kompatibel mit Firefox ESR 60 ist
i3-wm Absturz bei Neustart behoben, wenn Markierungen verwendet werden
iipimage Apache-Konfiguration korrigiert
jhead Sicherheitsprobleme behoben [CVE-2018-17088 CVE-2018-16554]
lastpass-cli Hartkodierte Zertifikats-Pinnungen von lastpass-cli 1.3.1 zurückportiert, um die Änderungen im gehosteten Lastpass.com-Dienst widerzuspiegeln
ldap2zone Endlosschleife beim Prüfen der Zonenreihe behoben
libcgroup Allgemein zugängliche (und schreibbare) Protokolldateien abgesperrt [CVE-2018-14348]
libclamunrar Neue Version der Originalautoren
libdap Inhalte von libdap-doc überarbeitet
libdatetime-timezone-perl Enthaltene Daten aktualisieren
libgd2 Bmp: Rückgabewert in gdImageBmpPtr [CVE-2018-1000222] prüfen; potenzielle Endlosschleife in gdImageCreateFromGifCtx [CVE-2018-5711] behoben
libmail-deliverystatus-bounceparser-perl Nicht verteilungsfähige Beispiel-Spam und -Viren entfernt
libmspack Schreibzugriffe außerhalb der Grenzen [CVE-2018-18584] und Akzeptanz leerer Dateinamen behoben [CVE-2018-18585]
libopenmpt up11: Lesezugriffe außerhalb der Grenzen beim Laden von IT-/MO3-Dateien mit vielen Musterschleifen behoben [CVE-2018-10017]
libseccomp Unterstützung für Linux-4.9-Systemaufrufe hinzugefügt: preadv2, pwritev2, pkey_mprotect, pkey_alloc und pkey_free; Unterstützung für statx hinzugefügt
libtirpc rendezvous_request: Rückgabewert von makefd_xprt prüfen [CVE-2018-14622]
libx11 Mehrere Sicherheitsprobleme gelöst [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Dienstblockade oder potenzielle Codeausführung durch einen Ein-Byte-Heap-Überlauf behoben [CVE-2015-9262]
libxml-stream-perl Standardmäßigen CA-Pfad eingetragen
libxml-structured-perl Fehlende Bau- und Laufzeitabhängigkeiten von libxml-parser-perl nachgetragen
linux Xen: Boot-Regression in PV-Domains behoben; xen-netfront: Regressionen behoben; ext4: Falsch-Negative *und* Falsch-Positive in ext4_check_descriptors() behoben; udeb: virtio_console zu virtio-modules hinzugefügt; cdc_ncm: Padding übers Ende von skb verhindern; sit: iphdr in ipip6_rcv neu laden zurückgenommen; neue Version der Originalautoren
lxcfs Betriebszeit-Virtualisierung zurückgenommen, damit die Prozess-Startzeiten wieder stimmen
magicmaze Von fonts-isabella abhängen, jetzt wo ttf-isabella ein virtuelles Paket ist
mailman Anfälligkeit für eigenmächtige Text-Injizierung in Mailman-CGIs behoben [CVE-2018-13796]
multipath-tools Deadlock in udev-Auslösern behoben
nagstamon IcingaWeb2 Basic-Authentifizierungsproblem behoben
network-manager libnm: Zugriff auf aktivierte und gemessene Eigenschaften überarbeitet; Heap-Schreibzugriff außerhalb der Grenzen im dhcpv6 option handling [CVE-2018-15688] und verschiedene andere Probleme im sd-network-basierten dhcp=internal-Plugin behoben
network-manager-applet libnma/pygobject: libnma/NMA muss statt veralteter Bibliotheken libnm/NM benutzen
ola Tippfehler in /etc/init.d/rdm_test_server korrigiert; Dateinamen für jquery in den statischen HTML-Dateien des rdm-Testservers korrigiert
opensc Unbegrenzte Rekursion und mehrere Schreib- oder Lesezugriffe außerhalb der Grenzen behoben [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel Neue Abhängigkeiten installieren, wenn safe-upgrade (Standard) gewählt worden ist
publicsuffix Enthaltene Daten aktualisiert
python-django Standardmäßig Spatialite >= 4.2 unterstützen
python-imaplib2 Das richtige Modul für Python 3 installieren; TIMEOUT_MAX nicht verwenden
rustc Bau auf zusätzlichen Architekturen ermöglichen: arm64, armel, armhf, i386, ppc64el, s390x
sddm PAMs umgebende Zusatzgruppen akzeptieren; fehlende Handhabung von utmp/wtmp/btmp hinzugefügt
serf Nullzeigerdereferenzierung behoben
soundconverter Opus-VBR-Einstellung korrigiert
spamassassin Neue Version der Originalautoren; Dienstblockade [CVE-2017-15705], Codeausführung aus der Ferne [CVE-2018-11780], Codeinjizierung [CVE-2018-11781] und unsichere Verwendung von . in @INC [CVE-2016-1238] behoben; spamd-Dienstverwaltung bei Paket-Upgrades überarbeitet
spice-gtk Pufferüberlauf in flexiblen Arrays behoben [CVE-2018-10873]
sqlcipher Absturz beim Öffnen einer Datei vermeiden
subversion Durch die Maßnahmen gegen SHA1-Kollisionen verursachte Regression behoben, bei der Commits fälschlicherweise mit der Fehlermeldung Dateisystem ist korrumpiert fehlschlagen, wenn die Delta-Länge ein Vielfaches von 16k ist
systemd networkd: manager_connect_bus() nicht fehlschlagen lassen, wenn dbus noch nicht aktiv ist; dhcp6: Sicherstellen, dass genug Platz für den DHCP6-Optionsheader vorhanden ist [CVE-2018-15688]
systraq Logik umgekehrt, sodass das Programm erfolgreich beendet wird, wenn /e/s/Makefile fehlt
tomcat-native OSCP-Responder-Problem behoben, welches Benutzern mit zurückgezogenen Zertifikaten die Authentifizierung ermöglicht hat, wenn beiderseitiges (mutual) TLS verwendet wird [CVE-2018-8019 CVE-2018-8020]
tor Änderung an Directory-Autorität: Bifroest Bridge Authority ausmustern und mit Serge ersetzen; eine IPv6-Adresse für die dannenberg-Directory-Authority
tzdata Neue Version der Originalautoren
ublock-origin Neue Version der Originalautoren zurückportieren, damit sie kompatibel mit Firefox ESR 60 ist
unbound Sicherheitslücke beim Verarbeiten von Wildcard-Synthetik-NSEC-Records behoben [CVE-2017-15105]
vagrant VirtualBox 5.2 unterstützen
vmtk python-vmtk: Fehlende Abhängigkeit von python-vtk6 hinzufügen
wesnoth-1.12 Das Laden von lua-Bytecode via load/dofile verbieten [CVE-2018-1999023]
wpa Unauthentifizierte verschlüsselte EAPOL-Schlüsseldaten ignorieren [CVE-2018-14526]
x11vnc Zwei Pufferüberläufe behoben
xapian-core Glass-Backend-Fehler mit langlebigen Positionszeigern auf einer Tabelle in einer WritableDatabase behoben, der zu einem fälschlicherweise ausgeworfenen DatabaseCorruptError führen kann, obwohl die Datenbank in Ordnung ist
xmotd Absturz mit Härtungs-Flags vermeiden
xorg-server GLX: keine sRGB-Konfiguration für 32-bit-RGBA-Visual annehmen – behebt verschiedene Blending-Probleme mit kwin und Mesa >= 18.0 (z. B. Mesa aus stretch-backports)
zutils Pufferüberlauf in zcat behoben [CVE-2018-1000637]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
adblock-plus-element-hiding-helper Inkompatibel mit neueren firefox-esr-Versionen
all-in-one-sidebar Inkompatibel mit neueren firefox-esr-Versionen
autofill-forms Inkompatibel mit neueren firefox-esr-Versionen
automatic-save-folder Inkompatibel mit neueren firefox-esr-Versionen
classic-theme-restorer Inkompatibel mit neueren firefox-esr-Versionen
colorfultabs Inkompatibel mit neueren firefox-esr-Versionen
custom-tab-width Inkompatibel mit neueren firefox-esr-Versionen
dactyl Inkompatibel mit neueren firefox-esr-Versionen
downthemall Inkompatibel mit neueren firefox-esr-Versionen
dvips-fontdata-n2bk Leeres Paket
firebug Inkompatibel mit neueren firefox-esr-Versionen
firegestures Inkompatibel mit neueren firefox-esr-Versionen
firexpath Inkompatibel mit neueren firefox-esr-Versionen
flashgot Inkompatibel mit neueren firefox-esr-Versionen
form-history-control Inkompatibel mit neueren firefox-esr-Versionen
foxyproxy Inkompatibel mit neueren firefox-esr-Versionen
gitlab Offene Sicherheitslücken, für die Lösungen schwierig zurückzuportieren sind
greasemonkey Inkompatibel mit neueren firefox-esr-Versionen
intel-processor-trace [s390x]
itsalltext Inkompatibel mit neueren firefox-esr-Versionen
knot-resolver Sicherheitsprobleme
lightbeam Inkompatibel mit neueren firefox-esr-Versionen
livehttpheaders Inkompatibel mit neueren firefox-esr-Versionen
lyz Inkompatibel mit neueren firefox-esr-Versionen
npapi-vlc Inkompatibel mit neueren firefox-esr-Versionen
nukeimage Inkompatibel mit neueren firefox-esr-Versionen
openinbrowser Inkompatibel mit neueren firefox-esr-Versionen
perspectives-extension Inkompatibel mit neueren firefox-esr-Versionen
pwdhash Inkompatibel mit neueren firefox-esr-Versionen
python-facebook Defekt wegen Änderungen durch die Originalautoren
python-tvrage Nutzlos, nachdem tvrage.com abgeschaltet wurde
reloadevery Inkompatibel mit neueren firefox-esr-Versionen
sage-extension Inkompatibel mit neueren firefox-esr-Versionen
scrapbook Inkompatibel mit neueren firefox-esr-Versionen
self-destructing-cookies Inkompatibel mit neueren firefox-esr-Versionen
spdy-indicator Inkompatibel mit neueren firefox-esr-Versionen
status-4-evar Inkompatibel mit neueren firefox-esr-Versionen
stylish Inkompatibel mit neueren firefox-esr-Versionen
tabmixplus Inkompatibel mit neueren firefox-esr-Versionen
tree-style-tab Inkompatibel mit neueren firefox-esr-Versionen
ubiquity-extension Inkompatibel mit neueren firefox-esr-Versionen
uppity Inkompatibel mit neueren firefox-esr-Versionen
useragentswitcher Inkompatibel mit neueren firefox-esr-Versionen
video-without-flash Inkompatibel mit neueren firefox-esr-Versionen
webdeveloper Inkompatibel mit neueren firefox-esr-Versionen
xul-ext-monkeysphere Inkompatibel mit neueren firefox-esr-Versionen

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://security.debian.org/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.