Debian 9 aktualisiert: 9.6 veröffentlicht
10. November 2018
Das Debian-Projekt freut sich, die sechste Aktualisierung seiner
Stable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen ird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| accerciser | Zugriffszeiten ohne Compositor korrigiert; Python-Konsole überarbeitet; fehlende Abhängigkeit von python3-xlib |
| apache2 | mod_http2: Dienstblockade durch Worker-Erschöpfung [CVE-2018-1333] und durch kontinuierliche SETTINGS [CVE-2018-11763]; mod_proxy_fcgi: Speicherzugriffsfehler behoben |
| base-files | /etc/debian_version auf die Zwischenveröffentlichung aktualisiert |
| brltty | Polkit-Authentifizierung überarbeitet |
| canna | Dateikonflikt zwischen canna-dbgsym und canna-utils-dbgsym behoben |
| cargo | Neues Paket, um Firefox ESR60 zu unterstützen |
| clamav | Neue Version der Originalautoren; Anfälligkeiten für HWP-Integer-Überlauf und Endlosschleife behoben [CVE-2018-0360]; Problem mit PDF-Objektlängenprüfung behoben, wegen dem das Auswerten recht kleiner Dateien unzumutbar lange gedauert hat [CVE-2018-0361]; neue Version der Originalautoren; Dienstblockade behoben [CVE-2018-15378]; Endlosschleife in dpkg-reconfigure behoben |
| confuse | Lesezugriff außerhalb der Grenzen in trim_whitespace behoben [CVE-2018-14447] |
| debian-installer | Auf -8er-Kernel-ABI aktualisiert |
| debian-installer-netboot-images | Neubau für die Zwischenveröffentlichung |
| dnsmasq | trust-anchors.conf: neuesten DNS-Vertrauensanker KSK-2017 eingepflegt |
| dom4j | XML-Injektions-Angriff behoben [CVE-2018-1000632]; mit source/target 1.5 kompiliert, um ein Problem mit String.format zu beseitigen |
| dpdk | Neue Version der Originalautoren |
| dropbear | Anfälligkeit für Anwender-Enumeration behoben [CVE-2018-15599] |
| easytag | OGG-Korrumpierung behoben |
| enigmail | Kompatibilität mit neueren Thunderbird-Versionen hinzugefügt |
| espeakup | espeakup.service: Beim Daemon-Start automatisch speakup_soft laden |
| fastforward | Speicherzugriffsfehler auf 64-bit-Architekturen behoben |
| firetray | Kompatibilität mit neueren Thunderbird-Versionen hinzugefügt |
| firmware-nonfree | Sicherheitsprobleme in Broadcom-WLAN-Firmware behoben [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; Übergangspaket für firmware-{adi,ralink} wieder hinzugefügt |
| fofix-dfsg | Fehler beim Start behoben |
| fuse | autofs und FAT als valide Einhängepunkt-Dateisysteme weißlisten |
| ganeti | SSL-Zertifikate während VM-Export ordnungsgemäß verifizieren; generierte Zertifikate statt mit SHA1 mit SHA256 signieren1; Bash-Vervollständigungen automatisch ladbar machen |
| globus-gsi-credential | Problem mit voms-Proxy und openssl 1.1 behoben |
| gnupg2 | Sicherheitskorrekturen; Funktionsmerkmal zurückportiert, welches vom neuen Enigmail benötigt wird |
| gnutls28 | Sicherheitsprobleme behoben [CVE-2018-10844 CVE-2018-10845] |
| gphoto2-cffi | python3-gphoto2cffi wieder zum Laufen gebracht |
| grub2 | grub-mknetdir: Unterstützung für ARM64-EFI hinzugefügt; standardmäßige TSC-Kalibrierungsmethode auf EFI-Systemen auf pmtimer umgestellt |
| hdparm | APM nur auf Geräten erlauben, die es bewerben |
| https-everywhere | Neue Version der Originalautoren zurückportiert, damit sie kompatibel mit Firefox ESR 60 ist |
| i3-wm | Absturz bei Neustart behoben, wenn Markierungen verwendet werden |
| iipimage | Apache-Konfiguration korrigiert |
| jhead | Sicherheitsprobleme behoben [CVE-2018-17088 CVE-2018-16554] |
| lastpass-cli | Hartkodierte Zertifikats-Pinnungen von lastpass-cli 1.3.1 zurückportiert, um die Änderungen im gehosteten Lastpass.com-Dienst widerzuspiegeln |
| ldap2zone | Endlosschleife beim Prüfen der Zonenreihe behoben |
| libcgroup | Allgemein zugängliche (und schreibbare) Protokolldateien abgesperrt [CVE-2018-14348] |
| libclamunrar | Neue Version der Originalautoren |
| libdap | Inhalte von libdap-doc überarbeitet |
| libdatetime-timezone-perl | Enthaltene Daten aktualisieren |
| libgd2 | Bmp: Rückgabewert in gdImageBmpPtr [CVE-2018-1000222] prüfen; potenzielle Endlosschleife in gdImageCreateFromGifCtx [CVE-2018-5711] behoben |
| libmail-deliverystatus-bounceparser-perl | Nicht verteilungsfähige Beispiel-Spam und -Viren entfernt |
| libmspack | Schreibzugriffe außerhalb der Grenzen [CVE-2018-18584] und Akzeptanz leererDateinamen behoben [CVE-2018-18585] |
| libopenmpt | up11: Lesezugriffe außerhalb der Grenzen beim Laden von IT-/MO3-Dateien mit vielen Musterschleifenbehoben [CVE-2018-10017] |
| libseccomp | Unterstützung für Linux-4.9-Systemaufrufe hinzugefügt: preadv2, pwritev2, pkey_mprotect, pkey_alloc und pkey_free; Unterstützung für statx hinzugefügt |
| libtirpc | rendezvous_request: Rückgabewert von makefd_xprt prüfen [CVE-2018-14622] |
| libx11 | Mehrere Sicherheitsprobleme gelöst [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600] |
| libxcursor | Dienstblockade oder potenzielle Codeausführung durch einen Ein-Byte-Heap-Überlauf behoben [CVE-2015-9262] |
| libxml-stream-perl | Standardmäßigen CA-Pfad eingetragen |
| libxml-structured-perl | Fehlende Bau- und Laufzeitabhängigkeiten von libxml-parser-perl nachgetragen |
| linux | Xen: Boot-Regression in PV-Domains behoben; xen-netfront: Regressionen behoben; ext4: Falsch-Negative *und* Falsch-Positive in ext4_check_descriptors() behoben; udeb: virtio_console zu virtio-modules hinzugefügt; cdc_ncm: Padding übers Ende von skb verhindern; sit: iphdr in ipip6_rcv neu ladenzurückgenommen; neue Version der Originalautoren |
| lxcfs | Betriebszeit-Virtualisierung zurückgenommen, damit die Prozess-Startzeiten wieder stimmen |
| magicmaze | Von fonts-isabella abhängen, jetzt wo ttf-isabella ein virtuelles Paket ist |
| mailman | Anfälligkeit für eigenmächtige Text-Injizierung in Mailman-CGIs behoben [CVE-2018-13796] |
| multipath-tools | Deadlock in udev-Auslösern behoben |
| nagstamon | IcingaWeb2 Basic-Authentifizierungsproblem behoben |
| network-manager | libnm: Zugriff auf aktivierte und gemessene Eigenschaften überarbeitet; Heap-Schreibzugriff außerhalb der Grenzen im dhcpv6 option handling [CVE-2018-15688] und verschiedene andere Probleme im sd-network-basierten dhcp=internal-Plugin behoben |
| network-manager-applet | libnma/pygobject: libnma/NMA muss statt veralteter Bibliotheken libnm/NM benutzen |
| ola | Tippfehler in /etc/init.d/rdm_test_server korrigiert; Dateinamen für jquery in den statischen HTML-Dateien des rdm-Testservers korrigiert |
| opensc | Unbegrenzte Rekursion und mehrere Schreib- oder Lesezugriffe außerhalb der Grenzen behoben [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427] |
| pkgsel | Neue Abhängigkeiten installieren, wenn safe-upgrade (Standard) gewählt worden ist |
| publicsuffix | Enthaltene Daten aktualisiert |
| python-django | Standardmäßig Spatialite >= 4.2 unterstützen |
| python-imaplib2 | Das richtige Modul für Python 3 installieren; TIMEOUT_MAX nicht verwenden |
| rustc | Bau auf zusätzlichen Architekturen ermöglichen: arm64, armel, armhf, i386, ppc64el, s390x |
| sddm | PAMs umgebende Zusatzgruppen akzeptieren; fehlende Handhabung von utmp/wtmp/btmp hinzugefügt |
| serf | Nullzeigerdereferenzierung behoben |
| soundconverter | Opus-VBR-Einstellung korrigiert |
| spamassassin | Neue Version der Originalautoren; Dienstblockade [CVE-2017-15705], Codeausführung aus der Ferne [CVE-2018-11780], Codeinjizierung [CVE-2018-11781] und unsichere Verwendung von .in @INC [CVE-2016-1238] behoben; spamd-Dienstverwaltung bei Paket-Upgrades überarbeitet |
| spice-gtk | Pufferüberlauf in flexiblen Arrays behoben [CVE-2018-10873] |
| sqlcipher | Absturz beim Öffnen einer Datei vermeiden |
| subversion | Durch die Maßnahmen gegen SHA1-Kollisionen verursachte Regression behoben, bei der Commits fälschlicherweise mit der Fehlermeldung Dateisystem ist korrumpiertfehlschlagen, wenn die Delta-Länge ein Vielfaches von 16k ist |
| systemd | networkd: manager_connect_bus() nicht fehlschlagen lassen, wenn dbus noch nicht aktiv ist; dhcp6: Sicherstellen, dass genug Platz für den DHCP6-Optionsheader vorhanden ist [CVE-2018-15688] |
| systraq | Logik umgekehrt, sodass das Programm erfolgreich beendet wird, wenn /e/s/Makefile fehlt |
| tomcat-native | OSCP-Responder-Problem behoben, welches Benutzern mit zurückgezogenen Zertifikaten die Authentifizierung ermöglicht hat, wenn beiderseitiges (mutual) TLS verwendet wird [CVE-2018-8019 CVE-2018-8020] |
| tor | Änderung an Directory-Autorität: BifroestBridge Authority ausmustern und mit Sergeersetzen; eine IPv6-Adresse für die dannenberg-Directory-Authority |
| tzdata | Neue Version der Originalautoren |
| ublock-origin | Neue Version der Originalautoren zurückportieren, damit sie kompatibel mit Firefox ESR 60 ist |
| unbound | Sicherheitslücke beim Verarbeiten von Wildcard-Synthetik-NSEC-Records behoben [CVE-2017-15105] |
| vagrant | VirtualBox 5.2 unterstützen |
| vmtk | python-vmtk: Fehlende Abhängigkeit von python-vtk6 hinzufügen |
| wesnoth-1.12 | Das Laden von lua-Bytecode via load/dofile verbieten [CVE-2018-1999023] |
| wpa | Unauthentifizierte verschlüsselte EAPOL-Schlüsseldaten ignorieren [CVE-2018-14526] |
| x11vnc | Zwei Pufferüberläufe behoben |
| xapian-core | Glass-Backend-Fehler mit langlebigen Positionszeigern auf einer Tabelle in einer WritableDatabase behoben, der zu einem fälschlicherweise ausgeworfenen DatabaseCorruptError führen kann, obwohl die Datenbank in Ordnung ist |
| xmotd | Absturz mit Härtungs-Flags vermeiden |
| xorg-server | GLX: keine sRGB-Konfiguration für 32-bit-RGBA-Visual annehmen – behebt verschiedene Blending-Probleme mit kwin und Mesa >= 18.0 (z. B. Mesa aus stretch-backports) |
| zutils | Pufferüberlauf in zcat behoben [CVE-2018-1000637] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| adblock-plus-element-hiding-helper | Inkompatibel mit neueren firefox-esr-Versionen |
| all-in-one-sidebar | Inkompatibel mit neueren firefox-esr-Versionen |
| autofill-forms | Inkompatibel mit neueren firefox-esr-Versionen |
| automatic-save-folder | Inkompatibel mit neueren firefox-esr-Versionen |
| classic-theme-restorer | Inkompatibel mit neueren firefox-esr-Versionen |
| colorfultabs | Inkompatibel mit neueren firefox-esr-Versionen |
| custom-tab-width | Inkompatibel mit neueren firefox-esr-Versionen |
| dactyl | Inkompatibel mit neueren firefox-esr-Versionen |
| downthemall | Inkompatibel mit neueren firefox-esr-Versionen |
| dvips-fontdata-n2bk | Leeres Paket |
| firebug | Inkompatibel mit neueren firefox-esr-Versionen |
| firegestures | Inkompatibel mit neueren firefox-esr-Versionen |
| firexpath | Inkompatibel mit neueren firefox-esr-Versionen |
| flashgot | Inkompatibel mit neueren firefox-esr-Versionen |
| form-history-control | Inkompatibel mit neueren firefox-esr-Versionen |
| foxyproxy | Inkompatibel mit neueren firefox-esr-Versionen |
| gitlab | Offene Sicherheitslücken, für die Lösungen schwierig zurückzuportieren sind |
| greasemonkey | Inkompatibel mit neueren firefox-esr-Versionen |
| intel-processor-trace | [s390x] |
| itsalltext | Inkompatibel mit neueren firefox-esr-Versionen |
| knot-resolver | Sicherheitsprobleme; schwierig, Korrekturen zurückzuportieren |
| lightbeam | Inkompatibel mit neueren firefox-esr-Versionen |
| livehttpheaders | Inkompatibel mit neueren firefox-esr-Versionen |
| lyz | Inkompatibel mit neueren firefox-esr-Versionen |
| npapi-vlc | Inkompatibel mit neueren firefox-esr-Versionen |
| nukeimage | Inkompatibel mit neueren firefox-esr-Versionen |
| openinbrowser | Inkompatibel mit neueren firefox-esr-Versionen |
| perspectives-extension | Inkompatibel mit neueren firefox-esr-Versionen |
| pwdhash | Inkompatibel mit neueren firefox-esr-Versionen |
| python-facebook | Defekt wegen Änderungen durch die Originalautoren |
| python-tvrage | Nutzlos, nachdem tvrage.com abgeschaltet wurde |
| reloadevery | Inkompatibel mit neueren firefox-esr-Versionen |
| sage-extension | Inkompatibel mit neueren firefox-esr-Versionen |
| scrapbook | Inkompatibel mit neueren firefox-esr-Versionen |
| self-destructing-cookies | Inkompatibel mit neueren firefox-esr-Versionen |
| spdy-indicator | Inkompatibel mit neueren firefox-esr-Versionen |
| status-4-evar | Inkompatibel mit neueren firefox-esr-Versionen |
| stylish | Inkompatibel mit neueren firefox-esr-Versionen |
| tabmixplus | Inkompatibel mit neueren firefox-esr-Versionen |
| tree-style-tab | Inkompatibel mit neueren firefox-esr-Versionen |
| ubiquity-extension | Inkompatibel mit neueren firefox-esr-Versionen |
| uppity | Inkompatibel mit neueren firefox-esr-Versionen |
| useragentswitcher | Inkompatibel mit neueren firefox-esr-Versionen |
| video-without-flash | Inkompatibel mit neueren firefox-esr-Versionen |
| webdeveloper | Inkompatibel mit neueren firefox-esr-Versionen |
| xul-ext-monkeysphere | Inkompatibel mit neueren firefox-esr-Versionen |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.