Debian 9 aktualisiert: 9.9 veröffentlicht

27. April 2019

Das Debian-Projekt freut sich, die neunte Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Als eine Besonderheit bei dieser Revision müssen diejenigen, die zum Aktualisieren apt-get verwenden, dieses Mal unbedingt den dist-upgrade-Befehl benutzen, damit die neuesten Kernel-Pakete eingespielt werden. Wer etwas Anderes wie beispielsweise apt oder aptitude einsetzt, sollte den upgrade-Befehl verwenden.

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
audiofile	Probleme mit Dienstblockaden [CVE-2018-13440] und Pufferüberläufen gelöst [CVE-2018-17095]
base-files	Auf die Zwischenveröffentlichung aktualisiert
bwa	Pufferüberlauf behoben [CVE-2019-10269]
ca-certificates-java	bashisms in postinst und jks-keystore überarbeitet
cernlib	Bei Fortran-Modulen Optimierungs-Flag -O statt -O2 anwenden, weil Letzteres kaputten Code erzeugt; Bau-Fehlschlag auf arm64 durch Abschaltung von PIE für Fortran-Programme behoben
choose-mirror	Enthält aktualisierte Spiegelliste
chrony	Protokollierung von Messungen und Statistiken und das Anhalten von chronyd auf Plattformen mit aktivierter seccomp-Filterung überarbeitet
ckermit	OpenSSL-Versionsprüfung entfernt
clamav	Haldenzugriff außerhalb der Grenzen beim Scannen von PDF-Dokumenten [CVE-2019-1787], mit Aspack gepackten PE-Dateien [CVE-2019-1789] oder OLE2-Dateien [CVE-2019-1788] behoben
dansguardian	missingok der logrotate-Konfiguration hinzufügen
debian-installer	Neubau gegen proposed-updates
debian-installer-netboot-images	Neubau gegen proposed-updates
debian-security-support	Support-Status aktualisiert
diffoscope	Tests überarbeitet, damit sie mit Ghostscript 9.26 zusammenarbeiten
dns-root-data	Root-Daten auf 2019031302 aktualisiert
dnsruby	Neuer root-Key (KSK-2017); ruby 2.3.0 missbilligt TimeoutError, stattdessen Timeout::Error benutzen
dpdk	Neue Stable-Veröffentlichung der Originalautoren
edk2	Pufferüberlauf im BlockIo-Dienst behoben [CVE-2018-12180]; DNS: Vor Verwendung empfangener Pakete ihre Größe prüfen [CVE-2018-12178]; Stapelüberlauf bei korrumpiertem BMP behoben [CVE-2018-12181]
firmware-nonfree	atheros / iwlwifi: neue Bluetooth-Firmware [CVE-2018-5383]
flatpak	Alle ioctls, die der Kernel als TIOCSTI interpretieren wird, abweisen [CVE-2019-10063]
geant321	Neubau gegen cernlib mit überarbeiteten Fortran-Optimierungen
gnome-chemistry-utils	Aufhören, das obsolete gcu-plugin-Paket zu packen
gocode	gocode-auto-complete-el: auto-complete-el zur Vor-Abhängigkeit hochstufen, um den Erfolg von Upgrades sicherzustellen
gpac	Pufferüberläufe behoben [CVE-2018-7752 CVE-2018-20762], genauso Haldenüberläufe [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761] und Schreibvorgänge außerhalb der Grenzen [CVE-2018-20760 CVE-2018-20763]
icedtea-web	Browser-Plugin nicht mehr bauen, funktioniert nicht mehr mit Firefox 60
igraph	Absturz beim Laden von fehlerhaften GraphML-Dateien behoben [CVE-2018-20349]
jabref	XML External Entity-Angriff verhindert [CVE-2018-1000652]
java-common	default-java-plugin-Paket entfernen, da das icedtea-web-Xul-Plugin ebenfalls entfernt wird
jquery	Object.prototype-Verschmutzung verhindern [CVE-2019-11358]
kauth	Unsichere Handhabung von Argumenten in Hilfsprogrammen behoben [CVE-2019-7443]
libdate-holidays-de-perl	Den achten März (ab 2019) und den achten Mai (nur 2020) den öffentlichen Feiertagen hinzugefügt (nur Berlin)
libdatetime-timezone-perl	Enthaltene Daten aktualisiert
libreoffice	Neue japanische Gengou-Ära 'Reiwa' hinterlegt; dafür gesorgt, dass -core einen Konflikt mit openjdk-8-jre-headless (= 8u181-b13-2~deb9u1) verursacht, bei dem ein ClassPathURLCheck defekt ist
linux	Neue Stable-Version der Originalautoren
linux-latest	Für -9 Kernel-ABI aktualisiert
mariadb-10.1	Neue Stable-Version der Originalautoren
mclibs	Neubau gegen cernlib mit überarbeiteten Fortran-Optimierungen
ncmpc	Nullzeiger-Dereferenzierung behoben [CVE-2018-9240]
node-superagent	ZIP-Bomb-Attacken abgestellt [CVE-2017-16129]; Syntaxfehler behoben
nvidia-graphics-drivers	Neue Stable-Veröffentlichung der Originalautoren [CVE-2018-6260]
nvidia-settings	Neue Stable-Veröffentlichung der Originalautoren
obs-build	Nicht erlauben, in Dateien auf dem Wirtssystem zu schreiben [CVE-2017-14804]
paw	Neubau gegen cernlib mit überarbeiteten Fortran-Optimierungen
perlbrew	HTTPS-CPAN-URLs erlauben
postfix	Neue Stable-Veröffentlichung der Originalautoren
postgresql-9.6	Neue Stable-Veröffentlichung der Originalautoren
psk31lx	Dafür sorgen, dass version korrekt sortiert, um mögliche Upgrade-Probleme zu verhindern
publicsuffix	Enthaltene Daten aktualisiert
pyca	missingok der Logrotate-Konfiguration hinzugefügt
python-certbot	Auf debhelper compat 9 zurückkehren, damit systemd-Timer korrekt gestartet werden
python-cryptography	BIO_callback_ctrl entfernt: Der Protoyp unterscheidet sich von dem, was in OpenSSL definiert ist, nachdem es in OpenSSL überarbeitet wurde
python-django-casclient	django 1.10 Middleware-Korrektur angewandt; python(3)-django-casclient: fehlende Abhängigkeiten von python(3)-django nachgetragen
python-mode	Unterstützung für xemacs21 entfernt
python-pip	HTTPError der HTTP-Requests korrekt in index.py abfangen
python-pykmip	Potenzielles Dienstblockade-Problem behoben [CVE-2018-1000872]
r-cran-igraph	Dienstblockade durch handgemachtes Objekt behoben [CVE-2018-20349]
rails	Informations-Offenlegungen [CVE-2018-16476 CVE-2019-5418] und Dienstblockaden [CVE-2019-5419] abgestellt
rsync	Mehrere Sicherheitskorrekturen für zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843]
ruby-i18n	Anfälligkeiten für Dienstblockaden aus der Ferne behoben [CVE-2014-10077]
ruby2.3	FTBFS korrigiert
runc	Anfälligkeit für root-Privilegien-Eskalation entfernt [CVE-2019-5736]
systemd	journald: Assertionsfehler in journal_file_link_data behoben; Temporärdateien: e überarbeitet, um Shell-Style-Globs zu unterstützen; mount-util: akzeptieren, dass name_to_handle_at() mit EPERM fehlschlagen kann; automount: automount-Anfragen bestätigen, auch wenn schon eingehängt [CVE-2018-1049]; potenzielle root-Privilegien-Eskalation behoben [CVE-2018-15686]
twitter-bootstrap3	Cross-Site-Skripting-Probleme in Tooltipps und Popovers behoben [CVE-2019-8331]
tzdata	Neue Version der Originalautoren
unzip	Pufferüberlauf in passwortgeschützten ZIP-Archiven behoben [CVE-2018-1000035]
vcftools	Informationsoffenlegung [CVE-2018-11099] und Dienstblockade [CVE-2018-11129 CVE-2018-11130] durch handgeschriebene Dateien behoben
vips	Null-Funktionszeigerdereferenzierung [CVE-2018-7998] und Zugriff auf nicht initialisierten Speicher [CVE-2019-6976] behoben
waagent	Neue Veröffentlichung der Originalautoren mit vielen Azure-Korrekturen [CVE-2019-0804]
yorick-av	Einzelbild-Zeitstempel neu skalieren; VBV-Puffergröße für MPEG1/2-Dateien festlegen
zziplib	Unzulässigen Speicherzugriff [CVE-2018-6381], Busfehler [CVE-2018-6540], Lesezugriff außerhalb der Grenzen [CVE-2018-7725], Absturz durch handgemachte ZIP-Datei [CVE-2018-7726] und Speicherleck [CVE-2018-16548] behoben; ZIP-Datei abweisen, falls die Größe des zentralen Verzeichnisses und/oder der Versatz seines Anfangs über das Ende der ZIP-Datei hinausreichen [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-4259	ruby2.3
DSA-4332	ruby2.3
DSA-4341	mariadb-10.1
DSA-4373	coturn
DSA-4374	qtbase-opensource-src
DSA-4377	rssh
DSA-4385	dovecot
DSA-4387	openssh
DSA-4388	mosquitto
DSA-4389	libu2f-host
DSA-4390	flatpak
DSA-4391	firefox-esr
DSA-4392	thunderbird
DSA-4393	systemd
DSA-4394	rdesktop
DSA-4396	ansible
DSA-4397	ldb
DSA-4398	php7.0
DSA-4399	ikiwiki
DSA-4400	openssl1.0
DSA-4401	wordpress
DSA-4402	mumble
DSA-4403	php7.0
DSA-4405	openjpeg2
DSA-4406	waagent
DSA-4407	xmltooling
DSA-4408	liblivemedia
DSA-4409	neutron
DSA-4410	openjdk-8
DSA-4411	firefox-esr
DSA-4412	drupal7
DSA-4413	ntfs-3g
DSA-4414	libapache2-mod-auth-mellon
DSA-4415	passenger
DSA-4416	wireshark
DSA-4417	firefox-esr
DSA-4418	dovecot
DSA-4419	twig
DSA-4420	thunderbird
DSA-4422	apache2
DSA-4423	putty
DSA-4424	pdns
DSA-4425	wget
DSA-4426	tryton-server
DSA-4427	samba
DSA-4428	systemd
DSA-4429	spip
DSA-4430	wpa
DSA-4431	libssh2
DSA-4432	ghostscript
DSA-4433	ruby2.3
DSA-4434	drupal7

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
gcontactsync	Inkompatibel mit neueren firefox-esr-Versionen
google-tasks-sync	Inkompatibel mit neueren firefox-esr-Versionen
mozilla-gnome-kerying	Inkompatibel mit neueren firefox-esr-Versionen
tbdialout	Inkompatibel mit neueren thunderbird-Versionen
timeline	Inkompatibel mit neueren thunderbird-Versionen

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.