Debian 10 aktualisiert: 10.1 veröffentlicht
7. September 2019
Das Debian-Projekt freut sich, die erste Aktualisierung seiner
Stable-Veröffentlichung Debian 10 (Codename Buster
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
acme-tiny | Vorbereitung auf die anstehenden ACME-Protokolländerungen |
android-sdk-meta | Neue Veröffentlichung der Originalautoren; regulären Ausdruck zum Hinzufügen der Debian-Version zu Binärpaketen korrigiert |
apt-setup | Vorbefüllen (preseeding) von Secure Apt für lokale Paketdepots via apt-setup/localX/ überarbeitet |
asterisk | Pufferüberlauf in res_pjsip_messaging [AST-2019-002 / CVE-2019-12827] behoben; Anfälligkeit für Absturz aus der Ferne in chan_sip [AST-2019-003 / CVE-2019-13161] behoben |
babeltrace | ctf-symbols-Abhängigkeiten auf Nach-Merge-Version abgeändert |
backup-manager | Leeren von entfernten Archiven via FTP oder SSH überarbeitet |
base-files | Aktualisierung auf die Zwischenveröffentlichung |
basez | base64url-kodierte Zeichenketten richtig dekodieren |
bro | Sicherheitsprobleme [CVE-2018-16807 CVE-2018-17019] |
bzip2 | Regression beim Entpacken einiger Dateien behoben |
cacti | Probleme beim Upgraden von der Stretch-Version behoben |
calamares-settings-debian | Berechtigungen fürs initramfs-Abbild für den Fall korrigiert, dass Festplatten-Vollverschlüsselung aktiv ist [CVE-2019-13179] |
ceph | Neubau gegen neue libbabeltrace |
clamav | Extraktion nichtrekursiver ZIP-Bomben verhindern; neue Version der Originalautoren mit Sicherheits-Korrekturen - Scan-Zeit-Bregrenzung als Maßnahme gegen ZIP-Bomben [CVE-2019-12625]; Schreibvorgang außerhalb der Grenzen in der NSIS-bzip2-Bibliothek behoben [CVE-2019-12900] |
cloudkitty | Baufehlschläge mit aktualisiertem SQLAlchemy behoben |
console-setup | Internationalisierungs-Probleme beim Umschalten der Locales mit Perl >= 5.28 behoben |
cryptsetup | Unterstützung für LUKS2-Header ohne angebundenen Keyslot behoben; Überlaufen gemappter Segmente auf 32-Bit-Architekturen behoben |
cups | Mehrere Sicherheits-/Offenlegungsprobleme behoben - SNMP-Pufferüberläufe [CVE-2019-8696 CVE-2019-8675], IPP-Pufferüberlauf, Dienstblockade- und Speicheroffenlegungsprobleme im Scheduler |
dbconfig-common | Problem behoben, das durch Änderungen in bashs POSIX-Verhalten verursacht wurde |
debian-edu-config | Beim LTSP-Client-Boot die PXE-Option ipappend 2verwenden; sudo-ldap-Konfiguration überarbeitet; Verlust dynamisch zugewiesener IPv4-Adressen behoben; mehrere Korrekturen und Verbesserungen an debian-edu-config.fetch-ldap-cert |
debian-edu-doc | Debian Edu Buster- und ITIL-Handbücher und -Übersetzungen überarbeitet |
dehydrated | Abruf von Konten-Informationen überarbeitet; Nachfolge-Korrekturen für den Umgang mit Konten-IDs und APIv1-Kompatiblität |
devscripts | debchange: mit Option --bpo buster-backports anpeilen |
dma | TLS-Verbindungen nicht auf TLS 1.0 beschränken |
dpdk | Neue stabile Veröffentlichung der Originalautoren |
dput-ng | Codenamen für buster-backports und stretch-backports-sloppy hinzugefügt |
e2fsprogs | e4defrag-Abstürze auf 32-Bit-Architekturen behoben |
enigmail | Neue Version der Originalautoren, Sicherheitskorrekturen [CVE-2019-12269] |
epiphany-browser | Sicherstellen, dass die Web-Erweiterung die mitgelieferte Kopie der libdazzle verwendet |
erlang-p1-pkix | Umgang mit GnuTLS-Zertifkaten überarbeitet |
facter | Auswertung von Linux-Route-non-key-/Value-Schaltern (z. B. onlink) überarbeitet |
fdroidserver | Neue Veröffentlichung der Originalautoren |
fig2dev | Bei Kreis-/Halbkreis-Pfeilköpfen nicht mit Speicherzugriffsfehler abstürzen, wenn die Vergrößerung stärker als 42 ist [CVE-2019-14275] |
firmware-nonfree | atheros: Qualcomm Atheros QCA9377 rev 1.0 Firmware-Version WLAN.TF.2.1-00021-QCARMSWP-1 hinzugefügt; realtek: Realtek RTL8822CU Bluetooth-Firmware hinzugefügt; atheros: Änderung an QCA9377 rev 1.0-Firmware in 20180518-1 zurückgenommen; misc-nonfree: Firmware für MediaTek MT76x0/MT76x2u-Drahtlos-Chips, MediaTek MT7622/MT7668-Bluetooth-Chips und signierte GV100-Firmware hinzugefügt |
freeorion | Absturz beim Laden oder Speichern von Spieldaten behoben |
fuse-emulator | Das X11-Backend dem Wayland-Backend vorziehen; Fuse-Symbol auf dem GTK-Fenster und im Info-Dialog anzeigen |
fusiondirectory | Strengere Prüfungen bei LDAP-Abfragen; fehlende Abhängigkeit von php-xml hinzugefügt |
gcab | Korrumption beim Extrahieren behoben |
gdb | Neubau gegen neues libbabeltrace |
glib2.0 | GKeyFile-Einstellungs-Backend soll ~/.config und Konfigurationsdateien strenge Berechtigungen geben [CVE-2019-13012] |
gnome-bluetooth | GNOME-Shell-Abstürze beim Verwenden von gnome-shell-extension-bluetooth-quick-connect behoben |
gnome-control-center | Absturz beim Auswählen von Details -> Übersicht (info-overview) behoben; Speicherlecks im Barrierefreiheits-Panel behoben; Regression behoben, die dazu geführt hat, dass in der Bildschirmvergrößerung die Mausverfolgung nicht funktionierte; Isländisch- und Japanisch-Übersetzungen aktualisiert |
gnupg2 | Viele Fehlerbehebungen und Stabilitätsverbesserungen von den Originalautoren zurückportiert; keys.openpgp.org als Standard-Schlüsselserver benutzen; standardmäßig nur Selbst-Signaturen importieren |
gnuplot | Unvollständige/unsichere Initialisierung des ARGV-Arrays behoben |
gosa | Strengere Prüfungen der LDAP-Abfragen |
hfst | Reibungsärmere Upgrades aus Stretch sichergestellt |
initramfs-tools | Ruhezustand-Fortsetzen abschalten, wenn keine passenden Swap-Geräte vorhanden sind; MODULES=most: alle Tastaturtreibermodule, cros_ec_spi und SPI-Treiber, extcon-usbc-cros-ec integrieren; MODULES=dep: extcon-Treiber mitliefern |
jython | Rückwärts-Kompatibilität mit Java 7 beibehalten |
lacme | Aktualisierung, mit der die Unterstützung von unauthentifizierten GET-Abfragen aus der Let's Encrypt ACMEv2-API entfernt wird |
libblockdev | Bestehende cryptsetup-API zum Ändern der Keyslot-Passphrase benutzen |
libdatetime-timezone-perl | Aktualisierung für die enthaltenen Daten |
libjavascript-beautifier-perl | Unterstützung für den =>-Operator hinzugefügt |
libsdl2-image | Pufferüberläufe behoben [CVE-2019-5058 CVE-2019-5052 CVE-2019-7635]; Zugriff außerhalb der Grenzen in der PCX-Handhabung behoben [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
libtk-img | Aufhören, interne Kopien der JPEG-, Zlib- und PixarLog-Codecs zu benutzen und deswegen abzustürzen |
libxslt | Umgehung des Sicherheits-Rahmenwerks behoben [CVE-2019-11068], ebenso das nichtinitialisierte Lesen des xsl:number-Tokens [CVE-2019-13117] und uninitialisiertes Lesen mit UTF-8 Gruppierungszeichen [CVE-2019-13118] |
linux | Neue stabile Veröffentlichung der Originalautoren |
linux-latest | Aktualisierung für das 4.19.0-6-Kernel-ABI |
linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren |
lttv | Neubau gegen das neue libbabeltrace |
mapproxy | WMS-Capabilities mit Python 3.7 überarbeitet |
mariadb-10.3 | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2758 CVE-2019-2805]; Speicherzugriffsfehler beim Zugriff auf das 'information_schema' behoben; 'mariadbcheck' zu 'mariadb-check' umbenannt |
musescore | Webkit-Funktionalität abgeschaltet |
ncbi-tools6 | Ohne die unfreien data/UniVec.* neu paketiert |
ncurses | repaus xterm-new und den abgeleiteten terminfo-Beschreibungen entfernt |
netdata | Google Analytics aus der erzeugten Dokumentation entfernt; dem Versand anonymer Statistiken widersprochen; Sign in-Button entfernt |
newsboat | Weiternenutzung nach Freigabe (use after free) behoben |
nextcloud-desktop | Fehlende Abhängigkeit von nextcloud-desktop-common in nextcloud-desktop-cmd hinzugefügt |
node-lodash | Prototype-Pollution-Problem behoben [CVE-2019-10744] |
node-mixin-deep | Prototype-Pollution-Problem behoben |
nss | Sicherheitsprobleme behoben [CVE-2019-11719 CVE-2019-11727 CVE-2019-11729] |
nx-libs | Eine Anzahl Speicherlecks behoben |
open-infrastructure-compute-tools | Container-Start überarbeitet |
open-vm-tools | Richtig mit Betriebssystem-Versionsnummern der Form Xstatt X.Yumgehen |
openldap | rootDN proxyauthz auf seine eigenen Datenbanken beschränken [CVE-2019-13057]; sasl_ssf-ACL-Statement bei jeder Verbindung erzwingen [CVE-2019-13565]; slapo-rwm überarbeitet, damit es den Originalfilter nicht überschreibt, wenn der korrigierte Filter ungültig ist |
osinfo-db | Informationen über Buster 10.0 hinzugefügt; URLs des Stretch-Downloads korrigiert; Namen des Parameters, der beim Erzeugen einer Vorbefüllungsdatei (preseed file) den vollen Namen enthält, korrigiert |
osmpbf | Neukompilierung mit protobuf 3.6.1 |
pam-u2f | Unsichere Handhabung von Debugging-Dateien überarbeitet [CVE-2019-12209]; Debugdateien-Deskriptorleck behoben [CVE-2019-12210]; Zugriff außerhalb der Grenzen behoben; Speicherzugriffsfehler beseitigt, der auftritt, wenn kein Puffer alloziert werden kann |
passwordsafe | Lokalisierungsdateien ins richtige Verzeichnis installieren |
piuparts | Konfigurationen für Buster-Veröffentlichung aktualisiert; fadenscheinigen Fehlschlag beim Entfernen von Paketen, deren Namen mit '+' enden, korrigiert; separate Tarball-Namen für --merged-usr-Chroots erzeugen |
postgresql-common | pg_upgradecluster von postgresql-common 200, 200+deb10u1, 201 und 202 beschädigen die data_directory-Einstellung, wenn sie *zwei Mal* benutzt werden, um ein Cluster upzugraden (z. B. 9.6 -> 10 -> 11)behoben |
pulseaudio | Stummschaltungen wiederherstellen |
puppet-module-cinder | Nicht versuchen, in /etc/init zu schreiben |
python-autobahn | pyqrcode Kompilierungs-Abhängigkeiten überarbeitet |
python-django | Neue Sicherheitsveröffentlichung der Originalautoren [CVE-2019-12781] |
raspi3-firmware | Unterstützung für Raspberry Pi Compute Module 3 (CM3), Raspberry Pi Compute Module 3 Lite und Raspberry Pi Compute Module IO Board V3 hinzugefügt |
reportbug | Nach der Buster-Veröffentlichung die Veröffentlichungsnamen aktualisiert; stretch-pu-Anfragen wieder eingeschaltet; Abstürze beim Nachschlagen der Pakete/Versionen behoben; fehlende Abhängigkeit von sensible-utils hinzugefügt |
ruby-airbrussh | Keine Ausnahme auswerfen, wenn SSH-Ausgabe ungültige UTF-8-Zeichen enthält |
sdl-image1.2 | Pufferüberläufe behoben [CVE-2019-5052 CVE-2019-7635], ebenso Zugriff außerhalb der Grenzen [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
sendmail | sendmail-bin.postinst, initscript: start-stop-daemon soll PID-Datei und ausführbare Datei finden; sendmail-bin.prerm: Sendmail vor dem Entfernen der Alternativen anhalten |
slirp4netns | Neue stabile Veröffentlichung der Originalautoren mit Sicherheitskorrekturen - sscanf-Ergebnis überprüfen, wenn ident emuliert wird [CVE-2019-9824]; Heap-Überlauf im enthaltenen libslirp beseitigt [CVE-2019-14378] |
systemd | Netzwerk: Fehlschläge beim Aktivieren der Schnittstelle auf dem Linux-Kernel 5.2 behoben; ask-password: Pufferüberlauf beim Lesen des Schlüsselbundes verhindert; Netzwerk: weniger rappeln, wenn IPv6 abgeschaltet ist |
tzdata | Neue Aktualisierung der Originalautoren |
unzip | ZIP-Bomben-Probleme behoben [CVE-2019-13232] |
usb.ids | Routine-Aktualisierung der USB-IDs |
warzone2100 | Speicherzugriffsfehler beim Veranstalten einer Mehrspielerpartie behoben |
webkit2gtk | Neue stabile Version der Originalautoren; keine SSE2-fähigen CPUs mehr voraussetzen |
win32-loader | Neukompilierung gegen aktuelle Pakete, vor allem debian-archive-keyring; Kompilierungsfehlschlag durch Erzwingen einer POSIX-Locale behoben |
xymon | Mehrere (serverbezogene) Sicherheitsprobleme behoben [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486] |
yubikey-personalization | Zusätzliche sicherheitstechnische Vorsichtsmaßnahmen zurückportiert |
z3 | Den SONAME von libz3java.so nicht auf libz3.so.4 setzen |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
pump | Unbetreut; Sicherheitsprobleme |
rustc | Veralteten rust-doc-Müll entfernt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühnungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.