Debian 9 aktualisiert: 9.10 veröffentlicht
7. September 2019
Das Debian-Projekt freut sich, die zehnte Aktualisierung seiner
Oldstable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| base-files | Aktualisierung auf die Zwischenveröffentlichung; VERSION_CODENAME in os-release eingetragen |
| basez | base64url-kodierte Zeichenketten richtig dekodieren |
| biomaj-watcher | Upgrades von Jessie auf Stretch korrigiert |
| c-icap-modules | Unterstützung für clamav 0.101.1 hinzugefügt |
| chaosreader | Fehlende Abhängigkeit von libnet-dns-perl nachgetragen |
| clamav | Neue Veröffentlichung der Originalautoren: Scanzeit-Begrenzung als Maßnahme gegen ZIP-Bomben [CVE-2019-12625]; Schreibzugriff außerhalb der Grenzen innerhalb der NSIS-bzip2-Bibliothek behoben [CVE-2019-12900] |
| corekeeper | Keine allgemein schreibbare /var/crash mit dem Dumper-Skript benutzen; ältere Versionen des Linux-Kernels auf sicherere Art handhaben; keine core-Dateinamen abschneiden, wenn die Programmnamen Leerzeichen enthalten |
| cups | Mehrere Sicherheits-/Offenlegungsprobleme behoben - SNMP-Pufferüberläufe [CVE-2019-8696 CVE-2019-8675], IPP-Pufferüberlauf, Dienstblockade- und Speicheroffenlegungsprobleme im Scheduler |
| dansguardian | Unterstützung für clamav 0.101 hinzugefügt |
| dar | Neubau, damit die built-using-Pakete aktualisiert werden |
| debian-archive-keyring | Wheezy- mit Buster-Schlüsseln ersetzen |
| fence-agents | Dienstblockade behoben [CVE-2019-10153] |
| fig2dev | Speicherzugriffsfehler bei Kreis-/Halbkreis-Pfeilspitzen mit einer Vergrößerung oberhalb von 42 beseitigt [CVE-2019-14275] |
| fribidi | Rechts-nach-links-Ausgabe im Textmodus des Debian-Installers überarbeitet |
| fusiondirectory | Genauere Prüfungen bei LDAP-Abfragen; fehlende Abhängigkeit von php-xml hinzugefügt |
| gettext | xgettext() nicht mehr abstürzen lassen, wenn es mit der Option --its=DATEI ausgeführt wird |
| glib2.0 | Beim Verwenden des GKeyfileSettingsBackend Verzeichnis und Datei mit strengen Berechtigungen anlegen [CVE-2019-13012]; Puffer-Leseüberlauf beim Formatieren von Fehlermeldungen wegen ungültigem UTF-8 in GMarkup verhindert [CVE-2018-16429]; NULL-Dereferenzierung beim Auswerten von ungültigem GMarkup mit einem Schluss-Tag ohne Eröffnungs-Tag [CVE-2018-16429] |
| gocode | gocode-auto-complete-el: Die Vor-Abhängigkeit von auto-complete-el versionieren, damit Upgrades von Jessie auf Stretch funktionieren |
| groonga | Privilegien-Eskalation durch Ändern des Besitzers und der Besitzergruppe der Protokolle via suausgehebelt |
| grub2 | Korrekturen für die Xen-UEFI-Unterstützung |
| gsoap | Dienstblockade bei Server-Anwendung, die mit dem -DWITH_COOKIES-Schalter kompiliert worden ist, behoben [CVE-2019-7659]; Problem mit DIME-Protkoll-Empfänger und defekten DIME-Headern behoben |
| gthumb | Double-Free-Problem behoben [CVE-2018-18718] |
| havp | Unterstützung für clamav 0.101.1 hinzugefügt |
| icu | Speicherzugriffsfehler im pkgdata-Befehl behoben |
| koji | SQL-Injection behoben [CVE-2018-1002161]; SCM-Pfade richtig validieren [CVE-2017-1002153] |
| lemonldap-ng | Regression in der Domain-übergreifenden Authentifizierung behoben; XML-External-Entity-Anfälligkeit behoben |
| libcaca | Probleme mit Ganzzahlen-Überläufen behoben [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549] |
| libclamunrar | Neue stabile Version der Originalautoren |
| libconvert-units-perl | Neubau ohne Änderungen, aber mit korrigierter Versionsnummer |
| libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
| libebml | Korrektur der Originalautoren für Heap-basiertes Lesen außerhalb des Puffers (buffer-overread) |
| libevent-rpc-perl | Kompilierungsfehlschlag wegen ausgelaufenen SSL-Testzertifikaten behoben |
| libgd2 | Uninitialisierten Lesezugriff in gdImageCreateFromXbm behoben [CVE-2019-11038] |
| libgovirt | Testzertifkate mit Ablaufdatum in ferner Zukunft neu generiert, um Test-Fehlschläge zu vermeiden |
| librecad | Dienstblockade durch präparierte Datei behoben [CVE-2018-19105] |
| libsdl2-image | Mehrere Sicherheitsprobleme behoben |
| libthrift-java | Umgehung der SASL-Aushandlung behoben [CVE-2018-1320] |
| libtk-img | Keine internen Kopien der JPEG-, Zlib- und PixarLog Codecs mehr benutzen, damit die Abstürze aufhören |
| libu2f-host | Stack-Speicherleck behoben [CVE-2019-9578] |
| libxslt | Umgehung des Sicherheits-Frameworks behoben [CVE-2019-11068]; uninitialiserten Speicherzugriff auf das xsl:number-Token behoben [CVE-2019-13117]; uninitialisierten Lesezugriff mit UTF-8-Gruppierungszeichen behoben [CVE-2019-13118] |
| linux | Neue Version der Originalautoren mit ABI-Bump; Sicherheitskorrekturen [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882] |
| linux-latest | Aktualisierung für 4.9.0-11-Kernel-ABI |
| liquidsoap | Kompilierung mit Ocaml 4.02 überarbeitet |
| llvm-toolchain-7 | Neues Paket, welches das Kompilieren neuer Firefox-Versionen unterstützt |
| mariadb-10.1 | Neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614] |
| minissdpd | Use-after-free-Anfälligkeit beseitigt, die einem Angreifer erlauben würde, den Prozess aus der Ferne abstürzen zu lassen [CVE-2019-12106] |
| miniupnpd | Dienstblockade-Probleme behoben [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110]; Informationsleck behoben [CVE-2019-12107] |
| mitmproxy | Tests ausschließen, die Internetzugriff benötigen; Einfügen ungewollter Abhängigkeiten mit nach oben beschränkter Version verhindern |
| monkeysphere | Kompilierfehlschlag durch Überarbeiten der Tests behoben, damit diese zu einem aktualisierten GnuPG in Stretch passen, welches andere Ausgaben produziert |
| nasm-mozilla | Neues Paket, damit das Kompilieren neuer Firefox-Versionen unterstützt wird |
| ncbi-tools6 | Neubau ohne die unfreien data/UniVec.* |
| node-growl | Eingaben vor dem Weiterreichen an exec überprüfen |
| node-ws | Upload-Größe begrenzen [CVE-2016-10542] |
| open-vm-tools | Mögliches Sicherheitsproblem mit den Berechtigungen des dazwischenliegenden Staging-Verzeichnisses und -Pfades behoben |
| openldap | rootDN-proxyauthz auf seine eigenen Datenbanken beschränken [CVE-2019-13057]; sasl_ssf-ACL-Statement für jede Verbindung erzwingen [CVE-2019-13565]; slapo-rwm überarbeitet, damit es nicht den Originalfilter löscht, wenn der neu geschriebene Filter ungültig ist |
| openssh | Deadlock beim Schlüsselvergleich behoben |
| passwordsafe | Keine Lokalisierungsdateien in einem separaten Unterverzeichnis speichern |
| pound | Abfrage-Schmuggel via präparierten Headern behoben [CVE-2016-10711] |
| prelink | Neukompilierung zum Aktualisieren der built-using-Pakete |
| python-clamav | Unterstützung für clamav 0.101.1 hinzugefügt |
| reportbug | Update release names, following buster release |
| resiprocate | Resolve an installation issue with libssl-dev and --install-recommends |
| sash | Neukompilierung zum Aktualisieren der built-using-Pakete |
| sdl-image1.2 | Pufferüberläufe [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] und Zugriffe außerhalb der Grenzen behoben [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
| signing-party | Unsicheren Shell-Aufruf behoben, der Shell-Injection via User-ID ermöglicht hätte [CVE-2019-11627] |
| slurm-llnl | Potenziellen Heap-Überlauf auf 32-Bit-Systemen behoben [CVE-2019-6438] |
| sox | Mehrere Sicherheitsprobleme behoben [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332 |
| systemd | Den ndisc-Client nicht stoppen, falls die Konfiguration fehlerhaft ist |
| t-digest | Neukompilierung ohne Änderungen, um die Wiederverwendung der vor-epochalen Version 3.0-1 zu vermeiden |
| tenshi | PID-Dateiproblem behoben, welches lokalen Benutzern erlaubte, eigenmächtig Prozesse abzuschießen [CVE-2017-11746] |
| tzdata | Neue Veröffentlichung der Originalautoren |
| unzip | Fehlerhafte Auswertung von 64-Bit-Werten in fileio.c behoben; ZIP-Bomben-Probleme behoben [CVE-2019-13232] |
| usbutils | USB-ID-Liste aktualisiert |
| xymon | Mehrere (serverbezogene) Sicherheitsprobleme behoben [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486] |
| yubico-piv-tool | Sicherheitsprobleme behoben [CVE-2018-14779 CVE-2018-14780] |
| z3 | Den SONAME von libz3java.so nicht auf libz3.so.4 setzen |
| zfs-auto-snapshot | Cron-Jobs nach der Paketentfernung leise beenden lassen |
| zsh | Neukompilierung zum Aktualisieren der built-using-Pakete |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| pump | Unbetreut, Sicherheitsprobleme |
| teeworlds | Sicherheitsprobleme, nicht kompatibel mit aktuellen Servern |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Oldstable-Release-Team auf Englisch über <debian-release@lists.debian.org>.