Debian 10 aktualisiert: 10.3 veröffentlicht
8. Februar 2020
Das Debian-Projekt freut sich, die dritte Aktualisierung seiner
Stable-Veröffentlichung Debian 10 (Codename Buster
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
alot | Ablaufdatum der Testsuiteschlüssel entfernt, um Kompilierungsfehlschläge zu beheben |
atril | Speicherzugriffsfehler behoben, wenn kein Dokument geladen ist; Einlesen von nicht initialisiertem Speicher behoben [CVE-2019-11459] |
base-files | Aktualisierung auf die Zwischenveröffentlichung |
beagle | Statt Symlinks auf JAR-Dateien ein Wrapper-Skript anbieten, sodass die JARs wieder funktionieren |
bgpdump | Speicherzugriffsfehler behoben |
boost1.67 | Undefiniertes Verhalten behoben, welches zum Absturz von libboost-numpy geführt hat |
brightd | Den von /sys/class/power_supply/AC/online ausgelesenen Wert wirklich mit 0vergleichen |
casacore-data-jplde | Tabellen bis 2040 inkludiert |
clamav | Neue Version der Originalautoren; Dienstblockadeproblem behoben [CVE-2019-15961]; ScanOnAccess-Option entfernt und mit clamonacc ersetzt |
compactheader | Neue Version der Originalautoren, kompatibel mit Thunderbird 68 |
console-common | Rückschritt behoben, der dazu geführt hat, dass Dateien nicht eingebunden wurden |
csh | Speicherzugriffsfehler bei eval behoben |
cups | Speicherleck in ppdOpen behoben; Validierung der Standardsprache in ippSetValuetag überarbeitet [CVE-2019-2228] |
cyrus-imapd | Der cyrus-upgrade-db einen BACKUP-Type hinzufügen, um Upgrade-Probleme loszuwerden |
debian-edu-config | Bisherige Proxy-Einstellungen auf dem Client beibehalten, falls WPAD nicht erreichbar ist |
debian-installer | Neukompilierung gegen proposed-updates; Generierung der mini.iso auf arm abgeändert, damit EFI-Netzwerk-Boot funktioniert; USE_UDEBS_FROM-Vorgabe von Unstable auf Buster abgeändert, um Benutzern zu helfen, die lokal kompilieren |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
debian-security-support | Status der Sicherheitsunterstützung einiger Pakete aktualisiert |
debos | Neukompilierung gegen aktualisierte golang-github-go-debos-fakemachine |
dispmua | Neue Version der Originalautoren, kompatibel mit Thunderbird 68 |
dkimpy | Neue stabile Veröffentlichung der Originalautoren |
dkimpy-milter | Fix privilege management at startup so Unix sockets work |
dpdk | Neue stabile Veröffentlichung der Originalautoren |
e2fsprogs | Potenziellen Stapelunterlauf in e2fsck behoben [CVE-2019-5188]; Use-after-free in e2fsck behoben |
fig2dev | Fig-v2-Textzeichenketten erlauben, die mit mehreren ^A enden [CVE-2019-19555]; riesige Arrow Types blockieren, die zu Ganzzahl-Überläufen führen [CVE-2019-19746]; meherere Abstürze behoben [CVE-2019-19797] |
freerdp2 | realloc-Rückgabe-Handhabung überarbeitet [CVE-2019-17177] |
freetds | tds: Sichergehen, dass UDT varint auf 8 gesetzt hat [CVE-2019-13508] |
git-lfs | Kompilierungsprobleme mit neueren Go-Versionen behoben |
gnubg | Größe der statischen Puffer, die dazu verwendet werden, Nachrichten während des Programmstarts zu generieren, gesteigert, sodass wegen der Spanisch-Übersetzung kein Puffer überläuft |
gnutls28 | Interop-Probleme mit gnutls 2.x behoben; Auswertung von Zertifikaten unter Verwendung der RegisteredID überarbeitet |
gtk2-engines-murrine | Ko-Installierbarkeit neben anderen Themes verbessert |
guile-2.2 | Kompilierungsfehlschlag behoben |
libburn | cdrskin multi-track burning was slow and stalled after track 1behoben |
libcgns | Kompilierungsfehlschlag auf ppc64el behoben |
libimobiledevice | Richtig mit teilweisem SSL-Schreiben umgehen |
libmatroska | Shared-Library-Abhängigkeit auf 1.4.7 geändert, weil diese Version neue Symbole eingeführt hat |
libmysofa | Sicherheitskorrekturen [CVE-2019-16091 CVE-2019-16092 CVE-2019-16093 CVE-2019-16094 CVE-2019-16095] |
libole-storage-lite-perl | Interpretation der Jahre ab 2020 korrigiert |
libparse-win32registry-perl | Interpretation der Jahre ab 2020 korrigiert |
libperl4-corelibs-perl | Interpretation der Jahre ab 2020 korrigiert |
libsolv | Heap-Pufferüberlauf behoben [CVE-2019-20387] |
libspreadsheet-wright-perl | Bisher unbenutzbare OpenDocument-Tabellen korrigiert, ebenso die Weitergabe von JSON-Formatierungsoptionen |
libtimedate-perl | Interpretation der Jahre ab 2020 korrigiert |
libvirt | Apparmor: das Ausführen von pygrub erlauben; osxsave und ospke nicht in der QEMU-Befehlszeile erscheinen lassen; dies hilft neueren QEMU-versionen mit einigen Konfigurationen, die von virt-install erzeugt werden |
libvncserver | RFBserver: keinen Stack-Speicher an die Gegenstelle durchsickern lassen [CVE-2019-15681]; Einfrieren beim Schließen von Verbindungen und einen Speicherzugriff auf Multi-Thread-VNC-Servern behoben; Problem beim Verbinden mit VMWare-Servern behoben; Absturz von x11vnc, wenn vncviewer eine Verbindung aufbaut, behoben |
limnoria | Fern-Informationsoffenlegung und mögliche Fern-Codeausführung im Math-Plugin behoben [CVE-2019-19010] |
linux | Neue stabile Veröffentlichung der Originalautoren |
linux-latest | Aktualisierung für das 4.19.0-8 Linux-Kernel-ABI |
linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren |
linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren |
mariadb-10.3 | Neue stabile Veröffentlichung der Originalautoren [CVE-2019-2938 CVE-2019-2974 CVE-2020-2574] |
mesa | shmget() mit Berechtigung 0600 statt 0777 aufrufen [CVE-2019-5068] |
mnemosyne | Fehlende Abhängigkeit von PIL hinzugefügt |
modsecurity | Cookie-Kopfzeilen-Auswertefehler behoben [CVE-2019-19886] |
node-handlebars | Direktaufruf von helperMissingund blockHelperMissingverbieten [CVE-2019-19919] |
node-kind-of | Type-Checking-Schwachstelle in ctorName() behoben [CVE-2019-20149] |
ntpsec | Langsame DNS-Neuversuche behoben; ntpdate -s (syslog) überarbeitet, um den if-up-Hook zu korrigieren; Korrekturen in der Dokumentation |
numix-gtk-theme | Ko-Installierbarkeit neben anderen Themes korrigiert |
nvidia-graphics-drivers-legacy-340xx | Neue stabile Veröffentlichung der Originalautoren |
nyancat | Neukompilierung in sauberer Umgebung, um die systemd-Unit für nyancat-server hinzuzufügen |
openjpeg2 | Heap-Überlauf [CVE-2018-21010] und Ganzzahlüberlauf behoben [CVE-2018-20847] |
opensmtpd | Benutzer vor den Änderungen der smtpd.conf-Syntax warnen (in früheren Versionen); smtpctl setgid opensmtpq installieren; während der Konfigurierungsphase mit hostname-Rückgabestatus ungleich null umgehen können |
openssh | Ipc in der seccomp-Sandbox (nicht-fatal) ablehnen, um Störungen mit OpenSSL 1.1.1d und Linux < 3.19 auf einigen Architekturen zu beheben |
php-horde | Stored-Cross-Site-Scripting-Problem in Horde Cloud Block behoben [CVE-2019-12095] |
php-horde-text-filter | Ungültige reguläre Ausdrücke korrigiert |
postfix | Neue stabile Veröffentlichung der Originalautoren |
postgresql-11 | Neue stabile Veröffentlichung der Originalautoren |
print-manager | Absturz, wenn CUPS dieselbe ID für mehrere Druckaufträge zurückliefert, behoben |
proftpd-dfsg | CRL-Probleme behoben [CVE-2019-19270 CVE-2019-19269] |
pykaraoke | Pfade zu den Fonts korrigiert |
python-evtx | Import von hexdumpüberarbeitet |
python-internetarchive | Nach dem Auslesen des Hashes die Datei schließen, damit die Dateideskriptoren nicht knapp werden |
python3.7 | Sicherheitskorrekturen [CVE-2019-9740 CVE-2019-9947 CVE-2019-9948 CVE-2019-10160 CVE-2019-16056 CVE-2019-16935] |
qtbase-opensource-src | Unterstützung für Nicht-PPD-drucker hinzufügen und stillschweigenden Rückgriff auf einen PPD-fähigen Drucker vermeiden; Absturz bei Verwendung von QLabels mit Rich-Text; Grafik-Tablett-Hover-Events überarbeitet |
qtwebengine-opensource-src | PDF-Auswertung überarbeitet; ausführbaren Stack abgeschaltet |
quassel | quasselcore-AppArmor-Blockaden beim Speichern der Konfiguration behoben; Standardkanal für Debian korrigiert; unnötige NEWS-Datei entfernt |
qwinff | Absturz durch inkorrekte Dateierkennung behoben |
raspi3-firmware | Erkennung der seriellen Konsole mit Kernel 5.x korrigiert |
ros-ros-comm | Sicherheitsprobleme behoben [CVE-2019-13566 CVE-2019-13465 CVE-2019-13445] |
roundcube | Neue stabile Veröffentlichung der Originalautoren; unsichere Berechtigungen im enigma-Plugin korrigiert [CVE-2018-1000071] |
schleuder | Erkennung von Schlüsselwörtern in Mails mit geschützten Kopfzeilenund leerem Betreff überarbeitet; Nicht-Eigensignaturen beim Aktualisieren oder Abrufen von Schlüsseln entfernen; Fehler melden, wenn das Argument, das an `refresh_keys` übergeben wird, keine existierende Liste ist; fehlende List-Id-Kopfzeile zu den Benachrichtigungs-Mails für die Admins hinzufügen; Entschlüsselungsprobleme souverän behandeln; standardmäßig ASCII-8BIT-Kodierung verwenden |
simplesamlphp | Inkompatibiltät mit PHP 7.3 behoben |
sogo-connector | Neue Version der Originalautoren, kompatibel mit Thunderbird 68 |
spf-engine | Privilegienverwaltung beim Starten überarbeitet, um die Unix-Sockets zum Laufen zu kriegen; Dokumentation für TestOnly aktualisiert |
sudo | Einen (in Buster nicht ausnutzbaren) Pufferüberlauf, wenn pwfeedback eingeschaltet und das Eingabegerät keine TTY ist, behoben [CVE-2019-18634] |
systemd | fs.file-max sysctl auf LONG_MAX statt auf ULONG_MAX setzen; Besitzer/Modi der Ausführungsverzeichnisse ebenso für statische Benutzer ändern, sodass die Ausführungsverzeichnisse wie CacheDirectory und StateDirectory für den Benutzer, der in User= angegeben ist, ordnungsgemäß gechowned werden, bevor der Dienst gestartet wird |
tifffile | Wrapper-Skript korrigiert |
tigervnc | Sicherheitskorrekturen [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695] |
tightvnc | Sicherheitskorrekturen [CVE-2014-6053 CVE-2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681] |
uif | Pfade zu ip(6)tables-restore wegen der Migration zu nftables korrigiert |
unhide | Stack-Erschöpfung behoben |
x2goclient | ~/, ~user{,/}, ${HOME}{,/} und $HOME{,/} im SCP-Modus vom Zielpfad entfernen; behebt Regression mit neueren libssh-Versionen, bei denen Korrekturen für CVE-2019-14889 angewendet worden sind |
xmltooling | Race-Condition behoben, die unter Last zum Absturz führen konnte |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
caml-crush | [armel] Unkompilierbar wegen des Fehlens von ocaml-native-compilers |
firetray | Inkompatibel mit derzeitigen Thunderbird-Versionen |
koji | Sicherheitsprobleme |
python-lamson | Defekt wegen Änderungen in python-daemon |
radare2 | Sicherheitsprobleme; Originalautoren bieten keine Stable-Unterstützung |
radare2-cutter | Hängt von radare2 ab, das entfernt wird |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühnungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.