Debian 9 aktualisiert: 9.12 veröffentlicht
8. Februar 2020
Das Debian-Projekt freut sich, die zwölfte Aktualisierung seiner
Oldstable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
base-files | Aktualisierung für die Zwischenveröffentlichung |
cargo | Neue Version der Originalautoren zwecks Unterstützung von Firefox-ESR-Rückportierungen; Bootstrap für armhf überarbeitet |
clamav | Neue Veröffentlichung der Originalautoren; Problem mit Dienstblockade behoben [CVE-2019-15961]; ScanOnAccess-Option entfernt und mit clamonacc ersetzt |
cups | Validierung der Standardsprache in ippSetValuetag überarbeitet [CVE-2019-2228] |
debian-installer | Neukompilierung gegen oldstable-proposed-updates; gfxpayload=keep auch in den Untermenüs anwenden, um bei den Netboot-Abbildern, die via EFI gestartet wurden, die Unleserlichkeit der Schrift auf hochauflösenden Bildschirmen zu beheben; USE_UDEBS_FROM-Vorgabe von Unstable auf Stretch geändert, um Nutzern zu helfen, die lokal kompilieren |
debian-installer-netboot-images | Neukompilierung gegen stretch-proposed-updates |
debian-security-support | Status der Sicherheitsunterstützung für mehrere Pakete aktualisiert |
dehydrated | Neue Veröffentlichung der Originalautoren; standardmäßig ACMEv2-API benutzen |
dispmua | Neue Veröffentlichung der Originalautoren, die kompatibel mit Thunderbird 68 ist |
dpdk | Neue stabile Veröffentlichung der Originalautoren; vhost-Regression behoben, die durch die Korrektur für CVE-2019-14818 entstanden ist |
fence-agents | Unvollständige Entfernung von fence_amt_ws behoben |
fig2dev | Fig-v2-Textzeichenketten, die mit mehreren ^A enden, erlauben [CVE-2019-19555] |
flightcrew | Sicherheitskorrekturen [CVE-2019-13032 CVE-2019-13241] |
freetype | Correctly handle deltas in TrueType GX fonts, fixing rendering of variable hinted fonts in Chromium and Firefox |
glib2.0 | Ensure libdbus clients can authenticate with a GDBusServer like the one in ibus |
gnustep-base | Fix UDP amplification vulnerability |
italc | Sicherheitskorrekturen [CVE-2018-15126 CVE-2018-15127 CVE-2018-20019 CVE-2018-20020 CVE-2018-20021 CVE-2018-20022 CVE-2018-20023 CVE-2018-20024 CVE-2018-20748 CVE-2018-20749 CVE-2018-20750 CVE-2018-6307 CVE-2018-7225 CVE-2019-15681] |
libdate-holidays-de-perl | Internationalen Tag der Kinder (20. September) in Thüringen ab 2019 als Feiertag markieren |
libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
libidn | Anfälligkeit für Dienstblockaden in der Punycode-Handhabung behoben [CVE-2017-14062] |
libjaxen-java | Kompilierungsfehlschlag durch Erlauben von Testfehlschlägen behoben |
libofx | Problem mit Nullzeiger-Dereferenzierung behoben [CVE-2019-9656] |
libole-storage-lite-perl | Interpretation der Jahre ab 2020 korrigiert |
libparse-win32registry-perl | Interpretation der Jahre ab 2020 korrigiert |
libperl4-corelibs-perl | Interpretation der Jahre ab 2020 korrigiert |
libpst | Erkennung von get_current_dir_name und Rückgabebeschneidung überarbeitet |
libsixel | Mehrere Sicherheitsprobleme behoben [CVE-2018-19756 CVE-2018-19757 CVE-2018-19759 CVE-2018-19761 CVE-2018-19762 CVE-2018-19763 CVE-2019-3573 CVE-2019-3574] |
libsolv | Heap-Pufferüberlauf behoben [CVE-2019-20387] |
libtest-mocktime-perl | Interpretation der Jahre ab 2020 korrigiert |
libtimedate-perl | Interpretation der Jahre ab 2020 korrigiert |
libvncserver | RFBserver: keinen Stack-Speicher an die Gegenstelle durchsickern lassen [CVE-2019-15681]; Einfrieren während des Abbauens von Verbindungen und einen Speicherzugriffsfehler auf Multi-Thread-VNC-Servern behoben; Probleme beim Verbinden mit VMWare-Servern behoben; Absturz von x11vnc, wenn vncviewer eine Verbindung aufbaut, behoben |
libxslt | Ins Leere deutenden Zeiger in xsltCopyText behoben [CVE-2019-18197] |
limnoria | Informationsoffenlegung in die Ferne und mögliche Fern-Codeausführung aus der Ferne im Math-Plugin behoben [CVE-2019-19010] |
linux | Neue stabile Veröffentlichung der Originalautoren |
linux-latest | Aktualisierung für Linux-Kernel-ABI 4.9.0-12 |
llvm-toolchain-7 | Den Gold-Linker von s390x abschalten; für Bootstrap -fno-addrsig benutzen, mit Stretch's binutils funktioniert es auf mips64el nicht |
mariadb-10.1 | Neue stabile Version der Originalautoren [CVE-2019-2974 CVE-2020-2574] |
monit | Positionsunabhängigen CSRF-Cookie-Wert implementiert |
node-fstream | Verknüpfung überschreiben, wenn sie einer Datei im Weg ist [CVE-2019-13173] |
node-mixin-deep | Prototype-Pollution behoben [CVE-2018-3719 CVE-2019-10746] |
nodejs-mozilla | Neues Paket, um Firefox-ESR-Rückportierungen zu unterstützen |
nvidia-graphics-drivers-legacy-340xx | Neue stabile Veröffentlichung der Originalautoren |
nyancat | Neukompilierung in sauberer Umgebung, um die systemd-Unit für nyancat-server hinzuzufügen |
openjpeg2 | Heap-Überlauf [CVE-2018-21010], Ganzzahlüberlauf [CVE-2018-20847] und Teilung durch null [CVE-2016-9112] behoben |
perl | Interpretation der Jahre ab 2020 korrigiert |
php-horde | Stored-Cross-Site-Scripting-Problem im Horde Cloud Block behoben [CVE-2019-12095] |
postfix | Neue stabile Veröffentlichung der Originalautoren; Problemumgehung für unzureichende TCP-Loopback-Leistung eingebaut |
postgresql-9.6 | Neue Veröffentlichung der Originalautoren |
proftpd-dfsg | Nullzeiger-Dereferenzierung in CRL-Prüfungen behoben [CVE-2019-19269] |
pykaraoke | Pfad zu den Fonts korrigiert |
python-acme | Wechsel zum POST-as-GET-Protokoll |
python-cryptography | Testsuite-Fehlschläge, wenn gegen neuere OpenSSL-Versionen kompiliert wird, behoben |
python-flask-rdf | Fehlende Abhängigkeiten von python3-flask-rdf nachgetragen |
python-pgmagick | Versionserkennung von graphicsmagick-Sicherheitsaktualisierungen, die sich selbst als Version 1.4 identifizieren, handhaben |
python-werkzeug | Sicherstellen, dass Docker-Container eindeutige Fehlersuch-PINs haben [CVE-2019-14806] |
ros-ros-comm | Problem mit Pufferüberlauf behoben [CVE-2019-13566]; Ganzzahlüberlauf behoben [CVE-2019-13445] |
ruby-encryptor | Testfehlschläge ignorieren, um Kompilierungsfehlschläge zu beheben |
rust-cbindgen | Neues Paket, um Firefox-ESR-Rückportierungen zu unterstützen |
rustc | Neue Version der Originalautoren, um Firefox-ESR-Rückportierungen zu unterstützen |
safe-rm | Installation in (und dadurch Beschädigen von) zusammengeführten /usr-Umgebungen verhindern |
sorl-thumbnail | pgmagick-Ausnahme umgangen |
sssd | sysdb: Suchfilter-Eingabe bereinigen [CVE-2017-12173] |
tigervnc | Sicherheitsaktualisierungen [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695] |
tightvnc | Sicherheitskorrekturen [CVE-2014-6053 2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681 CVE-2019-8287] |
tmpreaper | --protect '/tmp/systemd-private*/*'dem Cronjob hinzufügen, um Ausfälle von systemd-Diensten, die PrivateTmp=true haben, zu verhindern |
tzdata | Neue Veröffentlichung der Originalautoren |
ublock-origin | Neue Version der Originalautoren, kompatibel mit Firefox ESR 68 |
unhide | Stack-Erschöpfung behoben |
x2goclient | ~/, ~user{,/}, ${HOME}{,/} und $HOME{,/} von den Zielpfaden im SCP-Modus entfernen; behebt Regression mit neueren libssh-Versionen, die Behebungen für CVE-2019-14889 enthalten |
xml-security-c | DSA verification crashes OpenSSL on invalid combinations of key contentbehoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
firetray | Inkompatibel mit derzeitigen Thunderbird-Versionen |
koji | Sicherheitsprobleme |
python-lamson | Defekt wegen Änderungen in python-daemon |
radare2 | Sicherheitsprobleme; Originalautoren bieten keine Stable-Unterstützung |
ruby-simple-form | Ungenutzt, Sicherheitsprobleme |
trafficserver | Nicht unterstützbar |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.