Debian 9 aktualisiert: 9.12 veröffentlicht

8. Februar 2020

Das Debian-Projekt freut sich, die zwölfte Aktualisierung seiner Oldstable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
base-files Aktualisierung für die Zwischenveröffentlichung
cargo Neue Version der Originalautoren zwecks Unterstützung von Firefox-ESR-Rückportierungen; Bootstrap für armhf überarbeitet
clamav Neue Veröffentlichung der Originalautoren; Problem mit Dienstblockade behoben [CVE-2019-15961]; ScanOnAccess-Option entfernt und mit clamonacc ersetzt
cups Validierung der Standardsprache in ippSetValuetag überarbeitet [CVE-2019-2228]
debian-installer Neukompilierung gegen oldstable-proposed-updates; gfxpayload=keep auch in den Untermenüs anwenden, um bei den Netboot-Abbildern, die via EFI gestartet wurden, die Unleserlichkeit der Schrift auf hochauflösenden Bildschirmen zu beheben; USE_UDEBS_FROM-Vorgabe von Unstable auf Stretch geändert, um Nutzern zu helfen, die lokal kompilieren
debian-installer-netboot-images Neukompilierung gegen stretch-proposed-updates
debian-security-support Status der Sicherheitsunterstützung für mehrere Pakete aktualisiert
dehydrated Neue Veröffentlichung der Originalautoren; standardmäßig ACMEv2-API benutzen
dispmua Neue Veröffentlichung der Originalautoren, die kompatibel mit Thunderbird 68 ist
dpdk Neue stabile Veröffentlichung der Originalautoren; vhost-Regression behoben, die durch die Korrektur für CVE-2019-14818 entstanden ist
fence-agents Unvollständige Entfernung von fence_amt_ws behoben
fig2dev Fig-v2-Textzeichenketten, die mit mehreren ^A enden, erlauben [CVE-2019-19555]
flightcrew Sicherheitskorrekturen [CVE-2019-13032 CVE-2019-13241]
freetype Correctly handle deltas in TrueType GX fonts, fixing rendering of variable hinted fonts in Chromium and Firefox
glib2.0 Ensure libdbus clients can authenticate with a GDBusServer like the one in ibus
gnustep-base Fix UDP amplification vulnerability
italc Sicherheitskorrekturen [CVE-2018-15126 CVE-2018-15127 CVE-2018-20019 CVE-2018-20020 CVE-2018-20021 CVE-2018-20022 CVE-2018-20023 CVE-2018-20024 CVE-2018-20748 CVE-2018-20749 CVE-2018-20750 CVE-2018-6307 CVE-2018-7225 CVE-2019-15681]
libdate-holidays-de-perl Internationalen Tag der Kinder (20. September) in Thüringen ab 2019 als Feiertag markieren
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libidn Anfälligkeit für Dienstblockaden in der Punycode-Handhabung behoben [CVE-2017-14062]
libjaxen-java Kompilierungsfehlschlag durch Erlauben von Testfehlschlägen behoben
libofx Problem mit Nullzeiger-Dereferenzierung behoben [CVE-2019-9656]
libole-storage-lite-perl Interpretation der Jahre ab 2020 korrigiert
libparse-win32registry-perl Interpretation der Jahre ab 2020 korrigiert
libperl4-corelibs-perl Interpretation der Jahre ab 2020 korrigiert
libpst Erkennung von get_current_dir_name und Rückgabebeschneidung überarbeitet
libsixel Mehrere Sicherheitsprobleme behoben [CVE-2018-19756 CVE-2018-19757 CVE-2018-19759 CVE-2018-19761 CVE-2018-19762 CVE-2018-19763 CVE-2019-3573 CVE-2019-3574]
libsolv Heap-Pufferüberlauf behoben [CVE-2019-20387]
libtest-mocktime-perl Interpretation der Jahre ab 2020 korrigiert
libtimedate-perl Interpretation der Jahre ab 2020 korrigiert
libvncserver RFBserver: keinen Stack-Speicher an die Gegenstelle durchsickern lassen [CVE-2019-15681]; Einfrieren während des Abbauens von Verbindungen und einen Speicherzugriffsfehler auf Multi-Thread-VNC-Servern behoben; Probleme beim Verbinden mit VMWare-Servern behoben; Absturz von x11vnc, wenn vncviewer eine Verbindung aufbaut, behoben
libxslt Ins Leere deutenden Zeiger in xsltCopyText behoben [CVE-2019-18197]
limnoria Informationsoffenlegung in die Ferne und mögliche Fern-Codeausführung aus der Ferne im Math-Plugin behoben [CVE-2019-19010]
linux Neue stabile Veröffentlichung der Originalautoren
linux-latest Aktualisierung für Linux-Kernel-ABI 4.9.0-12
llvm-toolchain-7 Den Gold-Linker von s390x abschalten; für Bootstrap -fno-addrsig benutzen, mit Stretch's binutils funktioniert es auf mips64el nicht
mariadb-10.1 Neue stabile Version der Originalautoren [CVE-2019-2974 CVE-2020-2574]
monit Positionsunabhängigen CSRF-Cookie-Wert implementiert
node-fstream Verknüpfung überschreiben, wenn sie einer Datei im Weg ist [CVE-2019-13173]
node-mixin-deep Prototype-Pollution behoben [CVE-2018-3719 CVE-2019-10746]
nodejs-mozilla Neues Paket, um Firefox-ESR-Rückportierungen zu unterstützen
nvidia-graphics-drivers-legacy-340xx Neue stabile Veröffentlichung der Originalautoren
nyancat Neukompilierung in sauberer Umgebung, um die systemd-Unit für nyancat-server hinzuzufügen
openjpeg2 Heap-Überlauf [CVE-2018-21010], Ganzzahlüberlauf [CVE-2018-20847] und Teilung durch null [CVE-2016-9112] behoben
perl Interpretation der Jahre ab 2020 korrigiert
php-horde Stored-Cross-Site-Scripting-Problem im Horde Cloud Block behoben [CVE-2019-12095]
postfix Neue stabile Veröffentlichung der Originalautoren; Problemumgehung für unzureichende TCP-Loopback-Leistung eingebaut
postgresql-9.6 Neue Veröffentlichung der Originalautoren
proftpd-dfsg Nullzeiger-Dereferenzierung in CRL-Prüfungen behoben [CVE-2019-19269]
pykaraoke Pfad zu den Fonts korrigiert
python-acme Wechsel zum POST-as-GET-Protokoll
python-cryptography Testsuite-Fehlschläge, wenn gegen neuere OpenSSL-Versionen kompiliert wird, behoben
python-flask-rdf Fehlende Abhängigkeiten von python3-flask-rdf nachgetragen
python-pgmagick Versionserkennung von graphicsmagick-Sicherheitsaktualisierungen, die sich selbst als Version 1.4 identifizieren, handhaben
python-werkzeug Sicherstellen, dass Docker-Container eindeutige Fehlersuch-PINs haben [CVE-2019-14806]
ros-ros-comm Problem mit Pufferüberlauf behoben [CVE-2019-13566]; Ganzzahlüberlauf behoben [CVE-2019-13445]
ruby-encryptor Testfehlschläge ignorieren, um Kompilierungsfehlschläge zu beheben
rust-cbindgen Neues Paket, um Firefox-ESR-Rückportierungen zu unterstützen
rustc Neue Version der Originalautoren, um Firefox-ESR-Rückportierungen zu unterstützen
safe-rm Installation in (und dadurch Beschädigen von) zusammengeführten /usr-Umgebungen verhindern
sorl-thumbnail pgmagick-Ausnahme umgangen
sssd sysdb: Suchfilter-Eingabe bereinigen [CVE-2017-12173]
tigervnc Sicherheitsaktualisierungen [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695]
tightvnc Sicherheitskorrekturen [CVE-2014-6053 2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681 CVE-2019-8287]
tmpreaper --protect '/tmp/systemd-private*/*' dem Cronjob hinzufügen, um Ausfälle von systemd-Diensten, die PrivateTmp=true haben, zu verhindern
tzdata Neue Veröffentlichung der Originalautoren
ublock-origin Neue Version der Originalautoren, kompatibel mit Firefox ESR 68
unhide Stack-Erschöpfung behoben
x2goclient ~/, ~user{,/}, ${HOME}{,/} und $HOME{,/} von den Zielpfaden im SCP-Modus entfernen; behebt Regression mit neueren libssh-Versionen, die Behebungen für CVE-2019-14889 enthalten
xml-security-c DSA verification crashes OpenSSL on invalid combinations of key content behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-4474 firefox-esr
DSA-4479 firefox-esr
DSA-4509 apache2
DSA-4509 subversion
DSA-4511 nghttp2
DSA-4516 firefox-esr
DSA-4517 exim4
DSA-4518 ghostscript
DSA-4519 libreoffice
DSA-4522 faad2
DSA-4523 thunderbird
DSA-4525 ibus
DSA-4526 opendmarc
DSA-4528 bird
DSA-4529 php7.0
DSA-4530 expat
DSA-4531 linux
DSA-4532 spip
DSA-4535 e2fsprogs
DSA-4537 file-roller
DSA-4539 openssl
DSA-4540 openssl1.0
DSA-4541 libapreq2
DSA-4542 jackson-databind
DSA-4543 sudo
DSA-4545 mediawiki
DSA-4547 tcpdump
DSA-4548 openjdk-8
DSA-4549 firefox-esr
DSA-4550 file
DSA-4552 php7.0
DSA-4554 ruby-loofah
DSA-4555 pam-python
DSA-4557 libarchive
DSA-4559 proftpd-dfsg
DSA-4560 simplesamlphp
DSA-4564 linux
DSA-4565 intel-microcode
DSA-4567 dpdk
DSA-4568 postgresql-common
DSA-4569 ghostscript
DSA-4571 thunderbird
DSA-4573 symfony
DSA-4574 redmine
DSA-4576 php-imagick
DSA-4578 libvpx
DSA-4580 firefox-esr
DSA-4581 git
DSA-4582 davical
DSA-4584 spamassassin
DSA-4585 thunderbird
DSA-4587 ruby2.3
DSA-4588 python-ecdsa
DSA-4589 debian-edu-config
DSA-4590 cyrus-imapd
DSA-4591 cyrus-sasl2
DSA-4592 mediawiki
DSA-4593 freeimage
DSA-4594 openssl1.0
DSA-4595 debian-lan-config
DSA-4596 tomcat8
DSA-4596 tomcat-native
DSA-4597 netty
DSA-4598 python-django
DSA-4600 firefox-esr
DSA-4601 ldm
DSA-4602 xen
DSA-4603 thunderbird
DSA-4604 cacti
DSA-4607 openconnect
DSA-4609 python-apt
DSA-4611 opensmtpd
DSA-4612 prosody-modules
DSA-4614 sudo
DSA-4615 spamassassin

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
firetray Inkompatibel mit derzeitigen Thunderbird-Versionen
koji Sicherheitsprobleme
python-lamson Defekt wegen Änderungen in python-daemon
radare2 Sicherheitsprobleme; Originalautoren bieten keine Stable-Unterstützung
ruby-simple-form Ungenutzt, Sicherheitsprobleme
trafficserver Nicht unterstützbar

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.