Debian 10 aktualisiert: 10.4 veröffentlicht
9. Mai 2020
Das Debian-Projekt freut sich, die vierte Aktualisierung seiner
Stable-Veröffentlichung Debian 10 (Codename Buster
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| apt-cacher-ng | Abgesicherten Serveraufruf im Auslösemechanismus des Wartungsjobs erzwingen [CVE-2020-5202]; .zst-Kompression für Tarballs erlauben; Größe des Entpackungszeilenpuffers zum Lesen von Konfigurationsdateien vergrößert |
| backuppc | Den Benutzernamen beim »reload« an den Start-Stop-Daemon weitergeben, um Probleme zu vermeiden |
| base-files | Aktualisierung auf die Zwischenveröffentlichung |
| brltty | Dringlichkeit der Protokollmeldungen verringert, damit beim Einsatz zusammen mit neuen Orca-Versionen nicht zu viele Meldungen geschrieben werden |
| checkstyle | Problem mit XML External Entity Injection behoben [CVE-2019-9658 CVE-2019-10782] |
| choose-mirror | Enthaltene Liste der Spiegelserver aktualisiert |
| clamav | Neue Veröffentlichung der Originalautoren [CVE-2020-3123] |
| corosync | totemsrp: MTU reduzieren, damit keine übergroßen Pakete produziert werden |
| corosync-qdevice | Dienststart überarbeitet |
| csync2 | HELLO-Befehl fehlschlagen lassen, wenn SSL vorausgesetzt wird |
| cups | Heap-Pufferüberlauf [CVE-2020-3898] und the `ippReadIO` function may under-read an extension fieldbehoben [CVE-2019-8842] |
| dav4tbsync | Neue Veröffentlichung der Originalautoren, welche die Kompatiblität mit neueren Thunderbird-Versionen wiederherstellt |
| debian-edu-config | Richtliniendatien für Firefox ESR und Thunderbird hinzugefügt, um Probleme beim Aufsetzen von TLS/SSL zu beheben |
| debian-installer | Aktualisierung auf das Kernel-ABI 4.19.0-9 |
| debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
| debian-security-support | Neue stabile Veröffentlichung der Originalautoren; Statusaktualisierung für mehrere Pakete; runuseranstelle von suverwenden |
| distro-info-data | Ubuntu 20.10 und voraussichtliches Enddatum für die Unterstützung von Stretch hinzugefügt |
| dojo | Ungeeignete Verwendung regulärer Ausdrücke überarbeitet [CVE-2019-10785] |
| dpdk | Neue stabile Veröffentlichung der Originalautoren |
| dtv-scan-tables | Neuer Schnappschuss der Originalautoren; alle derzeitigen deutschen DVB-T2-Muxes und den Eutelsat-5-West-A-Satelliten hinzugefügt |
| eas4tbsync | Neue Veröffentlichung der Originalautoren, um die Kompatibilität mit neueren Thunderbird-Versionen wiederherzustellen |
| edk2 | Sicherheitskorrekturen [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587] |
| el-api | Upgrades von Stretch auf Buster überarbeitet, die mit Tomcat 8 zu tun haben |
| fex | Mögliches Sicherheitsproblem in fexsrv behoben |
| filezilla | Anfälligkeit auf Suchen in nicht vertrauenswürdigen Pfaden behoben [CVE-2019-5429] |
| frr | Extended-Next-Hop-Fähigkeit überarbeitet |
| fuse | Veraltete udevadm-Befehle aus den Nach-Installations-Skripten entfernt; beim vollständigen Deinstallieren nicht explizit die fuse.conf löschen |
| fuse3 | Veraltete udevadm-Befehle aus den Nach-Installations-Skripten entfernt; beim vollständigen Deinstallieren nicht explizit die fuse.conf löschen; Speicherleck in in fuse_session_new() behoben |
| golang-github-prometheus-common | Gültigkeit der Testzertifikate erweitert |
| gosa | (De)Serialisierung mit json_encode/json_decode ersetzt, um PHP-Objekt-Injektionen zu vermeiden [CVE-2019-14466] |
| hbci4java | EU-Direktive für Zahlungsdienste (PSD2) unterstützen |
| hibiscus | EU-Direktive für Zahlungsdienste (PSD2) unterstützen |
| iputils | Problem behoben, wegen welchem sich Ping unsauber mit Fehlercode beenden würde, wenn noch unversuchte Adressen im Rückgabewert des getaddrinfo()-Bibliotheksaufrufs auftauchen würden |
| ircd-hybrid | dhparam.pem benutzen, um einen Absturz beim Starten zu verhindern |
| jekyll | Verwendung von ruby-i18n 0.x und 1.x erlauben |
| jsp-api | Upgrades von Stretch auf Buster überarbeitet, die mit Tomcat 8 zu tun haben |
| lemonldap-ng | Unerwünschten Zugriff auf die Administrations-Endpunkte verhindern [CVE-2019-19791]; GrantSession-Plugin überarbeitet, welches keine Anmeldung verhindern konnte, wenn eine Zwei-Faktor-Authentifizierung verwendet wurde; eigenmächtige Weiterleitungen mit ODIC verhindert, wenn redirect_uri nicht verwendet wurde |
| libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
| libreoffice | OpenGL-Folienübergänge überarbeitet |
| libssh | Mögliche Dienstblockade beim Umgang mit AES-CTR-Schlüsseln mittels OpenSSL behoben [CVE-2020-1730] |
| libvncserver | Heap-Überlauf behoben [CVE-2019-15690] |
| linux | Neue stabile Veröffentlichung der Originalautoren |
| linux-latest | Kernel-ABI auf 4.19.0-9 aktualisiert |
| linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren |
| linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren |
| linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren |
| lwip | Pufferüberlauf verhindert [CVE-2020-8597] |
| lxc-templates | Neue stabile Veröffentlichung der Originalautoren; auch mit Sprachen umgehen, die nur UTF-8-encodiert sind |
| manila | Fehlende Zugriffsrechtekontrolle nachgerüstet [CVE-2020-9543] |
| megatools | Unterstützung für das neue Format der mega.nz-Links hinzugefügt |
| mew | Gültigkeitsprüfung des Server-SSL-Zertifikats überarbeitet |
| mew-beta | Gültigkeitsprüfung des Server-SSL-Zertifikats überarbeitet |
| mkvtoolnix | Neukompilierung, um die Abhängigkeit von libmatroska6v5 zu festigen |
| ncbi-blast+ | SSE4.2-Unterstützung abgeschaltet |
| node-anymatch | Unnötige Abhängigkeiten entfernt |
| node-dot | Codeausführung nach Prototype-Pollution verhindert [CVE-2020-8141] |
| node-dot-prop | Protoype-Polltuion behoben [CVE-2020-8116] |
| node-knockout | Maskierung mit älteren Internet-Explorer-Versionen überarbeitet [CVE-2019-14862] |
| node-mongodb | Ungültige _bsontypes zurückweisen [CVE-2019-2391 CVE-2020-7610] |
| node-yargs-parser | Prototype-Pollution behoben [CVE-2020-7608] |
| npm | Eigenmächtige Pfadzugriffe behoben [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777] |
| nvidia-graphics-drivers | Neue stabile Veröffentlichung der Originalautoren |
| nvidia-graphics-drivers-legacy-390xx | Neue stabile Veröffentlichung der Originalautoren |
| nvidia-settings-legacy-340xx | Neue Veröffentlichung der Originalautoren |
| oar | Für die Perl-Funktion Storable::dclone auf Stretch-Verhalten zurückkehren, um Probleme mit der Rekursionstiefe zu lösen |
| opam | mcss aspcud vorziehen |
| openvswitch | Abbruch von vswitchd behoben, wenn ein Port hinzugefügt wird und der Controller nicht läuft |
| orocos-kdl | Zeichenkettenumwandlung mit Python 3 behoben |
| owfs | Defekte Python-3-Pakete entfernt |
| pango1.0 | Absturz in pango_fc_font_key_get_variations() behoben, wenn der Schlüssel leer ist |
| pgcli | Fehlende Abhängigkeit von python3-pkg-resources hinzugefügt |
| php-horde-data | Anfälligkeit für authentifizierte Code-Fernausführung behoben [CVE-2020-8518] |
| php-horde-form | Anfälligkeit für authentifizierte Code-Fernausführung behoben [CVE-2020-8866] |
| php-horde-trean | Anfälligkeit für authentifizierte Code-Fernausführung behoben [CVE-2020-8865] |
| postfix | Neue stabile Veröffentlichung der Originalautoren; Panik bei der Postfix multi-Milter-Konfiguration bei MAIL FROM behoben; Änderung bei d/init.d-Ausführung korrigiert, sodass es wieder mit mehreren Instanzen funktioniert |
| proftpd-dfsg | Speicherzugriffsproblem im keyboard-interative-Code in mod_sftp behoben; richtig mit DEBUG-, IGNORE-, DISCONNECT- und UNIMPLEMENTED-Nachrichten im keyboard-interactive-Modus umgehen |
| puma | Dienstblockadeproblem behoben [CVE-2019-16770] |
| purple-discord | Abstürze in ssl_nss_read behoben |
| python-oslo.utils | Durchsickern von empfindlichen Informationen via Mistral-Protokolle behoben [CVE-2019-3866] |
| rails | Mögliches seitenübergreifendes Skripting via JavaScript-Escape-Helper behoben [CVE-2020-5267] |
| rake | Anfälligkeit für Befehlsinjektion behoben [CVE-2020-8130] |
| raspi3-firmware | Diskrepanz in dtb-Namen in der z50-raspi-Firmware behoben; Startvorgang auf den Raspberry-Pi-Familien 1 und 0 überarbeitet |
| resource-agents | ethmonitor does not list interfaces without assigned IP addressbehoben; nicht länger benötigte xen-toolstack-Korrektur entfernt; nicht standardgemäße Verwendung im ZFS-Agenten behoben |
| rootskel | Unterstützung für mehrere Konsolen abschalten, wenn Preseeding verwendet wird |
| ruby-i18n | Gemspec-Generierung überarbeitet |
| rubygems-integration | Veraltet-Warnungen, wenn Anwender eine neuere Version der Rubygems via gem update --systeminstallieren, vermeiden |
| schleuder | Korrektur überarbeitet, um mit den Codierungsfehlern umzugehen, die in der Vorversion entstanden sind; Standardcodierung auf UTF-8 geändert; x-add-key den Umgang mit Mails mit angehängten quoted-printable-codierten Schlüsseln ermöglichen; x-attach-listkey bei Mails, die von Thunderbird erstellt wurden und geschützte Kopfzeilen enthalten, korrigiert |
| scilab | Laden von Bibliotheken mit OpenJDK 11.0.7 überarbeitet |
| serverspec-runner | Ruby 2.5 unterstützen |
| softflowd | Fehler in Flow-Aggregation behoben, die zu Flow-Table-Überlauf und 100% CPU-Last führen können |
| speech-dispatcher | Pulsaudios Standard-Verzögerung korrigiert, die eine kratzigeTonausgabe verursachen kann |
| spl-linux | Deadlock behoben |
| sssd | sssd_be busy-looping bei unregelmäßiger LDAP-Verbindung behoben |
| systemd | beim Autorisieren via PolicyKit callback/userdata neu auflösen statt sie zwischenzuspeichern [CVE-2020-1712]; 60-block.rules in udev-udeb und initramfs-tools installiert |
| taglib | Korruptionsprobleme bei OGG-Dateien behoben |
| tbsync | Neue Veröffentlichung der Originalautoren, um die Kompatibilität mit Thunderbird wiederherzustellen |
| timeshift | Vorhersagbarkeit der Verwendung des Temporärverzeichnisses behoben [CVE-2020-10174] |
| tinyproxy | PIDDIR nur dann setzen, wenn PIDFILE eine Zeichenkette mit einer Länge größer null ist |
| tzdata | Neue stabile Veröffentlichung der Originalautoren |
| uim | Registrierung von Modulen, die nicht installiert sind, aufheben, um eine Regression im vorherigen Upload zu beseitigen |
| user-mode-linux | Kompilierungsfehlschlag mit den derzeitigen stabilen Kerneln behoben |
| vite | Absturz bei mehr als 32 Elementen behoben |
| waagent | Neue Veröffentlichung der Originalautoren; Ko-Installation mit cloud-init unterstützen |
| websocket-api | Upgrades von Stretch auf Buster überarbeitet, die mit Tomcat 8 zu tun haben |
| wpa | Beim PTK-Neuschlüsseln nicht versuchen, eine PSK-Diskrepanz zu ermitteln; auf FT-Unterstützung prüfen, wenn FT-Suiten gewählt werden; MAC-Randomisierungsproblem auf einigen Karten behoben |
| xdg-utils | xdg-open: pcmanfm-Prüfung und Umgang mit Verzeichnissen, die Leerzeichen im Namen haben, verbessert; xdg-screensaver: Fensternamen vor der Übermittlung via D-Bus überprüfen; xdg-mime: Konfigurationsverzeichnis anlegen, wenn es noch nicht existiert |
| xtrlock | Blockade (einiger) Multitouch-Geräte während Sperrung behoben [CVE-2016-10894] |
| zfs-linux | Potenzielle Deadlocks behoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| getlive | Defekt wegen Hotmail-Änderungen |
| gplaycli | Defekt wegen Änderungen an der Google-API |
| kerneloops | Der dazugehörige Dienst ist nicht mehr verfügbar |
| lambda-align2 | [arm64 armel armhf i386 mips64el ppc64el s390x] Defekt auf Nicht-AMD64-Architekturen |
| libmicrodns | Sicherheitsprobleme |
| libperlspeak-perl | Sicherheitsprobleme; unbetreut |
| quotecolors | Inkompatibel mit neueren Thunderbird-Versionen |
| torbirdy | Inkompatibel mit neueren Thunderbird-Versionen |
| ugene | Unfrei; kompiliert nicht |
| yahoo2mbox | Seit mehreren Jahren defekt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org> oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.