Debian 9 aktualisiert: 9.13 veröffentlicht
18. Juli 2020
Das Debian-Projekt freut sich, die dreizehnte (und letzte) Aktualisierung
seiner Oldstable-Veröffentlichung Debian 9 (Codename Stretch
)
ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich
Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme.
Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf
die, wenn möglich, verwiesen wird.
Nach dieser Zwischenversion werden das Sicherheits- und Veröffentlichungsteam keine weiteren Aktualisierungen für Debian 9 zur Verfügung stellen. Wer weiterhin mit Sicherheitsaktualisierungen versorgt werden möchte, muss auf Debian 10 umsteigen oder auf https://wiki.debian.org/LTS nachsehen, ob die genutzten Pakete und Architekturen vom LTS-Projekt für Langzeitunterstützung abgedeckt werden.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Oldstable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| acmetool | Neukompilierung gegen aktuelles golang, um Sicherheitskorrekturen zu übernehmen |
| atril | dvi: Gegenmaßnahme für Befehlsinjektion via Dateiname ergriffen [CVE-2017-1000159]; Überlaufprüfungen im TIFF-Backend überarbeitet [CVE-2019-1010006]; tiff: Fehler bei TIFFReadRGBAImageOriented abfangen [CVE-2019-11459] |
| bacula | Übergangspaket bacula-director-common eingeführt, damit /etc/bacula/bacula-dir.conf bei der Komplettdeinstallation (apt purge) nicht verloren geht; root zum Eigentümer der PID-Dateien gemacht |
| base-files | /etc/debian_version auf die Zwischenveröffentlichung aktualisiert |
| batik | Serverseitige Abfragefälschung via xlink:href-Attribute behoben [CVE-2019-17566] |
| c-icap-modules | ClamAV 0.102 unterstützen |
| ca-certificates | Mozilla-CA-Paket auf 2.40 aktualisiert, vertrauensunwürdige Symantec-Wurzelzertifikate auf Blockierliste gesetzt und AddTrust External Rootauslaufen lassen; Nur-E-Mail-Zertifikate entfernt |
| chasquid | Neukompilierung gegen aktuelles golang, um Sicherheitskorrekturen zu übernehmen |
| checkstyle | Problem mit XML External Entity-Injektion behoben [CVE-2019-9658 CVE-2019-10782] |
| clamav | Neue Version der Originalautoren [CVE-2020-3123]; Sicherheitskorrekturen [CVE-2020-3327 CVE-2020-3341] |
| compactheader | Neue Version der Originalautoren, die kompatibel mit neueren Thunderbird-Veröffentlichungen ist |
| cram | Testfehlschläge ignorieren, damit die Kompilierung wieder funktioniert |
| csync2 | HELLO-Befehl scheitern lassen, wenn SSL vorausgesetzt wird |
| cups | Heap-Puffer-Überlauf behoben [CVE-2020-3898] und die `ippReadIO`-Funktion liest ggf. zu wenig aus einem Erweiterungsfeld[CVE-2019-8842] behoben |
| dbus | Neue Veröffentlichung der Originalautoren; Dienstblockade verhindern [CVE-2020-12049]; Use-after-free bei zwei Benutzernamen mit gleicher UID verhindern |
| debian-installer | Aktualisierung für das 4.9.0-13er Linux-Kernel-ABI |
| debian-installer-netboot-images | Neukompilierung gegen stretch-proposed-updates |
| debian-security-support | Unterstützungsstatus mehrerer Pakete aktualisiert |
| erlang | Verwendung schwacher TLS-Verschlüsselungen abgestellt [CVE-2020-12872] |
| exiv2 | Problem mit Dienstblockade behoben [CVE-2018-16336]; überstrenge Korrektur für CVE-2018-10958 und CVE-2018-10999 nachgearbeitet |
| fex | Sicherheitsaktualisierung |
| file-roller | Sicherheitskorrektur [CVE-2020-11736] |
| fwupd | Neue Veröffentlichung der Originalautoren; CNAME verwenden, um zum richtigen CDN für Metadaten weiterzuleiten; Programmstart nicht abbrechen, wenn die XML-Metadaten-Datei ungültig ist; öffentliche GPG-Schlüssel der Linux Foundation für Firmware und Metadaten hinzugefügt; Metadaten-Grenze auf 10MB angehoben |
| glib-networking | Fehlerhafte Identität melden, wenn die Identität nicht gesetzt ist [CVE-2020-13645] |
| gnutls28 | Speicherkorrumpierung behoben [CVE-2019-3829]; Speicherleck behoben; Unterstützung für Sitzungstickets mit Null-Länge hinzugefügt, Verbindungsfehler bei TLS1.2-Sitzungen mit einigen Hosting-Anbietern behoben |
| gosa | LDAP-Erfolg/-Fehlschlag genauer abprüfen [CVE-2019-11187]; Kompatibilität mit neueren PHP-Versionen überarbeitet; diverse andere Korrekturen zurückportiert; (De-)Serialisierung mit json_encode/json_decode ersetzt, um PHP-Objekt-Injektion zu vermeiden [CVE-2019-14466] |
| heartbleeder | Neukompilierung gegen aktuelles golang, um Sicherheitskorrekturen zu übernehmen |
| intel-microcode | Einige Microcodes durch ihre Vorversionen ersetzt, um so Hänger beim Bootvorgang auf Skylake-U/Y und Skylake Xeon E3 loszuwerden |
| iptables-persistent | Keinen Fehler werfen, wenn modprobe es tut |
| jackson-databind | Mehrere Sicherheitsprobleme betreffend BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267] behoben |
| libbusiness-hours-perl | Explizit vierstellige Jahreszahlen benutzen, um Kompilierungs- und Verwendungsprobleme zu lösen |
| libclamunrar | Neue stabile Version der Originalautoren; unversioniertes Metapaket hinzugefügt |
| libdbi | Aufruf von _error_handler() wieder auskommentiert, um Consumer-Probleme zu beheben |
| libembperl-perl | Mit Fehlerseiten von Apache >= 2.4.40 umgehen |
| libexif | Sicherheitskorrekturen [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; Sicherheitskorrekturen [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; Puffer-Lese-Überlauf [CVE-2020-0182] und Überlauf vorzeichenloser Ganzzahlen behoben [CVE-2020-0198] |
| libvncserver | Heap-Überlauf behoben [CVE-2019-15690] |
| linux | Neue stabile Veröffentlichung der Originalautoren; ABI auf 4.9.0-13 aktualisiert |
| linux-latest | Aktualisierung für 4.9.0-13 Kernel-ABI |
| mariadb-10.1 | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814] |
| megatools | Unterstützung für das neue Format der mega.nz-Links eingebaut |
| mod-gnutls | Veraltete Verschlüsselungsmethoden in der Testsuite vermeiden; Testfehlschläge in Zusammenhang mit Apaches Maßnahme gegen CVE-2019-10092 behoben |
| mongo-tools | Neukompilierung gegen aktuelles golang, um Sicherheitskorrekturen zu übernehmen |
| neon27 | OpenSSL-bezogene Testfehlschläge nicht als Abbruchfehler bewerten |
| nfs-utils | Potenzielle Anfälligkeit für Dateiüberschreibungen behoben [CVE-2019-3689]; nicht dem ganzen Inhalt von /var/lib/nfs den statd-Benutzer als Eigentümer zuweisen |
| nginx | Anfälligkeit für Anfrageschmuggel bei gewissen Fehlerseiten behoben [CVE-2019-20372] |
| node-url-parse | Pfade und Hosts vor dem Auswerten überprüfen [CVE-2018-3774] |
| nvidia-graphics-drivers | Neue stabile Veröffentlichung der Originalautoren; neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2020-5963 CVE-2020-5967] |
| pcl | Fehlende Abhängigkeit von libvtk6-qt-dev nachgereicht |
| perl | Mehrere Sicherheitsprobleme mit Bezug auf reguläre Ausdrücke behoben [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2020-8035] |
| php-horde-data | Anfälligkeit für authentifizierte Fernausführung von Code entfernt [CVE-2020-8518] |
| php-horde-form | Anfälligkeit für authentifizierte Fernausführung von Code entfernt [CVE-2020-8866] |
| php-horde-gollem | Anfälligkeit für seitenübergeifendes Skripting in der Brotkrumen-Ausgabe behoben [CVE-2020-8034] |
| php-horde-trean | Anfälligkeit für authentifizierte Fernausführung von Code entfernt [CVE-2020-8865] |
| phpmyadmin | Mehrere Sicherheitskorrekturen [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504] |
| postfix | Neue stabile Veröffentlichung der Originalautoren |
| proftpd-dfsg | Umgang mit SSH_MSG_IGNORE-Paketen überarbeitet |
| python-icalendar | Python3-Abhängigkeiten überarbeitet |
| rails | Potenzielles seitenübergreifendes Skripting durch Javascript-Escape-Helfer abgestellt [CVE-2020-5267] |
| rake | Anfälligkeit für Befehlsinjektion beseitigt [CVE-2020-8130] |
| roundcube | Problem mit seitenübergreifendem Skripting durch HTML-E-Mails mit einem schädlichen SVG-Element darin beseitigt [CVE-2020-15562] |
| ruby-json | Anfälligkeit für unsichere Objekterstellung beseitigt [CVE-2020-10663] |
| ruby2.3 | Anfälligkeit für unsichere Objekterstellung beseitigt [CVE-2020-10663] |
| sendmail | Suche des Queue-Runner-Kontrollprozesses im split daemon-Modus überarbeitet, NOQUEUE: Verbinden von (null), Entfernung schlägt fehl, wenn BTRFS genutzt wird |
| sogo-connector | Neue version der Originalautoren, kompatibel mit neueren Thunderbird-Versionen |
| ssvnc | Schreibvorgang außerhalb der Grenzen [CVE-2018-20020], Endlosschleife [CVE-2018-20021], unsaubere Initialisierung [CVE-2018-20022], potenzielle Dienstblockade [CVE-2018-20024] behoben |
| storebackup | Mögliche Anfälligkeit für Privilegieneskalation behoben [CVE-2020-7040] |
| swt-gtk | Fehlende Abhängigkeit von libwebkitgtk-1.0-0 nachgereicht |
| tinyproxy | PID-Datei anlegen, bevor die Berechtigungen an ein Nicht-root-Benutzerkonto weitergegeben werden [CVE-2017-11747] |
| tzdata | Neue stabile Veröffentlichung der Originalautoren |
| websockify | Fehlende Abhängigkeit von python{3,}-pkg-resources nachgereicht |
| wpa | Möglichkeit für Umgehung des PMF-Verbindungstrennungsschutzes im AP-Modus entfernt [CVE-2019-16275]; Probleme bei MAC-Randomisierung bei manchen Karten behoben |
| xdg-utils | Fensternamen überprüfen, bevor er über D-Bus versendet wird; Verzeichnisse mit Leerzeichen im Dateinamen richtig handhaben; bei Bedarf das applications-Verzeichnis erzeugen |
| xml-security-c | Längenberechnung in der concat-Methode überarbeitet |
| xtrlock | Blockierung (einiger) Multitouch-Geräte bei Sperre überarbeitet [CVE-2016-10894] |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheits-Team hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| certificatepatrol | Nicht kompatibel mit neueren Firefox-ESR-Versionen |
| colorediffs-extension | Nicht kompatibel mit neueren Thunderbird-Versionen |
| dynalogin | Hängt von simpleid ab, das entfernt werden soll |
| enigmail | Nicht kompatibel mit neueren Thunderbird-Versionen |
| firefox-esr | [armel] Nicht länger unterstützt (benötigt nodejs) |
| firefox-esr | [mips mipsel mips64el] Nicht länger unterstützt (benötigt neuere rustc) |
| getlive | Defekt wegen Änderungen bei Hotmail |
| gplaycli | Defekt wegen Änderungen der Google-API |
| kerneloops | Dienst der Originalautoren nicht mehr verfügbar |
| libmicrodns | Sicherheitsprobleme |
| libperlspeak-perl | Sicherheitsprobleme; unbetreut |
| mathematica-fonts | Benötigt nicht verfügbaren Download-Ort |
| pdns-recursor | Sicherheitsprobleme; nicht unterstützt |
| predictprotein | Hängt von profphd ab, das entfernt werden soll |
| profphd | Unbrauchbar |
| quotecolors | Nicht kompatibel mit neueren Thunderbird-Versionen |
| selenium-firefoxdriver | Nicht kompatibel mit neueren Firefox-ESR-Versionen |
| simpleid | Funktioniert nicht mit PHP7 |
| simpleid-ldap | Hängt von simpleid ab, das entfernt werden soll |
| torbirdy | Nicht kompatibel mit neueren Thunderbird-Versionen |
| weboob | Unbetreut; in späteren Veröffentlichungen bereits nicht mehr enthalten |
| yahoo2mbox | Seit mehreren Jahren defekt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständigen Listen von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org> oder kontaktieren das Oldstable-Release-Team auf Englisch über <debian-release@lists.debian.org>.