Debian 10 aktualisiert: 10.5 veröffentlicht

1. August 2020

Das Debian-Projekt freut sich, die fünfte Aktualisierung seiner Stable-Veröffentlichung Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Diese Zwischenveröffentlichung behandelt auch die folgende Sicherheitsankündigung: DSA-4735-1 grub2 -- security update In ihr geht es um mehrere Sicherheitslücken, die unter dem Namen GRUB2 UEFI SecureBoot ›BootHole‹ zusammengefasst wurden.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
appstream-glib	Kompilierungsfehlschlag im Jahr 2020 und später behoben
asunder	Standardmäßig gnudb statt freedb verwenden
b43-fwcutter	Sicherstellen, dass die Entfernung unter nicht-englischen Locales funktioniert; Entfernung nicht fehlschlagen lassen, wenn einige Dateien nicht mehr existieren; fehlende Abhängigkeiten von pciutils und ca-certificates ergänzt
balsa	Beim Validieren von Zertifikaten die Server-Identität mitteilen, sodass die Validierung klappt, wenn die glib-networking-Korrektur für CVE-2020-13645 verwendet wird
base-files	Aktualisierung auf die Zwischenveröffentlichung
batik	Serverseitige Abfragefälschung via xlink:href-Attribut behoben [CVE-2019-17566]
borgbackup	Fehler beseitigt, der den Index ruiniert und so zu Datenverlust führt
bundler	Erforderliche Version der ruby-molinillo geändert
c-icap-modules	Unterstützung für ClamAV 0.102 hinzugefügt
cacti	Problem behoben, dass UNIX-Zeitstempel nach dem 13. September 2020 als Graph-Start oder -Ende abgelehnt wurden; Code-Fernausführung behoben [CVE-2020-7237], Seitenübergreifendes Scripting behoben [CVE-2020-7106], genauso ein CSRF-Problem [CVE-2020-13231]; Deaktivierung eines Benutzerkontos sperrt nicht automatisch seine Berechtigungen [CVE-2020-13230]
calamares-settings-debian	Displaymanager-Modul freigeschaltet, um Autologin-Optionen zu berichtigen; xdg-user-dir zum Angeben des Desktop-Verzeichnisses verwenden
clamav	Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-3327 CVE-2020-3341 CVE-2020-3350 CVE-2020-3327 CVE-2020-3481]
cloud-init	Neue Veröffentlichung der Originalautoren
commons-configuration2	Erzeugung von Objekten beim Laden von YAML-Dateien verhindern [CVE-2020-1953]
confget	Umgang des Python-Modules mit Werten mit = überarbeitet
dbus	Neue stabile Veröffentlichung der Originalautoren; Anfälligkeit für Dienstblockade abgeschafft [CVE-2020-12049]; Use-after-free, wenn zwei Benutzernamen sich eine UID teilen, verhindert
debian-edu-config	Verlust der dynamisch allozierten IPv4-Adresse behoben
debian-installer	Linux-ABI auf 4.19.0-10 aktualisiert
debian-installer-netboot-images	Neukompilierung gegen proposed-updates
debian-ports-archive-keyring	Ablaufdatum des 2020-Schlüssels (84C573CD4E1AFD6C) um ein Jahr nach hinten verschoben; Debian Ports Archive Automatic Signing Key hinzugefügt (2021); 2018er Schlüssel (ID: 06AED62430CB581C) auf den Entfernt-Schlüsselbund verschoben
debian-security-support	Unterstützungs-Status für diverse Pakete aktualisiert
dpdk	Neue Veröffentlichung der Originalautoren
exiv2	Über-restriktive Sicherheitskorrektur nachjustiert [CVE-2018-10958 und CVE-2018-10999]; Dienstblockade-Problem beseitigt [CVE-2018-16336]
fdroidserver	Litecoin-Adressüberprüfung überarbeitet
file-roller	Sicherheitskorrektur [CVE-2020-11736]
freerdp2	Smartcard-Anmeldungen überarbeitet; Sicherheitskorrekturen [CVE-2020-11521 CVE-2020-11522 CVE-2020-11523 CVE-2020-11524 CVE-2020-11525 CVE-2020-11526]
fwupd	Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden
fwupd-amd64-signed	Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden
fwupd-arm64-signed	Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden
fwupd-armhf-signed	Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden
fwupd-i386-signed	Neue Veröffentlichung der Originalautoren; mögliches Problem bei der Signaturverifizierung behoben [CVE-2020-10759]; rotierte Debian-Signierschlüssel verwenden
fwupdate	Rotierte Debian-Signierschlüssel verwenden
fwupdate-amd64-signed	Rotierte Debian-Signierschlüssel verwenden
fwupdate-arm64-signed	Rotierte Debian-Signierschlüssel verwenden
fwupdate-armhf-signed	Rotierte Debian-Signierschlüssel verwenden
fwupdate-i386-signed	Rotierte Debian-Signierschlüssel verwenden
gist	Veraltete Autorisierungs-API vermeiden
glib-networking	Nicht gesetzte Identität als Identitätsfehler melden [CVE-2020-13645]; balsa-Versionen vor 2.5.6-2+deb10u1 als defekt betrachten, weil die Korrektur für CVE-2020-13645 balsas Zertifikatsverifizierung beschädigt
gnutls28	TLS1.2-Wiederaufnahmefehler behoben; Speicherleck behoben; Sitzungstickets mit Länge null akzeptieren, um Verbindungsprobleme bei TLS1.2-Sitzungen mit einigen großen Hosting-Anbietern zu beheben; Überprüfungsfehler mit alternativer Zertifikatskette behoben
intel-microcode	Einige Microcodes durch frühere Versionen ersetzt, um Hänger beim Hochfahren von Skylake-U/Y und Skylake Xeon E3 zu vermeiden
jackson-databind	Mehrere Sicherheitsprobleme betreffend BeanDeserializerFactory behoben [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267]
jameica	mckoisqldb zum classpath hinzufügen, sodass das SynTAX-Plugin verwendet werden kann
jigdo	HTTPS-Unterstützung in jigdo-lite und jigdo-mirror überarbeitet
ksh	Problem mit Begrenzungen der Umgebungsvariablen behoben [CVE-2019-14868]
lemonldap-ng	Regression in der nginx-Konfiguration behoben, welche durch die Korrektur für CVE-2019-19791 verursacht wurde
libapache-mod-jk	Apache-Konfigurationsdatei umbenennen, sodass sie automatisch aktiviert und deaktiviert werden kann
libclamunrar	Neue stabile Veröffentlichung der Originalautoren; unversioniertes Metapaket hinzugefügt
libembperl-perl	Umgang mit Fehlerseiten von Apache >= 2.4.40 verbessert
libexif	Sicherheitskorrekturen [CVE-2020-12767 CVE-2020-0093 CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; Pufferüberlauf [CVE-2020-0182] und Ganzzahlüberlauf behoben [CVE-2020-0198]
libinput	Quirks: Trackpoint-Integrationsattribut hinzugefügt
libntlm	Pufferüberlauf behoben [CVE-2019-17455]
libpam-radius-auth	Pufferüberlauf im Passwortfeld behoben [CVE-2015-9542]
libunwind	Speicherzugriffsfehler auf mips behoben; Unterstützung für C++-Ausnahmen nur auf i386 und amd64 per Hand aktiviert
libyang	Absturz wegen Cache-Korrumpierung behoben, CVE-2019-19333, CVE-2019-19334
linux	Neue stabile Veröffentlichung der Originalautoren
linux-latest	Aktualisierung für Kernel-ABI 4.19.0-10
linux-signed-amd64	Neue stabile Veröffentlichung der Originalautoren
linux-signed-arm64	Neue stabile Veröffentlichung der Originalautoren
linux-signed-i386	Neue stabile Veröffentlichung der Originalautoren
lirc	Verwaltung der Konfigurationsdateien überarbeitet
mailutils	maidag: Setuid-Privilegien für alle Lieferoperationen außer mda abgeben [CVE-2019-18862]
mariadb-10.3	Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-2752 CVE-2020-2760 CVE-2020-2812 CVE-2020-2814 CVE-2020-13249]; Regression in RocksDB-ZSTD-Suche behoben
mod-gnutls	Möglichen Speicherzugriffsfehler bei fehlgeschlagenem TLS-Handshake behoben; Testfehlschläge behoben
multipath-tools	kpartx: richtigen Pfad zu partx in der udev-Regel verwenden
mutt	IMAP-PREAUTH-Verschlüsselung nicht überprüfen, wenn $tunnel verwendet wird
mydumper	Verknüpfung mit libm
nfs-utils	statd: user-id aus /var/lib/nfs/sm entnehmen [CVE-2019-3689]; statd nicht zum Besitzer von /var/lib/nfs machen
nginx	Anfälligkeit für Anfrageschmuggel auf Fehlerseiten behoben [CVE-2019-20372]
nmap	Standard-Schlüssellänge auf 2048 Bit geändert
node-dot-prop	Regression behoben, die durch die Korrektur von CVE-2020-8116 verursacht wurde
node-handlebars	Direkten Aufruf von helperMissing und blockHelperMissing unterbunden [CVE-2019-19919]
node-minimist	Prototype Pollution behoben [CVE-2020-7598]
nvidia-graphics-drivers	Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-5963 CVE-2020-5967]
nvidia-graphics-drivers-legacy-390xx	Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-5963 CVE-2020-5967]
openstack-debian-images	resolvconf bei der Installation von cloud-init mitinstallieren
pagekite	Probleme, die mit dem Auslaufen der mitgelieferten SSL-Zertifikate zusammenhängen, verhindet, indem die aus dem ca-certifcates-Paket benutzt werden
pdfchain	Absturz beim Programmstart behoben
perl	Mehrere Sicherheitskorrekturen im Zusammenhang mit regulären Ausdrücken [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723]
php-horde	Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2020-8035]
php-horde-gollem	Anfälligkeit für seitenübergreifendes Skripting in Brotkrumen-Ausgabe beseitigt [CVE-2020-8034]
pillow	Mehrere Probleme mit Lesezugriff außerhalb der Grenzen behoben [CVE-2020-11538 CVE-2020-10378 CVE-2020-10177]
policyd-rate-limit	Accounting-Probleme durch Socket-Wiederverwendung behoben
postfix	Neue stabile Veröffentlichung der Originalautoren; Speicherzugriffsfehler in der tlsproxy-Client-Rolle behoben, wo die Serverrolle abgeschaltet war; maillog_file_rotate_suffix default value used the minute instead of the month (maillog_file_rotate_suffix-Standardwert hatte die Minute statt des Monats) behoben; mehrere Probleme mit TLS behoben; README.Debian überarbeitet
python-markdown2	Problem mit seitenübergreifendem Skripting behoben [CVE-2020-11888]
python3.7	Endlosschleife bei Verwendung des tarfile-Moduls und gezielt angefertigten TAR-Dateien behoben [CVE-2019-20907]; Hash-Kollisionen für IPv4Interface und IPv6Interface behoben [CVE-2020-14422]; Dienstblockade in urllib.request.AbstractBasicAuthHandler behoben [CVE-2020-8492]
qdirstat	Speicherung der benutzerkonfigurierten MIME-Kategorien überarbeitet
raspi3-firmware	Tippfehler, der das System am Booten hindern kann, korrigiert
resource-agents	IPsrcaddr: proto optional machen, um Regression zu beheben, wenn das Programm ohne NetworkManager verwendet wird
ruby-json	Anfälligkeit für unsichere Objekterzeugung behoben [CVE-2020-10663]
shim	Rotierte Debian-Signierschlüssel verwenden
shim-helpers-amd64-signed	Rotierte Debian-Signierschlüssel verwenden
shim-helpers-arm64-signed	Rotierte Debian-Signierschlüssel verwenden
shim-helpers-i386-signed	Rotierte Debian-Signierschlüssel verwenden
speedtest-cli	Die richtigen Kopfzeilen verwenden, sodass der Upload-Geschwindigkeitstest richtig funktioniert
ssvnc	Schreibzugriff außerhalb der Grenzen behoben [CVE-2018-20020], außerdem eine Endlosschleife [CVE-2018-20021], unordentliche Initialisierung [CVE-2018-20022] und eine potenzielle Dienstblockade [CVE-2018-20024]
storebackup	Mögliche Anfälligkeit für Privilegieneskalation behoben [CVE-2020-7040]
suricata	Fallenlassen der Privilegien im nflog-Ausführungsmodus überarbeitet
tigervnc	libunwind nicht auf armel, armhf oder arm64 verwenden
transmission	Potenzielle Dienstblockade behoben [CVE-2018-10756]
wav2cdr	C99-Ganzzahltypen fester Länge verwenden, um Laufzeit-Assertion auf Nicht-amd64 und -alpha zu korrigieren
zipios++	Sicherheitskorrektur [CVE-2019-13453]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-4626	php7.3
DSA-4674	roundcube
DSA-4675	graphicsmagick
DSA-4676	salt
DSA-4677	wordpress
DSA-4678	firefox-esr
DSA-4679	keystone
DSA-4680	tomcat9
DSA-4681	webkit2gtk
DSA-4682	squid
DSA-4683	thunderbird
DSA-4684	libreswan
DSA-4685	apt
DSA-4686	apache-log4j1.2
DSA-4687	exim4
DSA-4688	dpdk
DSA-4689	bind9
DSA-4690	dovecot
DSA-4691	pdns-recursor
DSA-4692	netqmail
DSA-4694	unbound
DSA-4695	firefox-esr
DSA-4696	nodejs
DSA-4697	gnutls28
DSA-4699	linux-signed-amd64
DSA-4699	linux-signed-arm64
DSA-4699	linux-signed-i386
DSA-4699	linux
DSA-4700	roundcube
DSA-4701	intel-microcode
DSA-4702	thunderbird
DSA-4704	vlc
DSA-4705	python-django
DSA-4707	mutt
DSA-4708	neomutt
DSA-4709	wordpress
DSA-4710	trafficserver
DSA-4711	coturn
DSA-4712	imagemagick
DSA-4713	firefox-esr
DSA-4714	chromium
DSA-4716	docker.io
DSA-4718	thunderbird
DSA-4719	php7.3
DSA-4720	roundcube
DSA-4721	ruby2.5
DSA-4722	ffmpeg
DSA-4723	xen
DSA-4724	webkit2gtk
DSA-4725	evolution-data-server
DSA-4726	nss
DSA-4727	tomcat9
DSA-4728	qemu
DSA-4729	libopenmpt
DSA-4730	ruby-sanitize
DSA-4731	redis
DSA-4732	squid
DSA-4733	qemu
DSA-4735	grub-efi-amd64-signed
DSA-4735	grub-efi-arm64-signed
DSA-4735	grub-efi-ia32-signed
DSA-4735	grub2

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
golang-github-unknwon-cae	Sicherheitsprobleme; unbetreut
janus	Keine Unterstützung in Stable möglich
mathematica-fonts	Verlässt sich auf nicht verfügbare Download-Quelle
matrix-synapse	Sicherheitsproblme; nicht unterstützungsfähig
selenium-firefoxdriver	Inkompatibel mit neueren Firefox-ESR-Versionen

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.