Opdateret Debian 10: 10.6 udgivet
26. september 2020
Debian-projektet er stolt over at kunne annoncere den sjette opdatering af
dets stabile distribution, Debian 10 (kodenavn buster
).
Denne opdatering indeholder primært rettelser af sikkerhedsproblemer i den
stabile udgave, sammen med nogle få rettelser af alvorlige problemer.
Sikkerhedsbulletiner er allerede udgivet separat og der vil blive refereret til
dem, hvor de er tilgængelige.
Bemærk at denne opdatering ikke er en ny udgave af Debian GNU/Linux
10, den indeholder blot opdateringer af nogle af de medfølgende pakker.
Der er ingen grund til at smide gamle buster
-medier væk. Efter en
installering, kan pakkerne opgradere til de aktuelle versioner ved hjælp af et
ajourført Debian-filspejl.
Dem der hyppigt opdaterer fra security.debian.org, behøver ikke at opdatere ret mange pakker, og de fleste opdateringer fra security.debian.org er indeholdt i denne opdatering.
Nye installeringsfilaftryk vil snart være tilgængelige fra de sædvanlige steder.
Opdatering af en eksisterende installation til denne revision, kan gøres ved at lade pakkehåndteringssystemet pege på et af Debians mange HTTP-filspejle. En omfattende liste over filspejle er tilgængelig på:
Forskellige fejlrettelser
Denne opdatering til den stabile udgave tilføjer nogle få vigtige rettelser til følgende pakker:
Bemærk at på grund af opbygningsproblemer, er opdateringerne af pakkerne
cargo, rustc og rustc-bindgen i øjeblikket ikke tilgængelige i arkitekturen
armel
. De kan blive tilføjet på et senere tidspunkt, hvis problemerne
bliver løst.
| Pakke | Årsag |
|---|---|
| arch-test | Retter at genkendelse af s390x nogle gange fejler |
| asterisk | Retter nedbrud ved forhandling af T.38 med afvist stream [CVE-2019-15297], SIP-forespørgsel kan ændre SIP-peers adresse [CVE-2019-18790], AMI-bruger kunne udføre systemkommandoer [CVE-2019-18610], segmenteringsfejl i pjsip viser historik med IPv6-peers |
| bacula | Retter for store digest-strenge tillader at ondsindet klient kunne forårsage heapoverløb i director'ens hukommelse [CVE-2020-11061] |
| base-files | Opdaterer /etc/debian_version til punktopdateringen |
| calamares-settings-debian | Deaktiverer displaymanager-modul |
| cargo | Ny opstrømsudgave, til understøttelse af kommende Firefox ESR-versioner |
| chocolate-doom | Retter manglende validering [CVE-2020-14983] |
| chrony | Forhindrer symlinkkapløb ved skrivning til PID-filen [CVE-2020-14367]; retter temperaturlæsning |
| debian-installer | Opdaterer Linux-ABI til 4.19.0-11 |
| debian-installer-netboot-images | Genopbygger mod proposed-updates |
| diaspora-installer | Anvender valgmuligehden --frozen til at bundle installering for at anvende opstrøms Gemfile.lock; ekskluder ikke Gemfile.lock under opgraderinger; overskriv ikke config/oidc_key.pem under opgraderinger; gør config/schedule.yml skrivbar |
| dojo | Retter forurening af prototype i deepCopy-metode [CVE-2020-5258] og i jqMix-metode [CVE-2020-5259] |
| dovecot | Retter sync-regression i dsync-sieve-filter; retter håndtering af getpwent-resultat i userdb-passwd |
| facter | Ændrer Google GCE Metadata-endpoint fra v1beta1til v1 |
| gnome-maps | Retter et problem med fejljusteret rendering af shape-layer |
| gnome-shell | LoginDialog: Nulstiller auth-prompt ved VT-skift før fade-in [CVE-2020-17489] |
| gnome-weather | Forhindrer et nedbrud når de opsatte placeringer er ugyldige |
| grunt | Anvender safeLoad når der indlæses YAML-filer [CVE-2020-7729] |
| gssdp | Ny stabil opstrømsudgave |
| gupnp | Ny stabil opstrømsudgave; forhindrer CallStranger-angrebet [CVE-2020-12695]; kræver GSSDP 1.0.5 |
| haproxy | logrotate.conf: Anvender rsyslog-helper i stedet af SysV-initscript; afviser meddelelser hvor chunkedmangler i Transfer-Encoding [CVE-2019-18277] |
| icinga2 | Retter symlinkangreb [CVE-2020-14004] |
| incron | Retter oprydning blandt zombieprocesser |
| inetutils | Retter problem med fjernudførelse af kode [CVE-2020-10188] |
| libcommons-compress-java | Retter problem med lammelsesangreb [CVE-2019-12402] |
| libdbi-perl | Retter hukommelseskorruption i XS-funktioner når Perl-stakken reallokeres [CVE-2020-14392]; retter et bufferoverløb ved et for langt DBD-klassenavn [CVE-2020-14393]; retter en NULL-profil-dereference i dbi_profile() [CVE-2019-20919] |
| libvncserver | libvncclient: Springer fra hvis UNIX-socket-navn kunne løbe over [CVE-2019-20839]; retter problem med pointer-aliasing/-justering [CVE-2020-14399]; begrænser maksimal textchat-størrelse [CVE-2020-14405]; libvncserver: Tilføjer manglende NULL-pointer-kontroller [CVE-2020-14397]; retter problem med pointer-aliasing/-alignment [CVE-2020-14400]; scale: Cast til 64 bit før shifting [CVE-2020-14401]; forhindrer OOB-tilgange [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
| libx11 | Retter heltalsoverløb [CVE-2020-14344 CVE-2020-14363] |
| lighttpd | Tilbagefører brugbarheds- og sikkerhedsrettelser |
| linux | Ny stabil opstrømsudgave; forøger ABI til 11 |
| linux-latest | Opdaterer til -11 Linux-kerne-ABI |
| linux-signed-amd64 | Ny stabil opstrømsudgave |
| linux-signed-arm64 | Ny stabil opstrømsudgave |
| linux-signed-i386 | Ny stabil opstrømsudgave |
| llvm-toolchain-7 | Ny opstrømsudgave, til understøttelse af kommende Firefox ESR-versioner; retter fejl som påvirker opbygning af rustc |
| lucene-solr | Retter sikkerhedsproblem i håndtering af DataImportHandler-opsætning [CVE-2019-0193] |
| milkytracker | Retter heapoverløb [CVE-2019-14464], stakoverløb [CVE-2019-14496], heapoverløb [CVE-2019-14497], anvendelse efter frigivelse [CVE-2020-15569] |
| node-bl | Retter overlæsningssårbarhed [CVE-2020-8244] |
| node-elliptic | Forhindrer letbearbejdighed og overløb [CVE-2020-13822] |
| node-mysql | Tilføjer localInfile-valgmulighed til kontrol af LOAD DATA LOCAL INFILE [CVE-2019-14939] |
| node-url-parse | Retter utilstrækkelig validering og rensning af brugerinddata [CVE-2020-8124] |
| npm | Viser ikke adgangskode i logninger [CVE-2020-15095] |
| orocos-kdl | Fjerner eksplicit medtagelse af standard-include-sti, retter problemer med cmake < 3.16 |
| postgresql-11 | Ny stabil opstrømsudgave; opsæt en sikker search_path i lokgiske replikeringswalsenders og påfører workers [CVE-2020-14349]; gør contrib-modulers installeringsscripts mere sikre [CVE-2020-14350] |
| postgresql-common | Drop ikke plpgsql før test af udvidelser |
| pyzmq | Asyncio: Venter på senders POLLOUT i can_connect |
| qt4-x11 | Retter bufferoverløb i XBM-fortolker [CVE-2020-17507] |
| qtbase-opensource-src | Retter bufferoverløb i XBM-fortolker [CVE-2020-17507]; retter defekt klippebord når timer wrapper efter 50 dage |
| ros-actionlib | Indlæser YAML på sikker vis [CVE-2020-10289] |
| rustc | Ny opstrømsudgave, til understøttelse af kommende Firefox ESR-versioner |
| rust-cbindgen | Ny opstrømsudgave, til understøttelse af kommende Firefox ESR-versioner |
| ruby-ronn | Retter håndtering af UTF-8-indhold på manpages |
| s390-tools | Hårdkodet perl-afhængighed i stedet for at anvende ${perl:Depends}, retter installering under debootstrap |
Sikkerhedsopdateringer
Denne revision tilføjer følgende sikkerhedsopdateringer til den stabile udgave. Sikkerhedsteamet har allerede udgivet bulletiner for hver af de nævnte opdateringer:
Debian Installer
Installeringsprogrammet er opdateret for at medtage rettelser indført i stable, i denne punktopdatering.
URL'er
Den komplette liste over pakker, som er ændret i forbindelse med denne revision:
Den aktuelle stabile distribution:
Foreslåede opdateringer til den stabile distribution:
Oplysninger om den stabile distribution (udgivelsesbemærkninger, fejl, osv.):
Sikkerhedsannonceringer og -oplysninger:
Om Debian
Debian-projektet er en organisation af fri software-udviklere som frivilligt bidrager med tid og kræfter, til at fremstille det helt frie styresystem Debian GNU/Linux.
Kontaktoplysninger
For flere oplysninger, besøg Debians websider på https://www.debian.org/ eller send e-mail på engelsk til <press@debian.org> eller kontakt holdet bag den stabile udgave på <debian-release@debian.org>.