Debian 10 aktualisiert: 10.6 veröffentlicht

26. September 2020

Das Debian-Projekt freut sich, die sechste Aktualisierung seiner Stable-Veröffentlichung Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor.

Bitte beachten Sie, dass die Aktualisierungen für die Pakete cargo, rustc und rustc-bindgen auf der armel-Architektur wegen Kompilierungsproblemen zur Zeit nicht verfügbar sind. Sie werden nachgereicht, nachdem die Probleme behoben wurden.

Paket Grund
arch-test Gelegentlich fehlschlagende s390x-Erkennung überarbeitet
asterisk Absturz beim Aushandeln von T.38 mit einem Declined-Stream [CVE-2019-15297], SIP-Anfrage kann die Adresse einer SIP-Gegenstelle ändern [CVE-2019-18790], AMI-Benutzer konnte Systembefehle ausführen [CVE-2019-18610], Speicherzugriffsfehler in pjsip show history mit IPv6-Gegenstellen behoben
bacula Überlange Digest-Zeichenketten erlauben einem bösartigen Client, einen Heap-Überlauf im Speicher des Directors zu verursachen behoben [CVE-2020-11061]
base-files /etc/debian_version auf diese Zwischenveröffentlichung aktualisiert
calamares-settings-debian Displaymanager-Modul deaktiviert
cargo Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen
chocolate-doom Fehlende Validierung nachgereicht [CVE-2020-14983]
chrony Symlink-Race beim Schreiben in die PID-Datei verhindern [CVE-2020-14367]; Temperaturerfassung überarbeitet
debian-installer Linux-ABI auf 4.19.0-11 aktualisiert
debian-installer-netboot-images Neukompilierung gegen proposed-updates
diaspora-installer --frozen auf die Bundle-Installation anwenden, um die Gemfile.lock der Originalautoren zu verwenden; Gemfile.lock bei Upgrades nicht ausschließen; bei Upgrades config/oidc_key.pem nicht überscreiben; config/schedule.yml beschreibbar machen
dojo Prototype-Pollution in der deepCopy-Methode [CVE-2020-5258] und in der jqMix-Methode [CVE-2020-5259] behoben
dovecot Dsync-Sieve-Filter-Sync-Regression behoben; Umgang mit dem Resultat von getpwent in userdb-passwd korrigiert
facter Google-GCE-Metadaten-Endpunkt von v1beta1 auf v1 geändert
gnome-maps Problem mit falsch ausgerichtetem Shape-Layer-Rendering behoben
gnome-shell LoginDialog: Bei der VT-Umschaltung den Anmeldedialog vor dem Erscheinenlassen zurücksetzen [CVE-2020-17489]
gnome-weather Absturz, wenn die konfigurierten Orte ungültig sind, verhindert
grunt safeLoad beim Laden von YAML-Dateien verwenden [CVE-2020-7729]
gssdp Neue stabile Veröffentlichung der Originalautoren
gupnp Neue stabile Veröffentlichung der Originalautoren; CallStranger-Angriff verhindern [CVE-2020-12695]; GSSDP 1.0.5 voraussetzen
haproxy logrotate.conf: rsyslog-Helfer statt SysV-Initskript verwenden; Nachrichten zurückweisen, bei denen chunked im Transfer-Encoding fehlt [CVE-2019-18277]
icinga2 Symlink-Angriff verhindert [CVE-2020-14004]
incron Aufräumen der Zombie-Prozesse überarbeitet
inetutils Problem mit Code-Fernausführung behoben [CVE-2020-10188]
libcommons-compress-java Dienstblockade beseitigt [CVE-2019-12402]
libdbi-perl Speicherkorrumpierung in XS-Funktionen behoben, wenn der Perl-Stack neu alloziert wird [CVE-2020-14392]; Pufferüberlauf bei einem überlangen DBD-Klassennamen behoben [CVE-2020-14393]; NULL-Profil-Dereferenzierung in dbi_profile() behoben [CVE-2019-20919]
libvncserver libvncclient: Abspringen, wenn der UNIX-Socketname überzulaufen droht [CVE-2019-20839]; Problem mit Pointer-Aliasing/-Alignment behoben [CVE-2020-14399]; Textchat-Maximallänge begrenzen [CVE-2020-14405]; libvncserver: Fehlende NULL-Zeiger-Überprüfung nachgetragen [CVE-2020-14397]; Problem mit Zeiger-Aliasing/-Alignment behoben [CVE-2020-14400]; scale: vor dem Verschieben auf 64 Bit umwandeln [CVE-2020-14401]; OOB-Zugriffe (außerhalb der Grenzen) verhindert [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404]
libx11 Ganzzahlüberläufe behoben [CVE-2020-14344 CVE-2020-14363]
lighttpd Mehrere Benutzerfreundlichkeits- und Sicherheitskorrekturen zurückportiert
linux Neue stabile Veröffentlichung der Originalautoren; ABI auf 11 angehoben
linux-latest Aktualisierung auf -11 Linux-Kernel-ABI
linux-signed-amd64 Neue stabile Veröffentlichung der Originalautoren
linux-signed-arm64 Neue stabile Veröffentlichung der Originalautoren
linux-signed-i386 Neue stabile Veröffentlichung der Originalautoren
llvm-toolchain-7 Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen; Fehler behoben, welche die rustc-Kompilierung beeinträchtigt haben
lucene-solr Sicherheitsproblem in der Handhabung der DataImportHandler-Konfiguration behoben [CVE-2019-0193]
milkytracker Heap-Überlauf [CVE-2019-14464], Stack-Überlauf [CVE-2019-14496], Heap-Überlauf [CVE-2019-14497], Use-after-free behoben [CVE-2020-15569]
node-bl Anfälligkeit für Über-Lesen behoben [CVE-2020-8244]
node-elliptic Signatur-Anpassbarkeit und Überläufe behoben [CVE-2020-13822]
node-mysql localInfile-Option zur Kontrolle von LOAD DATA LOCAL INFILE hinzugefügt [CVE-2019-14939]
node-url-parse Unzureichende Validierung und Überprüfung von Benutzereingaben korrigiert [CVE-2020-8124]
npm Keine Passwörter in Logs anzeigen [CVE-2020-15095]
orocos-kdl Explizite Inklusion des Standard-Include-Pfads entfernt, um Probleme mit cmake < 3.16 zu lösen
postgresql-11 Neue stabile Veröffentlichung der Originalautoren; sicheren search_path in Logical-Replication-Walsenders und Apply-Workern setzen [CVE-2020-14349]; Contrib-Modulinstallation sicherer machen [CVE-2020-14350]
postgresql-common plpgsql nicht löschen, bevor die Erweiterungen getestet sind
pyzmq Asyncio: auf POLLOUT beim Sender in can_connect warten
qt4-x11 Pufferüberlauf in XBM-Auswertungsroutine behoben [CVE-2020-17507]
qtbase-opensource-src Pufferüberlauf in XBM-Auswertungsroutine behoben [CVE-2020-17507]; Ausfall der Zwischenablage behoben, wenn der Zeitgeber nach 50 Tagen umbricht
ros-actionlib YAML sicher laden [CVE-2020-10289]
rustc Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen
rust-cbindgen Neue Version der Originalautoren, um künftige Firefox-ESR-Versionen zu unterstützen
ruby-ronn Umgang mit UTF-8-Inhalt auf Handbuchseiten überarbeitet
s390-tools ${perl:Depends} mit hartkodierter Perl-Abhängigkeit ersetzt, um die Installation unter debootstrap zu reparieren

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-4662 openjdk-11
DSA-4734 openjdk-11
DSA-4736 firefox-esr
DSA-4737 xrdp
DSA-4738 ark
DSA-4739 webkit2gtk
DSA-4740 thunderbird
DSA-4741 json-c
DSA-4742 firejail
DSA-4743 ruby-kramdown
DSA-4744 roundcube
DSA-4745 dovecot
DSA-4746 net-snmp
DSA-4747 icingaweb2
DSA-4748 ghostscript
DSA-4749 firefox-esr
DSA-4750 nginx
DSA-4751 squid
DSA-4752 bind9
DSA-4753 mupdf
DSA-4754 thunderbird
DSA-4755 openexr
DSA-4756 lilypond
DSA-4757 apache2
DSA-4758 xorg-server
DSA-4759 ark
DSA-4760 qemu
DSA-4761 zeromq3
DSA-4762 lemonldap-ng
DSA-4763 teeworlds
DSA-4764 inspircd
DSA-4765 modsecurity

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.