Debian 10 aktualisiert: 10.8 veröffentlicht

6. Februar 2021

Das Debian-Projekt freut sich, die achte Aktualisierung für seine stabile Distribution Debian 10 (codename Buster) ankündigen zu dürfen. Diese Zwischenveröffentlichung bringt hauptsächlich Korrekturen für Sicherheitsprobleme und einige Anpassungen für einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese wird, wo vorhanden, verwiesen.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
atftp	Dienstblockadeproblem behoben [CVE-2020-6097]
base-files	/etc/debian_version auf die Version 10.8 aktualisiert
ca-certificates	Mozilla-CA-Bündel auf 2.40 aktualisiert, abgelaufenes AddTrust External Root gesperrt
cacti	Probleme mit SQL-Injektion [CVE-2020-35701] und stored XSS behoben
cairo	Maskenverwendung im image-compositor überarbeitet [CVE-2020-35492]
choose-mirror	Liste der Spiegel aktualisiert
cjson	Endlosschleife in cJSON_Minify behoben
clevis	Initramfs-Erstellung überarbeitet; clevis-dracut: Initramfs-Erstellung während Installation auslösen
cyrus-imapd	Versionsvergleich im Cron-Skript korrigiert
debian-edu-config	Aufräum-Code für Host-Keytabs aus gosa-modify-host in ein eigenständiges Skript übertragen, um die LDAP-Aufrufe auf eine einzelne Abfrage zu reduzieren
debian-installer	Linux-Kernel-ABI 4.19.0-14 verwenden; Neukompilierung gegen proposed-updates
debian-installer-netboot-images	Neukompilierung gegen proposed-updates
debian-installer-utils	Partitionen auf USB-UAS-Geräten unterstützen
device-tree-compiler	Speicherzugriffsfehler auf dtc -I fs /proc/device-tree behoben
didjvu	Fehlende Kompilierungsabhängigkeit von tzdata nachgetragen
dovecot	Absturz beim Durchsuchen von Postfächern, die fehlerhafte MIME-Nachrichten enthalten, behoben
dpdk	Neue stabile Version der Originalautoren
edk2	CryptoPkg/BaseCryptLib: NULL-Dereferenzierung behoben [CVE-2019-14584]
emacs	Nicht abstürzen, wenn OpenPGP-Benutzer-IDs keine E-Mail-Adresse haben
fcitx	Unterstützung für Eingabemethoden in Flatpaks überarbeitet
file	Vorgabe für Namen-Rekursionstiefe auf 50 angehoben
geoclue-2.0	Höchstens erlaubte Genauigkeitsstufe auch für Systemanwendungen überprüfen; Mozilla-API-Schlüssel konfigurierbar machen und standardmäßig einen Debian-spezifischen Schlüssel verwenden; Darstellung der Vewendungsanzeige korrigiert
gnutls28	Test-Suiten-Fehler behoben, der durch abgelaufene Zertifikate verursacht wurde
grub2	Beim nicht-interaktiven Upgrade von grub-pc aussteigen, wenn grub-install fehlschlägt; explizit überprüfen, ob das Zielgerät existiert, bevor grub-install ausgeführt wird; grub-install: Datensicherung und -wiederherstellung hinzugefügt; grub-install auf einer frischen Installation von grub-pc nicht aufrufen
highlight.js	Prototype Pollution behoben [CVE-2020-26237]
intel-microcode	Verschiedene Mikrocodes aktualisiert
iproute2	Fehler in der JSON-Ausgabe behoben; Race Condition behoben, die das System blockiert, wenn beim Hochfahren ip netns add verwendet wird
irssi-plugin-xmpp	Die Zeitüberschreitung in irssi core connect nicht vorzeitig auslösen, um Probleme mit STARTTLS-Verbindungen zu beheben
libdatetime-timezone-perl	Aktualisierung auf die neue tzdata-Version
libdbd-csv-perl	Testfehlschlag mit libdbi-perl 1.642-1+deb10u2 behoben
libdbi-perl	Sicherheitskorrektur [CVE-2014-10402]
libmaxminddb	Heap-basiertes übermäßiges Lesen des Puffers (buffer over-read) behoben [CVE-2020-28241]
lttng-modules	Kompilierungsprobleme bei Kernel-Versionen >= 4.19.0-10 behoben
m2crypto	Kompatibilität mit OpenSSL 1.1.1i und neuer verbessert
mini-buildd	builder.py: sbuild-Aufruf: '--no-arch-all' explizit setzen
net-snmp	snmpd: cacheTime- und execType-Schalter zu EXTEND-MIB hinzufügen
node-ini	Keine ungültige gefährliche Zeichenkette als Sektionsnamen erlauben [CVE-2020-7788]
node-y18n	Problem mit Prototype Pollution behoben [CVE-2020-7774]
nvidia-graphics-drivers	Neue Version der Originalautoren; mögliche Dienstblockade und Informationsoffenlegung behoben [CVE-2021-1056]
nvidia-graphics-drivers-legacy-390xx	Neue Version der Originalautoren; mögliche Dienstblockade und Informationsoffenlegung behoben [CVE-2021-1056]
pdns	Sicherheitskorrekturen [CVE-2019-10203 CVE-2020-17482]
pepperflashplugin-nonfree	In Pseudo-Paket umgewandelt, welches sich um die Entfernung des installierten Plugins kümmert (funktioniert nicht mehr und wird nicht mehr untestützt)
pngcheck	Pufferüberlauf behoben [CVE-2020-27818]
postgresql-11	Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2020-25694 CVE-2020-25695 CVE-2020-25696]
postsrsd	Sicherstellen, dass Zeitstempel-Tags nicht zu lang sind, bevor versucht wird, sie zu decodieren [CVE-2020-35573]
python-bottle	Aufhören ; als Trennzeichen für Abfragezeichenketten zu erlauben [CVE-2020-28473]
python-certbot	Automatisch ACMEv2-API zum Erneuern benutzen, um Probleme mit der Entfernung der ACMEv1-API zu vermeiden
qxmpp	Potenziellen Speicherzugriffsfehler bei Verbindungsfehlern behoben
silx	python(3)-silx: Abhängigkeit von python(3)-scipy hinzugefügt
slirp	Pufferüberläufe behoben [CVE-2020-7039 CVE-2020-8608]
steam	Neue Version der Originalautoren
systemd	journal: Assertion nicht auslösen, wenn journal_file_close() ein NULL übergeben wird
tang	Race Condition zwischen keygen und update vermeiden
tzdata	Neue Veröffentlichung der Originalautoren; enthaltene Zeitzonendaten aktualisiert
unzip	Weitere Korrekturen für CVE-2019-13232
wireshark	Verschiedene Abstürze, Endlosschleifen und Speicherlecks behoben [CVE-2019-16319 CVE-2019-19553 CVE-2020-11647 CVE-2020-13164 CVE-2020-15466 CVE-2020-25862 CVE-2020-25863 CVE-2020-26418 CVE-2020-26421 CVE-2020-26575 CVE-2020-28030 CVE-2020-7045 CVE-2020-9428 CVE-2020-9430 CVE-2020-9431]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-4797	webkit2gtk
DSA-4801	brotli
DSA-4802	thunderbird
DSA-4803	xorg-server
DSA-4804	xen
DSA-4805	trafficserver
DSA-4806	minidlna
DSA-4807	openssl
DSA-4808	apt
DSA-4809	python-apt
DSA-4810	lxml
DSA-4811	libxstream-java
DSA-4812	xen
DSA-4813	firefox-esr
DSA-4814	xerces-c
DSA-4815	thunderbird
DSA-4816	mediawiki
DSA-4817	php-pear
DSA-4818	sympa
DSA-4819	kitty
DSA-4820	horizon
DSA-4821	roundcube
DSA-4822	p11-kit
DSA-4823	influxdb
DSA-4824	chromium
DSA-4825	dovecot
DSA-4827	firefox-esr
DSA-4828	libxstream-java
DSA-4829	coturn
DSA-4830	flatpak
DSA-4831	ruby-redcarpet
DSA-4832	chromium
DSA-4833	gst-plugins-bad1.0
DSA-4834	vlc
DSA-4835	tomcat9
DSA-4837	salt
DSA-4838	mutt
DSA-4839	sudo
DSA-4840	firefox-esr
DSA-4841	slurm-llnl
DSA-4843	linux-latest
DSA-4843	linux-signed-amd64
DSA-4843	linux-signed-arm64
DSA-4843	linux-signed-i386
DSA-4843	linux

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
compactheader	Inkompatibel mit aktuellen Thunderbird-Versionen

Debian-Installer

Der Installer wurde aktualisiert, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Stable-Veröffentlichung:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org>, oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.