Uppdaterad Debian 10; 10.9 utgiven

27 mars 2021

Debianprojektet presenterar stolt sin nionde uppdatering till dess stabila utgåva Debian 10 (med kodnamnet buster). Denna punktutgåva lägger huvudsakligen till rättningar för säkerhetsproblem, tillsammans med ytterligare rättningar för allvarliga problem. Säkerhetsbulletiner har redan publicerats separat och refereras när de finns tillgängliga.

Vänligen notera att punktutgåvan inte innebär en ny version av Debian 10 utan endast uppdaterar några av de inkluderade paketen. Det behövs inte kastas bort gamla media av buster. Efter installationen kan paket uppgraderas till de aktuella versionerna genom att använda en uppdaterad Debianspegling..

De som frekvent installerar uppdateringar från security.debian.org kommer inte att behöva uppdatera många paket, och de flesta av sådana uppdateringar finns inkluderade i punktutgåvan.

Nya installationsavbildningar kommer snart att finnas tillgängliga på de vanliga platserna.

En uppgradering av en existerande installation till denna revision kan utföras genom att peka pakethanteringssystemet på en av Debians många HTTP-speglingar. En utförlig lista på speglingar finns på:

https://www.debian.org/mirror/list

Blandade felrättningar

Denna uppdatering av den stabila utgåvan lägger till några viktiga felrättningar till följande paket:

Paket	Orsak
avahi	Remove avahi-daemon-check-dns mechanism, which is no longer needed
base-files	Update /etc/debian_version for the 10.9 point release
cloud-init	Avoid logging generated passwords to world-readable log files [CVE-2021-3429]
debian-archive-keyring	Add bullseye keys; retire jessie keys
debian-installer	Use 4.19.0-16 Linux kernel ABI
debian-installer-netboot-images	Rebuild against proposed-updates
exim4	Fix use of concurrent TLS connections under GnuTLS; fix TLS certificate verification with CNAMEs; README.Debian: document the limitation/extent of server certificate verification in the default configuration
fetchmail	No longer report System error during SSL_connect(): Success; remove OpenSSL version check
fwupd	Add SBAT support
fwupd-amd64-signed	Add SBAT support
fwupd-arm64-signed	Add SBAT support
fwupd-armhf-signed	Add SBAT support
fwupd-i386-signed	Add SBAT support
fwupdate	Add SBAT support
fwupdate-amd64-signed	Add SBAT support
fwupdate-arm64-signed	Add SBAT support
fwupdate-armhf-signed	Add SBAT support
fwupdate-i386-signed	Add SBAT support
gdnsd	Fix stack overflow with overly-large IPv6 addresses [CVE-2019-13952]
groff	Rebuild against ghostscript 9.27
hwloc-contrib	Enable support for the ppc64el architecture
intel-microcode	Update various microcode
iputils	Fix ping rounding errors; fix tracepath target corruption
jquery	Fix untrusted code execution vulnerabilities [CVE-2020-11022 CVE-2020-11023]
libbsd	Fix out-of-bounds read issue [CVE-2019-20367]
libpano13	Fix format string vulnerability
libreoffice	Do not load encodings.py from current directoy
linux	New upstream stable release; update ABI to -16; rotate secure boot signing keys; rt: update to 4.19.173-rt72
linux-latest	Update to -15 kernel ABI; update for -16 kernel ABI
linux-signed-amd64	New upstream stable release; update ABI to -16; rotate secure boot signing keys; rt: update to 4.19.173-rt72
linux-signed-arm64	New upstream stable release; update ABI to -16; rotate secure boot signing keys; rt: update to 4.19.173-rt72
linux-signed-i386	New upstream stable release; update ABI to -16; rotate secure boot signing keys; rt: update to 4.19.173-rt72
lirc	Normalize embedded ${DEB_HOST_MULTIARCH} value in /etc/lirc/lirc_options.conf to find unmodified configuration files on all architectures; recommend gir1.2-vte-2.91 instead of non-existent gir1.2-vte
m2crypto	Fix test failure with recent OpenSSL versions
openafs	Fix outgoing connections after unix epoch time 0x60000000 (14 January 2021)
portaudio19	Handle EPIPE from alsa_snd_pcm_poll_descriptors, fixing crash
postgresql-11	New upstream stable release; fix information leakage in constraint-violation error messages [CVE-2021-3393]; fix CREATE INDEX CONCURRENTLY to wait for concurrent prepared transactions
privoxy	Security issues [CVE-2020-35502 CVE-2021-20209 CVE-2021-20210 CVE-2021-20211 CVE-2021-20212 CVE-2021-20213 CVE-2021-20214 CVE-2021-20215 CVE-2021-20216 CVE-2021-20217 CVE-2021-20272 CVE-2021-20273 CVE-2021-20275 CVE-2021-20276]
python3.7	Fix CRLF injection in http.client [CVE-2020-26116]; fix buffer overflow in PyCArg_repr in _ctypes/callproc.c [CVE-2021-3177]
redis	Fix a series of integer overflow issues on 32-bit systems [CVE-2021-21309]
ruby-mechanize	Fix command injection issue [CVE-2021-21289]
systemd	core: make sure to restore the control command id, too, fixing a segfault; seccomp: allow turning off of seccomp filtering via an environment variable
uim	libuim-data: Perform symlink_to_dir conversion of /usr/share/doc/libuim-data in the resurrected package for clean upgrades from stretch
xcftools	Fix integer overflow vulnerability [CVE-2019-5086 CVE-2019-5087]
xterm	Correct upper-limit for selection buffer, accounting for combining characters [CVE-2021-27135]

Säkerhetsuppdateringar

Denna revision lägger till följande säkerhetsuppdateringar till den stabila utgåvan. Säkerhetsgruppen har redan släppt bulletiner för alla dessa uppdateringar:

Bulletin-ID	Paket
DSA-4826	nodejs
DSA-4844	dnsmasq
DSA-4845	openldap
DSA-4846	chromium
DSA-4847	connman
DSA-4849	firejail
DSA-4850	libzstd
DSA-4851	subversion
DSA-4853	spip
DSA-4854	webkit2gtk
DSA-4855	openssl
DSA-4856	php7.3
DSA-4857	bind9
DSA-4858	chromium
DSA-4859	libzstd
DSA-4860	openldap
DSA-4861	screen
DSA-4862	firefox-esr
DSA-4863	nodejs
DSA-4864	python-aiohttp
DSA-4865	docker.io
DSA-4867	grub-efi-amd64-signed
DSA-4867	grub-efi-arm64-signed
DSA-4867	grub-efi-ia32-signed
DSA-4867	grub2
DSA-4868	flatpak
DSA-4869	tiff
DSA-4870	pygments
DSA-4871	tor
DSA-4872	shibboleth-sp

Debianinstalleraren

Installeraren har uppdaterats för att inkludera rättningarna som har inkluderats i den stabila utgåvan med denna punktutgåva.

URLer

Den fullständiga listan på paket som har förändrats i denna revision:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Den aktuella stabila utgåvan:

http://ftp.debian.org/debian/dists/stable/

Föreslagna uppdateringar till den stabila utgåvan:

http://ftp.debian.org/debian/dists/proposed-updates

Information om den stabila utgåvan (versionsfakta, kända problem osv.):

https://www.debian.org/releases/stable/

Säkerhetsbulletiner och information:

https://www.debian.org/security/

Om Debian

Debianprojektet är en grupp utvecklare av Fri mjukvara som donerar sin tid och kraft för att producera det helt fria operativsystemet Debian.

Kontaktinformation

För ytterligare information, vänligen besök Debians webbplats på https://www.debian.org/, skicka e-post till <press@debian.org>, eller kontakta gruppen för stabila utgåvor på <debian-release@lists.debian.org>.