Debian 10 aktualisiert: 10.10 veröffentlicht

19. Juni 2021

Das Debian-Projekt freut sich, die zehnte Aktualisierung seiner Stable-Veröffentlichung Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung bringt hauptsächlich Korrekturen für Sicherheitsprobleme und Anpassungen für einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese wird, wo möglich, verwiesen.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket Grund
apt Änderungen im Suite-Namen der Paketdepots standardmäßig akzeptieren (z. B. stable -> oldstable)
awstats Probleme mit Dateizugriff aus der Ferne behoben [CVE-2020-29600 CVE-2020-35176]
base-files /etc/debian_version auf die Zwischenveröffentlichung 10.10 aktualisiert
berusky2 Speicherzugriffsfehler beim Programmstart behoben
clamav Neue Veröffentlichung der Originalautoren; Sicherheitsblockade (Denial of security) behoben [CVE-2021-1405]
clevis Unterstützung für TPMs, die nur SHA256 unterstützen, überarbeitet
connman dnsproxy: vor dem memcpy die Länge der Puffer überprüfen [CVE-2021-33833]
crmsh Problem mit Codeausführung behoben [CVE-2020-35459]
debian-installer Linux-Kernel-ABI 4.19.0-17 verwenden
debian-installer-netboot-images Neubau gegen proposed-updates
dnspython XFR: nicht versuchen, Vergleiche mit einem nicht existenten expiration (Ablauf)-Wert anzustellen
dput-ng Absturz im SFTP-Uploader behoben, der auftritt, wenn ein EACCES vom Server kommt; Codenamen aktualisiert; dcut dm für nicht-hochladende DMs zum Laufen bekommen; TypeError in der Ausnahme-Handhabung für HTTP-Uploads behoben; nicht versuchen, Uploader-E-Mail vom System-Hostnamen in .dak-commands-Dateien zu konstruieren
eterm Problem mit Codeausführung behoben [CVE-2021-33477]
exactimage Kompilierungsprobleme mit C++11 und OpenEXR 2.5.x behoben
fig2dev Pufferüberlauf behoben [CVE-2021-3561]; mehrere Ausgabeprobleme behoben; Testsuite während Kompilierung und in autopkgtest neu kompilieren
fluidsynth Use-after-free behoben [CVE-2021-28421]
freediameter Dienstblockade behoben [CVE-2020-6098]
fwupd Erzeugung der Hersteller-SBAT-Zeichenkette überarbeitet; dpkg-dev nicht mehr in fwupd.preinst verwenden; neue stabile Version der Originalautoren
fwupd-amd64-signed Abgleich mit fwupd
fwupd-arm64-signed Abgleich mit fwupd
fwupd-armhf-signed Abgleich mit fwupd
fwupd-i386-signed Abgleich mit fwupd
fwupdate SBAT-Unterstützung verbessert
fwupdate-amd64-signed Abgleich mit fwupdate
fwupdate-arm64-signed Abgleich mit fwupdate
fwupdate-armhf-signed Abgleich mit fwupdate
fwupdate-i386-signed Abgleich mit fwupdate
glib2.0 Mehrere Pufferüberläufe behoben [CVE-2021-27218 CVE-2021-27219]; Symlink-Angriff behoben, der file-roller betraf [CVE-2021-28153]
gnutls28 Nullzeiger-Dereferenzierung behoben [CVE-2020-24659]; mehrere Verbesserungen bei Speicher-Wiederzuweisung behoben
golang-github-docker-docker-credential-helpers Double Free behoben [CVE-2019-1020014]
htmldoc Pufferüberläufe behoben [CVE-2019-19630 CVE-2021-20308]
ipmitool Pufferüberläufe behoben [CVE-2020-5208]
ircii Dienstblockade behoben [CVE-2021-29376]
isc-dhcp Pufferüberlauf behoben [CVE-2021-25217]
isync Lustige Mailbox-Namen in IMAP LIST/LSUB abweisen [CVE-2021-20247]; Umgang mit unerwartetem APPENDUID-Antwortcode überarbeitet [CVE-2021-3578]
jackson-databind Problematische Erweiterung der externen Entität abgestellt [CVE-2020-25649] sowie mehrere Probleme rund um Serialisierung [CVE-2020-24616 CVE-2020-24750 CVE-2020-35490 CVE-2020-35491 CVE-2020-35728 CVE-2020-36179 CVE-2020-36180 CVE-2020-36181 CVE-2020-36182 CVE-2020-36183 CVE-2020-36184 CVE-2020-36185 CVE-2020-36186 CVE-2020-36187 CVE-2020-36188 CVE-2020-36189 CVE-2021-20190]
klibc malloc: Bei Fehlschlag Fehlercode setzen; mehrere Überlaufprobleme behoben [CVE-2021-31873 CVE-2021-31870 CVE-2021-31872]; cpio: möglichen Absturz auf 64-Bit-Systemen verhindert [CVE-2021-31871]; {set,long}jmp [s390x]: die richtigen FPU-Register speichern/wiederherstellen
libbusiness-us-usps-webtools-perl Aktualisierung auf neue US-USPS-API
libgcrypt20 Schwache ElGamal-Verschlüsselung, bei der die Schlüssel nicht mit GnuPG/libgcrypt erzeugt wurden, überarbeitet [CVE-2021-33560]
libgetdata Use-After-Free behoben [CVE-2021-20204]
libmateweather Mit der Umbenennung von America/Godthab nach America/Nuuk in tzdata mitziehen
libxml2 Lesezugriff außerhalb der Grenzen (out-of-bounds read) in xmllint behoben [CVE-2020-24977]; Use-after-Free in xmllint behoben [CVE-2021-3516 CVE-2021-3518]; UTF8 in xmlEncodeEntities validieren [CVE-2021-3517]; Fehler in xmlParseElementChildrenContentDeclPriv weiterreichen; Exponential-Entity-Expansion-Angriff verhindert [CVE-2021-3541]
liferea Kompatibilität mit webkit2gtk >= 2.32 verbessert
linux Neue stabile Version der Originalautoren; ABI auf 17 anheben; [rt] Aktualisierung auf 4.19.193-rt81
linux-latest Aktualisierung auf ABI 4.19.0-17
linux-signed-amd64 Neue Version der Originalautoren; ABI auf 17 anheben; [rt] Aktualisierung auf 4.19.193-rt81
linux-signed-arm64 Neue Version der Originalautoren; ABI auf 17 anheben; [rt] Aktualisierung auf 4.19.193-rt81
linux-signed-i386 Neue Version der Originalautoren; ABI auf 17 anheben; [rt] Aktualisierung auf 4.19.193-rt81
mariadb-10.3 Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2021-2154 CVE-2021-2166 CVE-2021-27928]; Innotop-Unterstützung überarbeitet; caching_sha2_password.so mitliefern
mqtt-client Dienstblockade behoben [CVE-2019-0222]
mumble Codeausführung aus der Ferne behoben [CVE-2021-27229]
mupdf Use-After-Free [CVE-2020-16600] and Double-Free behoben [CVE-2021-3407]
nmap Enthaltene MAC-Präfix-Liste aktualisiert
node-glob-parent Dienstblockade mit regulären Ausdrücken behoben [CVE-2020-28469]
node-handlebars Codeausführung behoben [CVE-2019-20920 CVE-2021-23369]
node-hosted-git-info Dienstblockade mit regulären Ausdrücken behoben [CVE-2021-23362]
node-redis Dienstblockade mit regulären Ausdrücken behoben [CVE-2021-29469]
node-ws Dienstblockade mit Bezug auf reguläre Ausdrücke behoben [CVE-2021-32640]
nvidia-graphics-drivers Anfälligkeit für unzureichende Zugriffskontrolle behoben [CVE-2021-1076]
nvidia-graphics-drivers-legacy-390xx Anfälligkeit für unzureichende Zugriffskontrolle behoben [CVE-2021-1076]; Installationsfehlschlag unter Linux-5.11-Veröffentlichungskandidaten behoben
opendmarc Heap-Overflow behoben [CVE-2020-12460]
openvpn illegal client float (Sitzungsdiebstahl mittels client float-Mechanismus) behoben [CVE-2020-11810]; sicherstellen, dass die Schlüssel den Authentifiziert-Status haben, bevor die Push-Antwort gesendet wird [CVE-2020-15078]; listen()-Backlog-Warteschlange auf 32 erhöht
php-horde-text-filter Seitenübergreifendes Skripting behoben [CVE-2021-26929]
plinth Sitzung verwenden, um den First-Boot-Willkommen-Schritt zu verifizieren
ruby-websocket-extensions Dienstblockade behoben [CVE-2020-7663]
rust-rustyline Kompilierungsprobleme mit neuerem rustc korrigiert
rxvt-unicode Escape-Sequenz ESC G Q deaktiviert [CVE-2021-33477]
sabnzbdplus Anfälligkeit für Codeausführung beseitigt [CVE-2020-13124]
scrollz Dienstblockade behoben [CVE-2021-29376]
shim Neue Version der Originalautoren; SBAT-Unterstützung hinzugefügt; i386-Binär-Relokationen überarbeitet; QueryVariableInfo() auf Maschinen mit EFI 1.10 (wie älteren Intel-Macs) nicht aufrufen; Umgang mit ignore_db und user_insecure_mode korrigiert; Betreuerskripte zu den Vorlagepaketen hinzufügen, damit die sich um die Installation und Entfernung von fbXXX.efi und mmXXX.efi kümmern, wenn wir die shim-helpers-$arch-signed-Pakete installieren/deinstallieren; bei Installation auf einem Nicht-EFI-System sauber beenden; nicht fehlschlagen, wenn debconf-Aufrufe Fehler zurückliefern
shim-helpers-amd64-signed Abgleich mit shim
shim-helpers-arm64-signed Abgleich mit shim
shim-helpers-i386-signed Abgleich mit shim
shim-signed Aktualisierung auf neues shim; mehere Fehler in postinst- und postrm-Handhabung behoben; unsignierte Binärdateien für arm64 anbieten (see NEWS.Debian); bei Installation auf einem Nicht-EFI-Systemen sauber beenden; nicht fehschlagen, wenn debconf-Aufrufe Fehler zurückliefern; Dokumentationslinks korrigiert; Kompilierung gegen shim-unsigned 15.4-5~deb10u1; explizite Abhängigkeit von shim-signed bei shim-signed-common hinzufügen
speedtest-cli Den Fall berücksichtigen, dass ignoreids leer ist oder leere IDs enthält
tnef Probleme mit übermäßigem Puffer-Auslesen (buffer over-read) behoben [CVE-2019-18849]
uim libuim-data: Beschädigt von uim-data kopieren, um einige Upgrade-Szenarien hinzubekommen
user-mode-linux Neukompilierung gegen Linux-Kernel 4.19.194-1
velocity Potenzielle eigenmächtige Codeausführung behoben [CVE-2020-13936]
wml Rückschritt im Umgang mit Unicode behoben
xfce4-weather-plugin Umstellung auf Version 2.0 der met.no-API

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Sicherheitsankündigung veröffentlicht.

Ankündigungs-ID Paket
DSA-4848 golang-1.11
DSA-4865 docker.io
DSA-4873 squid
DSA-4874 firefox-esr
DSA-4875 openssl
DSA-4877 webkit2gtk
DSA-4878 pygments
DSA-4879 spamassassin
DSA-4880 lxml
DSA-4881 curl
DSA-4882 openjpeg2
DSA-4883 underscore
DSA-4884 ldb
DSA-4885 netty
DSA-4886 chromium
DSA-4887 lib3mf
DSA-4888 xen
DSA-4889 mediawiki
DSA-4890 ruby-kramdown
DSA-4891 tomcat9
DSA-4892 python-bleach
DSA-4893 xorg-server
DSA-4894 php-pear
DSA-4895 firefox-esr
DSA-4896 wordpress
DSA-4898 wpa
DSA-4899 openjdk-11-jre-dcevm
DSA-4899 openjdk-11
DSA-4900 gst-plugins-good1.0
DSA-4901 gst-libav1.0
DSA-4902 gst-plugins-bad1.0
DSA-4903 gst-plugins-base1.0
DSA-4904 gst-plugins-ugly1.0
DSA-4905 shibboleth-sp
DSA-4907 composer
DSA-4908 libhibernate3-java
DSA-4909 bind9
DSA-4910 libimage-exiftool-perl
DSA-4912 exim4
DSA-4913 hivex
DSA-4914 graphviz
DSA-4915 postgresql-11
DSA-4916 prosody
DSA-4918 ruby-rack-cors
DSA-4919 lz4
DSA-4920 libx11
DSA-4921 nginx
DSA-4922 hyperkitty
DSA-4923 webkit2gtk
DSA-4924 squid
DSA-4925 firefox-esr
DSA-4926 lasso
DSA-4928 htmldoc
DSA-4929 rails
DSA-4930 libwebp

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
sogo-connector Mit den aktuellen Thunderbird-Versionen nicht kompatibel

Debian-Installer

Der Installer wurde aktualisiert, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Stable-Veröffentlichung:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org> oder kontaktieren das Stable-Release-Team (auch auf Englisch) unter <debian-release@lists.debian.org>.