Debian 11 aktualisiert: 11.1 veröffentlicht

9. Oktober 2021

Das Debian-Projekt freut sich, die erste Aktualisierung seiner Stable-Veröffentlichung Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Aktualisierung bringt hauptsächlich Korrekturen für Sicherheitsprobleme und Anpassungen für einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese wird, wo möglich, verwiesen.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
apr	Array-Dereferenzierung außerhalb der Grenzen verhindern
atftp	Pufferüberlauf behoben [CVE-2021-41054]
automysqlbackup	Absturz bei Verwendung von LATEST=yes beseitigt
base-files	Aktualisierung auf die ZWsichenveröffentlichung 11.1
clamav	Neue Veröffentlichung der Originalautoren; Speicherzugriffsfehler behoben, der in clamdscan auftritt, wenn --fdpass und --multipass zusammen mit ExcludePath verwendet werden
cloud-init	Doppeltes »includedir« in /etc/sudoers vermeiden
cyrus-imapd	Dienstblockade beseitigt [CVE-2021-33582]
dazzdb	Use-after-free in DBstats behoben
debian-edu-config	debian-edu-ltsp-install: Hauptserver-bezogene Ausschlussliste erweitern; slapd und xrdp-sesman zur Liste der maskierten Dienste hinzugefügt
debian-installer	Neukompilierung gegen proposed-updates; Linux-ABI auf 5.10.0-9 aktualisiert; udebs aus proposed-updates verwenden
debian-installer-netboot-images	Neukompilierung gegen proposed-updates; udebs aus proposed-updates und Stable verwenden; xz-komprimierte Paketdateien verwenden
detox	Umgang mit großen Dateien verbessert
devscripts	Dafür gesorgt, dass die --bpo-Option bullseye-backports ansteuert
dlt-viewer	Fehlende Headerdateien qdlt/qdlt*.h ins Dev-Paket aufgenommen
dpdk	Neue Veröffentlichung der Originalautoren
fetchmail	Speicherzugriffsfehler und Sicherheitsregression behoben
flatpak	Neue Veröffentlichung der Originalautoren; keine unüblichen $XDG_RUNTIME_DIR-Einstellungen in die Sandbox übernehmen
freeradius	Thread-Crash behoben und Beispielskonfiguration überarbeitet
galera-3	Neue Veröffentlichung der Originalautoren
galera-4	Neue Veröffentlichung der Originalautoren; kreislaufende Konflikte mit galera-3 durch Abschaffung des virtuellen galera-Paketes behoben
glewlwyd	Möglichen Pufferüberlauf während der FIDO2-Signaturverifizierung in der webauthn-Registrierung verhindert [CVE-2021-40818]
glibc	openssh-server auch dann neu starten, wenn er während des Upgrades dekonfiguriert worden ist; Text-Fallback bei Nichtverfügbarkeit von debconf überarbeitet
gnome-maps	Neue Veröffentlichung der Originalautoren; Absturz beim Starten behoben, wenn die zuletzt verwendete Karte eine Luftkarte ist, aber keine Luftkarten-Kacheldefinition gefunden wurde; aufhören, beim Verlassen gelegentlich unbrauchbare Zuletzt-Betrachtet-Positionen zu speichern; Hänger beim Verschieben vom Routenmarkierungen behoben
gnome-shell	Neue Veröffentlichung der Originalautoren; Einfrieren nach dem Abbrechen (mancher) System-Modal-Dialoge behoben; Wortvorschläge der Bildschirmtastatur überarbeitet; Abstürze behoben
hdf5	Paketabhängigkeiten nachjustiert, um Upgrade-Pfade von älteren Veröffentlichungen zu ebnen
iotop-c	Richtig mit UTF-8-Prozessnamen umgehen
jailkit	Erzeugungsroutine von Jails, die /dev verwenden müssen, überarbeitet; Prüfung auf Vorhandensein von Bibilotheken korrigiert
java-atk-wrapper	Auch den dbus verwenden, um festzustellen, ob Barrierefreieheit verwendet wird
krb5	KDC-Absturz wegen Nullzeiger-Dereferenzierung bei FAST-Anfragen ohne Server-Feld behoben [CVE-2021-37750]; Speicherleck in krb5_gss_inquire_cred gestopft
libavif	Richtige libdir in der libavif.pc pkgconfig-Datei benutzen
libbluray	Wechsel auf eingebettete libasm; die Version aus libasm-java ist zu neu
libdatetime-timezone-perl	Neue Veröffentlichung der Originalautoren; Sommerzeitregeln für Samoa and Jordanien aktualisiert; Bestätigung der nicht stattfindenden Schaltsekunde am 31.12.2021
libslirp	Mehrere Probleme mit Pufferüberläufen behoben [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595]
linux	Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300]
linux-signed-amd64	Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300]
linux-signed-arm64	Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300]
linux-signed-i386	Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300]
mariadb-10.5	Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-2372 CVE-2021-2389]
mbrola	Dateiende-Erkennung überarbeitet
modsecurity-crs	Probleme mit Einschleusung via Anfragekörper behoben [CVE-2021-35368]
mtr	Regression in der JSON-Ausgabe behoben
mutter	Neue Veröffentlichung der Originalautoren; kms: Umgang mit gängigen Videomodi, welche die mögliche Bandbreite überschreiten können, verbessert; gültige Fenstertexturgröße nach Viewport-Änderungen sicherstellen
nautilus	Aufhören, mehrere gleichzeitig ausgewählte Dateien in mehreren Anwendungsinstanzen zu öffnen; Fenstergröße und -position beim Tiling nicht speichern; diverse Speicherlecks gestopft; Übersetzungen aktualisiert
node-ansi-regex	Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3807]
node-axios	Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3749]
node-object-path	Probleme mit Prototyp-Pollution behoben [CVE-2021-23434 CVE-2021-3805]
node-prismjs	Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3801]
node-set-value	Prototyp-Pollution behoben [CVE-2021-23440]
node-tar	Verzeichnis-Cache von Nicht-Verzeichnissen säubern [CVE-2021-32803]; absolute Pfade gründlicher stutzen [CVE-2021-32804]
osmcoastline	Nicht-WGS84-Projektionen verbessert
osmpbf	Neukompilierung gegen protobuf 3.12.4
pam	Syntaxfehler in libpam0g.postinst, der auftritt, wenn eine systemd-Unit fehlschlägt, behoben
perl	Sicherheitsaktualisierung; Speicherleck in Zusammenhang mit regulären Ausdrücken behoben
pglogical	Übernahme der Korrekturen für die Snapshot-Handhabung von PostgreSQL 13.4
pmdk	Fehlende Barrieren nach non-temporal memcpy wieder hinzugefügt
postgresql-13	Neue Veröffentlichung der Originalautoren; Fehlplanung der wiederholten Anwendung eines Projektionsschritts behoben [CVE-2021-3677]; SSL-Wiederverhandlung vollständiger verbieten
proftpd-dfsg	mod_radius leaks memory contents to radius server und sftp connection aborts with Corrupted MAC on input behoben; Escaping von bereits maskiertem SQL-Text überspringen
pyx3	Probleme mit horizontaler Schriftausrichtung in texlive 2020 behoben
reportbug	Suite-Namen der Bullseye-Veröffentlichung entsprechend aktualisiert
request-tracker4	Timing-Seitenkanal im Anmeldesystem geschlossen [CVE-2021-38562]
rhonabwy	JWE-CBC-Tag-Berechnung und JWS-alg:none-Signaturverifizierung überarbeitet
rpki-trust-anchors	HTTPS-URL zum LACNIC TAL hinzugefügt
rsync	--copy-devices wieder eingeführt; Regression in --delay-updates behoben; Anpassungen für Grenzfall in --mkpath vorgenommen; rsync-ssl überarbeitet; --sparce und --inplace überarbeitet; für rrsync verfügbare Optionen aktualisiert; Korrekturen in der Dokumentation
ruby-rqrcode-rails3	Korrektur für Kompatibilität zu ruby-rqrcode 1.0
sabnzbdplus	Verzeichnisausbruch in der Umbenennungs-Funktion verhindert [CVE-2021-29488]
shellcheck	Darstellung langer Optionen auf Handbuchseite verbessert
shiro	Probeme mit Authentifizierungs-Umgehung behoben [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; Korrektur für Spring-Framework-Kompatibilität eingespielt; Guice 4 unterstützen
speech-dispatcher	Festlegung des Stimmen-Namen für das generische Modul überarbeitet
telegram-desktop	Absturz, wenn auto-delete eingeschaltet ist, abgestellt
termshark	Themen in Paket aufgenommen
tmux	Race Condition behoben, die dafür sorgt, dass die Konfiguration nicht geladen wird, wenn mehrere Clients während der Initialisierung mit dem Server interagieren
txt2man	Regression im Umgang mit Display-Blöcken behoben
tzdata	Sommerzeitregeln für Samoa und Jordanien aktualisiert; Bestätigung der nicht stattfindenden Schaltsekunde am 31.12.2021
ublock-origin	Neue Veröffentlichung der Originalautoren; Dienstblockade behoben [CVE-2021-36773]
ulfius	Vor der Verwendung von Speicher sicherstellen, dass er initialisiert wird [CVE-2021-40540]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-4959	thunderbird
DSA-4960	haproxy
DSA-4961	tor
DSA-4962	ledgersmb
DSA-4963	openssl
DSA-4964	grilo
DSA-4965	libssh
DSA-4966	gpac
DSA-4967	squashfs-tools
DSA-4968	haproxy
DSA-4969	firefox-esr
DSA-4970	postorius
DSA-4971	ntfs-3g
DSA-4972	ghostscript
DSA-4973	thunderbird
DSA-4974	nextcloud-desktop
DSA-4975	webkit2gtk
DSA-4976	wpewebkit
DSA-4977	xen
DSA-4978	linux-signed-amd64
DSA-4978	linux-signed-arm64
DSA-4978	linux-signed-i386
DSA-4978	linux
DSA-4979	mediawiki

Während der letzten Abschnitte des Bullseye-Freeze sind über das Sicherheits-Archiv einige Aktualisierungen ausgespielt worden, aber ihnen ist keine DSA zugeordnet. Hier sind die Details zu diesen Aktualisierungen:

Paket	Grund
apache2	mod_proxy HTTP2 Anfragezeileninjektion abgestellt [CVE-2021-33193]
btrbk	Eigenmächtige Codeausführung verhindert [CVE-2021-38173]
c-ares	Fehlende Eingabe-Verifizierung von Hostnamen, die von den DNS-Servern zurückgeliefert werden, nachgetragen [CVE-2021-3672]
exiv2	Überläufe behoben [CVE-2021-29457 CVE-2021-31292]
firefox-esr	Neue stabile Veröffentlichung der Originalautoren [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989]
libencode-perl	Encodieren: @INC-Pollution beim Laden von ConfigLocal umgangen [CVE-2021-36770]
libspf2	spf_compile.c: Richtige Größe von ds_avail [CVE-2021-20314]; reverse-Makro-Modifizierer überarbeitet
lynx	Leckage von Zugangsdaten abgestellt, die auftrat, wenn SNI zusammen mit einem URL verwendet wurde, der die Zugangsdaten enthielt [CVE-2021-38165]
nodejs	Neue Version der Originalautoren; Use-after-free beseitigt [CVE-2021-22930]
tomcat9	Möglichkeit zur Umgehung der Authentifizierung [CVE-2021-30640] und des Anfrageschmuggels [CVE-2021-33037] entfernt
xmlgraphics-commons	Serverseitige Abfragefälschung verhindert [CVE-2020-11988]

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org> oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.