Debian 11 aktualisiert: 11.1 veröffentlicht
9. Oktober 2021
Das Debian-Projekt freut sich, die erste Aktualisierung seiner
Stable-Veröffentlichung Debian 11 (Codename Bullseye
)
ankündigen zu dürfen. Diese Aktualisierung bringt hauptsächlich Korrekturen für
Sicherheitsprobleme und Anpassungen für einige ernste Probleme. Für sie sind
bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese
wird, wo möglich, verwiesen.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version
von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete
auffrischt. Es gibt keinen Grund, Bullseye
-Medien zu entsorgen, da
deren Pakete nach der Installation mit Hilfe eines aktuellen
Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
Paket | Grund |
---|---|
apr | Array-Dereferenzierung außerhalb der Grenzen verhindern |
atftp | Pufferüberlauf behoben [CVE-2021-41054] |
automysqlbackup | Absturz bei Verwendung von LATEST=yesbeseitigt |
base-files | Aktualisierung auf die ZWsichenveröffentlichung 11.1 |
clamav | Neue Veröffentlichung der Originalautoren; Speicherzugriffsfehler behoben, der in clamdscan auftritt, wenn --fdpass und --multipass zusammen mit ExcludePath verwendet werden |
cloud-init | Doppeltes »includedir« in /etc/sudoers vermeiden |
cyrus-imapd | Dienstblockade beseitigt [CVE-2021-33582] |
dazzdb | Use-after-free in DBstats behoben |
debian-edu-config | debian-edu-ltsp-install: Hauptserver-bezogene Ausschlussliste erweitern; slapd und xrdp-sesman zur Liste der maskierten Dienste hinzugefügt |
debian-installer | Neukompilierung gegen proposed-updates; Linux-ABI auf 5.10.0-9 aktualisiert; udebs aus proposed-updates verwenden |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates; udebs aus proposed-updates und Stable verwenden; xz-komprimierte Paketdateien verwenden |
detox | Umgang mit großen Dateien verbessert |
devscripts | Dafür gesorgt, dass die --bpo-Option bullseye-backports ansteuert |
dlt-viewer | Fehlende Headerdateien qdlt/qdlt*.h ins Dev-Paket aufgenommen |
dpdk | Neue Veröffentlichung der Originalautoren |
fetchmail | Speicherzugriffsfehler und Sicherheitsregression behoben |
flatpak | Neue Veröffentlichung der Originalautoren; keine unüblichen $XDG_RUNTIME_DIR-Einstellungen in die Sandbox übernehmen |
freeradius | Thread-Crash behoben und Beispielskonfiguration überarbeitet |
galera-3 | Neue Veröffentlichung der Originalautoren |
galera-4 | Neue Veröffentlichung der Originalautoren; kreislaufende Konflikte mit galera-3 durch Abschaffung des virtuellen galera-Paketes behoben |
glewlwyd | Möglichen Pufferüberlauf während der FIDO2-Signaturverifizierung in der webauthn-Registrierung verhindert [CVE-2021-40818] |
glibc | openssh-server auch dann neu starten, wenn er während des Upgrades dekonfiguriert worden ist; Text-Fallback bei Nichtverfügbarkeit von debconf überarbeitet |
gnome-maps | Neue Veröffentlichung der Originalautoren; Absturz beim Starten behoben, wenn die zuletzt verwendete Karte eine Luftkarte ist, aber keine Luftkarten-Kacheldefinition gefunden wurde; aufhören, beim Verlassen gelegentlich unbrauchbare Zuletzt-Betrachtet-Positionen zu speichern; Hänger beim Verschieben vom Routenmarkierungen behoben |
gnome-shell | Neue Veröffentlichung der Originalautoren; Einfrieren nach dem Abbrechen (mancher) System-Modal-Dialoge behoben; Wortvorschläge der Bildschirmtastatur überarbeitet; Abstürze behoben |
hdf5 | Paketabhängigkeiten nachjustiert, um Upgrade-Pfade von älteren Veröffentlichungen zu ebnen |
iotop-c | Richtig mit UTF-8-Prozessnamen umgehen |
jailkit | Erzeugungsroutine von Jails, die /dev verwenden müssen, überarbeitet; Prüfung auf Vorhandensein von Bibilotheken korrigiert |
java-atk-wrapper | Auch den dbus verwenden, um festzustellen, ob Barrierefreieheit verwendet wird |
krb5 | KDC-Absturz wegen Nullzeiger-Dereferenzierung bei FAST-Anfragen ohne Server-Feld behoben [CVE-2021-37750]; Speicherleck in krb5_gss_inquire_cred gestopft |
libavif | Richtige libdir in der libavif.pc pkgconfig-Datei benutzen |
libbluray | Wechsel auf eingebettete libasm; die Version aus libasm-java ist zu neu |
libdatetime-timezone-perl | Neue Veröffentlichung der Originalautoren; Sommerzeitregeln für Samoa and Jordanien aktualisiert; Bestätigung der nicht stattfindenden Schaltsekunde am 31.12.2021 |
libslirp | Mehrere Probleme mit Pufferüberläufen behoben [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595] |
linux | Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300] |
linux-signed-amd64 | Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300] |
linux-signed-arm64 | Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300] |
linux-signed-i386 | Neue Veröffentlichung der Originalautoren; ABI auf 9 angehoben; [rt] Aktualisierung auf 5.10.65-rt53; [mipsel] bpf, mips: Abweichungen der Bedingungszweige validieren [CVE-2021-38300] |
mariadb-10.5 | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-2372 CVE-2021-2389] |
mbrola | Dateiende-Erkennung überarbeitet |
modsecurity-crs | Probleme mit Einschleusung via Anfragekörper behoben [CVE-2021-35368] |
mtr | Regression in der JSON-Ausgabe behoben |
mutter | Neue Veröffentlichung der Originalautoren; kms: Umgang mit gängigen Videomodi, welche die mögliche Bandbreite überschreiten können, verbessert; gültige Fenstertexturgröße nach Viewport-Änderungen sicherstellen |
nautilus | Aufhören, mehrere gleichzeitig ausgewählte Dateien in mehreren Anwendungsinstanzen zu öffnen; Fenstergröße und -position beim Tiling nicht speichern; diverse Speicherlecks gestopft; Übersetzungen aktualisiert |
node-ansi-regex | Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3807] |
node-axios | Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3749] |
node-object-path | Probleme mit Prototyp-Pollution behoben [CVE-2021-23434 CVE-2021-3805] |
node-prismjs | Auf reguläre Ausdrücke basierende Dienstblockade behoben [CVE-2021-3801] |
node-set-value | Prototyp-Pollution behoben [CVE-2021-23440] |
node-tar | Verzeichnis-Cache von Nicht-Verzeichnissen säubern [CVE-2021-32803]; absolute Pfade gründlicher stutzen [CVE-2021-32804] |
osmcoastline | Nicht-WGS84-Projektionen verbessert |
osmpbf | Neukompilierung gegen protobuf 3.12.4 |
pam | Syntaxfehler in libpam0g.postinst, der auftritt, wenn eine systemd-Unit fehlschlägt, behoben |
perl | Sicherheitsaktualisierung; Speicherleck in Zusammenhang mit regulären Ausdrücken behoben |
pglogical | Übernahme der Korrekturen für die Snapshot-Handhabung von PostgreSQL 13.4 |
pmdk | Fehlende Barrieren nach non-temporal memcpy wieder hinzugefügt |
postgresql-13 | Neue Veröffentlichung der Originalautoren; Fehlplanung der wiederholten Anwendung eines Projektionsschritts behoben [CVE-2021-3677]; SSL-Wiederverhandlung vollständiger verbieten |
proftpd-dfsg | mod_radius leaks memory contents to radius serverund sftp connection aborts withCorrupted MAC on input behoben; Escaping von bereits maskiertem SQL-Text überspringen |
pyx3 | Probleme mit horizontaler Schriftausrichtung in texlive 2020 behoben |
reportbug | Suite-Namen der Bullseye-Veröffentlichung entsprechend aktualisiert |
request-tracker4 | Timing-Seitenkanal im Anmeldesystem geschlossen [CVE-2021-38562] |
rhonabwy | JWE-CBC-Tag-Berechnung und JWS-alg:none-Signaturverifizierung überarbeitet |
rpki-trust-anchors | HTTPS-URL zum LACNIC TAL hinzugefügt |
rsync | --copy-devices wieder eingeführt; Regression in --delay-updates behoben; Anpassungen für Grenzfall in --mkpath vorgenommen; rsync-ssl überarbeitet; --sparce und --inplace überarbeitet; für rrsync verfügbare Optionen aktualisiert; Korrekturen in der Dokumentation |
ruby-rqrcode-rails3 | Korrektur für Kompatibilität zu ruby-rqrcode 1.0 |
sabnzbdplus | Verzeichnisausbruch in der Umbenennungs-Funktion verhindert [CVE-2021-29488] |
shellcheck | Darstellung langer Optionen auf Handbuchseite verbessert |
shiro | Probeme mit Authentifizierungs-Umgehung behoben [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; Korrektur für Spring-Framework-Kompatibilität eingespielt; Guice 4 unterstützen |
speech-dispatcher | Festlegung des Stimmen-Namen für das generische Modul überarbeitet |
telegram-desktop | Absturz, wenn auto-delete eingeschaltet ist, abgestellt |
termshark | Themen in Paket aufgenommen |
tmux | Race Condition behoben, die dafür sorgt, dass die Konfiguration nicht geladen wird, wenn mehrere Clients während der Initialisierung mit dem Server interagieren |
txt2man | Regression im Umgang mit Display-Blöcken behoben |
tzdata | Sommerzeitregeln für Samoa und Jordanien aktualisiert; Bestätigung der nicht stattfindenden Schaltsekunde am 31.12.2021 |
ublock-origin | Neue Veröffentlichung der Originalautoren; Dienstblockade behoben [CVE-2021-36773] |
ulfius | Vor der Verwendung von Speicher sicherstellen, dass er initialisiert wird [CVE-2021-40540] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Während der letzten Abschnitte des Bullseye-Freeze sind über das Sicherheits-Archiv einige Aktualisierungen ausgespielt worden, aber ihnen ist keine DSA zugeordnet. Hier sind die Details zu diesen Aktualisierungen:
Paket | Grund |
---|---|
apache2 | mod_proxy HTTP2 Anfragezeileninjektion abgestellt [CVE-2021-33193] |
btrbk | Eigenmächtige Codeausführung verhindert [CVE-2021-38173] |
c-ares | Fehlende Eingabe-Verifizierung von Hostnamen, die von den DNS-Servern zurückgeliefert werden, nachgetragen [CVE-2021-3672] |
exiv2 | Überläufe behoben [CVE-2021-29457 CVE-2021-31292] |
firefox-esr | Neue stabile Veröffentlichung der Originalautoren [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989] |
libencode-perl | Encodieren: @INC-Pollution beim Laden von ConfigLocal umgangen [CVE-2021-36770] |
libspf2 | spf_compile.c: Richtige Größe von ds_avail [CVE-2021-20314]; reverse-Makro-Modifizierer überarbeitet |
lynx | Leckage von Zugangsdaten abgestellt, die auftrat, wenn SNI zusammen mit einem URL verwendet wurde, der die Zugangsdaten enthielt [CVE-2021-38165] |
nodejs | Neue Version der Originalautoren; Use-after-free beseitigt [CVE-2021-22930] |
tomcat9 | Möglichkeit zur Umgehung der Authentifizierung [CVE-2021-30640] und des Anfrageschmuggels [CVE-2021-33037] entfernt |
xmlgraphics-commons | Serverseitige Abfragefälschung verhindert [CVE-2020-11988] |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org> oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.