Debian 11 is bijgewerkt: 11.3 werd uitgebracht

26 maart 2022

Het Debian-project kondigt met genoegen de derde update aan van zijn stabiele distributie Debian 11 (codenaam bullseye). Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe, samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar verwezen.

Merk op dat de tussenrelease geen nieuwe versie van Debian 11 is, maar slechts een update van enkele van de meegeleverde pakketten. Het is niet nodig om oude media met bullseye weg te gooien. Na de installatie kunnen pakketten worden opgewaardeerd naar de huidige versie door een bijgewerkte Debian-spiegelserver te gebruiken.

Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.

Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.

Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst van spiegelservers is beschikbaar op:

https://www.debian.org/mirror/list

Oplossingen voor diverse problemen

Deze update van stable, de stabiele release, voegt een paar belangrijke correcties toe aan de volgende pakketten:

Pakket Reden
apache-log4j1.2 Oplossen van beveiligingsproblemen [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], door ondersteuning voor de modules JMSSink, JDBCAppender, JMSAppender en Apache Chainsaw te verwijderen
apache-log4j2 Oplossen van een probleem met code-uitvoering vanop afstand [CVE-2021-44832]
apache2 Nieuwe bovenstroomse release; crash als gevolg van willekeurig lezen van geheugen repareren [CVE-2022-22719]; probleem met smokkelen van HTTP-verzoeken oplossen [CVE-2022-22720]; oplossen van problemen van schrijven buiten het bereik [CVE-2022-22721 CVE-2022-23943]
atftp Probleem met een informatielek oplossen [CVE-2021-46671]
base-files Update voor tussenrelease 11.3
bible-kjv Oplossen van een fout van het type off-by-one in de zoekfunctie
chrony Het lezen van het chronyd-configuratiebestand dat timemaster(8) genereert, toestaan
cinnamon Crash verhelpen bij het toevoegen van een online account met login
clamav Nieuwe bovenstroomse stabiele release; probleem met denial of service oplossen [CVE-2022-20698]
cups-filters Apparmor: lezen van Debian Edu's cups-browsed configuratiebestand toestaan
dask.distributed Ongewenst luisteren door werkers op publieke interfaces oplossen [CVE-2021-42343]; oplossen van compatibiliteit met Python 3.9
debian-installer Hercompilatie tegen proposed-updates; linux kernel-ABI updaten naar 5.10.0-13
debian-installer-netboot-images Hercompilatie tegen proposed-updates
debian-ports-archive-keyring Toevoegen van Automatische ondertekeningssleutel van het Debian Ports-archief (2023); de ondertekeningssleutel 2021 verplaatsen naar de sleutelbos met verwijderde sleutels
django-allauth OpenID-ondersteuning oplossen
djbdns De datalimiet voor axfrdns, dnscache en tinydns optrekken
dpdk Nieuwe bovenstroomse stabiele release
e2guardian Validatieprobleem met ontbrekend SSL-certificaat oplossen [CVE-2021-44273]
epiphany-browser Een bug in GLib omzeilen om een crash van het UI-proces op te lossen
espeak-ng Ongewenste vertraging van 50 ms tijdens het verwerken van gebeurtenissen weglaten
espeakup debian/espeakup.service: espeakup beschermen tegen systeemoverbelasting
fcitx5-chinese-addons fcitx5-table: ontbrekende vereisten fcitx5-module-pinyinhelper en fcitx5-module-punctuation toevoegen
flac Oplossing voor een probleem van schrijven buiten het bereik [CVE-2021-0561]
freerdp2 Extra loggen voor foutopsporing uitschakelen
galera-3 Nieuwe bovenstroomse release
galera-4 Nieuwe bovenstroomse release
gbonds Treasury API gebruiken voor aflossingsdata
glewlwyd Mogelijke bevoegdheidsescalatie oplossen
glibc Reparatie voor slechte omzetting van ISO-2022-JP-3 met iconv [CVE-2021-43396]; oplossen van problemen van bufferoverloop [CVE-2022-23218 CVE-2022-23219]; probleem van gebruik na vrijgave oplossen [CVE-2021-33574]; ophouden met het vervangen van oudere versies van /etc/nsswitch.conf; vereenvoudigde controle op ondersteunde kernelversies, aangezien 2.x-kernels niet langer worden ondersteund; ondersteuning van installatie op kernels met een releasenummer groter dan 255
glx-alternatives Na het initiële instellen van de omleidingen, een minimaal alternatief voor de omgeleide bestanden installeren, zodat er geen bibliotheken ontbreken voordat glx-alternative-mesa zijn triggers verwerkt heeft
gnupg2 scd: reparatie van het CCID-stuurprogramma voor SCM SPR332/SPR532; netwerkinteractie vermijden in de generator, wat tot vastlopen kan leiden
gnuplot Oplossing voor een deling door nul [CVE-2021-44917]
golang-1.15 Reparatie van IsOnCurve voor big.Int-waarden die geen geldige coördinaten zijn [CVE-2022-23806]; math/big: groot geheugengebruik voorkomen in Rat.SetString [CVE-2022-23772]; cmd/go: voorkomen dat takken zich ontwikkelen tot versies [CVE-2022-23773]; stapeluitputting door het compileren van diep geneste uitdrukkingen oplossen [CVE-2022-24921]
golang-github-containers-common Bijwerken van seccomp-ondersteuning om het gebruik van nieuwere kernelversies mogelijk te maken
golang-github-opencontainers-specs Bijwerken van seccomp-ondersteuning om het gebruik van nieuwere kernelversies mogelijk te maken
gtk+3.0 Reparatie voor ontbrekende zoekresultaten bij gebruik van NFS; voorkomen dat de verwerking van het Wayland-klembord vastloopt in bepaalde uitzonderlijke gevallen; het afdrukken naar door mDNS gevonden printers verbeteren
heartbeat Aanmaak van /run/heartbeat repareren op systemen met systemd
htmldoc Oplossing voor een probleem met lezen buiten de grenzen [CVE-2022-0534]
installation-guide Bijwerken van documentatie en vertalingen
intel-microcode Update van ingesloten microcode; enkele beveiligingsproblemen inperken [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
ldap2zone Gebruiken van mktemp in plaats van het verouderde tempfile, waardoor waarschuwingen voorkomen worden
lemonldap-ng Verificatieproces repareren in plug-ins voor het testen van wachtwoorden [CVE-2021-40874]
libarchive Reparatie voor het uitpakken van harde koppelingen naar symbolische koppelingen; reparatie voor de afhandeling van ACL's van symbolische koppelingen [CVE-2021-23177]; nooit symbolische koppelingen volgen bij het instellen van bestandsvlaggen [CVE-2021-31566]
libdatetime-timezone-perl Update van meegeleverde data
libgdal-grass Hercompilatie tegen grass 7.8.5-1+deb11u1
libpod Bijwerken van de seccomp-ondersteuning om het gebruik van recentere kernelversies mogelijk te maken
libxml2 Oplossing voor een probleem van gebruik na vrijgave [CVE-2022-23308]
linux Nieuwe bovenstroomse stabiele release; [rt] update naar 5.10.106-rt64; verhogen van ABI naar 13
linux-signed-amd64 Nieuwe bovenstroomse stabiele release; [rt] update naar 5.10.106-rt64; verhogen van ABI naar 13
linux-signed-arm64 Nieuwe bovenstroomse stabiele release; [rt] update naar 5.10.106-rt64; verhogen van ABI naar 13
linux-signed-i386 Nieuwe bovenstroomse stabiele release; [rt] update naar 5.10.106-rt64; verhogen van ABI naar 13
mariadb-10.5 Nieuwe bovenstroomse release; beveiligingsmaatregelen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
mpich Toevoegen van Breaks: met oudere versies van libmpich1.0-dev om bepaalde opwaarderingsproblemen op te lossen
mujs Probleem van bufferoverloop oplossen [CVE-2021-45005]
mutter Overzetting van verschillende oplossingen vanuit de bovenstroomse stabiele tak
node-cached-path-relative Een probleem met prototypevervuiling oplossen [CVE-2021-23518]
node-fetch Geen beveiligde headers doorsturen naar domeinen van derden [CVE-2022-0235]
node-follow-redirects Geen Cookie-header versturen tussen domeinen [CVE-2022-0155]; geen vertrouwelijke headers versturen tussen schema's [CVE-2022-0536]
node-markdown-it Probleem van denial of service op basis van reguliere expressies oplossen [CVE-2022-21670]
node-nth-check Probleem van denial of service op basis van reguliere expressies oplossen [CVE-2021-3803]
node-prismjs Opmaak maskeren in commandoregeluitvoer [CVE-2022-23647]; bijwerken van verkleinde bestanden om te garanderen dat een probleem van denial of service met reguliere expressies wordt opgelost [CVE-2021-3801]
node-trim-newlines Oplossen van een probleem van denial of service met reguliere expressies [CVE-2021-33623]
nvidia-cuda-toolkit cuda-gdb: uitschakelen van niet-functionele ondersteuning voor python, wat tot segmentatiefouten leidt; een momentopname van openjdk-8-jre (8u312-b07-1) gebruiken
nvidia-graphics-drivers-tesla-450 Nieuwe bovenstroomse release; oplossing voor een problemen van denial of service [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: aanbieden van /etc/modprobe.d/nvidia-options.conf als sjabloon
nvidia-modprobe Nieuwe bovenstroomse release
openboard Reparatie van applicatie-icoon
openssl Nieuwe bovenstroomse release; reparatie voor armv8-pointerauthenticatie
openvswitch Probleem met gebruik-na-vrijgave oplossen [CVE-2021-36980]; herstellen van de installatie van libofproto
ostree Compatibiliteit met eCryptFS herstellen; voorkomen van een oneindige recursie bij het herstellen van bepaalde fouten; vastleggingen als partieel markeren voor het downloaden; oplossing voor een assertiefout bij gebruik van een backport of een lokale build van GLib >= 2.71; de mogelijkheid herstellen om OSTree-inhoud op te halen van paden die niet-URI-tekens (zoals backslashes) of niet-ASCII bevatten
pdb2pqr Compatibiliteit van propka met Python 3.8 of hoger herstellen
php-crypt-gpg Voorkomen dat extra opties worden doorgegeven aan GPG [CVE-2022-24953]
php-laravel-framework Probleem met cross-site scripting oplossen [CVE-2021-43808], ontbrekende blokkering van upload van uitvoerbare inhoud [CVE-2021-43617]
phpliteadmin Probleem met cross-site scripting oplossen [CVE-2021-46709]
prips Oneindige terugloop repareren als een bereik 255.255.255.255 bereikt; CIDR-uitvoer repareren met adressen die verschillen in hun eerste bit
pypy3 Reparatie voor compilatiefouten door het verwijderen van een onnodige #endif uit import.h
python-django Oplossingen voor een denial of service-probleem [CVE-2021-45115], voor een probleem van informatieontsluiting [CVE-2021-45116], voor een probleem met het doorlopen van mappen [CVE-2021-45452]; reparatie van een traceback rond de afhandeling van RequestSite/get_current_site() vanwege een circulaire import
python-pip Vermijden van een race-conditie bij het gebruik van in zip geïmporteerde afhankelijkheden
rust-cbindgen Nieuwe bovenstroomse stabiele release om de bouw van recentere versies van firefox-esr en thunderbird te ondersteunen
s390-dasd Ophouden met het doorgeven van de verouderde optie -f aan dasdfmt
schleuder Booleaanse waarden omzetten naar gehele getallen, indien de ActiveRecord verbindingsadapter van SQLite3 in gebruik is, waardoor de functionaliteit wordt hersteld
sphinx-bootstrap-theme Zoekfunctionaliteit herstellen
spip Verschillende problemen van cross-site scripting oplossen
symfony Een probleem van CVE-injectie oplossen [CVE-2021-41270]
systemd Ongecontroleerde recursie in systemd-tmpfiles oplossen [CVE-2021-3997]; systemd-timesyncd verlagen van Depends naar Recommends, waardoor een vereistencirkel weggehaald wordt; oplossing voor een fout bij het koppelen van een map met bind mount binnen een container met behulp van machinectl; regressie in udev herstellen die resulteerde in lange vertragingen bij het verwerken van partities met hetzelfde label; een regressie repareren bij gebruik van systemd-networkd in een niet-bevoorrechte LXD-container
sysvinit Reparatie voor de verwerking van shutdown +0; verduidelijken dat shutdown niet zal worden afgesloten wanneer het aangeroepen wordt met een tijd
tasksel CUPS voor alle *-desktop-taken installeren, omdat task-print-service niet langer bestaat
usb.ids Bijwerken van meegeleverde data
weechat Oplossing voor een denial of service-probleem [CVE-2021-40516]
wolfssl Oplossing voor verschillende problemen in verband met de verwerking van OCSP [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] en de ondersteuning voor TLS1.3 [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel SIGILL-crash op niet-SSE2 CPU's repareren
xterm Een probleem van bufferoverloop oplossen [CVE-2022-24130]
zziplib Oplossing voor een denial of service-probleem [CVE-2020-18442]

Beveiligingsupdates

Deze revisie voegt de volgende beveiligingsupdates toe aan de stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:

Advies-ID Pakket
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5012 openjdk-17
DSA-5021 mediawiki
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5025 tang
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5031 wpewebkit
DSA-5033 fort-validator
DSA-5035 apache2
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5041 cfrpki
DSA-5042 epiphany-browser
DSA-5043 lxml
DSA-5046 chromium
DSA-5047 prosody
DSA-5048 libreswan
DSA-5049 flatpak-builder
DSA-5049 flatpak
DSA-5050 linux-signed-amd64
DSA-5050 linux-signed-arm64
DSA-5050 linux-signed-i386
DSA-5050 linux
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5054 chromium
DSA-5055 util-linux
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5058 openjdk-17
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5061 wpewebkit
DSA-5062 nss
DSA-5063 uriparser
DSA-5064 python-nbxmpp
DSA-5065 ipython
DSA-5067 ruby2.7
DSA-5068 chromium
DSA-5070 cryptsetup
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5077 librecad
DSA-5078 zsh
DSA-5079 chromium
DSA-5080 snapd
DSA-5081 redis
DSA-5082 php7.4
DSA-5083 webkit2gtk
DSA-5084 wpewebkit
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5089 chromium
DSA-5091 containerd
DSA-5092 linux-signed-amd64
DSA-5092 linux-signed-arm64
DSA-5092 linux-signed-i386
DSA-5092 linux
DSA-5093 spip
DSA-5095 linux-signed-amd64
DSA-5095 linux-signed-arm64
DSA-5095 linux-signed-i386
DSA-5095 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5102 haproxy
DSA-5103 openssl
DSA-5104 chromium
DSA-5105 bind9

Verwijderde pakketten

De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:

Pakket Reden
angular-maven-plugin Niet langer bruikbaar
minify-maven-plugin Niet langer bruikbaar

Het Debian-installatieprogramma

Het installatieprogramma werd bijgewerkt om de reparaties die met deze tussenrelease in de stabiele release opgenomen werden, toe te voegen.

URL's

De volledige lijsten met pakketten die met deze revisie gewijzigd werden:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

De huidige stabiele distributie:

https://deb.debian.org/debian/dists/stable/

Voorgestelde updates voor de stabiele distributie:

https://deb.debian.org/debian/dists/proposed-updates

Informatie over de stabiele distributie (notities bij de release, errata, enz.):

https://www.debian.org/releases/stable/

Beveiligingsaankondigingen en -informatie:

https://www.debian.org/security/

Over Debian

Het Debian-project is een vereniging van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.

Contactinformatie

Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele distributie op <debian-release@lists.debian.org>.