Debian 10 is bijgewerkt: 10.12 werd uitgebracht

26 maart 2022

Het Debian-project kondigt met genoegen de twaalfde update aan van zijn eerdere stabiele distributie Debian 10 (codenaam buster). Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe, samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar verwezen.

Merk op dat de tussenrelease geen nieuwe versie van Debian 10 is, maar slechts een update van enkele van de meegeleverde pakketten. Het is niet nodig om oude media met buster weg te gooien. Na de installatie kunnen pakketten worden opgewaardeerd naar de huidige versie door een bijgewerkte Debian-spiegelserver te gebruiken.

Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.

Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.

Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst van spiegelservers is beschikbaar op:

https://www.debian.org/mirror/list

Aangescherpte controle van het OpenSSL-handtekeningalgoritme

De update van OpenSSL in deze tussenrelease bevat een wijziging om te garanderen dat het gevraagde handtekeningalgoritme ondersteund wordt door het actieve beveiligingsniveau.

Hoewel dit op de meeste toepassingen geen invloed zal hebben, zou dit kunnen leiden tot foutmeldingen als een niet-ondersteund algoritme wordt gevraagd - bijvoorbeeld het gebruik van RSA+SHA1-handtekeningen met het standaard beveiligingsniveau 2.

In dergelijke gevallen moet het beveiligingsniveau uitdrukkelijk worden verlaagd, hetzij voor individuele verzoeken, hetzij meer in het algemeen. Hiervoor kunnen wijzigingen in de configuratie van toepassingen nodig zijn. Voor OpenSSL zelf kan per verzoek het beveiligingsniveau verlaagd worden met een commandoregeloptie zoals:

-cipher ALL:@SECLEVEL=1

met de relevante configuratie op systeemniveau in /etc/ssl/openssl.cnf

Oplossingen voor diverse problemen

Deze update van oldstable, de eerdere stabiele release, voegt een paar belangrijke correcties toe aan de volgende pakketten:

Pakket Reden
apache-log4j1.2 Oplossen van beveiligingsproblemen [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], door ondersteuning voor de modules JMSSink, JDBCAppender, JMSAppender en Apache Chainsaw te verwijderen
apache-log4j2 Oplossen van probleem met code-uitvoering van op afstand [CVE-2021-44832]
atftp Probleem met een informatielek oplossen [CVE-2021-46671]
base-files Update voor tussenrelease 10.12
beads Hercompileren tegen een bijgewerkt cimg om verschillende stapelbufferoverlopen te herstellen [CVE-2020-25693]
btrbk Regressie in de update voor CVE-2021-38173 herstellen
cargo-mozilla Nieuw pakket, teruggecompileerd vanaf Debian 11, om de compilatie van nieuwe rust-versies te ondersteunen
chrony Het lezen van het chronyd-configuratiebestand dat timemaster(8) genereert, toestaan
cimg Problemen van stapelbufferoverloop oplossen [CVE-2020-25693]
clamav Nieuwe bovenstroomse stabiele release; probleem met denial of service oplossen [CVE-2022-20698]
cups Oplossing voor een invoervalidatieprobleem kan een kwaadwillige toepassing in staat stellen besloten geheugen te lezen [CVE-2020-10001]
debian-installer Hercompilatie tegen oldstable-proposed-updates; kernel-ABI updaten naar -20
debian-installer-netboot-images Hercompilatie tegen oldstable-proposed-updates
detox Reparatie voor het verwerken van grote bestanden op ARM-architecturen
evolution-data-server Crash bij verkeerd opgemaakte serverreactie verhelpen [CVE-2020-16117]
flac Oplossing voor een probleem van lezen buiten de grenzen [CVE-2020-0499]
gerbv Oplossing voor probleem met code-uitvoering [CVE-2021-40391]
glibc Importeren van verschillende probleemoplossingen vanuit de bovenstroomse stabiele tak; vereenvoudigde controle op ondersteunde kernelversies, aangezien 2.x-kernels niet langer worden ondersteund; ondersteuning van installatie op kernels met een releasenummer groter dan 255
gmp Oplossing voor probleem van integer- en bufferoverloop [CVE-2021-43618]
graphicsmagick Oplossing voor probleem van bufferoverloop [CVE-2020-12672]
htmldoc Oplossing voor probleem met lezen buiten de grenzen [CVE-2022-0534] en problemen van bufferoverloop [CVE-2021-43579 CVE-2021-40985]
http-parser Oplossing voor onbedoelde ABI-breuk
icu Hulpprogramma pkgdata repareren
intel-microcode Update van ingesloten microcode; enkele beveiligingsproblemen inperken [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec Oplossing voor probleem van bufferoverloop [CVE-2020-12268]
jtharness Nieuwe bovenstroomse versie om de compilatie van recentere OpenJDK-11-versies te ondersteunen
jtreg Nieuwe bovenstroomse versie om de compilatie van recentere OpenJDK-11-versies te ondersteunen
lemonldap-ng Verificatieproces repareren in plug-ins voor het testen van wachtwoorden [CVE-2021-20874]; aanbevelen van gsfonts toevoegen om captcha te herstellen
leptonlib Probleem van denial of service oplossen [CVE-2020-36277], problemen van bufferoverschrijding bij lezen oplossen [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl Update van meegeleverde data
libencode-perl Oplossen van geheugenlek in Encode.xs
libetpan Probleem met STARTTLS-reactie-injectie oplossen [CVE-2020-15953]
libextractor Ongeldig leesprobleem opgelost [CVE-2019-15531]
libjackson-json-java Problemen met code-uitvoering opgelost [CVE-2017-15095 CVE-2017-7525], externe entiteitskwesties met XML [CVE-2019-10172]
libmodbus Oplossing voor problemen met lezen buiten het bereik [CVE-2019-14462 CVE-2019-14463]
libpcap Controleren van de lengte van de PHB-header voordat deze gebruikt wordt om geheugen toe te wijzen [CVE-2019-15165]
libsdl1.2 Invoerfocusgebeurtenissen op de juiste manier afhandelen; problemen van bufferoverloop [CVE-2019-13616 CVE-2019-7637] en bufferoverschrijding bij lezen [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638] oplossen
libxml2 Probleem met gebruik-na-vrijgave oplossen [CVE-2022-23308]
linux Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20
linux-latest Update naar ABI 4.19.0-20
linux-signed-amd64 Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20
linux-signed-arm64 Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20
linux-signed-i386 Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20
llvm-toolchain-11 Nieuw pakket, teruggecompileerd vanuit Debian 11 om het bouwen van nieuwe rust-versies te ondersteunen
lxcfs Foutief rapporteren van swap-gebruik oplossen
mailman Probleem met cross-site scripting oplossen [CVE-2021-43331]; oplossing voor een moderator van een lijst kan het beheerderswachtwoord van de lijst, gecodeerd in een CSRF-token, kraken [CVE-2021-43332]; reparatie voor een mogelijke CSRF-aanval tegen een lijstbeheerder van een lid of moderator van de lijst [CVE-2021-44227]; reparatie van regressies in reparaties voor CVE-2021-42097 en CVE-2021-44227
mariadb-10.3 Nieuwe bovenstroomse stabiele release; beveiligingsmaatregelen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject Probleem met prototypevervuiling oplossen [CVE-2020-28282]
opensc Problemen van toegang buiten het bereik oplossen [CVE-2019-15945 CVE-2019-15946], crash door het lezen van onbekend geheugen [CVE-2019-19479], probleem van dubbele vrijgave [CVE-2019-20792], bufferoverloopproblemen [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad Oplossen van bufferoverlopen in de STL-parser [CVE-2020-28599 CVE-2020-28600]
openssl Nieuwe bovenstroomse release
php-illuminate-database Probleem met query-binding oplossen [CVE-2021-21263], probleem met SQL-injectie bij gebruik met de Microsoft SQL Server
phpliteadmin Probleem met cross-site scripting oplossen [CVE-2021-46709]
plib Probleem van integeroverloop oplossen [CVE-2021-38714]
privoxy Reparatie voor geheugenlek [CVE-2021-44540] en probleem van cross-site scripting [CVE-2021-44543]
publicsuffix Bijgewerkte meegeleverde data
python-virtualenv Poging om pkg_resources vanuit PyPI te installeren, verhinderen
raptor2 Oplossen van probleem van array-toegang buiten het bereik [CVE-2020-25713]
ros-ros-comm Een probleem van denial of service oplossen [CVE-2021-37146]
rsyslog Stapeloverloopproblemen oplossen [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient Systeemcertificaatarchief gebruiken
rust-cbindgen Nieuwe bovenstroomse stabiele release om de bouw van recentere versies van firefox-esr en thunderbird te ondersteunen
rustc-mozilla Nieuw bronpakket om de bouw van recentere versies van firefox-esr en thunderbird te ondersteunen
s390-dasd Ophouden met het doorgeven van de verouderde optie -f aan dasdfmt
spip Probleem met cross-site scripting oplossen
tzdata Bijwerken van de data voor Fiji en Palestina
vim Reparatie van mogelijkheid om code uit te voeren in beperkte modus [CVE-2019-20807], problemen van bufferoverloop [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], probleem van gebruik na vrijgave [CVE-2021-3796]; verwijderen van per ongeluk toegevoegde patch
wavpack Gebruik van niet-geïnitialiseerde waarden corrigeren [CVE-2019-1010317 CVE-2019-1010319]
weechat Oplossing voor verschillende denial of service-problemen [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark Oplossen van verschillende beveiligingsproblemen in dissectors [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm Oplossing voor probleem van bufferoverloop [CVE-2022-24130]
zziplib Oplossing voor probleem van denial of service [CVE-2020-18442]

Beveiligingsupdates

Deze revisie voegt de volgende beveiligingsupdates toe aan de eerdere stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:

Advies-ID Pakket
DSA-4513 samba
DSA-4982 apache2
DSA-4983 neutron
DSA-4985 wordpress
DSA-4986 tomcat9
DSA-4987 squashfs-tools
DSA-4989 strongswan
DSA-4990 ffmpeg
DSA-4991 mailman
DSA-4993 php7.3
DSA-4994 bind9
DSA-4995 webkit2gtk
DSA-4997 tiff
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5004 libxstream-java
DSA-5005 ruby-kaminari
DSA-5006 postgresql-11
DSA-5010 libxml-security-java
DSA-5011 salt
DSA-5013 roundcube
DSA-5014 icu
DSA-5015 samba
DSA-5016 nss
DSA-5018 python-babel
DSA-5019 wireshark
DSA-5020 apache-log4j2
DSA-5021 mediawiki
DSA-5022 apache-log4j2
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5032 djvulibre
DSA-5035 apache2
DSA-5036 sphinxsearch
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5043 lxml
DSA-5047 prosody
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5062 nss
DSA-5063 uriparser
DSA-5065 ipython
DSA-5066 ruby2.5
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5078 zsh
DSA-5081 redis
DSA-5083 webkit2gtk
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5093 spip
DSA-5096 linux-latest
DSA-5096 linux-signed-amd64
DSA-5096 linux-signed-arm64
DSA-5096 linux-signed-i386
DSA-5096 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5103 openssl
DSA-5105 bind9

Verwijderde pakketten

De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:

Pakket Reden
angular-maven-plugin Niet langer bruikbaar
minify-maven-plugin Niet langer bruikbaar

Het Debian-installatieprogramma

Het installatieprogramma werd bijgewerkt om de reparaties die met deze tussenrelease in de eerdere stabiele release opgenomen werden, toe te voegen.

URL's

De volledige lijsten met pakketten die met deze revisie gewijzigd werden:

https://deb.debian.org/debian/dists/buster/ChangeLog

De huidige distributie oldstable (de eerdere stabiele release):

https://deb.debian.org/debian/dists/oldstable/

Voorgestelde updates voor de distributie oldstable:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

informatie over de distributie oldstable (notities bij de release, errata, enz.):

https://www.debian.org/releases/oldstable/

Beveiligingsaankondigingen en -informatie:

https://www.debian.org/security/

Over Debian

Het Debian-project is een vereniging van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.

Contactinformatie

Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele distributie op <debian-release@lists.debian.org>.