Debian 11 aktualisiert: 11.4 veröffentlicht
9. Juli 2022
Das Debian-Projekt freut sich, die vierte Aktualisierung seiner
Stable-Veröffentlichung Debian 11 (Codename Bullseye
)
ankündigen zu dürfen. Diese Aktualisierung bringt hauptsächlich Korrekturen für
Sicherheitsprobleme und Anpassungen für einige ernste Probleme. Für sie sind
bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese
wird, wo möglich, verwiesen.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version
von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete
auffrischt. Es gibt keinen Grund, Bullseye
-Medien zu entsorgen, da
deren Pakete nach der Installation mit Hilfe eines aktuellen
Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:
| Paket | Grund |
|---|---|
| apache2 | Neue stabile Veröffentlichung der Originalautoren; Problem mit HTTP-Anfrageschmuggel behoben [CVE-2022-26377], Probleme mit Lesezugriff außerhalb der Grenzen [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], Dienstblockaden [CVE-2022-29404 CVE-2022-30522], möglicher Lesezugriff außerhalb der Grenzen [CVE-2022-30556], mögliche IP-basierte Authentifizierungs-Umgehung [CVE-2022-31813] |
| base-files | /etc/debian_version auf die Zwischenveröffentlichung 11.4 aktualisiert |
| bash | Einlesen des ersten Bytes eines überlaufenden Puffers behoben, das zu fehlerhaften Multibyte-Zeichen in den Befehlssubstitutionen geführt hat |
| clamav | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| clementine | Fehlende Abhängigkeit von libqt5sql5-sqlite nachgetragen |
| composer | Anfälligkeit für Code-Injektion behoben [CVE-2022-24828]; GitHub-Token-Muster aktualisiert |
| cyrus-imapd | Sicherstellen, dass alle Mailboxen ein uniqueid-Feld haben, um Probleme beim Upgrade auf 3.6 zu lösen |
| dbus-broker | Pufferüberlauf behoben [CVE-2022-31212] |
| debian-edu-config | Mail aus dem lokalen Netzwerk an root@<meine-netzwerk-namen> annehmen; Kerberos-Host und -Dienstprinzipiale nur erzeugen, wenn sie nicht schon existieren; sicherstellen, dass libsss-sudo auf Roaming Workstations installiert ist; Benennung und Sichtbarkeit von Druckerwarteschlangen überarbeitet; krb5i auf Diskless Workstations unterstützen; squid: DNSv4-Lookups DNSv6-Lookups vorziehen |
| debian-installer | Neukompilierung gegen proposed-updates; Linux-Kernel-ABI auf 16 angehoben; einige armel-Netboot-Targets (openrd) wiederhergestellt |
| debian-installer-netboot-images | Neukompilierung gegen proposed-updates; Linux-Kernel-ABI auf 16 angehoben; einige armel-Netboot-Targets (openrd) wiederhergestellt |
| distro-info-data | Ubuntu 22.10, Kinetic Kudu, hinzugefügt |
| docker.io | docker.service hinter containerd.service einordnen, um den Herunterfahrprozess der Container zu verbessern; den containerd-Socket-Pfad explizit an dockerd übergeben, um sicherzustellen, dass es selbst keinen containerd startet |
| dpkg | dpkg-deb: Bedingungen für unerwartete Dateienden in .deb-Entpackung überarbeitet; libdpkg: Virtuelle source:*-Felder nicht auf installierte Pakete beschränken; Dpkg::Source::Package::V2: Immer die Berechtigungen der Tarballs der Originalautoren korrigieren (R DSA-5147-1] |
| freetype | Pufferüberlauf behoben [CVE-2022-27404]; Abstürze beseitigt [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Pufferüberläufe behobens [CVE-2022-25308 CVE-2022-25309]; Absturz beseitigt [CVE-2022-25310] |
| ganeti | Neue Veröffentlichung der Originalautoren; verschiedene Upgrade-Probleme behoben; Live-Migration mit QEMU 4 und useroder poolals security_modelverbessert |
| geeqie | Strg-Klick innerhalb einer Blockauswahl überarbeitet |
| gnutls28 | SSSE3-SHA384-Fehlberechnung korrigiert; Nullzeiger-Dereferenzierung behoben [CVE-2021-4209] |
| golang-github-russellhaering-goxmldsig | Nullzeiger-Dereferenzierung behoben, die durch manipulierte XML-Signaturen verursacht wird [CVE-2020-7711] |
| grunt | Verzeichnisüberschreitung behoben [CVE-2022-0436] |
| hdmi2usb-mode-switch | udev: Suffix an Geräteknoten in /dev/video anhängen, um sie besser unterscheidbar zu machen; Priorität der udev-Regeln auf 70 geändert, damit 60-persistent-v4l.rules vor ihnen an der Reihe ist |
| hexchat | Fehlende Abhängigkeit von python3-cffi-backend nachgetragen |
| htmldoc | Endlosschleife [CVE-2022-24191], Ganzzahlüberläufe [CVE-2022-27114] und Heap-Puffer-Überläufe behoben [CVE-2022-28085] |
| knot-resolver | Möglichen Assertionsfehlschlag in NSEC3-Grenzfall behoben [CVE-2021-40083] |
| libapache2-mod-auth-openidc | Neue stabile Veröffentlichung der Originalautoren; offene Weiterleitung behoben [CVE-2021-39191]; Absturz beim Neuladen/Neustarten behoben |
| libintl-perl | gettext_xs.pm tatsächlich installieren |
| libsdl2 | Lesezugriff außerhalb der Grenzen vermeiden, wenn eine beschädigte BMP-Datei geladen wird [CVE-2021-33657] sowie während der YUV-auf-RGB-Umwandlung |
| libtgowt | Neue stabile Veröffentlichung der Originalautoren, um neueres telegram-desktop zu unterstützen |
| linux | Neue stabile Veröffentlichung der Originalautoren; ABI auf 16 angehoben |
| linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren; ABI auf 16 angehoben |
| linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren; ABI auf 16 angehoben |
| linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren; ABI auf 16 angehoben |
| logrotate | Sperrung überspringen, wenn das State-File für alle lesbar ist [CVE-2022-1348]; bei der Konfigurations-Auswertung strenger vorgehen, um zu vermeiden, dass fremde Dateien wie Speicherauszüge eingelesen werden |
| lxc | Standard-GPG-Key-Server aktualisiert, um die Erstellung von Containern mit der download-Vorlage zu verbessern |
| minidlna | HTTP-Anfragen validieren, um vor DNS-Rebinding-Angriffen sicher zu sein [CVE-2022-26505] |
| mutt | Pufferüberlauf in uudecode behoben [CVE-2022-1328] |
| nano | Mehrere Fehlerkorrekturen, darunter auch welche gegen Abstürze |
| needrestart | cgroup-Erkennung von Diensten und Benutzersitzungen überarbeitet, damit sie auf cgroup v2 anspricht |
| network-manager | Neue stabile Veröffentlichung der Originalautoren |
| nginx | Absturz, wenn libnginx-mod-http-lua geladen ist und init_worker_by_lua* verwendet wird, behoben; Angriff durch Vertauschung von Anwendungsschicht-Protokoll-Inhalten im Mail-Modul [CVE-2021-3618] |
| node-ejs | Serverseitige Vorlagen-Injektion behoben [CVE-2022-29078] |
| node-eventsource | Heikle Kopfzeilen vor dem Weiterleiten woandershin entfernen [CVE-2022-1650] |
| node-got | Keine Weiterleitung an Unix-Socket erlauben [CVE-2022-33987] |
| node-mermaid | Seitenübergreifendes Skripting behoben [CVE-2021-23648 CVE-2021-43861] |
| node-minimist | Prototype Pollution behoben [CVE-2021-44906] |
| node-moment | Verzeichnisüberschreitung behoben [CVE-2022-24785] |
| node-node-forge | Signaturverifizierungsprobleme behoben [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-raw-body | Potenzielle Dienstblockade in node-express durch Verwendung von node-iconv-lite statt node-iconv behoben |
| node-sqlite3 | Dienstblockade behoben [CVE-2022-21227] |
| node-url-parse | Authentifizierungs-Umgehung behoben [CVE-2022-0686 CVE-2022-0691] |
| nvidia-cuda-toolkit | OpenJDK8-Schnappschüsse für amd64 und ppc64el verwenden; Verwendbarkeit der Java-Binärdatei kontrollieren; nsight-compute: sections-Verzeichnis an einen Multiarach-Ort verschieben; nvidia-openjdk-8-jre-Versionsreihenfolge korrigiert |
| nvidia-graphics-drivers | Neue Veröffentlichung der Originalautoren; Umstellung auf 470-Baum der Originalautoren; Dienstblockade behoben [CVE-2022-21813 CVE-2022-21814]; Schreibzugriff außerhalb der Grenzen [CVE-2022-28181], Lesezugriff außerhalb der Grenzen [CVE-2022-28183], Dienstblockade [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] behoben |
| nvidia-graphics-drivers-legacy-390xx | Neue Veröffentlichung der Originalautoren; Schreibzugriff außerhalb der Grenzen abgestellt [CVE-2022-28181 CVE-2022-28185] |
| nvidia-graphics-drivers-tesla-418 | Neue stabile Veröffentlichung der Originalautoren |
| nvidia-graphics-drivers-tesla-450 | Neue stabile Veröffentlichung der Originalautoren; Schreibzugriff außerhalb der Grenzen abgestellt [CVE-2022-28181 CVE-2022-28185], denial of service issue [CVE-2022-28192] |
| nvidia-graphics-drivers-tesla-460 | Neue stabile Veröffentlichung der Originalautoren |
| nvidia-graphics-drivers-tesla-470 | Neues Paket, das die Tesla-Unterstützung auf den 470-Baum umstellt; Schreibzugriff außerhalb der Grenzen [CVE-2022-28181], Lesezugriff außerhalb der Grenzen [CVE-2022-28183], Dienstblockade [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] behoben |
| nvidia-persistenced | Neue Veröffentlichung der Originalautoren; Umstellung auf 470-Baum der Originalautoren |
| nvidia-settings | Neue Veröffentlichung der Originalautoren; Umstellung auf 470-Baum der Originalautoren |
| nvidia-settings-tesla-470 | Neues Paket, das die Tesla-Unterstützung auf den 470-Baum umstellt |
| nvidia-xconfig | Neue Veröffentlichung der Originalautoren |
| openssh | seccomp: pselect6_time64-Systemaufruf auf 32-Bit-Architekturen einführen |
| orca | Verwendung mit webkitgtk 2.36 korrigiert |
| php-guzzlehttp-psr7 | Ungeeignete Kopfzeilenauswertung korrigiert [CVE-2022-24775] |
| phpmyadmin | Einige SQL-Abfragen überarbeitet, die zu einem Serverfehler geführt haben |
| postfix | Neue stabile Veröffentlichung der Originalautoren; nicht den vom Benutzer gesetzten default_transport in postinst überschreiben; if-up.d: nicht mit Fehler aussteigen, wenn postfix noch keine Mail verschicken kann |
| procmail | Nullzeigerdereferenzierung behoben |
| python-scrapy | Nicht mit allen Anfragen Authentifizierungsdaten mitschicken [CVE-2021-41125]; bei Weiterleitung keine Cookies domainübergreifend vorzeigen [CVE-2022-0577] |
| ruby-net-ssh | Authentifizierung gegenüber Sytemen mit OpenSSH 8.8 überarbeitet |
| runc | seccomp defaultErrnoRet berücksichtigen; keine vererbbaren Fähigkeiten setzen [CVE-2022-29162] |
| samba | Startfehlschlag von winbind, wenn allow trusted domains = noverwendet wird, behoben; MIT-Kerberos-Authentifizierung überarbeitet; Anfälligkeit für Ausbruch aus dem Freigabeverzeichnis via Race-Condition beim Anlegen eines Verzeichnisses behoben [CVE-2021-43566]; mögliche ernste Datenkorrumpierung wegen Cache-Vergiftung bei Windows-Client behoben; Installation auf Systemen ohne systemd überarbeitet |
| tcpdump | AppArmor-Profil aktualisiert, um den Zugriff auf *.cap-Dateien und den Umgang mit Zahlen-Suffixen in Dateinamen, die durch -W hinzugefügt wurden, zu ermöglichen |
| telegram-desktop | Neue stabile Veröffentlichung der Originalautoren, um die Funktionalität wiederherzustellen |
| tigervnc | Start des GNOME-Desktops, wenn tigervncserver@.service verwendet wird, überarbeitet; Farbdarstellung korrigiert, wenn vncviewer und X11-Server verschiedene Endians benutzen |
| twisted | Informationsoffenlegung bei domainübergreifenden Weiterleitungen [CVE-2022-21712], Dienstblockade während SSH-Handshakes [CVE-2022-21716], HTTP-Anfrageschmuggel [CVE-2022-24801] beseitigt |
| tzdata | Zeitzonendaten für Palästina aktualisiert; Schaltsekundenliste aktualisiert |
| ublock-origin | Neue stabile Veröffentlichung der Originalautoren |
| unrar-nonfree | Verzeichnisüberschreitung abgestellt [CVE-2022-30333] |
| usb.ids | Neue Veröffentlichung der Originalautoren; mitgelieferte Daten aktualisiert |
| wireless-regdb | Neue Veröffentlichung der Originalautoren; Umleitung entfernt, die vom Installer angelegt wurde, um sicherzustellen, dass die Dateien aus dem Paket verwendet werden |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| elog | Unbetreut; Sicherheitsprobleme |
| python-hbmqtt | Unbetreut und defekt |
Debian-Installer
Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Bemühungen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail (auf Englisch) an <press@debian.org> oder kontaktieren das Stable-Release-Team (auch auf Englisch) über <debian-release@lists.debian.org>.