Debian 11 is bijgewerkt: 11.4 werd uitgebracht
9 juli 2022
Het Debian-project kondigt met genoegen de vierde update aan van zijn
stabiele distributie Debian 11 (codenaam bullseye
).
Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe,
samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen
werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar
verwezen.
Merk op dat de tussenrelease geen nieuwe versie van Debian 11 is,
maar slechts een update van enkele van de meegeleverde pakketten. Het is niet
nodig om oude media met bullseye
weg te gooien. Na de installatie
kunnen pakketten worden opgewaardeerd naar de huidige versie door een
bijgewerkte Debian-spiegelserver te gebruiken.
Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.
Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.
Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst van spiegelservers is beschikbaar op:
Oplossingen voor diverse problemen
Deze update van stable, de stabiele release, voegt een paar belangrijke correcties toe aan de volgende pakketten:
| Pakket | Reden |
|---|---|
| apache2 | Nieuwe bovenstroomse stabiele release; oplossen probleem met smokkelen van HTTP-verzoeken [CVE-2022-26377], oplossen van problemen van lezen buiten de grenzen [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], oplossen problemen van denial of service [CVE-2022-29404 CVE-2022-30522], mogelijk probleem van lezen buiten de grenzen [CVE-2022-30556], mogelijk probleem met het omzeilen van authenticatie op basis van IP [CVE-2022-31813] |
| base-files | Updaten van /etc/debian_version voor tussenrelease 11.4 |
| bash | Oplossing voor lezen 1-byte bufferoverloop, waardoor beschadigde multibyte-tekens worden veroorzaakt in commandosubstituties |
| clamav | Nieuwe bovenstroomse stabiele release; beveiligingsoplossingen [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| clementine | Toevoegen ontbrekende vereiste van libqt5sql5-sqlite |
| composer | Probleem met code-injectie oplossen [CVE-2022-24828]; updaten GitHub-tokenpatroon |
| cyrus-imapd | Ervoor zorgen dat alle mailboxen een veld uniqueidhebben, waardoor upgrades naar versie 3.6 worden opgelost |
| dbus-broker | Oplossen probleem van bufferoverloop [CVE-2022-31212] |
| debian-edu-config | Post van het lokale netwerk aanvaarden die gezonden wordt naar root@<mijn-netwerk-namen>; host- en service-principals enkel aanmaken in Kerberos als deze nog niet bestaan; ervoor zorgen dat libsss-sudo geïnstalleerd is op mobiele werkstations; naamgeving en zichtbaarheid van afdrukwachtrijen oplossen; krb5i ondersteunen op schijfloze werkstations; squid: DNSv4-opzoekingen verkiezen boven DNSv6 |
| debian-installer | Hercompilatie tegen proposed-updates; Linux kernel ABI verhogen naar 16; enkele armel netboot-doelen herstellen (openrd) |
| debian-installer-netboot-images | Hercompilatie tegen proposed-updates; Linux kernel ABI verhogen naar 16; enkele armel netboot-doelen herstellen (openrd) |
| distro-info-data | Toevoegen van Ubuntu 22.10, Kinetic Kudu |
| docker.io | docker.service rangschikken na containerd.service om afsluiten van containers op te lossen; expliciet het containerd socket-pad doorgeven aan dockerd om ervoor te zorgen dat het niet zelf containerd opstart |
| dpkg | dpkg-deb: oplossen van onverwachte bestandseinde-condities bij uitpakken .deb; libdpkg: source:* virtuele velden niet beperken tot geïnstalleerde pakketten; Dpkg::Source::Package::V2: altijd de permissies voor bovenstroomse tar-ballen herstellen (regressie van DSA-5147-1] |
| freetype | Oplossen probleem van bufferoverloop [CVE-2022-27404]; oplossing voor crashes [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Oplossen probleem van bufferoverloop [CVE-2022-25308 CVE-2022-25309]; oplossing voor crash [CVE-2022-25310] |
| ganeti | Nieuwe bovenstroomse release; oplossen verschillende opwaarderingsproblemen; oplossen live-migratie met QEMU 4 en security_modelvan userof pool |
| geeqie | Reparatie voor Ctrl-klik binnen een blokselectie |
| gnutls28 | Oplossen SSSE3 SHA384 rekenfout; oplossen probleem van null pointer dereference [CVE-2021-4209] |
| golang-github-russellhaering-goxmldsig | Oplossen van probleem van null pointer dereference veroorzaakt door bewerkte XML-handtekeningen [CVE-2020-7711] |
| grunt | Oplossen van probleem van padoverschrijding [CVE-2022-0436] |
| hdmi2usb-mode-switch | udev: achtervoegsel toevoegen aan /dev/video apparaat-nodes om ze ondubbelzinnig te maken; udev-regels verplaatsen naar prioriteit 70, zodat deze na 60-persistent-v4l.rules komen |
| hexchat | Toevoegen van ontbrekende vereiste python3-cffi-backend |
| htmldoc | Oplossen van oneindige lus [CVE-2022-24191], problemen met overloop van gehele getallen [CVE-2022-27114] en probleem met stapelbufferoverloop [CVE-2022-28085] |
| knot-resolver | Oplossen van mogelijke fout in bewering in NSEC3-grenssituatie [CVE-2021-40083] |
| libapache2-mod-auth-openidc | Nieuwe bovenstroomse stabiele release; oplossen van probleem met open omleiding [CVE-2021-39191]; oplossen van crash bij herladen / herstarten |
| libintl-perl | gettext_xs.pm echt installeren |
| libsdl2 | Vermijden buiten de grenzen te lezen bij het laden van een misvormd BMP-bestand [CVE-2021-33657], en tijdens de conversie van YUV naar RGB |
| libtgowt | Nieuwe bovenstroomse stabiele release om recentere telegram-desktop te ondersteunen |
| linux | Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16 |
| linux-signed-amd64 | Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16 |
| linux-signed-arm64 | Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16 |
| linux-signed-i386 | Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16 |
| logrotate | Vergrendeling overslaan als het statusbestand voor de hele wereld leesbaar is [CVE-2022-1348]; configuratie-ontleding strenger maken om ontleden van vreemde bestanden zoals core dumps te voorkomen |
| lxc | Updaten van standaard GPG-sleutelserver als reparatie voor het maken van containers met het download-sjabloon |
| minidlna | HTTP-verzoeken valideren om te beschermen tegen DNS rebinding-aanvallen [CVE-2022-26505] |
| mutt | Probleem met uudecode-bufferoverloop oplossen [CVE-2022-1328] |
| nano | Oplossen van verschillende bugs, waaronder oplossingen voor crashes |
| needrestart | cgroup-detectie voor services en gebruikerssessies op de hoogte stellen van cgroup v2 |
| network-manager | Nieuwe bovenstroomse stabiele release |
| nginx | Reparatie voor crash wanneer libnginx-mod-http-lua geladen wordt en init_worker_by_lua* gebruikt wordt; beperken van aanval met inhoudsverwarring in het protocol van de toepassingslaag in de Mail-module [CVE-2021-3618] |
| node-ejs | Oplossing voor probleem met sjablooninjectie aan de serverkant [CVE-2022-29078] |
| node-eventsource | Gevoelige kopregels verwijderen bij doorsturen naar andere oorsprong [CVE-2022-1650] |
| node-got | Geen omleiding naar Unix-socket toestaan [CVE-2022-33987] |
| node-mermaid | Problemen met cross-site scripting oplossen [CVE-2021-23648 CVE-2021-43861] |
| node-minimist | Probleem met prototypepollutie oplossen [CVE-2021-44906] |
| node-moment | Oplossen van probleem van padoverschrijding [CVE-2022-24785] |
| node-node-forge | Problemen met handtekeningverificatie oplossen [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-raw-body | Mogelijk probleem van denial of service in node-express oplossen door node-iconv-lite in plaats van node-iconv te gebruiken |
| node-sqlite3 | Probleem van denial of service oplossen [CVE-2022-21227] |
| node-url-parse | Oplossen van problemen met het omzeilen van authenticatie [CVE-2022-0686 CVE-2022-0691] |
| nvidia-cuda-toolkit | Snapshots van OpenJDK8 gebruiken voor amd64 en ppc64el; de bruikbaarheid van het binaire java-bestand controleren; nsight-compute: de map 'sections' verplaatsen naar een multiarch-locatie; versie-ordening van nvidia-openjdk-8-jre oplossen |
| nvidia-graphics-drivers | Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470; problemen van denial of service oplossen [CVE-2022-21813 CVE-2022-21814]; oplossen van probleem met schrijven buiten de grenzen [CVE-2022-28181], van probleem met lezen buiten de grenzen [CVE-2022-28183], van denial of service-problemen [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-graphics-drivers-legacy-390xx | Nieuwe bovenstroomse release; oplossen van problemen met schrijven buiten de grenzen [CVE-2022-28181 CVE-2022-28185] |
| nvidia-graphics-drivers-tesla-418 | Nieuwe bovenstroomse stabiele release |
| nvidia-graphics-drivers-tesla-450 | Nieuwe bovenstroomse stabiele release; oplossen van problemen met schrijven buiten de grenzen [CVE-2022-28181 CVE-2022-28185], van een probleem van denial of service [CVE-2022-28192] |
| nvidia-graphics-drivers-tesla-460 | Nieuwe bovenstroomse stabiele release |
| nvidia-graphics-drivers-tesla-470 | Nieuw pakket, overschakelen van ondersteuning voor Tesla naar de bovenstroomse boom 470; oplossen van probleem van schrijven buiten de grenzen [CVE-2022-28181], van probleem van lezen buiten de grenzen [CVE-2022-28183], van denial of service-problemen [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-persistenced | Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470 |
| nvidia-settings | Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470 |
| nvidia-settings-tesla-470 | Nieuw pakket, overschakelen van ondersteuning voor Tesla naar de bovenstroomse boom 470 |
| nvidia-xconfig | Nieuwe bovenstroomse release |
| openssh | seccomp: toevoegen van pselect6_time64 syscall op 32-bits architecturen |
| orca | Gebruik met webkitgtk 2.36 oplosssen |
| php-guzzlehttp-psr7 | Onjuiste ontleding van kopregels repareren [CVE-2022-24775] |
| phpmyadmin | Enkele SQL-zoekopdrachten repareren die een serverfout genereren |
| postfix | Nieuwe bovenstroomse stabiele release; door gebruiker ingesteld default_transport niet opheffen in postinst; if-up.d: niet afsluiten met een foutmelding als postfix nog geen mail kan versturen |
| procmail | Oplossen van probleem van null pointer dereference |
| python-scrapy | Geen authenticatiegegevens meesturen met alle verzoeken [CVE-2021-41125]; bij het doorsturen geen cookies blootgeven over de domeinen heen [CVE-2022-0577] |
| ruby-net-ssh | Oplossen van de authenticatie tegenover systemen die OpenSSH 8.8 gebruiken |
| runc | seccomp defaultErrnoRet in ere houden; geen overerfbare bevoegdheden instellen [CVE-2022-29162] |
| samba | Opstartfout van winbind oplossen wanneer allow trusted domains = nogebruikt wordt; MIT Kerberos-authenticatie repareren; oplossen van probleem met ontsnappen uit gedeelde map via een mkdir race-conditie [CVE-2021-43566]; mogelijk ernstig probleem van gegevenscorruptie als gevolg van vergiftiging van Windows-clientcache; reparatie voor installatie op niet-systemd-systemen |
| tcpdump | Updaten van AppArmor-profiel om toegang te verlenen tot *.cap-bestanden, en hanteren van een numeriek achtervoegsel in bestandsnamen dat toegevoegd wordt door -W |
| telegram-desktop | Nieuwe bovenstroomse stabiele release met herstel van functionaliteit |
| tigervnc | Reparatie van de opstart van GNOME desktop bij het gebruik van tigervncserver@.service; kleurweergave repareren wanneer vncviewer en X11-server een verschillende bytevolgorde gebruiken |
| twisted | Oplossing voor probleem met openbaarmaking van informatie bij domeinoverschrijdende omleidingen [CVE-2022-21712], probleem van denial of service tijdens SSH-handdruk [CVE-2022-21716], problemen van smokkelen van HTTP-verzoeken [CVE-2022-24801] |
| tzdata | Tijdzonegegevens voor Palestina bijwerken; lijst met schrikkelseconden bijwerken |
| ublock-origin | Nieuwe bovenstroomse stabiele release |
| unrar-nonfree | Oplossen van probleem van mapoverschrijding [CVE-2022-30333] |
| usb.ids | Nieuwe bovenstroomse release; bijwerken van ingesloten gegevens |
| wireless-regdb | Nieuwe bovenstroomse release; omleiding verwijderen die door het installatieprogramma is toegevoegd, zodat de bestanden uit het pakket worden gebruikt |
Beveiligingsupdates
Deze revisie voegt de volgende beveiligingsupdates toe aan de stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:
Verwijderde pakketten
De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:
| Pakket | Reden |
|---|---|
| elog | Onbeheerd; beveiligingsproblemen |
| python-hbmqtt | Onbeheerd en defect |
Het Debian-installatieprogramma
Het installatieprogramma werd bijgewerkt om de reparaties die met deze tussenrelease in de stabiele release opgenomen werden, toe te voegen.
URL's
De volledige lijsten met pakketten die met deze revisie gewijzigd werden:
De huidige stabiele distributie:
Voorgestelde updates voor de stabiele distributie:
Informatie over de stabiele distributie (notities bij de release, errata, enz.):
Beveiligingsaankondigingen en -informatie:
Over Debian
Het Debian-project is een vereniging van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.
Contactinformatie
Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele release op <debian-release@lists.debian.org>.