Debian 11 is bijgewerkt: 11.4 werd uitgebracht

9 juli 2022

Het Debian-project kondigt met genoegen de vierde update aan van zijn stabiele distributie Debian 11 (codenaam bullseye). Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe, samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar verwezen.

Merk op dat de tussenrelease geen nieuwe versie van Debian 11 is, maar slechts een update van enkele van de meegeleverde pakketten. Het is niet nodig om oude media met bullseye weg te gooien. Na de installatie kunnen pakketten worden opgewaardeerd naar de huidige versie door een bijgewerkte Debian-spiegelserver te gebruiken.

Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.

Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.

Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst van spiegelservers is beschikbaar op:

https://www.debian.org/mirror/list

Oplossingen voor diverse problemen

Deze update van stable, de stabiele release, voegt een paar belangrijke correcties toe aan de volgende pakketten:

Pakket Reden
apache2 Nieuwe bovenstroomse stabiele release; oplossen probleem met smokkelen van HTTP-verzoeken [CVE-2022-26377], oplossen van problemen van lezen buiten de grenzen [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], oplossen problemen van denial of service [CVE-2022-29404 CVE-2022-30522], mogelijk probleem van lezen buiten de grenzen [CVE-2022-30556], mogelijk probleem met het omzeilen van authenticatie op basis van IP [CVE-2022-31813]
base-files Updaten van /etc/debian_version voor tussenrelease 11.4
bash Oplossing voor lezen 1-byte bufferoverloop, waardoor beschadigde multibyte-tekens worden veroorzaakt in commandosubstituties
clamav Nieuwe bovenstroomse stabiele release; beveiligingsoplossingen [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
clementine Toevoegen ontbrekende vereiste van libqt5sql5-sqlite
composer Probleem met code-injectie oplossen [CVE-2022-24828]; updaten GitHub-tokenpatroon
cyrus-imapd Ervoor zorgen dat alle mailboxen een veld uniqueid hebben, waardoor upgrades naar versie 3.6 worden opgelost
dbus-broker Oplossen probleem van bufferoverloop [CVE-2022-31212]
debian-edu-config Post van het lokale netwerk aanvaarden die gezonden wordt naar root@<mijn-netwerk-namen>; host- en service-principals enkel aanmaken in Kerberos als deze nog niet bestaan; ervoor zorgen dat libsss-sudo geïnstalleerd is op mobiele werkstations; naamgeving en zichtbaarheid van afdrukwachtrijen oplossen; krb5i ondersteunen op schijfloze werkstations; squid: DNSv4-opzoekingen verkiezen boven DNSv6
debian-installer Hercompilatie tegen proposed-updates; Linux kernel ABI verhogen naar 16; enkele armel netboot-doelen herstellen (openrd)
debian-installer-netboot-images Hercompilatie tegen proposed-updates; Linux kernel ABI verhogen naar 16; enkele armel netboot-doelen herstellen (openrd)
distro-info-data Toevoegen van Ubuntu 22.10, Kinetic Kudu
docker.io docker.service rangschikken na containerd.service om afsluiten van containers op te lossen; expliciet het containerd socket-pad doorgeven aan dockerd om ervoor te zorgen dat het niet zelf containerd opstart
dpkg dpkg-deb: oplossen van onverwachte bestandseinde-condities bij uitpakken .deb; libdpkg: source:* virtuele velden niet beperken tot geïnstalleerde pakketten; Dpkg::Source::Package::V2: altijd de permissies voor bovenstroomse tar-ballen herstellen (regressie van DSA-5147-1]
freetype Oplossen probleem van bufferoverloop [CVE-2022-27404]; oplossing voor crashes [CVE-2022-27405 CVE-2022-27406]
fribidi Oplossen probleem van bufferoverloop [CVE-2022-25308 CVE-2022-25309]; oplossing voor crash [CVE-2022-25310]
ganeti Nieuwe bovenstroomse release; oplossen verschillende opwaarderingsproblemen; oplossen live-migratie met QEMU 4 en security_model van user of pool
geeqie Reparatie voor Ctrl-klik binnen een blokselectie
gnutls28 Oplossen SSSE3 SHA384 rekenfout; oplossen probleem van null pointer dereference [CVE-2021-4209]
golang-github-russellhaering-goxmldsig Oplossen van probleem van null pointer dereference veroorzaakt door bewerkte XML-handtekeningen [CVE-2020-7711]
grunt Oplossen van probleem van padoverschrijding [CVE-2022-0436]
hdmi2usb-mode-switch udev: achtervoegsel toevoegen aan /dev/video apparaat-nodes om ze ondubbelzinnig te maken; udev-regels verplaatsen naar prioriteit 70, zodat deze na 60-persistent-v4l.rules komen
hexchat Toevoegen van ontbrekende vereiste python3-cffi-backend
htmldoc Oplossen van oneindige lus [CVE-2022-24191], problemen met overloop van gehele getallen [CVE-2022-27114] en probleem met stapelbufferoverloop [CVE-2022-28085]
knot-resolver Oplossen van mogelijke fout in bewering in NSEC3-grenssituatie [CVE-2021-40083]
libapache2-mod-auth-openidc Nieuwe bovenstroomse stabiele release; oplossen van probleem met open omleiding [CVE-2021-39191]; oplossen van crash bij herladen / herstarten
libintl-perl gettext_xs.pm echt installeren
libsdl2 Vermijden buiten de grenzen te lezen bij het laden van een misvormd BMP-bestand [CVE-2021-33657], en tijdens de conversie van YUV naar RGB
libtgowt Nieuwe bovenstroomse stabiele release om recentere telegram-desktop te ondersteunen
linux Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16
linux-signed-amd64 Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16
linux-signed-arm64 Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16
linux-signed-i386 Nieuwe bovenstroomse stabiele release; verhogen van ABI naar 16
logrotate Vergrendeling overslaan als het statusbestand voor de hele wereld leesbaar is [CVE-2022-1348]; configuratie-ontleding strenger maken om ontleden van vreemde bestanden zoals core dumps te voorkomen
lxc Updaten van standaard GPG-sleutelserver als reparatie voor het maken van containers met het download-sjabloon
minidlna HTTP-verzoeken valideren om te beschermen tegen DNS rebinding-aanvallen [CVE-2022-26505]
mutt Probleem met uudecode-bufferoverloop oplossen [CVE-2022-1328]
nano Oplossen van verschillende bugs, waaronder oplossingen voor crashes
needrestart cgroup-detectie voor services en gebruikerssessies op de hoogte stellen van cgroup v2
network-manager Nieuwe bovenstroomse stabiele release
nginx Reparatie voor crash wanneer libnginx-mod-http-lua geladen wordt en init_worker_by_lua* gebruikt wordt; beperken van aanval met inhoudsverwarring in het protocol van de toepassingslaag in de Mail-module [CVE-2021-3618]
node-ejs Oplossing voor probleem met sjablooninjectie aan de serverkant [CVE-2022-29078]
node-eventsource Gevoelige kopregels verwijderen bij doorsturen naar andere oorsprong [CVE-2022-1650]
node-got Geen omleiding naar Unix-socket toestaan [CVE-2022-33987]
node-mermaid Problemen met cross-site scripting oplossen [CVE-2021-23648 CVE-2021-43861]
node-minimist Probleem met prototypepollutie oplossen [CVE-2021-44906]
node-moment Oplossen van probleem van padoverschrijding [CVE-2022-24785]
node-node-forge Problemen met handtekeningverificatie oplossen [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-raw-body Mogelijk probleem van denial of service in node-express oplossen door node-iconv-lite in plaats van node-iconv te gebruiken
node-sqlite3 Probleem van denial of service oplossen [CVE-2022-21227]
node-url-parse Oplossen van problemen met het omzeilen van authenticatie [CVE-2022-0686 CVE-2022-0691]
nvidia-cuda-toolkit Snapshots van OpenJDK8 gebruiken voor amd64 en ppc64el; de bruikbaarheid van het binaire java-bestand controleren; nsight-compute: de map 'sections' verplaatsen naar een multiarch-locatie; versie-ordening van nvidia-openjdk-8-jre oplossen
nvidia-graphics-drivers Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470; problemen van denial of service oplossen [CVE-2022-21813 CVE-2022-21814]; oplossen van probleem met schrijven buiten de grenzen [CVE-2022-28181], van probleem met lezen buiten de grenzen [CVE-2022-28183], van denial of service-problemen [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-graphics-drivers-legacy-390xx Nieuwe bovenstroomse release; oplossen van problemen met schrijven buiten de grenzen [CVE-2022-28181 CVE-2022-28185]
nvidia-graphics-drivers-tesla-418 Nieuwe bovenstroomse stabiele release
nvidia-graphics-drivers-tesla-450 Nieuwe bovenstroomse stabiele release; oplossen van problemen met schrijven buiten de grenzen [CVE-2022-28181 CVE-2022-28185], van een probleem van denial of service [CVE-2022-28192]
nvidia-graphics-drivers-tesla-460 Nieuwe bovenstroomse stabiele release
nvidia-graphics-drivers-tesla-470 Nieuw pakket, overschakelen van ondersteuning voor Tesla naar de bovenstroomse boom 470; oplossen van probleem van schrijven buiten de grenzen [CVE-2022-28181], van probleem van lezen buiten de grenzen [CVE-2022-28183], van denial of service-problemen [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192]
nvidia-persistenced Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470
nvidia-settings Nieuwe bovenstroomse release; overschakelen naar de bovenstroomse boom 470
nvidia-settings-tesla-470 Nieuw pakket, overschakelen van ondersteuning voor Tesla naar de bovenstroomse boom 470
nvidia-xconfig Nieuwe bovenstroomse release
openssh seccomp: toevoegen van pselect6_time64 syscall op 32-bits architecturen
orca Gebruik met webkitgtk 2.36 oplosssen
php-guzzlehttp-psr7 Onjuiste ontleding van kopregels repareren [CVE-2022-24775]
phpmyadmin Enkele SQL-zoekopdrachten repareren die een serverfout genereren
postfix Nieuwe bovenstroomse stabiele release; door gebruiker ingesteld default_transport niet opheffen in postinst; if-up.d: niet afsluiten met een foutmelding als postfix nog geen mail kan versturen
procmail Oplossen van probleem van null pointer dereference
python-scrapy Geen authenticatiegegevens meesturen met alle verzoeken [CVE-2021-41125]; bij het doorsturen geen cookies blootgeven over de domeinen heen [CVE-2022-0577]
ruby-net-ssh Oplossen van de authenticatie tegenover systemen die OpenSSH 8.8 gebruiken
runc seccomp defaultErrnoRet in ere houden; geen overerfbare bevoegdheden instellen [CVE-2022-29162]
samba Opstartfout van winbind oplossen wanneer allow trusted domains = no gebruikt wordt; MIT Kerberos-authenticatie repareren; oplossen van probleem met ontsnappen uit gedeelde map via een mkdir race-conditie [CVE-2021-43566]; mogelijk ernstig probleem van gegevenscorruptie als gevolg van vergiftiging van Windows-clientcache; reparatie voor installatie op niet-systemd-systemen
tcpdump Updaten van AppArmor-profiel om toegang te verlenen tot *.cap-bestanden, en hanteren van een numeriek achtervoegsel in bestandsnamen dat toegevoegd wordt door -W
telegram-desktop Nieuwe bovenstroomse stabiele release met herstel van functionaliteit
tigervnc Reparatie van de opstart van GNOME desktop bij het gebruik van tigervncserver@.service; kleurweergave repareren wanneer vncviewer en X11-server een verschillende bytevolgorde gebruiken
twisted Oplossing voor probleem met openbaarmaking van informatie bij domeinoverschrijdende omleidingen [CVE-2022-21712], probleem van denial of service tijdens SSH-handdruk [CVE-2022-21716], problemen van smokkelen van HTTP-verzoeken [CVE-2022-24801]
tzdata Tijdzonegegevens voor Palestina bijwerken; lijst met schrikkelseconden bijwerken
ublock-origin Nieuwe bovenstroomse stabiele release
unrar-nonfree Oplossen van probleem van mapoverschrijding [CVE-2022-30333]
usb.ids Nieuwe bovenstroomse release; bijwerken van ingesloten gegevens
wireless-regdb Nieuwe bovenstroomse release; omleiding verwijderen die door het installatieprogramma is toegevoegd, zodat de bestanden uit het pakket worden gebruikt

Beveiligingsupdates

Deze revisie voegt de volgende beveiligingsupdates toe aan de stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:

Advies-ID Pakket
DSA-4999 asterisk
DSA-5026 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5107 php-twig
DSA-5108 tiff
DSA-5110 chromium
DSA-5111 zlib
DSA-5112 chromium
DSA-5113 firefox-esr
DSA-5114 chromium
DSA-5115 webkit2gtk
DSA-5116 wpewebkit
DSA-5117 xen
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5120 chromium
DSA-5121 chromium
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5124 ffmpeg
DSA-5125 chromium
DSA-5127 linux-signed-amd64
DSA-5127 linux-signed-arm64
DSA-5127 linux-signed-i386
DSA-5127 linux
DSA-5128 openjdk-17
DSA-5129 firefox-esr
DSA-5130 dpdk
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5133 qemu
DSA-5134 chromium
DSA-5136 postgresql-13
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5148 chromium
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5155 wpewebkit
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5161 linux-signed-amd64
DSA-5161 linux-signed-arm64
DSA-5161 linux-signed-i386
DSA-5161 linux
DSA-5162 containerd
DSA-5163 chromium
DSA-5164 exo
DSA-5165 vlc
DSA-5166 slurm-wlm
DSA-5167 firejail
DSA-5168 chromium
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5174 gnupg2

Verwijderde pakketten

De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:

Pakket Reden
elog Onbeheerd; beveiligingsproblemen
python-hbmqtt Onbeheerd en defect

Het Debian-installatieprogramma

Het installatieprogramma werd bijgewerkt om de reparaties die met deze tussenrelease in de stabiele release opgenomen werden, toe te voegen.

URL's

De volledige lijsten met pakketten die met deze revisie gewijzigd werden:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

De huidige stabiele distributie:

https://deb.debian.org/debian/dists/stable/

Voorgestelde updates voor de stabiele distributie:

https://deb.debian.org/debian/dists/proposed-updates

Informatie over de stabiele distributie (notities bij de release, errata, enz.):

https://www.debian.org/releases/stable/

Beveiligingsaankondigingen en -informatie:

https://www.debian.org/security/

Over Debian

Het Debian-project is een vereniging van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.

Contactinformatie

Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele release op <debian-release@lists.debian.org>.