Debian 10 aktualisiert: 10.13 veröffentlicht
10. September 2022
Das Debian-Projekt freut sich, die dreizehnte (und letzte) Aktualisierung seiner
Oldstable-Distribution Debian 10 (Codename Buster
) ankündigen zu
dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der
Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits
separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich,
verwiesen wird.
Nach dieser Zwischenveröffentlichung werden Debians Security- und Release-Teams die Arbeit an Aktualisierungen für Debian 10 einstellen. Wer weiterhin Sicherheitsunterstützung erhalten möchte, sollte auf Debian 11 umsteigen oder sich auf https://wiki.debian.org/LTS informieren, welche Untergruppe an Architekturen und Paketen vom Long-Term-Support-Team weiterbetreut werden.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10
darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund,
Buster
-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe
eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerkorrekturen
Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
| Paket | Grund |
|---|---|
| adminer | Probleme mit offener Weiterleitung und seitenübergreifendem Skripting behoben [CVE-2020-35572 CVE-2021-29625]; elasticsearch: keine Antwort ausgeben, wenn der HTTP-Code nicht 200 ist [CVE-2021-21311]; kompilierte Version und Konfigurationsdateien mitliefern |
| apache2 | Probleme mit Dienstblockade [CVE-2022-22719], HTTP-Abfrageschmuggel [CVE-2022-22720], Ganzzahlüberlauf [CVE-2022-22721], Schreibzugriffe außerhalb der Grenzen [CVE-2022-23943], HTTP-Anfrageschmuggel [CVE-2022-26377], Lesezugriff außerhalb der Grenzen [CVE-2022-28614 CVE-2022-28615], Dienstblockade [CVE-2022-29404], Lesezugriff außerhalb der Grenzen [CVE-2022-30556], Möglichkeit zur Umgehung der IP-basierten Authentifizierung [CVE-2022-31813] behoben |
| base-files | Aktualisierung für die Zwischenveröffentlichung 10.13 |
| clamav | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| commons-daemon | JWM-Erkennung überarbeitet |
| composer | Anfälligkeit für Code-Injektion behoben [CVE-2022-24828]; GitHub-Token-Muster aktualisiert; Authorization-Kopfzeile anstelle des missbilligten access_token-Abfrageparameter benutzen |
| debian-installer | Neukompilierung gegen buster-proposed-updates; Linux-ABI auf 4.19.0-21 angehoben |
| debian-installer-netboot-images | Neukompilierung gegen buster-proposed-updates; Linux-ABI auf 4.19.0-21 angehoben |
| debian-security-support | Sicherheitsstatus verschiedener Pakete aktualisiert |
| debootstrap | Sichergestellt, dass Chroots ohne zusammengeführtes usr auch weiterhin für ältere Veröffentlichungen und buildd-Chroots erzeugt werden können |
| distro-info-data | Ubuntu 22.04 LTS, Jammy Jellyfish, und Ubuntu 22.10, Kinetic Kudu, hinzugefügt |
| dropbear | Mögliches Problem bei Benutzernamen-Auflistung behoben [CVE-2019-12953] |
| eboard | Speicherzugriffsfehler bei der Engine-Auswahl behoben |
| esorex | Test-Suite-Fehlschläge auf armhf und ppc64el behoben, die aus einer inkorrekten Verwendung von libffi herrührten |
| evemu | Kompilierungsfehlschläge mit neueren Kernel-Versionen behoben |
| feature-check | Einige Versions-Vergleiche überarbeitet |
| flac | Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2021-0561] |
| foxtrotgps | Kompilierungsfehlschläge mit neueren imagemagick-Versionen behoben |
| freeradius | Leck via Seitenkanal behoben, durch das einer in 2048 Handshakes fehlschlägt [CVE-2019-13456], außerdem Dienstblockade durch Multithread-BN_CTX-Zugriff [CVE-2019-17185] und Absturz durch nicht-thread-sichere Speicherzuweisung gelöst |
| freetype | Pufferüberlauf abgestellt [CVE-2022-27404]; Abstürze beseitigt [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Probleme mit Pufferüberlauf gelöst [CVE-2022-25308 CVE-2022-25309]; Absturz unterbunden [CVE-2022-25310] |
| ftgl | Nicht versuchen, für latex PNG nach EPS zu konvertieren, weil EPS bei unserem imagemagick aus Sicherheitsgründen deaktiviert ist |
| gif2apng | Heap-basierte Pufferüberläufe beseitigt [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911] |
| gnucash | Kompilierungsfehlschlag mit aktuellem tzdata behoben |
| gnutls28 | Test-Suite an Verwendung in Kombination mit OpenSSL 1.1.1e oder aktueller angepasst |
| golang-github-docker-go-connections | Tests mit abgelaufenen Zertifikaten überspringen |
| golang-github-pkg-term | Kompilierung auf neueren 4.19-Kerneln überarbeitet |
| golang-github-russellhaering-goxmldsig | Nullzeiger-Dereferenzierungen beseitigt [CVE-2020-7711] |
| grub-efi-amd64-signed | Neue Veröffentlichung der Originalautoren |
| grub-efi-arm64-signed | Neue Veröffentlichung der Originalautoren |
| grub-efi-ia32-signed | Neue Veröffentlichung der Originalautoren |
| grub2 | Neue Veröffentlichung der Originalautoren |
| htmldoc | Endlosschleife [CVE-2022-24191], Probleme mit Ganzzahlüberlauf [CVE-2022-27114] und Heap-Speicherüberläufen gelöst [CVE-2022-28085] |
| iptables-netflow | Regression bei DKMS-Kompilierungsfehlschlägen behoben, die durch Änderungen von den Linux-Originalautoren am Kernel 4.19.191 verursacht wurde |
| isync | Pufferüberlauf-Probleme behoben [CVE-2021-3657] |
| kannel | Kompilierungsfehlschlag durch Abschalten der PostScript-Dokumentation abgestellt |
| krb5 | SHA256 als Pkinit CMS Digest verwenden |
| libapache2-mod-auth-openidc | Validierung des Nach-Abmelde-URL-Parameters beim Abmelden verbessert [CVE-2019-14857] |
| libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
| libhttp-cookiejar-perl | Kompilierungsfehlschlag durch Anpassung des Ablaufdatums eines Test-Cookies behoben |
| libnet-freedb-perl | Vorgabe-Host vom abgeschalteten freedb.freedb.org auf gnudb.gnudb.org geändert |
| libnet-ssleay-perl | Test-Fehlschläge mit OpenSSL 1.1.1n behoben |
| librose-db-object-perl | Test-Fehlschlag nach dem 06.06.2020 behoben |
| libvirt-php | Speicherzugriffsfehler in libvirt_node_get_cpu_stats behoben |
| llvm-toolchain-13 | Neues Quellpaket, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen |
| minidlna | HTTP-Anfragen validieren, um vor DNS-Rebinding-Angriffen zu schützen [CVE-2022-26505] |
| mokutil | Neue Version der Originalautoren, um SBAT-Verwaltung zu ermöglichen |
| mutt | uudecode-Pufferüberlauf behoben [CVE-2022-1328] |
| node-ejs | Optionen und neue Objekte säubern [CVE-2022-29078] |
| node-end-of-stream | Testprogrammfehler umgangen |
| node-minimist | Prototype-Pollution-Problem gelöst [CVE-2021-44906] |
| node-node-forge | Probleme mit Signaturverifizierung behoben [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-require-from-string | Test in Zusammenhang mit nodejs >= 10.16 überarbeitet |
| nvidia-graphics-drivers | Neue Veröffentlichung der Originalautoren |
| nvidia-graphics-drivers-legacy-390xx | Neue Veröffentlichung der Originalautoren; Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-28181 CVE-2022-28185]; Sicherheitskorrekturen [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615] |
| octavia | Client-Zertifikats-Prüfungen überarbeitet [CVE-2019-17134]; richtig erkennen, ob der Agent auf Debian läuft; Vorlage, die vrrp-Prüfskript erzeugt, korrigiert; zusätzliche Laufzeit-Abhängigkeiten hinzugefügt; zusätzliche Konfiguration direkt im Agent-Paket mitliefern |
| orca | Verwendung mit WebKitGTK 2.36 korrigiert |
| pacemaker | Beziehungsversionen aktualisiert, um Upgrades von Stretch LTS zu verbessern |
| pglogical | Kompilierungsfehlschlag behoben |
| php-guzzlehttp-psr7 | Unsaubere Auswertung von Kopfzeilen behoben [CVE-2022-24775] |
| postfix | Neue stabile Veröffentlichung der Originalautoren; vom Benutzer gesetztes default_transport nicht übergehen; if-up.d: nicht mit Fehler aussteigen, wenn postfix noch keine Mails versenden kann; doppelte bounce_notice_recipient-Einträge in der postconf-Ausgabe entfernt |
| postgresql-common | pg_virtualenv: Temporäre Passwort-Datei schreiben, bevor chown darauf angewendet wird |
| postsrsd | Potenzielle Dienstblockade, wenn Postfix bestimmte lange Datenfelder wie mehrere verkettete E-Mail-Adressen versendet, behoben [CVE-2021-35525] |
| procmail | Nullzeigerdereferenzierung behoben |
| publicsuffix | Enthaltene Daten aktualisiert |
| python-keystoneauth1 | Tests aktualisiert, um Kompilierungsfehlschlag abzustellen |
| python-scrapy | Anmeldedaten nicht mit allen Anfragen mitschicken [CVE-2021-41125]; beim Weiterleiten keine Cookies domainübergreifend offenlegen [CVE-2022-0577] |
| python-udatetime | Ordentlich gegen libm-Bibliothek verlinken |
| qtbase-opensource-src | setTabOrder für Compound-Widgets überarbeitet; Expansionslimit für XML-Entitäten eingeführt [CVE-2015-9541] |
| ruby-activeldap | Fehlende Abhängigkeit von ruby-builder nachgetragen |
| ruby-hiredis | Einige unzuverlässige Tests überspringen, um Kompilierungsfehlschlag zu beheben |
| ruby-http-parser.rb | Kompilierungsfehlschlag bei Verwendung von http-parser, der die Korrektur von CVE-2019-15605 enthält, behoben |
| ruby-riddle | Verwenden von LOAD DATA LOCAL INFILEerlauben |
| sctk | pdftoppmanstelle von convertzum Konvertieren von PDF nach JPEG verwenden, weil Ersteres mit der geänderten Sicherheitspolitik von ImageMagick nicht mehr funktioniert |
| twisted | Fehlerhafte Validierung von URI- und HTTP-Methoden [CVE-2019-12387], fehlerhafte Zertifikatsüberprüfung in der XMPP-Unterstützung [CVE-2019-12855], HTTP/2-Dienstblockade [CVE-2019-9511 CVE-2019-9514 CVE-2019-9515], HTTP-Anfrageschmuggel [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], Informationsoffenlegung beim Verfolgen von domainübergreifenden Weiterleitungen [CVE-2022-21712], Dienstblockade während SSH-Handshake [CVE-2022-21716] behoben |
| tzdata | Zeitzonendaten für Iran, Chile und Palästina aktualisiert; Schaltsekunden-Liste aktualisiert |
| ublock-origin | Neue stabile Veröffentlichung der Originalautoren |
| unrar-nonfree | Verzeichnisüberschreitung abgestellt [CVE-2022-30333] |
| wireshark | Code-Fernausführung [CVE-2021-22191], Dienstblockade-Probleme [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586] behoben |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen::
| Paket | Grund |
|---|---|
| elog | Unbetreut; Sicherheitsprobleme |
| libnet-amazon-perl | Basiert auf nicht mehr vorhandenem API |
Debian-Installer
Der Installer wurde aktualisiert, damit er die Änderungen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Änderungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsaktualisierungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auch aufEnglisch) unter <debian-release@lists.debian.org>.