Debian 11 aktualisiert: 11.7 veröffentlicht
29. April 2023
Das Debian-Projekt freut sich, die siebte Aktualisierung seiner Stable-Distribution
Debian 11 (Codename Bullseye
) ankündigen zu dürfen. Diese
Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung
sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen
veröffentlicht worden, auf die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von
Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt.
Es gibt keinen Grund, Bullseye
-Medien zu entsorgen, da deren Pakete
auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf
den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerbehebungen
Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
| Paket | Grund |
|---|---|
| akregator | Gültigkeitsprüfungen überarbeitet, außerdem die Löschung von Feeds und Verzeichnissen |
| apache2 | apache2-doc.conf nicht automatisch aktivieren; Regressionen in http2 sowie mod_rewrite, die in 2.4.56 eingebracht wurden, entfernt |
| at-spi2-core | Zeitüberschreitung fürs Stoppen auf fünf Sekunden gesetzt, sodass das System beim Herunterfahren nicht unnötig aufgehalten wird |
| avahi | Lokale Dienstblockade abgestellt [CVE-2021-3468] |
| base-files | Aktualisierung auf die 11.7-Zwischenveröffentlichung |
| c-ares | Stapelüberlauf und Dienstblockade unterbunden [CVE-2022-4904] |
| clamav | Neue stabile Version der Originalautoren; mögliche Anfälligkeit für Codeausführung aus der Ferne im HFS+-Dateiauswerter behoben [CVE-2023-20032], potenzielles Informationsleck im DMG-Dateiauswerter gestopft [CVE-2023-20052] |
| command-not-found | Neue non-free-firmware-Komponente hinzugefügt, um Probleme beim Upgrade auf Bookworm zu beheben |
| containerd | Dienstblockade behoben [CVE-2023-25153]; mögliche Privilegieneskalation durch unsachgemäßes Anlegen von zusätzlichen Gruppen abgestellt [CVE-2023-25173] |
| crun | Fähigkeiteneskalation durch Container, die fälschlicherweise mit nicht-leeren Vorgabeberechtigungen gestartet werden, abgestellt [CVE-2022-27650] |
| cwltool | Fehlende Abhängigkeit von python3-distutils hinzugefügt |
| debian-archive-keyring | Bookworm-Schlüssel hinzugefügt; Stretch-Schlüssel in den »removed«-Schlüsselbund verschoben |
| debian-installer | Linux-Kernel-ABI auf 5.10.0-22 angehoben; Neukompilierung gegen proposed-updates |
| debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
| debian-ports-archive-keyring | Die 2023 ablaufende Gültigkeit des Signierschlüssels um ein Jahr verlängert; Signierschlüssel für 2024 hinzugefügt; 2022er Signierschlüssel in den »removed«-Schlüsselbund verschoben |
| dpdk | Neue stabile Version der Originalautoren |
| duktape | Absturzprobleme behoben [CVE-2021-46322] |
| e2tools | Kompilierungsfehlschlag durch Hinzufügen einer Kopmpilier-Abhängigkeit von e2fsprogs behoben |
| erlang | Anfälligkeit für Umgehung der Client-Authentifizierung behoben [CVE-2022-37026]; Optimierung -O1 für armel verwenden, weil erl bei -O2 auf bestimmten Plattformen wie Marvell mit Speicherzugriffsfehler abstürzt |
| exiv2 | Sicherheitskorrekturen [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623] |
| flask-security | Anfälligkeit für offene Weiterleitungen behoben [CVE-2021-23385] |
| flatpak | Neue stabile Version der Originalautoren; Sonderzeichen bei der Anzeige der Berechtigungen und Metadaten maskieren [CVE-2023-28101]; Kopieren/Einfügen via TIOCLINUX-ioctl nicht erlauben, wenn es in einer virtuellen Linux-Konsole läuft [CVE-2023-28100] |
| galera-3 | Neue stabile Version der Originalautoren |
| ghostscript | Pfad für PostScript-Helferdatei in ps2epsi korrigiert |
| glibc | Speicherleck in den Funktionen der printf-Familie bei langen Multibyte-Zeichenketten behoben; Absturz in der printf-Familie durch Breite-/präzisionsabhängige Zuweisungen behoben; Speicherzugriffsfehler in printf beim Umgang mit Tausendertrennzeichen behoben; Überlauf in der AVX2-Implementierung von wcsnlen beim Überschreiten von Seiten behoben |
| golang-github-containers-common | Auswertung der DBUS_SESSION_BUS_ADDRESS überarbeitet |
| golang-github-containers-psgo | Prozess-Benutzer-Namensraum nicht betreten [CVE-2022-1227] |
| golang-github-containers-storage | Bisherige interne Funktionen allgemein zugänglich gemacht, was nötig war, um CVE-2022-1227 in anderen Paketen zu beheben |
| golang-github-prometheus-exporter-toolkit | Tests korrigiert, um Race Condition zu vermeiden; Authentifizierungs-Cache-Vergiftung beseitigt [CVE-2022-46146] |
| grep | Falsche Übereinstimmungen abgestellt, die auftraten, wenn das letzte von mehreren Mustern einen Rückverweis enthält |
| gtk+3.0 | Wayland + EGL auf nur-GLES-Plattformen überarbeitet |
| guix | Kompilierungsfehlschlag, der durch abgelaufene Schlüssel in der Test-Suite verursacht wurde, behoben |
| intel-microcode | Neue fehlerkorrigierende Veröffentlichung der Originalautoren |
| isc-dhcp | Umgang mit Lebensdauer von IPv6-Adressen verbessert |
| jersey1 | Kompilierungsfehlschlag mit libjettison-java 1.5.3 behoben |
| joblib | Anfälligkeit für eigenmächtige Codeausführung behoben [CVE-2022-21797] |
| lemonldap-ng | Anfälligkeit für Umgehung der URL-Validierung behoben; 2FA-Problem bei Verwendung des AuthBasic-Handlers behoben [CVE-2023-28862] |
| libapache2-mod-auth-openidc | Anfälligkeit für offene Weiterleitungen behoben [CVE-2022-23527] |
| libapreq2 | Pufferüberlauf behoben [CVE-2022-22728] |
| libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
| libexplain | Kompatibilität mit neueren Linux-Kernelversionen verbessert - Linux 5.11 hat kein if_frad.h mehr, termiox gibt es seit Kernel 5.12 nicht mehr |
| libgit2 | SSH-Schlüsselüberprüfung standardmäßig aktiviert [CVE-2023-22742] |
| libpod | Anfälligkeit für Privilegieneskalation behoben [CVE-2022-1227]; Fähigkeiteneskalation durch Container, die fälschlicherweise mit nicht-leeren Vorgabeberechtigungen gestartet wurden, behoben [CVE-2022-27649]; Verarbeitung der DBUS_SESSION_BUS_ADDRESS überarbeitet |
| libreoffice | Kroatiens Standardwährung auf Euro umgestellt; leeren -Djava.class.path= vermeiden [CVE-2022-38745] |
| libvirt | Probleme behoben, die mit Container-Neustarts zu tun haben; Testfehlschläge behoben, die zusammen mit neueren Xen-Versionen auftraten |
| libxpm | Anfälligkeit für Endlosschleifen behoben [CVE-2022-44617 CVE-2022-46285]; Doppel-free im Code für Fehlerbehandlung behoben; Komprimierbefehle hängen vom PATH abbehoben [CVE-2022-4883] |
| libzen | Anfälligkeit für Nullzeiger-Dereferenzierung behoben [CVE-2020-36646] |
| linux | Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86 |
| linux-signed-amd64 | Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86 |
| linux-signed-arm64 | Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86 |
| linux-signed-i386 | Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86 |
| lxc | Datei-Existenz-Orakeln abgeschafft [CVE-2022-47952] |
| macromoleculebuilder | Kompilierungsfehlschlag durch Hinzufügen einer Kompilierungs-Abhängigkeit von docbook-xsl behoben |
| mariadb-10.5 | Neue stabile Version der Originalautoren; Änderung der Originalautoren an libmariadb-API rückgängig gemacht |
| mono | Desktop-Datei entfernt |
| ncurses | Schutz vor defekten terminfo-Daten eingebaut [CVE-2022-29458]; tic-Absturz bei sehr langen tc/use-Klauseln behoben |
| needrestart | Warnungen bei Verwendung der Option -bbehoben |
| node-cookiejar | Schutz vor schadhaft großen Cookies eingebaut [CVE-2022-25901] |
| node-webpack | Realm-übergreifenden Zugriff auf Objekte unterbunden [CVE-2023-28154] |
| nvidia-graphics-drivers | Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
| nvidia-graphics-drivers-tesla-450 | Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
| nvidia-graphics-drivers-tesla-470 | Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199] |
| nvidia-modprobe | Neue Version der Originalautoren |
| openvswitch | openvswitch-switch-Aktualisierung zieht Schnittstellen nicht hochbehoben |
| passenger | Kompatibilität mit neueren NodeJS-Versionen verbessert |
| phyx | Unnötige Kompilierungs-Abhängigkeit von libatlas-cpp entfernt |
| postfix | Neue stabile Version der Originalautoren |
| postgis | Falsche Achsenanordnung in der polaren Stereografie behoben |
| postgresql-13 | Neue stabile Version der Originalautoren; Anfälligkeit für Offenlegung des Client-Speichers behoben [CVE-2022-41862] |
| python-acme | Version der erzeugten CSRs korrigiert, um Probleme mit Implementierungen der ACME-API, die sich strikt an die RFCs halten, zu beheben |
| ruby-aws-sdk-core | Generierung der Versionsdatei überarbeitet |
| ruby-cfpropertylist | Ein paar Funktionalitäten durch Aufgeben der Kompatibilität mit Ruby 1.8 wiederhergestellt |
| shim | Neue Version der Originalautoren; neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert |
| shim-helpers-amd64-signed | Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert |
| shim-helpers-arm64-signed | Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert |
| shim-helpers-i386-signed | Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert |
| shim-signed | Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert |
| snakeyaml | Dienstblockaden behoben [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751]; Dokumentation beüglich Sicherheitsunterstützung und -Problemen hinzugefügt |
| spyder | Code-Dublizierung beim Speichern abgestellt |
| symfony | Private Kopfzeilen vor dem Einspeichern von Antworten mit HttpCache entfernen [CVE-2022-24894]; CSRF-Tokens beim erfolgreichen Anmelden vom Speicher entfernen [CVE-2022-24895] |
| systemd | Anfälligkeit für Informationslecks [CVE-2022-4415], Dienstblockade behoben [CVE-2022-3821]; ata_id: Abruf des Response Code der SCSI Sense Data überarbeitet; logind: Abruf der Eigenschaft OnExternalPower via D-Bus überarbeitet; Absturz in systemd-machined behoben |
| tomcat9 | OpenJDK-17-Unterstützung in JDK-Erkennung hinzugefügt |
| traceroute | v4mapped-IPv6-Adressen als IPv4 interpretieren |
| tzdata | Enthaltene Daten aktualisiert |
| unbound | Angriff via Delegation auf nicht-reagierende DNS-Server behoben [CVE-2022-3204]; Probleme mit Geister-Domain-Namenbehoben [CVE-2022-30698 CVE-2022-30699] |
| usb.ids | Enthaltene Daten aktualisiert |
| vagrant | Unterstützung für VirtualBox 7.0 hinzugefügt |
| voms-api-java | Kompilierungsfehlschläge durch Abstellen einiger nicht-funktionierender Tests behoben |
| w3m | Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-38223] |
| x4d-icons | Kompilierungsfehlschlag mit neueren imagemagick-Versionen behoben |
| xapian-core | Datenbank-Beschädigung bei Plattenplatzmangel behoben |
| zfs-linux | Mehrere Verbesserungen der Stabilität |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernet, die außerhalb unserer Kontrolle liegen:
| Paket | Grund |
|---|---|
| bind-dyndb-ldap | Defekt bei neueren bind9-Versionen; Unterstützung in Stable nicht möglich |
| matrix-mirage | Abhängig von python-matrix-io, das entfernt werden soll |
| pantalaimon | Abhängig von python-matrix-io, das entfernt werden soll |
| python-matrix-nio | Sicherheitsprobleme; funktioniert nicht mit aktuellen Matrix-Servern |
| weechat-matrix | Abhängig von python-matrix-io, das entfernt werden soll |
Debian-Installer
Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.