Debian 12 aktualisiert: 12.1 veröffentlicht

22. Juli 2023

Das Debian-Projekt freut sich, die erste Aktualisierung seiner Stable-Distribution Debian 12 (Codename Bookworm) ankündigen zu können. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 12 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bookworm-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
aide Systembenutzer ordentlich anlegen; Unterverzeichnis-Verarbeitung bei Übereinstimmung korrigiert
autofs Hänger bei Verwendung von Kerberos-authentifiziertem LDAP behoben
ayatana-indicator-datetime Wiedergabe eigener Alarmtöne überarbeitet
base-files Aktualisierung auf die Zwischenveröffentlichung 12.1
bepasty Darstellung von Text-Uploads überarbeitet
boost1.81 Fehlende Abhängigkeit von libboost-json1.81.0 für libboost-json1.81-dev nachgetragen
bup POSIX-ACLs richtig wiederherstellen
context Socket in ConTeXt-mtxrun aktivieren
cpdb-libs Anfälligkeit für Pufferüberlauf behoben [CVE-2023-34095]
cpp-httplib Problem mit CRLF-Injektion (Zeilenumbruch-Injektion) behoben [CVE-2023-26130]
crowdsec Standard-acquis.yaml überarbeitet, damit sie auch journalctl als Datenquelle enthält, diese aber begrenzt auf die ssh.service-Unit, sodass sichergestellt wird, dass die Übernahme auch ohne die traditionelle auth.log-Datei funktioniert; sichergestellt, dass die Engine nicht wegen einer ungültigen Datenquelle mit Fehler aussteigt
cups Sicherheitskorrekturen: Weiterverwendung nach Freigabe (use-after-free) [CVE-2023-34241]; Heap-Puffer-Überlauf [CVE-2023-32324]
cvs Vollen Pfad zu ssh in Konfiguration hinterlegen
dbus Neue Veröffentlichung der Originalautoren; Dienstblockade-Problem gelöst [CVE-2023-34969]; nicht länger versuchen, DPKG_ROOT zu berücksichtigen, sodass eher systemd's /etc/machine-id kopiert wird, statt eine komplett neue Maschinen-ID zu erzeugen
debian-installer Linux-Kernel-ABI auf 6.1.0-10 angehoben; Neukompilierung gegen proposed-updates
debian-installer-netboot-images Neukompilierung gegen proposed-updates
desktop-base emerald-Alternativen bei Paket-Deinstallation ebenfalls entfernen
dh-python Beschädigt/Ersetzt-Abhängigkeit von python2 wiederhergestellt, um APT in einigen Upgrade-Szenarios zu helfen
dkms Beschädigt-Abhängigkeit von obsoleten, inkompatiblen *-dkms-Paketen hinzugefügt
dnf Standard-DNF-Konstante PYTHON_INSTALL_DIR korrigiert
dpdk Neue Veröffentlichung der Originalautoren
exim4 Argumentauswertung für ${run }-Expansion überarbeitet; behoben, dass ${srs_encode ..} alle 1024 Tage falsche Resultate zurückliefert
fai Gültigkeit der IP-Adresse angepasst
glibc Pufferüberlauf in gmon behoben; Deadlock in getaddrinfo (__check_pf) mit verzögertem Abbruch korrigiert; Jahr-2038-Unterstützung in strftime auf 32-Bit-Architekturen überarbeitet; Spezialfall in der Verarbeitung von /etc/gshadow korrigiert, die zu fehlerhaften Zeigern führen kann, was wiederum Speicherzugriffsfehler in Anwendungen verursachen kann; Deadlock in system() behoben, wenn es gleichzeitig von mehreren Threads aufgerufen wird; cdefs: Definition von Fortifizierungs-Makros auf __FORTIFY_LEVEL > 0 begrenzt, um alte C90-Compiler zu unterstützen
gnome-control-center Neue fehlerbereinigte Version der Originalautoren
gnome-maps Neue fehlerbereinigte Version der Originalautoren
gnome-shell Neue fehlerbereinigte Version der Originalautoren
gnome-software Neue Veröffentlichung der Originalautoren; Speicherlecks geflickt
gosa PHP 8.2-Missbilligungswarnungen abgestellt; fehlende Vorlage im Vorgabe-Thema nachgereicht; Tabellengestaltung überarbeitet; Verwendung des debugLevel > 0 korrigiert
groonga Links zur Dokumentation korrigiert
guestfs-tools Sicherheitskorrektur [CVE-2022-2211]
indent ROUND_UP-Makro wiederhergestellt und anfängliche Puffergröße korrigiert
installation-guide Indonesische Übersetzung aktiviert
kanboard Bösartige Injektion von HTML-Tags in das DOM [CVE-2023-32685] behoben; parameterbasierte indirekte Objektreferenzierung, die zur Offenlegung privater Dateien führen kann, behoben [CVE-2023-33956]; fehlende Zugriffskontrollen nachgereicht [CVE-2023-33968, CVE-2023-33970]; Stored-XSS in Funktionalität Task External Link behoben [CVE-2023-33969]
kf5-messagelib Auch nach Unterschlüsseln suchen
libmatekbd Speicherlecks behoben
libnginx-mod-http-modsecurity Binäre Neukompilierung mit pcre2
libreoffice Neue fehlerbereinigte Version der Originalautoren
libreswan Potenzielles Dienstblockade-Problem behoben [CVE-2023-30570]
libxml2 Problem mit Nullzeiger-Dereferenzierung behoben [CVE-2022-2309]
linux Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001]
linux-signed-amd64 Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001]
linux-signed-arm64 Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001]
linux-signed-i386 Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001]
mailman3 Redundanten Cronjob gelöscht; Einreihung von Diensten übernehmen, wenn MariaDB vorhanden ist
marco Wenn Eigentum vom Superuser, richtigen Fenstertitel anzeigen
mate-control-center Mehrere Speicherlecks behoben
mate-power-manager Mehrere Speicherlecks behoben
mate-session-manager Mehrere Speicherlecks behoben; auch andere Clutter-Backends als X11 erlauben
multipath-tools Darunterliegende Pfade vor dem LVM verbergen; Fehlschlag bei der ersten Dienstausführung bei neuen Installationen verhindern
mutter Neue fehlerbereinigte Version der Originalautoren
network-manager-strongswan Editor-Komponente mit GTK-4-Unterstützung kompiliert
nfdump Beim Starten Erfolg zurückmelden; Speicherzugriffsfehler bei Optionenauswertung behoben
nftables Regression beim Setzen des Listenformats behoben
node-openpgp-seek-bzip Installation der Dateien im seek-bzip-Paket überarbeitet
node-tough-cookie Prototype Pollution behoben [CVE-2023-26136]
node-undici Sicherheitskorrekturen: Host-HTTP-Kopfzeile vor CLRF-Injektion [CVE-2023-23936] schützen; potenzielle Dienstblockade durch reguläre Ausdrücke auf Headers.set und Headers.append unterbunden [CVE-2023-24807]
node-webpack Sicherheitskorrektur (cross-realm objects) [CVE-2023-28154]
nvidia-cuda-toolkit Mitgeliefertes openjdk-8-jre aktualisiert
nvidia-graphics-drivers Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516]
nvidia-graphics-drivers-tesla Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516]
nvidia-graphics-drivers-tesla-470 Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516]
nvidia-modprobe Neue fehlerbereinigte Version der Originalautoren
nvidia-open-gpu-kernel-modules Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516]
nvidia-support Beschädigt-Abhängigkeit von inkompatiblen Paketen in Bullseye hinzugefügt
onionshare Installation von Desktop-Möbeln überarbeitet
openvpn Speicherleck und ins Leere deutenden Zeiger (möglicher Absturz-Vektor) behoben
pacemaker Regression im Ressourcen-Scheduler behoben
postfix Neue fehlerbereinigte Version der Originalautoren; postfix set-permissions behoben
proftpd-dfsg Bei der Installation keinen Socket im inetd-Stil aktivieren
qemu Neue Veröffentlichung der Originalautoren; Nicht-Verfügbarkeit von USB-Geräten für den XEN HVM domUs behoben; 9pfs: Öffnen von Spezialdateien behoben [CVE-2023-2861]; Probleme mit Eintrittsvarianz im LSI-Controller behoben [CVE-2023-0330]
request-tracker5 Links zur Dokumentation korrigiert
rime-cantonese Wörter und Zeichen anhand Häufigkeit sortieren
rime-luna-pinyin Fehlende Pinyin-Schemadaten nachgereicht
samba Neue Veröffentlichung der Originalautoren; sicherstellen, dass Handbuchseiten während der Kompilierung erzeugt werden; Unterstützung fürs Speichern von Kerberos-Tickets im Kernel-Schlüsselbund aktiviert; Kompilierungsprobleme auf armel und mipsel behoben; Windows-Anmelde- und Vertrauensprobleme seit den Windows-Updates 2023-07 behoben
schleuder-cli Sicherheitskorrektur (Wertmaskierung)
smarty4 Eigenmächtige Codeausführung behoben [CVE-2023-28447]
spip Verschiedene Sicherheitskorrekturen; Sicherheitskorrektur (Filterung von Authentifizierungsdaten)
sra-sdk Dateiinstallation in libngs-java überarbeitet
sudo Format des Ereignisprotokolls überarbeitet
systemd Neue fehlerbereinigte Version der Originalautoren
tang Race Condition beim Erstellen/Rotieren von Schlüsseln behoben [CVE-2023-1672]
texlive-bin Socket in luatex standardmäßig deaktivieren [CVE-2023-32668]; auf i386 installierbar gemacht
unixodbc Beschädigt+Ersetzt-Abhängigkeit für odbcinst1debian1 hinzugefügt
usb.ids Enthaltene Daten aktualisiert
vm Byte-Kompilierung abgeschaltet
vte2.91 Neue fehlerbereinigte Version der Originalautoren
xerial-sqlite-jdbc Eine UUID als Verbindungs-ID verwenden [CVE-2023-32697]
yajl Speicherleck-Sicherheitskorrektur; Dienstblockade unterbunden [CVE-2017-16516], außerdem Ganzzahlüberlauf abgestellt [CVE-2022-24795]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-5423 thunderbird
DSA-5425 php8.2
DSA-5427 webkit2gtk
DSA-5428 chromium
DSA-5429 wireshark
DSA-5430 openjdk-17
DSA-5432 xmltooling
DSA-5433 libx11
DSA-5434 minidlna
DSA-5435 trafficserver
DSA-5436 hsqldb1.8.0
DSA-5437 hsqldb
DSA-5439 bind9
DSA-5440 chromium
DSA-5443 gst-plugins-base1.0
DSA-5444 gst-plugins-bad1.0
DSA-5445 gst-plugins-good1.0
DSA-5446 ghostscript
DSA-5447 mediawiki
DSA-5448 linux-signed-amd64
DSA-5448 linux-signed-arm64
DSA-5448 linux-signed-i386
DSA-5448 linux
DSA-5449 webkit2gtk
DSA-5450 firefox-esr
DSA-5451 thunderbird

Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.