Debian 11 aktualisiert: 11.8 veröffentlicht

7. Oktober 2023

Das Debian-Projekt freut sich, die achte Aktualisierung seiner Oldstable-Distribution Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wo möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
adduser Anfälligkeit für Befehlsinjektion in deluser behoben
aide Umgang mit erweiterten Attributen in symbolischen Links behoben
amd64-microcode Enthaltenen Mikrocode aktualisiert, darunter auch Korrekturen für AMD Inception auf AMD Zen4-Prozessoren [CVE-2023-20569]
appstream-glib Handhabung der Tags <em> und <code> in Metadaten
asmtools Für künftige openjdk-11-Kompilate nach Bullseye zurückportiert
autofs Fehlende mutex-Entsperrung hinzugefügt; kein rpcbind für NFS4-Einhängungen verwenden; Regression beim Feststellen der Erreichbarkeit auf Dual-Stack-Maschinen behoben
base-files Aktualisierung auf die Zwischenveröffentlichung 11.8
batik Probleme mit serverseitiger Anfragefälschung behoben [CVE-2022-44729 CVE-2022-44730]
bmake Konflikt mit bsdowl (<< 2.2.2-1.2~) eingetragen, um glattlaufende Upgrades sicherzustellen
boxer-data Thunderbird-Kompatibilitäts-Korrekturen zurückportiert
ca-certificates-java Behelfslösung für unkonfiguriertes jre während der Installation eingebaut
cairosvg Data:-URLs im sicheren Modus verarbeiten
cargo-mozilla Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
clamav Neue stabile Version der Originalautoren; Anfälligkeit für Dienstblockade via HFS+-Parser behoben [CVE-2023-20197]
cpio Eigenmächtige Codeausführung unterbunden [CVE-2021-38185]; Empfehlung von libarchive1 mit Empfehlung von libarchive-dev ersetzt
cryptmount Speicher-Initialisierung im Befehlszeilen-Parser überarbeitet
cups Heap-basierten Pufferüberlauf [CVE-2023-4504 CVE-2023-32324], unautorisierten Zugriff [CVE-2023-32360], Use-after-free [CVE-2023-34241] abgestellt
curl Codeausführung [CVE-2023-27533 CVE-2023-27534], Informationsoffenlegung [CVE-2023-27535 CVE-2023-27536 CVE-2023-28322], unzulässige Wiederverwendung von Verbindungen [CVE-2023-27538], ungeeignete Zertifikatsüberprüfung [CVE-2023-28321] behoben
dbus Neue stabile Version der Originalautoren; Dienstblockade abgestellt [CVE-2023-34969]
debian-design Neukompilierung mit neuerem boxer-data
debian-installer Linux-Kernel-ABI auf 5.10.0-26 angehoben; Neukompilierung gegen proposed-updates
debian-installer-netboot-images Neukompilierung gegen proposed-updates
debian-parl Neukompilierung mit neuerem boxer-data
debian-security-support DEB_NEXT_VER_ID=12 gesetzt, weil Bookworm die nächste Veröffentlichung ist; security-support-limited: gnupg1 hinzugefügt
distro-info-data Debian 14 Forky hinzugefügt; Veröffentlichungsdatum von Ubuntu 23.04 korrigiert; Ubuntu 23.10 Mantic Minotaur hinzugefügt; geplantes Veröffentlichungsdatum für Debian Bookworm hinzugefügt
dkimpy Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
dpdk Neue stabile Version der Originalautoren
dpkg Unterstützung für die loong64-CPU hinzugefügt; beim Formatieren von source:Upstream-Version nicht von fehlender Version stören lassen; varbuf-Speicherleck in pkg_source_version() geflickt
flameshot Hochladen zu imgur standardmäßig deaktiviert; Name der d/NEWS-Datei aus dem vorherigen Upload korrigiert
ghostscript Pufferüberlauf unterbunden [CVE-2023-38559]; versucht, den IJS-Server-Start abzusichern [CVE-2023-43115]
gitit Neukompilierung gegen neues pandoc
grunt Race-Condition beim Kopieren symbolischer Links behoben [CVE-2022-1537]
gss Beschädigt+Ersetzt hinzugefügt: libgss0 (<< 0.1)
haskell-hakyll Neukompilierung gegen neues pandoc
haskell-pandoc-citeproc Neukompilierung gegen neues pandoc
hnswlib Doppel-Free in init_index behoben, das auftrat, wenn das M-Argument eine große Ganzzahl ist [CVE-2023-37365]
horizon Offene Weiterleitung geschlossen [CVE-2022-45582]
inetutils Rückgabewerte der set*id()-Funktionen kontrollieren, um potenziellen Sicherheitsproblemen vorzubeugen [CVE-2023-40303]
krb5 Free eines nicht initialisierten Zeigers abgestellt [CVE-2023-36054]
kscreenlocker Authentifizierungsfehler bei Verwendung mit PAM behoben
lacme Richtig mit CA ready-, processing- und valid-Zuständen umgehen
lapack eigenvector-Matrix nachgebessert
lemonldap-ng Offene Weiterleitung in dem Fall, dass OIDC RP keine Weiterleitungs-URIs hat, geschlossen; serverseitige Anfragefälschung behoben [CVE-2023-44469]; offene Weiterleitung wegen fehlerhaftem Umgang mit Escaping behoben
libapache-mod-jk Funktionalität für implizites Mapping, die zu unbeabsichtigter Freilegung des Status-Workers und/oder Umgehung der Sicherheitsbeschränkungen führen kann, entfernt [CVE-2023-41081]
libbsd Endlosschleife in MD5File behoben
libclamunrar Neue stabile Version der Originalautoren
libprelude Python-Modul verwendbar gemacht
libreswan Dienstblockade behoben [CVE-2023-30570]
libsignal-protocol-c Ganzzahlüberlauf behoben [CVE-2022-48468]
linux Neue stabile Version der Originalautoren
linux-signed-amd64 Neue stabile Version der Originalautoren
linux-signed-arm64 Neue stabile Version der Originalautoren
linux-signed-i386 Neue stabile Version der Originalautoren
logrotate Ersetzung von /dev/null mit regulärer Datei, wenn sie für das State-File benutzt wird, vermeiden
ltsp Verwendung von mv auf Init-Symlink vermeiden, um Problem mit overlayfs aus dem Weg zu gehen
lttng-modules Kompilierungsprobleme mit neueren Kernel-Versionen behoben
lua5.3 Use-after-free in lua_upvaluejoin (lapi.c) behoben [CVE-2019-6706]; Speicherzugriffsfehler in getlocal und setlocal (ldebug.c) abgestellt [CVE-2020-24370]
mariadb-10.5 Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2022-47015]
mujs Sicherheitskorrektur
ncurses Laden von eigenen terminfo-Einträgen in setuid/setgid-Programmen verboten [CVE-2023-29491]
node-css-what Auf regulären Ausdrücken basierende Dienstblockade abgestellt [CVE-2022-21222 CVE-2021-33587]
node-json5 Prototype Pollution beseitigt [CVE-2022-46175]
node-tough-cookie Sicherheitskorrektur: Prototype Pollution [CVE-2023-26136]
nvidia-graphics-drivers Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516]; Kompatiblität mit neueren Kerneln verbessert
nvidia-graphics-drivers-tesla-450 Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516]
nvidia-graphics-drivers-tesla-470 Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2023-25515 CVE-2023-25516]
openblas Ergebnisse von DGEMM auf AVX512-fähiger Hardware, wenn das Paket auf vof-AVX2-Geräten kompiliert wurde, korrigiert
openssh Codeausführung aus der Ferne durch einen weitergeleiteten Agent-Socket unterbunden [CVE-2023-38408]
openssl Neue stabile Version der Originalautoren; Dienstblockade behoben [CVE-2023-3446 CVE-2023-3817]
org-mode Anfälligkeit für Befehlsinjektion korrigiert [CVE-2023-28617]
pandoc Eigenmächtige schreibende Dateizugriffe unterbunden [CVE-2023-35936 CVE-2023-38745]
pev Pufferüberlauf abgestellt [CVE-2021-45423]
php-guzzlehttp-psr7 Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197]
php-nyholm-psr7 Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197]
postgis Regression bei Achsenreihenfolge entfernt
protobuf Sicherheitskorrekturen: Dienstblockade in Java [CVE-2021-22569]; Nullzeiger-Dereferenzierung [CVE-2021-22570]; Speicher-Dienstblockade [CVE-2022-1941]
python2.7 parameter cloaking (Parameter-Verbergen) [CVE-2021-23336], URL-Injektion [CVE-2022-0391], Use-after-free [CVE-2022-48560], XML External Entity [CVE-2022-48565] behoben; zeitlich konstante Vergleiche in compare_digest() überarbeitet [CVE-2022-48566]; URL-Verarbeitung verbessert [CVE-2023-24329]; Lesen von unauthentifizierten Daten auf einem SSL-Socket verhindert [CVE-2023-40217]
qemu Endlosschleife behoben [CVE-2020-14394], Nullzeiger-Dereferenzierung [CVE-2021-20196], Ganzzahlüberlauf [CVE-2021-20203], Pufferüberlauf [CVE-2021-3507 CVE-2023-3180], Dienstblockade [CVE-2021-3930 CVE-2023-3301], Use-after-free [CVE-2022-0216], mögliche Ganzzahlüberläufe und Use-after-free [CVE-2023-0330], Lesezugriff außerhalb der Grenzen [CVE-2023-1544]
rar Neue Veröffentlichung durch die Originalautoren; Verzeichnisüberschreitung behoben [CVE-2022-30333]; Eigenmächtige Codeausführung unterbunden [CVE-2023-40477]
rhonabwy aesgcm-Pufferüberlauf behoben [CVE-2022-32096]
roundcube Neue stabile Version der Originalautoren; seitenübergreifendes Skripting unterbunden [CVE-2023-43770]; Enigma: Erstsynchronisierung der privaten Schlüssel korrigiert
rust-cbindgen Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
rustc-mozilla Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen
schleuder Versionierte Abhängigkeit von ruby-activerecord hinzugeügt
sgt-puzzles Verschiedene Sicherheitsprobleme beim Laden von Spielen behoben [CVE-2023-24283 CVE-2023-24284 CVE-2023-24285 CVE-2023-24287 CVE-2023-24288 CVE-2023-24291]
spip Mehrere Sicherheitskorrekturen; Sicherheitskorrektur für erweiterte Authentifizierungsdaten-Filterung
spyder Fehlerhafte Korrektur aus vorheriger Aktualisierung nachgebessert
systemd Udev: Erstellung von symbolischen Links für USB-Geräte unter /dev/serial/by-id/ überarbeiet; Speicherleck beim Neuladen des Daemons geflickt; Hänger beim Berechnen der Kalenderdaten behoben, der beim Sommerzeit-/Winterzeitwechsel in der Zeitzone Europe/Dublin auftrat
tang Race Condition beim Erzeugen/Rotieren von Schlüsseln behoben; strenge Berechtigungen auf das Schlüsselverzeichnis anwenden [CVE-2023-1672]; tangd-rotate-keys ausführbar machen
testng7 Für künftige openjdk-17-Kompilate nach Oldstable zurückportiert
tinyssh Problemumgehung für eingehenden Pakete, die sich nicht an die Maximallänge halten
unrar-nonfree Problem mit Dateiüberschreitung behoben [CVE-2022-48579]; Codeausführung aus der Ferne abgestellt [CVE-2023-40477]
xen Neue stabile Version der Originalautoren; Sicherheitsprobleme behoben [CVE-2023-20593 CVE-2023-20569 CVE-2022-40982]
yajl Sicherheitskorrektur für Speicherleck; Sicherheitskorrekturen: potenzielle Dienstblockade mit speziell angefertigter JSON-Datei [CVE-2017-16516]; Heap-Speicher-Beschädigung beim Umgang mit großen (~2GB) Eingaben [CVE-2022-24795]; unvollständige Korrektur für CVE-2023-33460 fertiggestellt

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-5394 ffmpeg
DSA-5395 nodejs
DSA-5396 evolution
DSA-5396 webkit2gtk
DSA-5397 wpewebkit
DSA-5398 chromium
DSA-5399 odoo
DSA-5400 firefox-esr
DSA-5401 postgresql-13
DSA-5402 linux-signed-amd64
DSA-5402 linux-signed-arm64
DSA-5402 linux-signed-i386
DSA-5402 linux
DSA-5403 thunderbird
DSA-5404 chromium
DSA-5405 libapache2-mod-auth-openidc
DSA-5406 texlive-bin
DSA-5407 cups-filters
DSA-5408 libwebp
DSA-5409 libssh
DSA-5410 sofia-sip
DSA-5411 gpac
DSA-5412 libraw
DSA-5413 sniproxy
DSA-5414 docker-registry
DSA-5415 libreoffice
DSA-5416 connman
DSA-5417 openssl
DSA-5418 chromium
DSA-5419 c-ares
DSA-5420 chromium
DSA-5421 firefox-esr
DSA-5422 jupyter-core
DSA-5423 thunderbird
DSA-5424 php7.4
DSA-5426 owslib
DSA-5427 webkit2gtk
DSA-5428 chromium
DSA-5430 openjdk-17
DSA-5431 sofia-sip
DSA-5432 xmltooling
DSA-5433 libx11
DSA-5434 minidlna
DSA-5435 trafficserver
DSA-5436 hsqldb1.8.0
DSA-5437 hsqldb
DSA-5438 asterisk
DSA-5439 bind9
DSA-5440 chromium
DSA-5441 maradns
DSA-5442 flask
DSA-5443 gst-plugins-base1.0
DSA-5444 gst-plugins-bad1.0
DSA-5445 gst-plugins-good1.0
DSA-5446 ghostscript
DSA-5447 mediawiki
DSA-5449 webkit2gtk
DSA-5450 firefox-esr
DSA-5451 thunderbird
DSA-5452 gpac
DSA-5453 linux-signed-amd64
DSA-5453 linux-signed-arm64
DSA-5453 linux-signed-i386
DSA-5453 linux
DSA-5455 iperf3
DSA-5456 chromium
DSA-5457 webkit2gtk
DSA-5459 amd64-microcode
DSA-5461 linux-signed-amd64
DSA-5461 linux-signed-arm64
DSA-5461 linux-signed-i386
DSA-5461 linux
DSA-5463 thunderbird
DSA-5464 firefox-esr
DSA-5465 python-django
DSA-5467 chromium
DSA-5468 webkit2gtk
DSA-5470 python-werkzeug
DSA-5471 libhtmlcleaner-java
DSA-5472 cjose
DSA-5473 orthanc
DSA-5474 intel-microcode
DSA-5475 linux-signed-amd64
DSA-5475 linux-signed-arm64
DSA-5475 linux-signed-i386
DSA-5475 linux
DSA-5476 gst-plugins-ugly1.0
DSA-5478 openjdk-11
DSA-5479 chromium
DSA-5480 linux-signed-amd64
DSA-5480 linux-signed-arm64
DSA-5480 linux-signed-i386
DSA-5480 linux
DSA-5481 fastdds
DSA-5482 tryton-server
DSA-5483 chromium
DSA-5484 librsvg
DSA-5485 firefox-esr
DSA-5486 json-c
DSA-5487 chromium
DSA-5489 file
DSA-5490 aom
DSA-5491 chromium
DSA-5493 open-vm-tools
DSA-5494 mutt
DSA-5495 frr
DSA-5497 libwebp
DSA-5500 flac
DSA-5502 xorgxrdp
DSA-5502 xrdp
DSA-5503 netatalk
DSA-5504 bind9
DSA-5505 lldpd
DSA-5507 jetty9
DSA-5510 libvpx

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernet, die sich unserer Kontrolle entziehen:

Paket Grund
atlas-cpp Version der Originalautoren zu unbeständig für Debian
ember-media Version der Originalautoren zu unbeständig für Debian
eris Version der Originalautoren zu unbeständig für Debian
libwfut Version der Originalautoren zu unbeständig für Debian
mercator Version der Originalautoren zu unbeständig für Debian
nomad Sicherheitskorrekturen nicht länger verfügbar
nomad-driver-lxc hängt von nomad ab, das entfernt wird
skstream Version der Originalautoren zu unbeständig für Debian
varconf Version der Originalautoren zu unbeständig für Debian
wfmath Version der Originalautoren zu unbeständig für Debian
h2>Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable/

Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Oldstable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.