Debian 11 aktualisiert: 11.8 veröffentlicht
7. Oktober 2023
Das Debian-Projekt freut sich, die achte Aktualisierung seiner Oldstable-Distribution
Debian 11 (Codename Bullseye
) ankündigen zu dürfen. Diese
Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken
sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen
veröffentlicht worden, auf die, wo möglich, verwiesen wird.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von
Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt.
Es gibt keinen Grund, Bullseye
-Medien zu entsorgen, da deren Pakete
auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf
den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerbehebungen
Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
Paket | Grund |
---|---|
adduser | Anfälligkeit für Befehlsinjektion in deluser behoben |
aide | Umgang mit erweiterten Attributen in symbolischen Links behoben |
amd64-microcode | Enthaltenen Mikrocode aktualisiert, darunter auch Korrekturen für AMD Inceptionauf AMD Zen4-Prozessoren [CVE-2023-20569] |
appstream-glib | Handhabung der Tags <em> und <code> in Metadaten |
asmtools | Für künftige openjdk-11-Kompilate nach Bullseye zurückportiert |
autofs | Fehlende mutex-Entsperrung hinzugefügt; kein rpcbind für NFS4-Einhängungen verwenden; Regression beim Feststellen der Erreichbarkeit auf Dual-Stack-Maschinen behoben |
base-files | Aktualisierung auf die Zwischenveröffentlichung 11.8 |
batik | Probleme mit serverseitiger Anfragefälschung behoben [CVE-2022-44729 CVE-2022-44730] |
bmake | Konflikt mit bsdowl (<< 2.2.2-1.2~) eingetragen, um glattlaufende Upgrades sicherzustellen |
boxer-data | Thunderbird-Kompatibilitäts-Korrekturen zurückportiert |
ca-certificates-java | Behelfslösung für unkonfiguriertes jre während der Installation eingebaut |
cairosvg | Data:-URLs im sicheren Modus verarbeiten |
cargo-mozilla | Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen |
clamav | Neue stabile Version der Originalautoren; Anfälligkeit für Dienstblockade via HFS+-Parser behoben [CVE-2023-20197] |
cpio | Eigenmächtige Codeausführung unterbunden [CVE-2021-38185]; Empfehlung von libarchive1 mit Empfehlung von libarchive-dev ersetzt |
cryptmount | Speicher-Initialisierung im Befehlszeilen-Parser überarbeitet |
cups | Heap-basierten Pufferüberlauf [CVE-2023-4504 CVE-2023-32324], unautorisierten Zugriff [CVE-2023-32360], Use-after-free [CVE-2023-34241] abgestellt |
curl | Codeausführung [CVE-2023-27533 CVE-2023-27534], Informationsoffenlegung [CVE-2023-27535 CVE-2023-27536 CVE-2023-28322], unzulässige Wiederverwendung von Verbindungen [CVE-2023-27538], ungeeignete Zertifikatsüberprüfung [CVE-2023-28321] behoben |
dbus | Neue stabile Version der Originalautoren; Dienstblockade abgestellt [CVE-2023-34969] |
debian-design | Neukompilierung mit neuerem boxer-data |
debian-installer | Linux-Kernel-ABI auf 5.10.0-26 angehoben; Neukompilierung gegen proposed-updates |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
debian-parl | Neukompilierung mit neuerem boxer-data |
debian-security-support | DEB_NEXT_VER_ID=12 gesetzt, weil Bookworm die nächste Veröffentlichung ist; security-support-limited: gnupg1 hinzugefügt |
distro-info-data | Debian 14 Forkyhinzugefügt; Veröffentlichungsdatum von Ubuntu 23.04 korrigiert; Ubuntu 23.10 Mantic Minotaur hinzugefügt; geplantes Veröffentlichungsdatum für Debian Bookworm hinzugefügt |
dkimpy | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren |
dpdk | Neue stabile Version der Originalautoren |
dpkg | Unterstützung für die loong64-CPU hinzugefügt; beim Formatieren von source:Upstream-Version nicht von fehlender Version stören lassen; varbuf-Speicherleck in pkg_source_version() geflickt |
flameshot | Hochladen zu imgur standardmäßig deaktiviert; Name der d/NEWS-Datei aus dem vorherigen Upload korrigiert |
ghostscript | Pufferüberlauf unterbunden [CVE-2023-38559]; versucht, den IJS-Server-Start abzusichern [CVE-2023-43115] |
gitit | Neukompilierung gegen neues pandoc |
grunt | Race-Condition beim Kopieren symbolischer Links behoben [CVE-2022-1537] |
gss | Beschädigt+Ersetzt hinzugefügt: libgss0 (<< 0.1) |
haskell-hakyll | Neukompilierung gegen neues pandoc |
haskell-pandoc-citeproc | Neukompilierung gegen neues pandoc |
hnswlib | Doppel-Free in init_index behoben, das auftrat, wenn das M-Argument eine große Ganzzahl ist [CVE-2023-37365] |
horizon | Offene Weiterleitung geschlossen [CVE-2022-45582] |
inetutils | Rückgabewerte der set*id()-Funktionen kontrollieren, um potenziellen Sicherheitsproblemen vorzubeugen [CVE-2023-40303] |
krb5 | Free eines nicht initialisierten Zeigers abgestellt [CVE-2023-36054] |
kscreenlocker | Authentifizierungsfehler bei Verwendung mit PAM behoben |
lacme | Richtig mit CA ready-, processing- und valid-Zuständen umgehen |
lapack | eigenvector-Matrix nachgebessert |
lemonldap-ng | Offene Weiterleitung in dem Fall, dass OIDC RP keine Weiterleitungs-URIs hat, geschlossen; serverseitige Anfragefälschung behoben [CVE-2023-44469]; offene Weiterleitung wegen fehlerhaftem Umgang mit Escaping behoben |
libapache-mod-jk | Funktionalität für implizites Mapping, die zu unbeabsichtigter Freilegung des Status-Workers und/oder Umgehung der Sicherheitsbeschränkungen führen kann, entfernt [CVE-2023-41081] |
libbsd | Endlosschleife in MD5File behoben |
libclamunrar | Neue stabile Version der Originalautoren |
libprelude | Python-Modul verwendbar gemacht |
libreswan | Dienstblockade behoben [CVE-2023-30570] |
libsignal-protocol-c | Ganzzahlüberlauf behoben [CVE-2022-48468] |
linux | Neue stabile Version der Originalautoren |
linux-signed-amd64 | Neue stabile Version der Originalautoren |
linux-signed-arm64 | Neue stabile Version der Originalautoren |
linux-signed-i386 | Neue stabile Version der Originalautoren |
logrotate | Ersetzung von /dev/null mit regulärer Datei, wenn sie für das State-File benutzt wird, vermeiden |
ltsp | Verwendung von mvauf Init-Symlink vermeiden, um Problem mit overlayfs aus dem Weg zu gehen |
lttng-modules | Kompilierungsprobleme mit neueren Kernel-Versionen behoben |
lua5.3 | Use-after-free in lua_upvaluejoin (lapi.c) behoben [CVE-2019-6706]; Speicherzugriffsfehler in getlocal und setlocal (ldebug.c) abgestellt [CVE-2020-24370] |
mariadb-10.5 | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2022-47015] |
mujs | Sicherheitskorrektur |
ncurses | Laden von eigenen terminfo-Einträgen in setuid/setgid-Programmen verboten [CVE-2023-29491] |
node-css-what | Auf regulären Ausdrücken basierende Dienstblockade abgestellt [CVE-2022-21222 CVE-2021-33587] |
node-json5 | Prototype Pollution beseitigt [CVE-2022-46175] |
node-tough-cookie | Sicherheitskorrektur: Prototype Pollution [CVE-2023-26136] |
nvidia-graphics-drivers | Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516]; Kompatiblität mit neueren Kerneln verbessert |
nvidia-graphics-drivers-tesla-450 | Neue Veröffentlichung durch die Originalautoren [CVE-2023-25515 CVE-2023-25516] |
nvidia-graphics-drivers-tesla-470 | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2023-25515 CVE-2023-25516] |
openblas | Ergebnisse von DGEMM auf AVX512-fähiger Hardware, wenn das Paket auf vof-AVX2-Geräten kompiliert wurde, korrigiert |
openssh | Codeausführung aus der Ferne durch einen weitergeleiteten Agent-Socket unterbunden [CVE-2023-38408] |
openssl | Neue stabile Version der Originalautoren; Dienstblockade behoben [CVE-2023-3446 CVE-2023-3817] |
org-mode | Anfälligkeit für Befehlsinjektion korrigiert [CVE-2023-28617] |
pandoc | Eigenmächtige schreibende Dateizugriffe unterbunden [CVE-2023-35936 CVE-2023-38745] |
pev | Pufferüberlauf abgestellt [CVE-2021-45423] |
php-guzzlehttp-psr7 | Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197] |
php-nyholm-psr7 | Unzureichende Eingabeüberprüfung verbessert [CVE-2023-29197] |
postgis | Regression bei Achsenreihenfolge entfernt |
protobuf | Sicherheitskorrekturen: Dienstblockade in Java [CVE-2021-22569]; Nullzeiger-Dereferenzierung [CVE-2021-22570]; Speicher-Dienstblockade [CVE-2022-1941] |
python2.7 | parameter cloaking(Parameter-Verbergen) [CVE-2021-23336], URL-Injektion [CVE-2022-0391], Use-after-free [CVE-2022-48560], XML External Entity [CVE-2022-48565] behoben; zeitlich konstante Vergleiche in compare_digest() überarbeitet [CVE-2022-48566]; URL-Verarbeitung verbessert [CVE-2023-24329]; Lesen von unauthentifizierten Daten auf einem SSL-Socket verhindert [CVE-2023-40217] |
qemu | Endlosschleife behoben [CVE-2020-14394], Nullzeiger-Dereferenzierung [CVE-2021-20196], Ganzzahlüberlauf [CVE-2021-20203], Pufferüberlauf [CVE-2021-3507 CVE-2023-3180], Dienstblockade [CVE-2021-3930 CVE-2023-3301], Use-after-free [CVE-2022-0216], mögliche Ganzzahlüberläufe und Use-after-free [CVE-2023-0330], Lesezugriff außerhalb der Grenzen [CVE-2023-1544] |
rar | Neue Veröffentlichung durch die Originalautoren; Verzeichnisüberschreitung behoben [CVE-2022-30333]; Eigenmächtige Codeausführung unterbunden [CVE-2023-40477] |
rhonabwy | aesgcm-Pufferüberlauf behoben [CVE-2022-32096] |
roundcube | Neue stabile Version der Originalautoren; seitenübergreifendes Skripting unterbunden [CVE-2023-43770]; Enigma: Erstsynchronisierung der privaten Schlüssel korrigiert |
rust-cbindgen | Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen |
rustc-mozilla | Neue Version der Originalautoren, um die Kompilierung neuerer firefox-esr-Versionen zu unterstützen |
schleuder | Versionierte Abhängigkeit von ruby-activerecord hinzugeügt |
sgt-puzzles | Verschiedene Sicherheitsprobleme beim Laden von Spielen behoben [CVE-2023-24283 CVE-2023-24284 CVE-2023-24285 CVE-2023-24287 CVE-2023-24288 CVE-2023-24291] |
spip | Mehrere Sicherheitskorrekturen; Sicherheitskorrektur für erweiterte Authentifizierungsdaten-Filterung |
spyder | Fehlerhafte Korrektur aus vorheriger Aktualisierung nachgebessert |
systemd | Udev: Erstellung von symbolischen Links für USB-Geräte unter /dev/serial/by-id/ überarbeiet; Speicherleck beim Neuladen des Daemons geflickt; Hänger beim Berechnen der Kalenderdaten behoben, der beim Sommerzeit-/Winterzeitwechsel in der Zeitzone Europe/Dublin auftrat |
tang | Race Condition beim Erzeugen/Rotieren von Schlüsseln behoben; strenge Berechtigungen auf das Schlüsselverzeichnis anwenden [CVE-2023-1672]; tangd-rotate-keys ausführbar machen |
testng7 | Für künftige openjdk-17-Kompilate nach Oldstable zurückportiert |
tinyssh | Problemumgehung für eingehenden Pakete, die sich nicht an die Maximallänge halten |
unrar-nonfree | Problem mit Dateiüberschreitung behoben [CVE-2022-48579]; Codeausführung aus der Ferne abgestellt [CVE-2023-40477] |
xen | Neue stabile Version der Originalautoren; Sicherheitsprobleme behoben [CVE-2023-20593 CVE-2023-20569 CVE-2022-40982] |
yajl | Sicherheitskorrektur für Speicherleck; Sicherheitskorrekturen: potenzielle Dienstblockade mit speziell angefertigter JSON-Datei [CVE-2017-16516]; Heap-Speicher-Beschädigung beim Umgang mit großen (~2GB) Eingaben [CVE-2022-24795]; unvollständige Korrektur für CVE-2023-33460 fertiggestellt |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernet, die sich unserer Kontrolle entziehen:
Paket | Grund |
---|---|
atlas-cpp | Version der Originalautoren zu unbeständig für Debian |
ember-media | Version der Originalautoren zu unbeständig für Debian |
eris | Version der Originalautoren zu unbeständig für Debian |
libwfut | Version der Originalautoren zu unbeständig für Debian |
mercator | Version der Originalautoren zu unbeständig für Debian |
nomad | Sicherheitskorrekturen nicht länger verfügbar |
nomad-driver-lxc | hängt von nomad ab, das entfernt wird |
skstream | Version der Originalautoren zu unbeständig für Debian |
varconf | Version der Originalautoren zu unbeständig für Debian |
wfmath | Version der Originalautoren zu unbeständig für Debian |
Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Aktualisierungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Oldstable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.