Debian 9 aktualisiert: 9.3 veröffentlicht

9. Dezember 2017

Das Debian-Projekt freut sich, die dritte Aktualisierung seiner Stable-Veröffentlichung Debian 9 (Codename Stretch) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Please note that the point release does not constitute a new version of Debian 9 but only updates some of the packages included. There is no need to throw away old Stretch media. After installation, packages can be upgraded to the current versions using an up-to-date Debian mirror.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 9 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Stretch-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Stable-Veröffentlichung nimmt an den folgenden Paketen einige wichtige Korrekturen vor:

Paket	Grund
abiword	Flackern behoben
base-files	Aktualisierung auf die Zwischenveröffentlichung
berusky	Abstürze beim Start behoben, die mit diversen Grafikkarten-Konfigurationen in Verbindung stehen
charmtimetracker	Fehlende binäre Abhänigkeit von libqt5sql5-sqlite hinzgefügt
corebird	Maximale Tweet-Länge jetzt 280 Zeichen
dbus	Beim Auswerten der dbus-daemon-Konfiguration den Start nicht aufschieben, auch wenn noch keine hochqalitative Entropie verfügbar ist; bei Verwendung der Monitoring-Schnittstelle Nachrichten, die ein Ziel angeben, richtig filtern; listen()-Backlog von AF_UNIX-Sockets soweit möglich erhöhen, um die Anzahl fehlschlagender Verbindungsversuche unter großer Last zu minimieren
debian-edu-doc	Stretch-bezogene Dokumentation und Übersetzungen von Unstable und aus dem Wiki zusammenführen; documentation/common/edu.css.xml: HTML besser manuell lesbar machen
debian-installer	Neubau für neue Zwischenveröffentlichung
dehydrated	Neuer URL für Abonnenten-Lizenzabkommen
doit	nikola (<< 7.6.0-1~) bei Beschädigt: eingetragen, um seine Entfernung bei Upgrades von Jessie sicherzustellen
eclipse-titan	Neubau gegen aktuellen Stretch-GCC
fig2dev	Eingabeüberprüfung für FIG-Dateien hinzugefügt [CVE-2017-16899]; eingegebene Füllmuster überprüfen
flickcurl	OAuth-Token-Abruf überarbeitet; Doppel-Free-Korruption während Authentifizierung verhindern
flightgear	Schadhafte Erweiterungen/Add-Ons vom Außerkraftsetzen beliebiger Dateien abhalten [CVE-2017-13709]
ganeti	Originalautoren-Unterstützung für nicht-DSA-SSH-Schlüssel zurückportiert; Wegwechseln von toten Knoten (Failover) bei Verwendung von extstorage überarbeitet; Import/Export/Verschieben von Instanzen mit aktuellen Socat-Versionen überarbeitet
gdm3	Meherere Fehlerkorrekturen zurückportiert, um die XDMCP-Unterstützung hinzubekommen
getmail4	Problem in Verbindung mit fehlformatierten Fingerabdrücken gelöst
grok	Zeiger-Aliasing-Fehler behoben; libgrok-dev: fehlende Abhängigkeiten von libgrok1 und libtokyocabinet-dev nachgetragen
gunicorn	Unnötige Vor-Abhängigkeit von dpkg-dev entfernt, die dazu geführt hat, dass gunicorn und python-gunicorn einen Compiler als Paketabhängigkeit mitgeschleppt haben
icu	Doppel-Free in createMetazoneMappings() behoben [CVE-2017-14952]
inn2	[i386] Neubau, um den Pfad zur gzip-Binärdatei zu korrigieren
iproute2	Speicherzugriffsfehler bei tc mit iptables 1.6 behoben
jdcal	Python3-Abhängigkeiten überarbeitet
kde-gtk-config	Vorschau-Tasten in der KDE-GTK-Konfigurationsoberfläche überarbeitet
lasi	liblasi-dev: fehlende Abhängigkeiten von libpango1.0-dev und libfreetype6-dev nachgereicht
libdatetime-timezone-perl	Enthaltene Daten aktualisiert
libdbd-firebird-perl	Abruf von dezimalen(x,y) Werten zwischen -1 und 0 überarbeitet
libdbi	Error-Handler-Aufruf in dbi_result_next_row() wieder aktualisiert
liblog-log4perl-perl	Problem umgangen, dass Perl 5.24 syswrite und utf8 zusammen nicht mehr erlaubt
liblouis	Pufferüberlauf und Use-after-free-Probleme behoben [CVE-2017-13738 CVE-2017-13739 CVE-2017-13740 CVE-2017-13741 CVE-2017-13742 CVE-2017-13743 CVE-2017-13744]
libmpd	libmpd-dev: Fehlende Abhängigkeit von libglib2.0-dev nachgetragen
libofx	Sicherheitsproblemlösungen [CVE-2017-2816 CVE-2017-14731]
libxkbcommon	libxkbcommon-x11-dev: Fehlende Abhängigkeit von libxkbcommon-dev nachgetragen
libxsettings-client	Fehlende Abhängigkeit libxsettings-client-dev -> libxsettings-dev nachgetragen
linux	xen/time: Steal-time nach xen-Live-Migration nicht senken; neue stabile Kernel-Version 4.9.65
live-config	Automatische Anmeldung für KDE-/Plasma-Live-Abbilder konfiguriert
lxc	Liste der gültigen Debian-Veröffentlichungen nicht hartkodieren, sodass Container für Stable, Buster, Testing und Unstable erstellt werden können; keine C.*-Locales in /etc/locale.gen eintragen
mongodb	Speicherzugriffsfehler/FTBFS auf ARM64 mit virtuellen 48-bit-Adressen, spidermonkey-GC-Speicherzugriffsfehler, wenn mit GCC6 gebaut, behoben; mongodb.service: nach network.target starten
openssh	Vor dem Starten oder Neuladen von sshd unter systemd die Konfiguration testen; Kompatibilitätsmuster angepasst, sodass WinSCP korrekt die Versionen identifiziert, welche nur das veraltete DH-Group-Exchange-Schema implementieren; bei -- vor dem Hostnamen auch die Argumentsauswertung nach dem Hostnamen beenden
pdns	Inkorrekte qname-Großschreibung bei der NSEC3-Generierung überarbeitet; fehlende Prüfung bei API-Operationen hinzugefügt [CVE-2017-15091]
pdns-recursor	Sicherheitskorrekturen: Unzureichende Validierung von DNSSEC-Signaturen [CVE-2017-15090]; Cross-Site-Scripting auf der Weboberfläche [CVE-2017-15092]; Konfigurationsdatei-Injizierung im API [CVE-2017-15093]; Speicherleck bei DNSSEC-Auswertung [CVE-2017-15094]
postgresql-9.6	Fehlerkorrektur-Veröffentlichung der Originalautoren
publicsuffix	Enthaltene Daten aktualisiert
pyosmium	Fehlerkorrektur-Veröffentlichung der Originalautoren: Handler-Funktionen werden nicht aufgerufen, wenn ein Replikationsdienst oder Reader anstelle von File genutzt wird
python-diff-match-patch	Fehlende python3-Abhängigkeit vom Python-3-Paket nachgetragen
python-inflect	Python-3-Abhängigkeiten überarbeitet
python-tablib	YAML sicher laden [CVE-2017-2810]
python2.7	Ganzzahlüberlauf in PyString_DecodeEscape [CVE-2017-1000158] behoben; alle Gruppen in TLS-Kommunikation unterstützen
qtcurve	Abstürze durch Benutzung von strncmp() statt memcmp() behoben
ruby-httparty	Versionsabhängigkeit in gem-Abhängigkeit von json gelockert
ruby-ox	Absturz verhindern, wenn Oj.parse_obj() ungültiges XML zugeführt wird [CVE-2017-15928]
ruby-pygments.rb	Schließen von zu vielen Dateien beim Start von mentos verhindern, was zu Baufehlschlägen bei anderen Paketen führen kann, wenn das System nicht so schnell ist
schroot	Bash-Vervollständigungsdatei überarbeitet; systemd-Service-Datei mit Type=oneshot hinzugefügt, damit bei zu vielen offenen Sitzungen keine Zeitüberschreitungen auftreten
simutrans	Ton für simutrans wieder aktivieren. Umstellung vom SDL- auf das mixer_sdl-Backend
sitesummary	Nagios-Kernelversion-Prüfmodul angepasst, damit es bei 4.x-Kernels funktioniert
slic3r	Fehlende Abhängigkeit von perlapi-* hinzugefügt
spamassassin	bb.barracudacentral.org deaktiviert; systemd-Unit-File aktualisiert, damit sie dieselbe PID-Datei benutzt wie das SysV-Initskript; systemd-Unit-Abhängigkeiten angepasst, damit sie auch network und syslog enthalten; unpassenden Aufruf von invoke-rc.d im Cron-Skript korrigiert
sqldeveloper-package	Baufehlschläge behoben
sqlite3	Heap-basiertes Puffer-Überlesen wegen untergroßen RTree-Blobs behoben [CVE-2017-10989]
syslinux	Adressumlegung von logischen auf physische Blöcke in btrfs überarbeitet; Boot-Problem bei alter BIOS-Firmware durch korreke C/H/S-Reihenfolge behoben; 64-Bit-Funktionsmerkmal in ext4 unterstützen
tdbcodbc	Fehler in ODBC-Bibliothekssuche behoben
tor	Bastet-Verzeichnisautorität hinzugefügt; Timing-basierten Assertion-Fehlschlag behoben; geoip und geoip6 auf die Maxmind GeoLite2 Länderdatenbank vom 4. Oktober 2017 aktualisiert
tzdata	Neue Version der Originalautoren
udftools	Pfad zum pktsetup im udftools-Initskript behoben
weechat	logger: strftime vor dem Ersetzen von pufferlokalen Variablen aufrufen [CVE-2017-14727]
xml2	Korrumpierung beim Umgang mit UTF-8-Dateien und der Verwendungs-Zeichenkette des 2csv-Werkzeugs behoben
xrdp	Hohe CPU-Last beim SSL-Herunterfahren behoben
zsh	Neubau, um die aktualisierten Bibliotheken für zsh-static hereinzuholen

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-3989	dnsmasq
DSA-3990	asterisk
DSA-3991	qemu
DSA-3992	curl
DSA-3993	tor
DSA-3994	nautilus
DSA-3995	libxfont
DSA-3996	ffmpeg
DSA-3997	wordpress
DSA-3998	nss
DSA-3999	wpa
DSA-4000	xorg-server
DSA-4001	yadifa
DSA-4003	libvirt
DSA-4004	jackson-databind
DSA-4006	mupdf
DSA-4007	curl
DSA-4008	wget
DSA-4009	shadowsocks-libev
DSA-4011	quagga
DSA-4013	openjpeg2
DSA-4014	thunderbird
DSA-4015	openjdk-8
DSA-4016	irssi
DSA-4017	openssl1.0
DSA-4018	openssl
DSA-4019	imagemagick
DSA-4020	chromium-browser
DSA-4021	otrs2
DSA-4023	slurm-llnl
DSA-4024	chromium-browser
DSA-4025	libpam4j
DSA-4026	bchunk
DSA-4028	postgresql-9.6
DSA-4029	postgresql-common
DSA-4030	roundcube
DSA-4031	ruby2.3
DSA-4032	imagemagick
DSA-4033	konversation
DSA-4034	varnish
DSA-4035	firefox-esr
DSA-4036	mediawiki
DSA-4037	jackson-databind
DSA-4038	shibboleth-sp2
DSA-4039	opensaml2
DSA-4041	procmail
DSA-4042	libxml-libxml-perl
DSA-4043	samba
DSA-4044	swauth
DSA-4045	vlc
DSA-4047	otrs2
DSA-4049	ffmpeg
DSA-4050	xen
DSA-4051	curl
DSA-4052	bzr
DSA-4053	exim4

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
libnet-ping-external-perl	Unbetreut, Sicherheitsprobleme

Debian-Installer

Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

Die derzeitige Stable-Distribution:

http://ftp.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

http://ftp.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Kraft und Zeit einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter https://www.debian.org/, schicken eine E-Mail an <press@debian.org>, oder kontaktieren das Stable-Release-Team auf Englisch über <debian-release@lists.debian.org>.