Debian 11 aktualisiert: 11.3 veröffentlicht
26. März 2022
Das Debian-Projekt freut sich, die dritte Aktualisierung seiner Stable-Distribution
Debian 11 (Codename Bullseye
) ankündigen zu dürfen. Diese
Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung
sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen
veröffentlicht worden, auf die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von
Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt.
Es gibt keinen Grund, Bullseye
-Medien zu entsorgen, da deren Pakete
auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf
den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerbehebungen
Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
Paket | Grund |
---|---|
apache-log4j1.2 | Sicherheitsprobleme [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] durch Entfernen der Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul behoben |
apache-log4j2 | Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832] |
apache2 | Neue Veröffentlichung der Originalautoren; Absturz wegen zufälliger Speicherlesung behoben [CVE-2022-22719]; HTTP-Anfrageschmuggel beseitigt [CVE-2022-22720]; Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-22721 CVE-2022-23943] |
atftp | Informationsleck abgedichtet [CVE-2021-46671] |
base-files | Aktualisierung auf die Zwischenveröffentlichung 11.3 |
bible-kjv | Off-by-one-Error (Um-eins-daneben-Fehler) in der Suche behoben |
chrony | Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben |
cinnamon | Absturz beim Hinzufügen eines Online-Accounts mit Anmeldung behoben |
clamav | Neue stabile Version der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698] |
cups-filters | Apparmor: Lesen in Debian Edus cups-browsed-Konfigurationsdatei erlauben |
dask.distributed | Unerwünschtes Abhören der öffentlichen Schnittstellen durch Worker unterbunden [CVE-2021-42343]; Kompatibilität mit Python 3.9 verbessert |
debian-installer | Neukompilierung gegen proposed-updates; Linux-Kernel-ABI auf 5.10.0-13 angehoben |
debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
debian-ports-archive-keyring | Debian Ports Archive Automatic Signing Key (2023)hinzugefügt; 2021er-Signierschlüssel in den removed-Schlüsselbund umgehängt |
django-allauth | OpenID-Unterstützung überarbeitet |
djbdns | Datenbegrenzungen für axfrdns, dnscache und tinydns angehoben |
dpdk | Neue stabile Version der Originalautoren |
e2guardian | Problem mit fehlender SSL-Zertifikatsvalidierung behoben [CVE-2021-44273] |
epiphany-browser | Fehler in GLib umgangen, um einen Absturz des UI-Prozesses loszuwerden |
espeak-ng | Merkwürdige 50ms-Verzögerung beim Verarbeiten von Events beseitigt |
espeakup | debian/espeakup.service: espeakup vor System-Überlastungen beschützen |
fcitx5-chinese-addons | fcitx5-table: fehlende Abhängigkeiten von fcitx5-module-pinyinhelper und fcitx5-module-punctuation hinzugefügt |
flac | Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2021-0561] |
freerdp2 | Zuätzliche Fehlersuchprotokollierung abgeschaltet |
galera-3 | Neue Veröffentlichung der Originalautoren |
galera-4 | Neue Veröffentlichung der Originalautoren |
gbonds | Treasury-API für Auszahlungsdaten verwenden |
glewlwyd | Mögliche Privilegieneskalation behoben |
glibc | Schlechte Umwandlung von ISO-2022-JP-3 mit iconv behoben [CVE-2021-43396]; Probleme mit Pufferüberlauf behoben [CVE-2022-23218 CVE-2022-23219]; Weiternutzung abgegebenen Speichers (use-after-free) abgestellt [CVE-2021-33574]; Austauschen älterer Versionen von /etc/nsswitch.conf unterbunden; Überprüfung der unterstützten Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht länger unterstützt werden; Unterstützung der Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb von 255 hinzugefügt |
glx-alternatives | Nach dem ersten Einrichten der Umleitungen eine Minimalversion der umgeleiteten Dateien installieren, sodass die Bibliotheken nicht vermisst werden, bis glx-alternative-mesa seine Trigger verarbeitet hat |
gnupg2 | scd: CCID-Treiber für SCM SPR332/SPR532 überarbeitet; Netzwerkinteraktion im Generator vermeiden, weil diese zu Hängern führen kann |
gnuplot | Teilung durch null abgestellt [CVE-2021-44917] |
golang-1.15 | IsOnCurve für big.Int-Werte, die keine gültigen Koordinaten sind, behoben [CVE-2022-23806]; math/big: Speicher-Großverbrauch in Rat.SetString verhindert [CVE-2022-23772]; cmd/go: Zweige davon abhalten, sich als Versionen zu verselbstsändigen [CVE-2022-23773]; Stack-Erschöpfung beim Kompilieren von tief verschachtelten Ausdrücken behoben [CVE-2022-24921] |
golang-github-containers-common | seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können |
golang-github-opencontainers-specs | seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können |
gtk+3.0 | Fehlende Suchergebnisse bei Verwendung von NFS wiederhergestellt; Waylands Zwischenablagenroutinen davon abgehalten, in gewissen Spezialfällen einzufrieren; Druck auf per mDNS entdeckten Druckern verbessert |
heartbeat | Erstellung von /run/heartbeat auf Systemen mit systemd überarbeitet |
htmldoc | Lesezugriff außerhalb der Grenzen abgestellt [CVE-2022-0534] |
installation-guide | Dokumentation und Übersetzungen aktualisiert |
intel-microcode | Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] |
ldap2zone | mktempanstelle des veralteten tempfileverwenden, um Warnungen zu vermeiden |
lemonldap-ng | Authentifizierungsprozess in Passwort-Test-Plugins überarbeitet [CVE-2021-40874] |
libarchive | Extraktion von Hardlinks zu symbolischen Links überarbeitet; Umgang mit ACLs von symbolischen Links überarbeitet [CVE-2021-23177]; beim Setzen von Datei-Flags niemals symbolischen Links folgen [CVE-2021-31566] |
libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
libgdal-grass | Neukompilierung gegen grass 7.8.5-1+deb11u1 |
libpod | seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können |
libxml2 | Weiterverwendung von abgegebenem Speicher (use-after-free) abgestellt [CVE-2022-23308] |
linux | Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben |
linux-signed-amd64 | Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben |
linux-signed-arm64 | Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben |
linux-signed-i386 | Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben |
mariadb-10.5 | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] |
mpich | »Beschädigt:« bei älteren Versionen von libmpich1.0-dev hinzugefügt, um einige Upgrade-Probleme zu lösen |
mujs | Problem mit Pufferüberlauf behoben [CVE-2021-45005] |
mutter | Verschiedene Korrekturen aus dem stabilen Zweig der Originalautoren zurückportiert |
node-cached-path-relative | Prototype Pollution behoben [CVE-2021-23518] |
node-fetch | Keine sicheren Kopfzeilen an Domains von Dritten weiterleiten [CVE-2022-0235] |
node-follow-redirects | Die Cookie-Kopfzeile nicht über Domains hinweg weiterleiten [CVE-2022-0155]; keine vertraulichen Kopfzeilen über Schemata hinweg weiterleiten [CVE-2022-0536] |
node-markdown-it | Auf regulären Ausdrücken basierende Dienstblockade verhindert[CVE-2022-21670] |
node-nth-check | Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-3803] |
node-prismjs | Markup in Befehlszeilenausgabe maskieren [CVE-2022-23647]; minifizierte Dateien aktualisiert, um sicherzustellen, dass die RegEx-basierte Dienstblockade behoben ist [CVE-2021-3801] |
node-trim-newlines | Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-33623] |
nvidia-cuda-toolkit | cuda-gdb: Nicht-funktionierende Python-Unterstützung abgestellt, weil sie Speicherzugriffsfehler verursacht; Schnappschuss von openjdk-8-jre verwenden (8u312-b07-1) |
nvidia-graphics-drivers-tesla-450 | Neue Veröffentlichung der Originalautoren; Probleme mit Dienstblockaden behoben [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: /etc/modprobe.d/nvidia-options.conf als Vorlage anbieten |
nvidia-modprobe | Neue Veröffentlichung der Originalautoren |
openboard | Anwendungssymbol korrigiert |
openssl | Neue Veröffentlichung der Originalautoren; armv8-Zeiger-Authentifikation überarbeitet |
openvswitch | Weitverwendung von abgegebenem Speicher (use-after-free) behoben [CVE-2021-36980]; Installationsprozess von libofproto korrigiert |
ostree | Kompatiblität mit eCryptFS verbessert; unendliche Rekursion bei der Wiederherstellung nach gewissen Fehlern verhindert; Commits vor dem Herunterladen als »partial« (teilweise) markieren; Assertionsfehlschlag behoben, der auftritt, wenn eine Rückportierung oder eine lokal kompilierte Version von GLib >= 2.71 verwendet wird; Fähigkeit zum Abholen von OSTree-Inhalten von Pfaden, die Nicht-URI-Zeichen (wie umgekehrten Schrägstrichen) oder Nicht-ASCII-Zeichen enthalten, überarbeitet |
pdb2pqr | Kompatiblität von propka mit Python 3.8 oder höher verbessert |
php-crypt-gpg | Verhindert, dass zusätzliche Optionen an GPG weitergegeben werden [CVE-2022-24953] |
php-laravel-framework | Problem mit seitenübergreifendem Skripting behoben [CVE-2021-43808], fehlende Blockierung für Hochladen von ausführbaren Inhalten nachgereicht [CVE-2021-43617] |
phpliteadmin | Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709] |
prips | Unendlichen Umbruch, wenn ein Bereich an 255.255.255.255 stößt, behoben; CIDR-Ausgabe mit Adressen, die sich in ihrem ersten Bit unterscheiden, überarbeitet |
pypy3 | Kompilierungsfehlschläge durch Entfernen eines überflüssigen #endif aus import.h behoben |
python-django | Probleme mit Dienstblockade [CVE-2021-45115], Informationsoffenlegung [CVE-2021-45116], Verzeichnisüberschreitung [CVE-2021-45452] behoben; Traceback im Rahmen der Handhabung von RequestSite/get_current_site() wegen eines Kreisimports behoben |
python-pip | Race-Condition bei Verwendung von per ZIP importierten Abhängigkeiten behoben |
rust-cbindgen | Neue stabile Version der Originalautoren, um Kompilierungen neuerer firefox-esr- und thunderbird-Versionen zu ermöglichen |
s390-dasd | Durchreichen der missbilligten Option -f an dasdfmt abgestellt |
schleuder | Bool-Werte nach Integer migrieren, wenn der ActiveRecord-SQLite3-Verbindungsadapter verwendet wird, sodass die Funktionalität wiederhergestellt wird |
sphinx-bootstrap-theme | Suchfunktion überarbeitet |
spip | Mehrere Probleme mit seitenübergreifendem Skripting behoben |
symfony | CVE-Injektion abgestellt [CVE-2021-41270] |
systemd | Unkontrollierte Rekursion in systemd-tmp-Dateien beseitigt [CVE-2021-3997]; systemd-timesyncd von der Abhängigkeit zur Empfehlung degradiert, um einen Abhängigkeitskreis aufzubrechen; Fehlschlag beim bind-Einhängen eines Verzeichnisses in einen Container via machinectl behoben; Regression in udev entfernt, die zu langen Verzögerungen beim Verarbeiten von Partitionen mit der selben Bezeichnung geführt haben; Regression bei der Verwendung von systemd-networkd in einem unprivilegierten LXD-Container entfernt |
sysvinit | Auswertung von shutdown +0korrigiert; klargestellt, dass das Herunterfahren nicht beendet wird, wenn shutdown mit einer time(Zeit) aufgerufen wird |
tasksel | CUPS für alle *-desktop-Aufgaben einrichten, weil task-print-service nicht mehr existiert |
usb.ids | Enthaltene Daten aktualisiert |
weechat | Problem mit Dienstblockade behoben [CVE-2021-40516] |
wolfssl | Mehrere Problem behoben, die sich auf OCSP-Handhabung [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] und TLS1.3-Unterstützung beziehen [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640] |
xserver-xorg-video-intel | SIGILL-Absturz auf nicht-SSE2-CPUs behoben |
xterm | Pufferüberlauf behoben [CVE-2022-24130] |
zziplib | Dienstblockade behoben [CVE-2020-18442] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen::
Paket | Grund |
---|---|
angular-maven-plugin | Nützt nichts mehr |
minify-maven-plugin | Nützt nichts mehr |
Debian-Installer
Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.