Debian 11 aktualisiert: 11.3 veröffentlicht

26. März 2022

Das Debian-Projekt freut sich, die dritte Aktualisierung seiner Stable-Distribution Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket	Grund
apache-log4j1.2	Sicherheitsprobleme [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] durch Entfernen der Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul behoben
apache-log4j2	Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832]
apache2	Neue Veröffentlichung der Originalautoren; Absturz wegen zufälliger Speicherlesung behoben [CVE-2022-22719]; HTTP-Anfrageschmuggel beseitigt [CVE-2022-22720]; Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-22721 CVE-2022-23943]
atftp	Informationsleck abgedichtet [CVE-2021-46671]
base-files	Aktualisierung auf die Zwischenveröffentlichung 11.3
bible-kjv	Off-by-one-Error (Um-eins-daneben-Fehler) in der Suche behoben
chrony	Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben
cinnamon	Absturz beim Hinzufügen eines Online-Accounts mit Anmeldung behoben
clamav	Neue stabile Version der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698]
cups-filters	Apparmor: Lesen in Debian Edus cups-browsed-Konfigurationsdatei erlauben
dask.distributed	Unerwünschtes Abhören der öffentlichen Schnittstellen durch Worker unterbunden [CVE-2021-42343]; Kompatibilität mit Python 3.9 verbessert
debian-installer	Neukompilierung gegen proposed-updates; Linux-Kernel-ABI auf 5.10.0-13 angehoben
debian-installer-netboot-images	Neukompilierung gegen proposed-updates
debian-ports-archive-keyring	Debian Ports Archive Automatic Signing Key (2023) hinzugefügt; 2021er-Signierschlüssel in den removed-Schlüsselbund umgehängt
django-allauth	OpenID-Unterstützung überarbeitet
djbdns	Datenbegrenzungen für axfrdns, dnscache und tinydns angehoben
dpdk	Neue stabile Version der Originalautoren
e2guardian	Problem mit fehlender SSL-Zertifikatsvalidierung behoben [CVE-2021-44273]
epiphany-browser	Fehler in GLib umgangen, um einen Absturz des UI-Prozesses loszuwerden
espeak-ng	Merkwürdige 50ms-Verzögerung beim Verarbeiten von Events beseitigt
espeakup	debian/espeakup.service: espeakup vor System-Überlastungen beschützen
fcitx5-chinese-addons	fcitx5-table: fehlende Abhängigkeiten von fcitx5-module-pinyinhelper und fcitx5-module-punctuation hinzugefügt
flac	Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2021-0561]
freerdp2	Zuätzliche Fehlersuchprotokollierung abgeschaltet
galera-3	Neue Veröffentlichung der Originalautoren
galera-4	Neue Veröffentlichung der Originalautoren
gbonds	Treasury-API für Auszahlungsdaten verwenden
glewlwyd	Mögliche Privilegieneskalation behoben
glibc	Schlechte Umwandlung von ISO-2022-JP-3 mit iconv behoben [CVE-2021-43396]; Probleme mit Pufferüberlauf behoben [CVE-2022-23218 CVE-2022-23219]; Weiternutzung abgegebenen Speichers (use-after-free) abgestellt [CVE-2021-33574]; Austauschen älterer Versionen von /etc/nsswitch.conf unterbunden; Überprüfung der unterstützten Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht länger unterstützt werden; Unterstützung der Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb von 255 hinzugefügt
glx-alternatives	Nach dem ersten Einrichten der Umleitungen eine Minimalversion der umgeleiteten Dateien installieren, sodass die Bibliotheken nicht vermisst werden, bis glx-alternative-mesa seine Trigger verarbeitet hat
gnupg2	scd: CCID-Treiber für SCM SPR332/SPR532 überarbeitet; Netzwerkinteraktion im Generator vermeiden, weil diese zu Hängern führen kann
gnuplot	Teilung durch null abgestellt [CVE-2021-44917]
golang-1.15	IsOnCurve für big.Int-Werte, die keine gültigen Koordinaten sind, behoben [CVE-2022-23806]; math/big: Speicher-Großverbrauch in Rat.SetString verhindert [CVE-2022-23772]; cmd/go: Zweige davon abhalten, sich als Versionen zu verselbstsändigen [CVE-2022-23773]; Stack-Erschöpfung beim Kompilieren von tief verschachtelten Ausdrücken behoben [CVE-2022-24921]
golang-github-containers-common	seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
golang-github-opencontainers-specs	seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
gtk+3.0	Fehlende Suchergebnisse bei Verwendung von NFS wiederhergestellt; Waylands Zwischenablagenroutinen davon abgehalten, in gewissen Spezialfällen einzufrieren; Druck auf per mDNS entdeckten Druckern verbessert
heartbeat	Erstellung von /run/heartbeat auf Systemen mit systemd überarbeitet
htmldoc	Lesezugriff außerhalb der Grenzen abgestellt [CVE-2022-0534]
installation-guide	Dokumentation und Übersetzungen aktualisiert
intel-microcode	Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
ldap2zone	mktemp anstelle des veralteten tempfile verwenden, um Warnungen zu vermeiden
lemonldap-ng	Authentifizierungsprozess in Passwort-Test-Plugins überarbeitet [CVE-2021-40874]
libarchive	Extraktion von Hardlinks zu symbolischen Links überarbeitet; Umgang mit ACLs von symbolischen Links überarbeitet [CVE-2021-23177]; beim Setzen von Datei-Flags niemals symbolischen Links folgen [CVE-2021-31566]
libdatetime-timezone-perl	Enthaltene Daten aktualisiert
libgdal-grass	Neukompilierung gegen grass 7.8.5-1+deb11u1
libpod	seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
libxml2	Weiterverwendung von abgegebenem Speicher (use-after-free) abgestellt [CVE-2022-23308]
linux	Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-amd64	Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-arm64	Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-i386	Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
mariadb-10.5	Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
mpich	»Beschädigt:« bei älteren Versionen von libmpich1.0-dev hinzugefügt, um einige Upgrade-Probleme zu lösen
mujs	Problem mit Pufferüberlauf behoben [CVE-2021-45005]
mutter	Verschiedene Korrekturen aus dem stabilen Zweig der Originalautoren zurückportiert
node-cached-path-relative	Prototype Pollution behoben [CVE-2021-23518]
node-fetch	Keine sicheren Kopfzeilen an Domains von Dritten weiterleiten [CVE-2022-0235]
node-follow-redirects	Die Cookie-Kopfzeile nicht über Domains hinweg weiterleiten [CVE-2022-0155]; keine vertraulichen Kopfzeilen über Schemata hinweg weiterleiten [CVE-2022-0536]
node-markdown-it	Auf regulären Ausdrücken basierende Dienstblockade verhindert[CVE-2022-21670]
node-nth-check	Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-3803]
node-prismjs	Markup in Befehlszeilenausgabe maskieren [CVE-2022-23647]; minifizierte Dateien aktualisiert, um sicherzustellen, dass die RegEx-basierte Dienstblockade behoben ist [CVE-2021-3801]
node-trim-newlines	Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-33623]
nvidia-cuda-toolkit	cuda-gdb: Nicht-funktionierende Python-Unterstützung abgestellt, weil sie Speicherzugriffsfehler verursacht; Schnappschuss von openjdk-8-jre verwenden (8u312-b07-1)
nvidia-graphics-drivers-tesla-450	Neue Veröffentlichung der Originalautoren; Probleme mit Dienstblockaden behoben [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: /etc/modprobe.d/nvidia-options.conf als Vorlage anbieten
nvidia-modprobe	Neue Veröffentlichung der Originalautoren
openboard	Anwendungssymbol korrigiert
openssl	Neue Veröffentlichung der Originalautoren; armv8-Zeiger-Authentifikation überarbeitet
openvswitch	Weitverwendung von abgegebenem Speicher (use-after-free) behoben [CVE-2021-36980]; Installationsprozess von libofproto korrigiert
ostree	Kompatiblität mit eCryptFS verbessert; unendliche Rekursion bei der Wiederherstellung nach gewissen Fehlern verhindert; Commits vor dem Herunterladen als »partial« (teilweise) markieren; Assertionsfehlschlag behoben, der auftritt, wenn eine Rückportierung oder eine lokal kompilierte Version von GLib >= 2.71 verwendet wird; Fähigkeit zum Abholen von OSTree-Inhalten von Pfaden, die Nicht-URI-Zeichen (wie umgekehrten Schrägstrichen) oder Nicht-ASCII-Zeichen enthalten, überarbeitet
pdb2pqr	Kompatiblität von propka mit Python 3.8 oder höher verbessert
php-crypt-gpg	Verhindert, dass zusätzliche Optionen an GPG weitergegeben werden [CVE-2022-24953]
php-laravel-framework	Problem mit seitenübergreifendem Skripting behoben [CVE-2021-43808], fehlende Blockierung für Hochladen von ausführbaren Inhalten nachgereicht [CVE-2021-43617]
phpliteadmin	Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709]
prips	Unendlichen Umbruch, wenn ein Bereich an 255.255.255.255 stößt, behoben; CIDR-Ausgabe mit Adressen, die sich in ihrem ersten Bit unterscheiden, überarbeitet
pypy3	Kompilierungsfehlschläge durch Entfernen eines überflüssigen #endif aus import.h behoben
python-django	Probleme mit Dienstblockade [CVE-2021-45115], Informationsoffenlegung [CVE-2021-45116], Verzeichnisüberschreitung [CVE-2021-45452] behoben; Traceback im Rahmen der Handhabung von RequestSite/get_current_site() wegen eines Kreisimports behoben
python-pip	Race-Condition bei Verwendung von per ZIP importierten Abhängigkeiten behoben
rust-cbindgen	Neue stabile Version der Originalautoren, um Kompilierungen neuerer firefox-esr- und thunderbird-Versionen zu ermöglichen
s390-dasd	Durchreichen der missbilligten Option -f an dasdfmt abgestellt
schleuder	Bool-Werte nach Integer migrieren, wenn der ActiveRecord-SQLite3-Verbindungsadapter verwendet wird, sodass die Funktionalität wiederhergestellt wird
sphinx-bootstrap-theme	Suchfunktion überarbeitet
spip	Mehrere Probleme mit seitenübergreifendem Skripting behoben
symfony	CVE-Injektion abgestellt [CVE-2021-41270]
systemd	Unkontrollierte Rekursion in systemd-tmp-Dateien beseitigt [CVE-2021-3997]; systemd-timesyncd von der Abhängigkeit zur Empfehlung degradiert, um einen Abhängigkeitskreis aufzubrechen; Fehlschlag beim bind-Einhängen eines Verzeichnisses in einen Container via machinectl behoben; Regression in udev entfernt, die zu langen Verzögerungen beim Verarbeiten von Partitionen mit der selben Bezeichnung geführt haben; Regression bei der Verwendung von systemd-networkd in einem unprivilegierten LXD-Container entfernt
sysvinit	Auswertung von shutdown +0 korrigiert; klargestellt, dass das Herunterfahren nicht beendet wird, wenn shutdown mit einer time (Zeit) aufgerufen wird
tasksel	CUPS für alle *-desktop-Aufgaben einrichten, weil task-print-service nicht mehr existiert
usb.ids	Enthaltene Daten aktualisiert
weechat	Problem mit Dienstblockade behoben [CVE-2021-40516]
wolfssl	Mehrere Problem behoben, die sich auf OCSP-Handhabung [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] und TLS1.3-Unterstützung beziehen [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel	SIGILL-Absturz auf nicht-SSE2-CPUs behoben
xterm	Pufferüberlauf behoben [CVE-2022-24130]
zziplib	Dienstblockade behoben [CVE-2020-18442]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-5000	openjdk-11
DSA-5001	redis
DSA-5012	openjdk-17
DSA-5021	mediawiki
DSA-5023	modsecurity-apache
DSA-5024	apache-log4j2
DSA-5025	tang
DSA-5027	xorg-server
DSA-5028	spip
DSA-5029	sogo
DSA-5030	webkit2gtk
DSA-5031	wpewebkit
DSA-5033	fort-validator
DSA-5035	apache2
DSA-5037	roundcube
DSA-5038	ghostscript
DSA-5039	wordpress
DSA-5040	lighttpd
DSA-5041	cfrpki
DSA-5042	epiphany-browser
DSA-5043	lxml
DSA-5046	chromium
DSA-5047	prosody
DSA-5048	libreswan
DSA-5049	flatpak-builder
DSA-5049	flatpak
DSA-5050	linux-signed-amd64
DSA-5050	linux-signed-arm64
DSA-5050	linux-signed-i386
DSA-5050	linux
DSA-5051	aide
DSA-5052	usbview
DSA-5053	pillow
DSA-5054	chromium
DSA-5055	util-linux
DSA-5056	strongswan
DSA-5057	openjdk-11
DSA-5058	openjdk-17
DSA-5059	policykit-1
DSA-5060	webkit2gtk
DSA-5061	wpewebkit
DSA-5062	nss
DSA-5063	uriparser
DSA-5064	python-nbxmpp
DSA-5065	ipython
DSA-5067	ruby2.7
DSA-5068	chromium
DSA-5070	cryptsetup
DSA-5071	samba
DSA-5072	debian-edu-config
DSA-5073	expat
DSA-5075	minetest
DSA-5076	h2database
DSA-5077	librecad
DSA-5078	zsh
DSA-5079	chromium
DSA-5080	snapd
DSA-5081	redis
DSA-5082	php7.4
DSA-5083	webkit2gtk
DSA-5084	wpewebkit
DSA-5085	expat
DSA-5087	cyrus-sasl2
DSA-5088	varnish
DSA-5089	chromium
DSA-5091	containerd
DSA-5092	linux-signed-amd64
DSA-5092	linux-signed-arm64
DSA-5092	linux-signed-i386
DSA-5092	linux
DSA-5093	spip
DSA-5095	linux-signed-amd64
DSA-5095	linux-signed-arm64
DSA-5095	linux-signed-i386
DSA-5095	linux
DSA-5098	tryton-server
DSA-5099	tryton-proteus
DSA-5100	nbd
DSA-5101	libphp-adodb
DSA-5102	haproxy
DSA-5103	openssl
DSA-5104	chromium
DSA-5105	bind9

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen::

Paket	Grund
angular-maven-plugin	Nützt nichts mehr
minify-maven-plugin	Nützt nichts mehr

Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.