Debian 11 aktualisiert: 11.3 veröffentlicht

26. März 2022

Das Debian-Projekt freut sich, die dritte Aktualisierung seiner Stable-Distribution Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
apache-log4j1.2 Sicherheitsprobleme [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] durch Entfernen der Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul behoben
apache-log4j2 Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832]
apache2 Neue Veröffentlichung der Originalautoren; Absturz wegen zufälliger Speicherlesung behoben [CVE-2022-22719]; HTTP-Anfrageschmuggel beseitigt [CVE-2022-22720]; Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-22721 CVE-2022-23943]
atftp Informationsleck abgedichtet [CVE-2021-46671]
base-files Aktualisierung auf die Zwischenveröffentlichung 11.3
bible-kjv Off-by-one-Error (Um-eins-daneben-Fehler) in der Suche behoben
chrony Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben
cinnamon Absturz beim Hinzufügen eines Online-Accounts mit Anmeldung behoben
clamav Neue stabile Version der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698]
cups-filters Apparmor: Lesen in Debian Edus cups-browsed-Konfigurationsdatei erlauben
dask.distributed Unerwünschtes Abhören der öffentlichen Schnittstellen durch Worker unterbunden [CVE-2021-42343]; Kompatibilität mit Python 3.9 verbessert
debian-installer Neukompilierung gegen proposed-updates; Linux-Kernel-ABI auf 5.10.0-13 angehoben
debian-installer-netboot-images Neukompilierung gegen proposed-updates
debian-ports-archive-keyring Debian Ports Archive Automatic Signing Key (2023) hinzugefügt; 2021er-Signierschlüssel in den removed-Schlüsselbund umgehängt
django-allauth OpenID-Unterstützung überarbeitet
djbdns Datenbegrenzungen für axfrdns, dnscache und tinydns angehoben
dpdk Neue stabile Version der Originalautoren
e2guardian Problem mit fehlender SSL-Zertifikatsvalidierung behoben [CVE-2021-44273]
epiphany-browser Fehler in GLib umgangen, um einen Absturz des UI-Prozesses loszuwerden
espeak-ng Merkwürdige 50ms-Verzögerung beim Verarbeiten von Events beseitigt
espeakup debian/espeakup.service: espeakup vor System-Überlastungen beschützen
fcitx5-chinese-addons fcitx5-table: fehlende Abhängigkeiten von fcitx5-module-pinyinhelper und fcitx5-module-punctuation hinzugefügt
flac Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2021-0561]
freerdp2 Zuätzliche Fehlersuchprotokollierung abgeschaltet
galera-3 Neue Veröffentlichung der Originalautoren
galera-4 Neue Veröffentlichung der Originalautoren
gbonds Treasury-API für Auszahlungsdaten verwenden
glewlwyd Mögliche Privilegieneskalation behoben
glibc Schlechte Umwandlung von ISO-2022-JP-3 mit iconv behoben [CVE-2021-43396]; Probleme mit Pufferüberlauf behoben [CVE-2022-23218 CVE-2022-23219]; Weiternutzung abgegebenen Speichers (use-after-free) abgestellt [CVE-2021-33574]; Austauschen älterer Versionen von /etc/nsswitch.conf unterbunden; Überprüfung der unterstützten Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht länger unterstützt werden; Unterstützung der Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb von 255 hinzugefügt
glx-alternatives Nach dem ersten Einrichten der Umleitungen eine Minimalversion der umgeleiteten Dateien installieren, sodass die Bibliotheken nicht vermisst werden, bis glx-alternative-mesa seine Trigger verarbeitet hat
gnupg2 scd: CCID-Treiber für SCM SPR332/SPR532 überarbeitet; Netzwerkinteraktion im Generator vermeiden, weil diese zu Hängern führen kann
gnuplot Teilung durch null abgestellt [CVE-2021-44917]
golang-1.15 IsOnCurve für big.Int-Werte, die keine gültigen Koordinaten sind, behoben [CVE-2022-23806]; math/big: Speicher-Großverbrauch in Rat.SetString verhindert [CVE-2022-23772]; cmd/go: Zweige davon abhalten, sich als Versionen zu verselbstsändigen [CVE-2022-23773]; Stack-Erschöpfung beim Kompilieren von tief verschachtelten Ausdrücken behoben [CVE-2022-24921]
golang-github-containers-common seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
golang-github-opencontainers-specs seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
gtk+3.0 Fehlende Suchergebnisse bei Verwendung von NFS wiederhergestellt; Waylands Zwischenablagenroutinen davon abgehalten, in gewissen Spezialfällen einzufrieren; Druck auf per mDNS entdeckten Druckern verbessert
heartbeat Erstellung von /run/heartbeat auf Systemen mit systemd überarbeitet
htmldoc Lesezugriff außerhalb der Grenzen abgestellt [CVE-2022-0534]
installation-guide Dokumentation und Übersetzungen aktualisiert
intel-microcode Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
ldap2zone mktemp anstelle des veralteten tempfile verwenden, um Warnungen zu vermeiden
lemonldap-ng Authentifizierungsprozess in Passwort-Test-Plugins überarbeitet [CVE-2021-40874]
libarchive Extraktion von Hardlinks zu symbolischen Links überarbeitet; Umgang mit ACLs von symbolischen Links überarbeitet [CVE-2021-23177]; beim Setzen von Datei-Flags niemals symbolischen Links folgen [CVE-2021-31566]
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libgdal-grass Neukompilierung gegen grass 7.8.5-1+deb11u1
libpod seccomp-Unterstützung aktualisiert, damit auch neuere Kernel-Versionen verwendet werden können
libxml2 Weiterverwendung von abgegebenem Speicher (use-after-free) abgestellt [CVE-2022-23308]
linux Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-amd64 Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-arm64 Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
linux-signed-i386 Neue stabile Version der Originalautoren; [rt] Aktualisierung auf 5.10.106-rt64; ABI auf 13 angehoben
mariadb-10.5 Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
mpich »Beschädigt:« bei älteren Versionen von libmpich1.0-dev hinzugefügt, um einige Upgrade-Probleme zu lösen
mujs Problem mit Pufferüberlauf behoben [CVE-2021-45005]
mutter Verschiedene Korrekturen aus dem stabilen Zweig der Originalautoren zurückportiert
node-cached-path-relative Prototype Pollution behoben [CVE-2021-23518]
node-fetch Keine sicheren Kopfzeilen an Domains von Dritten weiterleiten [CVE-2022-0235]
node-follow-redirects Die Cookie-Kopfzeile nicht über Domains hinweg weiterleiten [CVE-2022-0155]; keine vertraulichen Kopfzeilen über Schemata hinweg weiterleiten [CVE-2022-0536]
node-markdown-it Auf regulären Ausdrücken basierende Dienstblockade verhindert[CVE-2022-21670]
node-nth-check Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-3803]
node-prismjs Markup in Befehlszeilenausgabe maskieren [CVE-2022-23647]; minifizierte Dateien aktualisiert, um sicherzustellen, dass die RegEx-basierte Dienstblockade behoben ist [CVE-2021-3801]
node-trim-newlines Auf regulären Ausdrücken basierende Dienstblockade verhindert [CVE-2021-33623]
nvidia-cuda-toolkit cuda-gdb: Nicht-funktionierende Python-Unterstützung abgestellt, weil sie Speicherzugriffsfehler verursacht; Schnappschuss von openjdk-8-jre verwenden (8u312-b07-1)
nvidia-graphics-drivers-tesla-450 Neue Veröffentlichung der Originalautoren; Probleme mit Dienstblockaden behoben [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: /etc/modprobe.d/nvidia-options.conf als Vorlage anbieten
nvidia-modprobe Neue Veröffentlichung der Originalautoren
openboard Anwendungssymbol korrigiert
openssl Neue Veröffentlichung der Originalautoren; armv8-Zeiger-Authentifikation überarbeitet
openvswitch Weitverwendung von abgegebenem Speicher (use-after-free) behoben [CVE-2021-36980]; Installationsprozess von libofproto korrigiert
ostree Kompatiblität mit eCryptFS verbessert; unendliche Rekursion bei der Wiederherstellung nach gewissen Fehlern verhindert; Commits vor dem Herunterladen als »partial« (teilweise) markieren; Assertionsfehlschlag behoben, der auftritt, wenn eine Rückportierung oder eine lokal kompilierte Version von GLib >= 2.71 verwendet wird; Fähigkeit zum Abholen von OSTree-Inhalten von Pfaden, die Nicht-URI-Zeichen (wie umgekehrten Schrägstrichen) oder Nicht-ASCII-Zeichen enthalten, überarbeitet
pdb2pqr Kompatiblität von propka mit Python 3.8 oder höher verbessert
php-crypt-gpg Verhindert, dass zusätzliche Optionen an GPG weitergegeben werden [CVE-2022-24953]
php-laravel-framework Problem mit seitenübergreifendem Skripting behoben [CVE-2021-43808], fehlende Blockierung für Hochladen von ausführbaren Inhalten nachgereicht [CVE-2021-43617]
phpliteadmin Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709]
prips Unendlichen Umbruch, wenn ein Bereich an 255.255.255.255 stößt, behoben; CIDR-Ausgabe mit Adressen, die sich in ihrem ersten Bit unterscheiden, überarbeitet
pypy3 Kompilierungsfehlschläge durch Entfernen eines überflüssigen #endif aus import.h behoben
python-django Probleme mit Dienstblockade [CVE-2021-45115], Informationsoffenlegung [CVE-2021-45116], Verzeichnisüberschreitung [CVE-2021-45452] behoben; Traceback im Rahmen der Handhabung von RequestSite/get_current_site() wegen eines Kreisimports behoben
python-pip Race-Condition bei Verwendung von per ZIP importierten Abhängigkeiten behoben
rust-cbindgen Neue stabile Version der Originalautoren, um Kompilierungen neuerer firefox-esr- und thunderbird-Versionen zu ermöglichen
s390-dasd Durchreichen der missbilligten Option -f an dasdfmt abgestellt
schleuder Bool-Werte nach Integer migrieren, wenn der ActiveRecord-SQLite3-Verbindungsadapter verwendet wird, sodass die Funktionalität wiederhergestellt wird
sphinx-bootstrap-theme Suchfunktion überarbeitet
spip Mehrere Probleme mit seitenübergreifendem Skripting behoben
symfony CVE-Injektion abgestellt [CVE-2021-41270]
systemd Unkontrollierte Rekursion in systemd-tmp-Dateien beseitigt [CVE-2021-3997]; systemd-timesyncd von der Abhängigkeit zur Empfehlung degradiert, um einen Abhängigkeitskreis aufzubrechen; Fehlschlag beim bind-Einhängen eines Verzeichnisses in einen Container via machinectl behoben; Regression in udev entfernt, die zu langen Verzögerungen beim Verarbeiten von Partitionen mit der selben Bezeichnung geführt haben; Regression bei der Verwendung von systemd-networkd in einem unprivilegierten LXD-Container entfernt
sysvinit Auswertung von shutdown +0 korrigiert; klargestellt, dass das Herunterfahren nicht beendet wird, wenn shutdown mit einer time (Zeit) aufgerufen wird
tasksel CUPS für alle *-desktop-Aufgaben einrichten, weil task-print-service nicht mehr existiert
usb.ids Enthaltene Daten aktualisiert
weechat Problem mit Dienstblockade behoben [CVE-2021-40516]
wolfssl Mehrere Problem behoben, die sich auf OCSP-Handhabung [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] und TLS1.3-Unterstützung beziehen [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel SIGILL-Absturz auf nicht-SSE2-CPUs behoben
xterm Pufferüberlauf behoben [CVE-2022-24130]
zziplib Dienstblockade behoben [CVE-2020-18442]

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5012 openjdk-17
DSA-5021 mediawiki
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5025 tang
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5031 wpewebkit
DSA-5033 fort-validator
DSA-5035 apache2
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5041 cfrpki
DSA-5042 epiphany-browser
DSA-5043 lxml
DSA-5046 chromium
DSA-5047 prosody
DSA-5048 libreswan
DSA-5049 flatpak-builder
DSA-5049 flatpak
DSA-5050 linux-signed-amd64
DSA-5050 linux-signed-arm64
DSA-5050 linux-signed-i386
DSA-5050 linux
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5054 chromium
DSA-5055 util-linux
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5058 openjdk-17
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5061 wpewebkit
DSA-5062 nss
DSA-5063 uriparser
DSA-5064 python-nbxmpp
DSA-5065 ipython
DSA-5067 ruby2.7
DSA-5068 chromium
DSA-5070 cryptsetup
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5077 librecad
DSA-5078 zsh
DSA-5079 chromium
DSA-5080 snapd
DSA-5081 redis
DSA-5082 php7.4
DSA-5083 webkit2gtk
DSA-5084 wpewebkit
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5089 chromium
DSA-5091 containerd
DSA-5092 linux-signed-amd64
DSA-5092 linux-signed-arm64
DSA-5092 linux-signed-i386
DSA-5092 linux
DSA-5093 spip
DSA-5095 linux-signed-amd64
DSA-5095 linux-signed-arm64
DSA-5095 linux-signed-i386
DSA-5095 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5102 haproxy
DSA-5103 openssl
DSA-5104 chromium
DSA-5105 bind9

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen::

Paket Grund
angular-maven-plugin Nützt nichts mehr
minify-maven-plugin Nützt nichts mehr

Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.