Debian 10 aktualisiert: 10.12 veröffentlicht
26. März 2022
Das Debian-Projekt freut sich, die zwölfte Aktualisierung seiner Oldstable-
Distribution Debian 10 (Codename Buster
) ankündigen zu dürfen.
Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der
Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits
separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich,
verwiesen wird.
Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10
darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund,
Buster
-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe
eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Die OpenSSL-Signaturalgorithmus-Prüfung wird strenger
Die mit dieser Zwischenveröffentlichung mitgelieferte OpenSSL-Aktualisierung enthält eine Änderung, die sicherstellt, dass die aktive Sicherheitsstufe den angeforderten Signaturalgorithmus unterstützt.
Obwol die meisten Anwendungsfälle davon nicht betroffen sein werden, ist es trotzdem möglich, dass Fehlermeldungen wegen eines nicht unterstützten Signaturalgorithmus erzeugt werden. Das ist zum Beispiel der Fall, wenn mit der vorgegebenen Sicherheitsstufe 2 RSA+SHA1-Signaturen verwendet werden.
In solchen Fällen muss für die einzelne Anfrage oder auch allgemeiner explizit auf eine niedrigere Sicherheitsstufe gewechselt werden, wofür Konfigurationsänderungen an den Anwendungen notwendig sind. Für OpenSSL selbst kann ein solcher Stufenwechsel pro Anfrage mit einer Befehlszeile wie der folgenden bewerkstelligt werden:
-cipher ALL:@SECLEVEL=1
Die entsprechende systemweite Konfiguration befindet sich in /etc/ssl/openssl.cnf
Verschiedene Fehlerkorrekturen
Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
Paket | Grund |
---|---|
apache-log4j1.2 | Sicherheitsprobleme behoben [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], indem die Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul entfernt worden sind |
apache-log4j2 | Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832] |
atftp | Informationsleck abgedichtet [CVE-2021-46671] |
base-files | Aktualisierung auf die Zwischenveröffentlichung 10.12 |
beads | Neukompilierung gegen das aktualisierte cimg, um mehrere Heap-Puffer-Überläufe zu beseitigen [CVE-2020-25693] |
btrbk | Regression in der Aktualisierung für CVE-2021-38173 beseitigt |
cargo-mozilla | Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen |
chrony | Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben |
cimg | Probleme mit Heap-Puffer-Überläufen behoben [CVE-2020-25693] |
clamav | Neue stabile Veröffentlichung der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698] |
cups | an input validation issue might allow a malicious application to read restricted memory(eine Lücke in der Eingabeüberprüfung kann einem Schadprogramm ermöglichen, geschützten Speicher zu lesen) behoben [CVE-2020-10001] |
debian-installer | Neukompilierung gegen oldstable-proposed-updates; Kernel-ABI auf -20 aktualisiert |
debian-installer-netboot-images | Neukompilierung gegen oldstable-proposed-updates |
detox | Verarbeitung großer Dateien auf ARM-Architekturen korrigiert |
evolution-data-server | Absturz bei fehlerhafter Server-Antwort behoben [CVE-2020-16117] |
flac | Lesezugriff außerhalb der Grenzen behoben [CVE-2020-0499] |
gerbv | Anfälligkeit für Codeausführung behoben [CVE-2021-40391] |
glibc | Mehrere Sicherheitskorrekturen des stabilen Zweigs der Originalautoren übernommen; Prüfung auf unterstützte Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht mehr unterstützt werden; Unterstützung für Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb 255 hinzugefügt |
gmp | Ganzzahl- und Pufferüberlauf behoben [CVE-2021-43618] |
graphicsmagick | Pufferüberlauf behoben [CVE-2020-12672] |
htmldoc | Lesezugriff außerhalb der Grenzen [CVE-2022-0534] und Pufferüberlauf behoben [CVE-2021-43579 CVE-2021-40985] |
http-parser | Unbeabsichtigten ABI-Bruch behoben |
icu | pkgdata-Dienstprogramm wiederhergestellt |
intel-microcode | Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] |
jbig2dec | Pufferüberlauf behoben [CVE-2020-12268] |
jtharness | Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen |
jtreg | Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen |
lemonldap-ng | Authentifizierungsprozess in Passwort-Tester-Plugins überarbeitet [CVE-2021-20874]; Empfehlung für gsfonts hinzugefügt, um Captcha zu reparieren |
leptonlib | Dienstblockade [CVE-2020-36277] und Puffer-Überauslese-Probleme (buffer overread) behoben [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281] |
libdatetime-timezone-perl | Enthaltene Daten aktualisiert |
libencode-perl | Speicherleck in Encode.xs behoben |
libetpan | Anfälligkeit für STARTTLS-Antwort-Injektionen behoben [CVE-2020-15953] |
libextractor | Problem mit ungültigen Lesezugriffen behoben [CVE-2019-15531] |
libjackson-json-java | Anfälligkeit für Codeausführung [CVE-2017-15095 CVE-2017-7525] und externe XML-Entitäten behoben [CVE-2019-10172] |
libmodbus | Probleme mit Lesezugriffen außerhalb der Grenzen behoben [CVE-2019-14462 CVE-2019-14463] |
libpcap | PHB-Kopfzeilenlänge prüfen, bevor sie zum Allozieren von Speicher herangezogen wird [CVE-2019-15165] |
libsdl1.2 | Richtig mit Eingabefokus-Ereignissen umgehen; Pufferüberlaufprobleme [CVE-2019-13616 CVE-2019-7637], Puffer-Überauslese-Probleme behoben [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638] |
libxml2 | Problem mit Weiternutzung von abgegebenem Speicher (use-after-free) behoben [CVE-2022-23308] |
linux | Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben |
linux-latest | Aktualisierung auf 4.19.0-20er ABI |
linux-signed-amd64 | Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben |
linux-signed-arm64 | Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben |
linux-signed-i386 | Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben |
llvm-toolchain-11 | Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen |
lxcfs | Fehlerhafte Berichterstattung der Swap-Verwendung korrigiert |
mailman | Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2021-43331]; a list moderator can crack the list admin password encrypted in a CSRF token(ein Listenmoderator kann das in einem CSRF-Token verschlüsselte Listen-Adminpasswort knacken) behoben [CVE-2021-43332]; potenziellen CSRF-Angriff eines Listen-Mitglieds oder -Moderatoren gegen einen Listen-Administrator unterbunden [CVE-2021-44227]; Regressionen in den Korrekturen für CVE-2021-42097 und CVE-2021-44227 beseitigt |
mariadb-10.3 | Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] |
node-getobject | Anfälligkeit für Prototype Pollution beseitigt [CVE-2020-28282] |
opensc | Zugriff außerhalb der Grenzen [CVE-2019-15945 CVE-2019-15946], Absturz durch Lesen unbekannten Speichers [CVE-2019-19479], Doppel-free [CVE-2019-20792], Pufferüberläufe behoben [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572] |
openscad | Pufferüberläufe im STL-Parser behoben [CVE-2020-28599 CVE-2020-28600] |
openssl | Neue Veröffentlichung der Originalautoren |
php-illuminate-database | Problem beim Query-Binding behoben [CVE-2021-21263] sowie eine SQL-Injection-Lücke bei Verwendung mit Microsoft SQL Server |
phpliteadmin | Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709] |
plib | Ganzzahlüberlauf behoben [CVE-2021-38714] |
privoxy | Speicherleck [CVE-2021-44540] und Problem mit seitenübergreifendem Skripting behoben [CVE-2021-44543] |
publicsuffix | Enthaltene Daten aktualisiert |
python-virtualenv | Nicht versuchen, pkg_resources von PyPI zu installieren |
raptor2 | Array-Zugriff außerhalb der Grenzen behoben [CVE-2020-25713] |
ros-ros-comm | Anfälligkeit für Dienstblockaden abgestellt [CVE-2021-37146] |
rsyslog | Heap-Überläufe beseitigt [CVE-2019-17041 CVE-2019-17042] |
ruby-httpclient | Zertifikatsspeicher des Systems benutzen |
rust-cbindgen | Neue stabile Veröffentlichung der Originalautoren, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen |
rustc-mozilla | Neues Quellpaket, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen |
s390-dasd | Aufhören, die veraltete Option -f an dasdfmt durchzureichen |
spip | Anfälligkeit für seitenübergreifendes Skripting beseitigt |
tzdata | Daten für Fiji und Palästina aktualisiert |
vim | Fähigkeit zum Auführen von Code im restricted modebeseitigt [CVE-2019-20807], außerdem Anfälligkeiten für Pufferüberläufe [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], Verwendung von abgegebenem Speicher (use after free) [CVE-2021-3796]; versehentlich mitgelieferte Korrektur wieder entfernt |
wavpack | Verwendung von uninitialisierten Werten verhindert [CVE-2019-1010317 CVE-2019-1010319] |
weechat | Mehrere Probleme mit Dienstblockaden beseitigt [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516] |
wireshark | Mehrere Sicherheitsprobleme in dissectors behoben [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929] |
xterm | Pufferüberlauf behoben [CVE-2022-24130] |
zziplib | Dienstblockade behoben [CVE-2020-18442] |
Sicherheitsaktualisierungen
Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:
Paket | Grund |
---|---|
angular-maven-plugin | Nützt nichts mehr |
minify-maven-plugin | Nützt nichts mehr |
Debian-Installer
Der Installer wurde aktualisiert, damit er die Änderungen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Oldstable-Distribution:
Vorgeschlagene Änderungen für die Oldstable-Distribution:
Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsaktualisierungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team unter <debian-release@lists.debian.org>.