Debian 10 aktualisiert: 10.12 veröffentlicht

26. März 2022

Das Debian-Projekt freut sich, die zwölfte Aktualisierung seiner Oldstable- Distribution Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Die OpenSSL-Signaturalgorithmus-Prüfung wird strenger

Die mit dieser Zwischenveröffentlichung mitgelieferte OpenSSL-Aktualisierung enthält eine Änderung, die sicherstellt, dass die aktive Sicherheitsstufe den angeforderten Signaturalgorithmus unterstützt.

Obwol die meisten Anwendungsfälle davon nicht betroffen sein werden, ist es trotzdem möglich, dass Fehlermeldungen wegen eines nicht unterstützten Signaturalgorithmus erzeugt werden. Das ist zum Beispiel der Fall, wenn mit der vorgegebenen Sicherheitsstufe 2 RSA+SHA1-Signaturen verwendet werden.

In solchen Fällen muss für die einzelne Anfrage oder auch allgemeiner explizit auf eine niedrigere Sicherheitsstufe gewechselt werden, wofür Konfigurationsänderungen an den Anwendungen notwendig sind. Für OpenSSL selbst kann ein solcher Stufenwechsel pro Anfrage mit einer Befehlszeile wie der folgenden bewerkstelligt werden:

-cipher ALL:@SECLEVEL=1

Die entsprechende systemweite Konfiguration befindet sich in /etc/ssl/openssl.cnf

Verschiedene Fehlerkorrekturen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
apache-log4j1.2 Sicherheitsprobleme behoben [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], indem die Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul entfernt worden sind
apache-log4j2 Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832]
atftp Informationsleck abgedichtet [CVE-2021-46671]
base-files Aktualisierung auf die Zwischenveröffentlichung 10.12
beads Neukompilierung gegen das aktualisierte cimg, um mehrere Heap-Puffer-Überläufe zu beseitigen [CVE-2020-25693]
btrbk Regression in der Aktualisierung für CVE-2021-38173 beseitigt
cargo-mozilla Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen
chrony Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben
cimg Probleme mit Heap-Puffer-Überläufen behoben [CVE-2020-25693]
clamav Neue stabile Veröffentlichung der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698]
cups an input validation issue might allow a malicious application to read restricted memory (eine Lücke in der Eingabeüberprüfung kann einem Schadprogramm ermöglichen, geschützten Speicher zu lesen) behoben [CVE-2020-10001]
debian-installer Neukompilierung gegen oldstable-proposed-updates; Kernel-ABI auf -20 aktualisiert
debian-installer-netboot-images Neukompilierung gegen oldstable-proposed-updates
detox Verarbeitung großer Dateien auf ARM-Architekturen korrigiert
evolution-data-server Absturz bei fehlerhafter Server-Antwort behoben [CVE-2020-16117]
flac Lesezugriff außerhalb der Grenzen behoben [CVE-2020-0499]
gerbv Anfälligkeit für Codeausführung behoben [CVE-2021-40391]
glibc Mehrere Sicherheitskorrekturen des stabilen Zweigs der Originalautoren übernommen; Prüfung auf unterstützte Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht mehr unterstützt werden; Unterstützung für Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb 255 hinzugefügt
gmp Ganzzahl- und Pufferüberlauf behoben [CVE-2021-43618]
graphicsmagick Pufferüberlauf behoben [CVE-2020-12672]
htmldoc Lesezugriff außerhalb der Grenzen [CVE-2022-0534] und Pufferüberlauf behoben [CVE-2021-43579 CVE-2021-40985]
http-parser Unbeabsichtigten ABI-Bruch behoben
icu pkgdata-Dienstprogramm wiederhergestellt
intel-microcode Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec Pufferüberlauf behoben [CVE-2020-12268]
jtharness Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen
jtreg Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen
lemonldap-ng Authentifizierungsprozess in Passwort-Tester-Plugins überarbeitet [CVE-2021-20874]; Empfehlung für gsfonts hinzugefügt, um Captcha zu reparieren
leptonlib Dienstblockade [CVE-2020-36277] und Puffer-Überauslese-Probleme (buffer overread) behoben [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libencode-perl Speicherleck in Encode.xs behoben
libetpan Anfälligkeit für STARTTLS-Antwort-Injektionen behoben [CVE-2020-15953]
libextractor Problem mit ungültigen Lesezugriffen behoben [CVE-2019-15531]
libjackson-json-java Anfälligkeit für Codeausführung [CVE-2017-15095 CVE-2017-7525] und externe XML-Entitäten behoben [CVE-2019-10172]
libmodbus Probleme mit Lesezugriffen außerhalb der Grenzen behoben [CVE-2019-14462 CVE-2019-14463]
libpcap PHB-Kopfzeilenlänge prüfen, bevor sie zum Allozieren von Speicher herangezogen wird [CVE-2019-15165]
libsdl1.2 Richtig mit Eingabefokus-Ereignissen umgehen; Pufferüberlaufprobleme [CVE-2019-13616 CVE-2019-7637], Puffer-Überauslese-Probleme behoben [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638]
libxml2 Problem mit Weiternutzung von abgegebenem Speicher (use-after-free) behoben [CVE-2022-23308]
linux Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-latest Aktualisierung auf 4.19.0-20er ABI
linux-signed-amd64 Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-signed-arm64 Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-signed-i386 Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
llvm-toolchain-11 Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen
lxcfs Fehlerhafte Berichterstattung der Swap-Verwendung korrigiert
mailman Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2021-43331]; a list moderator can crack the list admin password encrypted in a CSRF token (ein Listenmoderator kann das in einem CSRF-Token verschlüsselte Listen-Adminpasswort knacken) behoben [CVE-2021-43332]; potenziellen CSRF-Angriff eines Listen-Mitglieds oder -Moderatoren gegen einen Listen-Administrator unterbunden [CVE-2021-44227]; Regressionen in den Korrekturen für CVE-2021-42097 und CVE-2021-44227 beseitigt
mariadb-10.3 Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject Anfälligkeit für Prototype Pollution beseitigt [CVE-2020-28282]
opensc Zugriff außerhalb der Grenzen [CVE-2019-15945 CVE-2019-15946], Absturz durch Lesen unbekannten Speichers [CVE-2019-19479], Doppel-free [CVE-2019-20792], Pufferüberläufe behoben [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad Pufferüberläufe im STL-Parser behoben [CVE-2020-28599 CVE-2020-28600]
openssl Neue Veröffentlichung der Originalautoren
php-illuminate-database Problem beim Query-Binding behoben [CVE-2021-21263] sowie eine SQL-Injection-Lücke bei Verwendung mit Microsoft SQL Server
phpliteadmin Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709]
plib Ganzzahlüberlauf behoben [CVE-2021-38714]
privoxy Speicherleck [CVE-2021-44540] und Problem mit seitenübergreifendem Skripting behoben [CVE-2021-44543]
publicsuffix Enthaltene Daten aktualisiert
python-virtualenv Nicht versuchen, pkg_resources von PyPI zu installieren
raptor2 Array-Zugriff außerhalb der Grenzen behoben [CVE-2020-25713]
ros-ros-comm Anfälligkeit für Dienstblockaden abgestellt [CVE-2021-37146]
rsyslog Heap-Überläufe beseitigt [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient Zertifikatsspeicher des Systems benutzen
rust-cbindgen Neue stabile Veröffentlichung der Originalautoren, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen
rustc-mozilla Neues Quellpaket, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen
s390-dasd Aufhören, die veraltete Option -f an dasdfmt durchzureichen
spip Anfälligkeit für seitenübergreifendes Skripting beseitigt
tzdata Daten für Fiji und Palästina aktualisiert
vim Fähigkeit zum Auführen von Code im restricted mode beseitigt [CVE-2019-20807], außerdem Anfälligkeiten für Pufferüberläufe [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], Verwendung von abgegebenem Speicher (use after free) [CVE-2021-3796]; versehentlich mitgelieferte Korrektur wieder entfernt
wavpack Verwendung von uninitialisierten Werten verhindert [CVE-2019-1010317 CVE-2019-1010319]
weechat Mehrere Probleme mit Dienstblockaden beseitigt [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark Mehrere Sicherheitsprobleme in dissectors behoben [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm Pufferüberlauf behoben [CVE-2022-24130]
zziplib Dienstblockade behoben [CVE-2020-18442]

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-4513 samba
DSA-4982 apache2
DSA-4983 neutron
DSA-4985 wordpress
DSA-4986 tomcat9
DSA-4987 squashfs-tools
DSA-4989 strongswan
DSA-4990 ffmpeg
DSA-4991 mailman
DSA-4993 php7.3
DSA-4994 bind9
DSA-4995 webkit2gtk
DSA-4997 tiff
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5004 libxstream-java
DSA-5005 ruby-kaminari
DSA-5006 postgresql-11
DSA-5010 libxml-security-java
DSA-5011 salt
DSA-5013 roundcube
DSA-5014 icu
DSA-5015 samba
DSA-5016 nss
DSA-5018 python-babel
DSA-5019 wireshark
DSA-5020 apache-log4j2
DSA-5021 mediawiki
DSA-5022 apache-log4j2
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5032 djvulibre
DSA-5035 apache2
DSA-5036 sphinxsearch
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5043 lxml
DSA-5047 prosody
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5062 nss
DSA-5063 uriparser
DSA-5065 ipython
DSA-5066 ruby2.5
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5078 zsh
DSA-5081 redis
DSA-5083 webkit2gtk
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5093 spip
DSA-5096 linux-latest
DSA-5096 linux-signed-amd64
DSA-5096 linux-signed-arm64
DSA-5096 linux-signed-i386
DSA-5096 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5103 openssl
DSA-5105 bind9

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket Grund
angular-maven-plugin Nützt nichts mehr
minify-maven-plugin Nützt nichts mehr

Debian-Installer

Der Installer wurde aktualisiert, damit er die Änderungen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable/

Vorgeschlagene Änderungen für die Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsaktualisierungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team unter <debian-release@lists.debian.org>.