Debian 10 aktualisiert: 10.12 veröffentlicht

26. März 2022

Das Debian-Projekt freut sich, die zwölfte Aktualisierung seiner Oldstable- Distribution Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Die OpenSSL-Signaturalgorithmus-Prüfung wird strenger

Die mit dieser Zwischenveröffentlichung mitgelieferte OpenSSL-Aktualisierung enthält eine Änderung, die sicherstellt, dass die aktive Sicherheitsstufe den angeforderten Signaturalgorithmus unterstützt.

Obwol die meisten Anwendungsfälle davon nicht betroffen sein werden, ist es trotzdem möglich, dass Fehlermeldungen wegen eines nicht unterstützten Signaturalgorithmus erzeugt werden. Das ist zum Beispiel der Fall, wenn mit der vorgegebenen Sicherheitsstufe 2 RSA+SHA1-Signaturen verwendet werden.

In solchen Fällen muss für die einzelne Anfrage oder auch allgemeiner explizit auf eine niedrigere Sicherheitsstufe gewechselt werden, wofür Konfigurationsänderungen an den Anwendungen notwendig sind. Für OpenSSL selbst kann ein solcher Stufenwechsel pro Anfrage mit einer Befehlszeile wie der folgenden bewerkstelligt werden:

-cipher ALL:@SECLEVEL=1

Die entsprechende systemweite Konfiguration befindet sich in /etc/ssl/openssl.cnf

Verschiedene Fehlerkorrekturen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket	Grund
apache-log4j1.2	Sicherheitsprobleme behoben [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], indem die Unterstützung für das JMSSink-, das JDBCAppender-, das JMSAppender- und das Apache-Chainsaw-Modul entfernt worden sind
apache-log4j2	Problem mit Codeausführung aus der Ferne behoben [CVE-2021-44832]
atftp	Informationsleck abgedichtet [CVE-2021-46671]
base-files	Aktualisierung auf die Zwischenveröffentlichung 10.12
beads	Neukompilierung gegen das aktualisierte cimg, um mehrere Heap-Puffer-Überläufe zu beseitigen [CVE-2020-25693]
btrbk	Regression in der Aktualisierung für CVE-2021-38173 beseitigt
cargo-mozilla	Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen
chrony	Einlesen der chronyd-Konfigurationsdatei, die timemaster(8) erzeugt, erlauben
cimg	Probleme mit Heap-Puffer-Überläufen behoben [CVE-2020-25693]
clamav	Neue stabile Veröffentlichung der Originalautoren; Problem mit Dienstblockade behoben [CVE-2022-20698]
cups	an input validation issue might allow a malicious application to read restricted memory (eine Lücke in der Eingabeüberprüfung kann einem Schadprogramm ermöglichen, geschützten Speicher zu lesen) behoben [CVE-2020-10001]
debian-installer	Neukompilierung gegen oldstable-proposed-updates; Kernel-ABI auf -20 aktualisiert
debian-installer-netboot-images	Neukompilierung gegen oldstable-proposed-updates
detox	Verarbeitung großer Dateien auf ARM-Architekturen korrigiert
evolution-data-server	Absturz bei fehlerhafter Server-Antwort behoben [CVE-2020-16117]
flac	Lesezugriff außerhalb der Grenzen behoben [CVE-2020-0499]
gerbv	Anfälligkeit für Codeausführung behoben [CVE-2021-40391]
glibc	Mehrere Sicherheitskorrekturen des stabilen Zweigs der Originalautoren übernommen; Prüfung auf unterstützte Kernel-Versionen vereinfacht, weil 2.x-Kernel nicht mehr unterstützt werden; Unterstützung für Installation auf Kerneln mit einer Veröffentlichungsnummer oberhalb 255 hinzugefügt
gmp	Ganzzahl- und Pufferüberlauf behoben [CVE-2021-43618]
graphicsmagick	Pufferüberlauf behoben [CVE-2020-12672]
htmldoc	Lesezugriff außerhalb der Grenzen [CVE-2022-0534] und Pufferüberlauf behoben [CVE-2021-43579 CVE-2021-40985]
http-parser	Unbeabsichtigten ABI-Bruch behoben
icu	pkgdata-Dienstprogramm wiederhergestellt
intel-microcode	Enthaltenen Microcode aktualisiert; einige Sicherheitsprobleme umgangen [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec	Pufferüberlauf behoben [CVE-2020-12268]
jtharness	Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen
jtreg	Neue Version der Originalautoren, um Kompilate neuerer OpenJDK-11-Versionen zu unterstützen
lemonldap-ng	Authentifizierungsprozess in Passwort-Tester-Plugins überarbeitet [CVE-2021-20874]; Empfehlung für gsfonts hinzugefügt, um Captcha zu reparieren
leptonlib	Dienstblockade [CVE-2020-36277] und Puffer-Überauslese-Probleme (buffer overread) behoben [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl	Enthaltene Daten aktualisiert
libencode-perl	Speicherleck in Encode.xs behoben
libetpan	Anfälligkeit für STARTTLS-Antwort-Injektionen behoben [CVE-2020-15953]
libextractor	Problem mit ungültigen Lesezugriffen behoben [CVE-2019-15531]
libjackson-json-java	Anfälligkeit für Codeausführung [CVE-2017-15095 CVE-2017-7525] und externe XML-Entitäten behoben [CVE-2019-10172]
libmodbus	Probleme mit Lesezugriffen außerhalb der Grenzen behoben [CVE-2019-14462 CVE-2019-14463]
libpcap	PHB-Kopfzeilenlänge prüfen, bevor sie zum Allozieren von Speicher herangezogen wird [CVE-2019-15165]
libsdl1.2	Richtig mit Eingabefokus-Ereignissen umgehen; Pufferüberlaufprobleme [CVE-2019-13616 CVE-2019-7637], Puffer-Überauslese-Probleme behoben [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638]
libxml2	Problem mit Weiternutzung von abgegebenem Speicher (use-after-free) behoben [CVE-2022-23308]
linux	Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-latest	Aktualisierung auf 4.19.0-20er ABI
linux-signed-amd64	Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-signed-arm64	Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
linux-signed-i386	Neue stabile Veröffentlichung der Originalautoren; [rt] Aktualisierung auf 4.19.233-rt105; ABI auf 20 angehoben
llvm-toolchain-11	Neues aus Debian 11 zurückportiertes Paket, um beim Kompilieren neuer rust-Versionen zu helfen
lxcfs	Fehlerhafte Berichterstattung der Swap-Verwendung korrigiert
mailman	Anfälligkeit für seitenübergreifendes Skripting beseitigt [CVE-2021-43331]; a list moderator can crack the list admin password encrypted in a CSRF token (ein Listenmoderator kann das in einem CSRF-Token verschlüsselte Listen-Adminpasswort knacken) behoben [CVE-2021-43332]; potenziellen CSRF-Angriff eines Listen-Mitglieds oder -Moderatoren gegen einen Listen-Administrator unterbunden [CVE-2021-44227]; Regressionen in den Korrekturen für CVE-2021-42097 und CVE-2021-44227 beseitigt
mariadb-10.3	Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject	Anfälligkeit für Prototype Pollution beseitigt [CVE-2020-28282]
opensc	Zugriff außerhalb der Grenzen [CVE-2019-15945 CVE-2019-15946], Absturz durch Lesen unbekannten Speichers [CVE-2019-19479], Doppel-free [CVE-2019-20792], Pufferüberläufe behoben [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad	Pufferüberläufe im STL-Parser behoben [CVE-2020-28599 CVE-2020-28600]
openssl	Neue Veröffentlichung der Originalautoren
php-illuminate-database	Problem beim Query-Binding behoben [CVE-2021-21263] sowie eine SQL-Injection-Lücke bei Verwendung mit Microsoft SQL Server
phpliteadmin	Problem mit seitenübergreifendem Skripting behoben [CVE-2021-46709]
plib	Ganzzahlüberlauf behoben [CVE-2021-38714]
privoxy	Speicherleck [CVE-2021-44540] und Problem mit seitenübergreifendem Skripting behoben [CVE-2021-44543]
publicsuffix	Enthaltene Daten aktualisiert
python-virtualenv	Nicht versuchen, pkg_resources von PyPI zu installieren
raptor2	Array-Zugriff außerhalb der Grenzen behoben [CVE-2020-25713]
ros-ros-comm	Anfälligkeit für Dienstblockaden abgestellt [CVE-2021-37146]
rsyslog	Heap-Überläufe beseitigt [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient	Zertifikatsspeicher des Systems benutzen
rust-cbindgen	Neue stabile Veröffentlichung der Originalautoren, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen
rustc-mozilla	Neues Quellpaket, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen
s390-dasd	Aufhören, die veraltete Option -f an dasdfmt durchzureichen
spip	Anfälligkeit für seitenübergreifendes Skripting beseitigt
tzdata	Daten für Fiji und Palästina aktualisiert
vim	Fähigkeit zum Auführen von Code im restricted mode beseitigt [CVE-2019-20807], außerdem Anfälligkeiten für Pufferüberläufe [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], Verwendung von abgegebenem Speicher (use after free) [CVE-2021-3796]; versehentlich mitgelieferte Korrektur wieder entfernt
wavpack	Verwendung von uninitialisierten Werten verhindert [CVE-2019-1010317 CVE-2019-1010319]
weechat	Mehrere Probleme mit Dienstblockaden beseitigt [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark	Mehrere Sicherheitsprobleme in dissectors behoben [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm	Pufferüberlauf behoben [CVE-2022-24130]
zziplib	Dienstblockade behoben [CVE-2020-18442]

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID	Paket
DSA-4513	samba
DSA-4982	apache2
DSA-4983	neutron
DSA-4985	wordpress
DSA-4986	tomcat9
DSA-4987	squashfs-tools
DSA-4989	strongswan
DSA-4990	ffmpeg
DSA-4991	mailman
DSA-4993	php7.3
DSA-4994	bind9
DSA-4995	webkit2gtk
DSA-4997	tiff
DSA-5000	openjdk-11
DSA-5001	redis
DSA-5004	libxstream-java
DSA-5005	ruby-kaminari
DSA-5006	postgresql-11
DSA-5010	libxml-security-java
DSA-5011	salt
DSA-5013	roundcube
DSA-5014	icu
DSA-5015	samba
DSA-5016	nss
DSA-5018	python-babel
DSA-5019	wireshark
DSA-5020	apache-log4j2
DSA-5021	mediawiki
DSA-5022	apache-log4j2
DSA-5023	modsecurity-apache
DSA-5024	apache-log4j2
DSA-5027	xorg-server
DSA-5028	spip
DSA-5029	sogo
DSA-5030	webkit2gtk
DSA-5032	djvulibre
DSA-5035	apache2
DSA-5036	sphinxsearch
DSA-5037	roundcube
DSA-5038	ghostscript
DSA-5039	wordpress
DSA-5040	lighttpd
DSA-5043	lxml
DSA-5047	prosody
DSA-5051	aide
DSA-5052	usbview
DSA-5053	pillow
DSA-5056	strongswan
DSA-5057	openjdk-11
DSA-5059	policykit-1
DSA-5060	webkit2gtk
DSA-5062	nss
DSA-5063	uriparser
DSA-5065	ipython
DSA-5066	ruby2.5
DSA-5071	samba
DSA-5072	debian-edu-config
DSA-5073	expat
DSA-5075	minetest
DSA-5076	h2database
DSA-5078	zsh
DSA-5081	redis
DSA-5083	webkit2gtk
DSA-5085	expat
DSA-5087	cyrus-sasl2
DSA-5088	varnish
DSA-5093	spip
DSA-5096	linux-latest
DSA-5096	linux-signed-amd64
DSA-5096	linux-signed-arm64
DSA-5096	linux-signed-i386
DSA-5096	linux
DSA-5098	tryton-server
DSA-5099	tryton-proteus
DSA-5100	nbd
DSA-5101	libphp-adodb
DSA-5103	openssl
DSA-5105	bind9

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen:

Paket	Grund
angular-maven-plugin	Nützt nichts mehr
minify-maven-plugin	Nützt nichts mehr

Debian-Installer

Der Installer wurde aktualisiert, damit er die Änderungen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable/

Vorgeschlagene Änderungen für die Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsaktualisierungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team unter <debian-release@lists.debian.org>.