Debian 10 aktualisiert: 10.13 veröffentlicht

10. September 2022

Das Debian-Projekt freut sich, die dreizehnte (und letzte) Aktualisierung seiner Oldstable-Distribution Debian 10 (Codename Buster) ankündigen zu dürfen. Diese Aktualisierung behebt hauptsächlich Sicherheitslücken der Oldstable-Veröffentlichung sowie einige ernste Probleme. Für sie sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Nach dieser Zwischenveröffentlichung werden Debians Security- und Release-Teams die Arbeit an Aktualisierungen für Debian 10 einstellen. Wer weiterhin Sicherheitsunterstützung erhalten möchte, sollte auf Debian 11 umsteigen oder sich auf https://wiki.debian.org/LTS informieren, welche Untergruppe an Architekturen und Paketen vom Long-Term-Support-Team weiterbetreut werden.

Bitte beachten Sie, dass diese Aktualisierung keine neue Version von Debian 10 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Buster-Medien zu entsorgen, da deren Pakete nach der Installation mit Hilfe eines aktuellen Debian-Spiegelservers auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen

Diese Oldstable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
adminer Probleme mit offener Weiterleitung und seitenübergreifendem Skripting behoben [CVE-2020-35572 CVE-2021-29625]; elasticsearch: keine Antwort ausgeben, wenn der HTTP-Code nicht 200 ist [CVE-2021-21311]; kompilierte Version und Konfigurationsdateien mitliefern
apache2 Probleme mit Dienstblockade [CVE-2022-22719], HTTP-Abfrageschmuggel [CVE-2022-22720], Ganzzahlüberlauf [CVE-2022-22721], Schreibzugriffe außerhalb der Grenzen [CVE-2022-23943], HTTP-Anfrageschmuggel [CVE-2022-26377], Lesezugriff außerhalb der Grenzen [CVE-2022-28614 CVE-2022-28615], Dienstblockade [CVE-2022-29404], Lesezugriff außerhalb der Grenzen [CVE-2022-30556], Möglichkeit zur Umgehung der IP-basierten Authentifizierung [CVE-2022-31813] behoben
base-files Aktualisierung für die Zwischenveröffentlichung 10.13
clamav Neue stabile Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
commons-daemon JWM-Erkennung überarbeitet
composer Anfälligkeit für Code-Injektion behoben [CVE-2022-24828]; GitHub-Token-Muster aktualisiert; Authorization-Kopfzeile anstelle des missbilligten access_token-Abfrageparameter benutzen
debian-installer Neukompilierung gegen buster-proposed-updates; Linux-ABI auf 4.19.0-21 angehoben
debian-installer-netboot-images Neukompilierung gegen buster-proposed-updates; Linux-ABI auf 4.19.0-21 angehoben
debian-security-support Sicherheitsstatus verschiedener Pakete aktualisiert
debootstrap Sichergestellt, dass Chroots ohne zusammengeführtes usr auch weiterhin für ältere Veröffentlichungen und buildd-Chroots erzeugt werden können
distro-info-data Ubuntu 22.04 LTS, Jammy Jellyfish, und Ubuntu 22.10, Kinetic Kudu, hinzugefügt
dropbear Mögliches Problem bei Benutzernamen-Auflistung behoben [CVE-2019-12953]
eboard Speicherzugriffsfehler bei der Engine-Auswahl behoben
esorex Test-Suite-Fehlschläge auf armhf und ppc64el behoben, die aus einer inkorrekten Verwendung von libffi herrührten
evemu Kompilierungsfehlschläge mit neueren Kernel-Versionen behoben
feature-check Einige Versions-Vergleiche überarbeitet
flac Problem mit Schreibzugriff außerhalb der Grenzen behoben [CVE-2021-0561]
foxtrotgps Kompilierungsfehlschläge mit neueren imagemagick-Versionen behoben
freeradius Leck via Seitenkanal behoben, durch das einer in 2048 Handshakes fehlschlägt [CVE-2019-13456], außerdem Dienstblockade durch Multithread-BN_CTX-Zugriff [CVE-2019-17185] und Absturz durch nicht-thread-sichere Speicherzuweisung gelöst
freetype Pufferüberlauf abgestellt [CVE-2022-27404]; Abstürze beseitigt [CVE-2022-27405 CVE-2022-27406]
fribidi Probleme mit Pufferüberlauf gelöst [CVE-2022-25308 CVE-2022-25309]; Absturz unterbunden [CVE-2022-25310]
ftgl Nicht versuchen, für latex PNG nach EPS zu konvertieren, weil EPS bei unserem imagemagick aus Sicherheitsgründen deaktiviert ist
gif2apng Heap-basierte Pufferüberläufe beseitigt [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
gnucash Kompilierungsfehlschlag mit aktuellem tzdata behoben
gnutls28 Test-Suite an Verwendung in Kombination mit OpenSSL 1.1.1e oder aktueller angepasst
golang-github-docker-go-connections Tests mit abgelaufenen Zertifikaten überspringen
golang-github-pkg-term Kompilierung auf neueren 4.19-Kerneln überarbeitet
golang-github-russellhaering-goxmldsig Nullzeiger-Dereferenzierungen beseitigt [CVE-2020-7711]
grub-efi-amd64-signed Neue Veröffentlichung der Originalautoren
grub-efi-arm64-signed Neue Veröffentlichung der Originalautoren
grub-efi-ia32-signed Neue Veröffentlichung der Originalautoren
grub2 Neue Veröffentlichung der Originalautoren
htmldoc Endlosschleife [CVE-2022-24191], Probleme mit Ganzzahlüberlauf [CVE-2022-27114] und Heap-Speicherüberläufen gelöst [CVE-2022-28085]
iptables-netflow Regression bei DKMS-Kompilierungsfehlschlägen behoben, die durch Änderungen von den Linux-Originalautoren am Kernel 4.19.191 verursacht wurde
isync Pufferüberlauf-Probleme behoben [CVE-2021-3657]
kannel Kompilierungsfehlschlag durch Abschalten der PostScript-Dokumentation abgestellt
krb5 SHA256 als Pkinit CMS Digest verwenden
libapache2-mod-auth-openidc Validierung des Nach-Abmelde-URL-Parameters beim Abmelden verbessert [CVE-2019-14857]
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libhttp-cookiejar-perl Kompilierungsfehlschlag durch Anpassung des Ablaufdatums eines Test-Cookies behoben
libnet-freedb-perl Vorgabe-Host vom abgeschalteten freedb.freedb.org auf gnudb.gnudb.org geändert
libnet-ssleay-perl Test-Fehlschläge mit OpenSSL 1.1.1n behoben
librose-db-object-perl Test-Fehlschlag nach dem 06.06.2020 behoben
libvirt-php Speicherzugriffsfehler in libvirt_node_get_cpu_stats behoben
llvm-toolchain-13 Neues Quellpaket, um die Kompilierung neuerer Versionen von firefox-esr und thunderbird zu unterstützen
minidlna HTTP-Anfragen validieren, um vor DNS-Rebinding-Angriffen zu schützen [CVE-2022-26505]
mokutil Neue Version der Originalautoren, um SBAT-Verwaltung zu ermöglichen
mutt uudecode-Pufferüberlauf behoben [CVE-2022-1328]
node-ejs Optionen und neue Objekte säubern [CVE-2022-29078]
node-end-of-stream Testprogrammfehler umgangen
node-minimist Prototype-Pollution-Problem gelöst [CVE-2021-44906]
node-node-forge Probleme mit Signaturverifizierung behoben [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-require-from-string Test in Zusammenhang mit nodejs >= 10.16 überarbeitet
nvidia-graphics-drivers Neue Veröffentlichung der Originalautoren
nvidia-graphics-drivers-legacy-390xx Neue Veröffentlichung der Originalautoren; Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-28181 CVE-2022-28185]; Sicherheitskorrekturen [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
octavia Client-Zertifikats-Prüfungen überarbeitet [CVE-2019-17134]; richtig erkennen, ob der Agent auf Debian läuft; Vorlage, die vrrp-Prüfskript erzeugt, korrigiert; zusätzliche Laufzeit-Abhängigkeiten hinzugefügt; zusätzliche Konfiguration direkt im Agent-Paket mitliefern
orca Verwendung mit WebKitGTK 2.36 korrigiert
pacemaker Beziehungsversionen aktualisiert, um Upgrades von Stretch LTS zu verbessern
pglogical Kompilierungsfehlschlag behoben
php-guzzlehttp-psr7 Unsaubere Auswertung von Kopfzeilen behoben [CVE-2022-24775]
postfix Neue stabile Veröffentlichung der Originalautoren; vom Benutzer gesetztes default_transport nicht übergehen; if-up.d: nicht mit Fehler aussteigen, wenn postfix noch keine Mails versenden kann; doppelte bounce_notice_recipient-Einträge in der postconf-Ausgabe entfernt
postgresql-common pg_virtualenv: Temporäre Passwort-Datei schreiben, bevor chown darauf angewendet wird
postsrsd Potenzielle Dienstblockade, wenn Postfix bestimmte lange Datenfelder wie mehrere verkettete E-Mail-Adressen versendet, behoben [CVE-2021-35525]
procmail Nullzeigerdereferenzierung behoben
publicsuffix Enthaltene Daten aktualisiert
python-keystoneauth1 Tests aktualisiert, um Kompilierungsfehlschlag abzustellen
python-scrapy Anmeldedaten nicht mit allen Anfragen mitschicken [CVE-2021-41125]; beim Weiterleiten keine Cookies domainübergreifend offenlegen [CVE-2022-0577]
python-udatetime Ordentlich gegen libm-Bibliothek verlinken
qtbase-opensource-src setTabOrder für Compound-Widgets überarbeitet; Expansionslimit für XML-Entitäten eingeführt [CVE-2015-9541]
ruby-activeldap Fehlende Abhängigkeit von ruby-builder nachgetragen
ruby-hiredis Einige unzuverlässige Tests überspringen, um Kompilierungsfehlschlag zu beheben
ruby-http-parser.rb Kompilierungsfehlschlag bei Verwendung von http-parser, der die Korrektur von CVE-2019-15605 enthält, behoben
ruby-riddle Verwenden von LOAD DATA LOCAL INFILE erlauben
sctk pdftoppm anstelle von convert zum Konvertieren von PDF nach JPEG verwenden, weil Ersteres mit der geänderten Sicherheitspolitik von ImageMagick nicht mehr funktioniert
twisted Fehlerhafte Validierung von URI- und HTTP-Methoden [CVE-2019-12387], fehlerhafte Zertifikatsüberprüfung in der XMPP-Unterstützung [CVE-2019-12855], HTTP/2-Dienstblockade [CVE-2019-9511 CVE-2019-9514 CVE-2019-9515], HTTP-Anfrageschmuggel [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], Informationsoffenlegung beim Verfolgen von domainübergreifenden Weiterleitungen [CVE-2022-21712], Dienstblockade während SSH-Handshake [CVE-2022-21716] behoben
tzdata Zeitzonendaten für Iran, Chile und Palästina aktualisiert; Schaltsekunden-Liste aktualisiert
ublock-origin Neue stabile Veröffentlichung der Originalautoren
unrar-nonfree Verzeichnisüberschreitung abgestellt [CVE-2022-30333]
wireshark Code-Fernausführung [CVE-2021-22191], Dienstblockade-Probleme [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586] behoben

Sicherheitsaktualisierungen

Diese Revision fügt der Oldstable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-4836 openvswitch
DSA-4852 openvswitch
DSA-4906 chromium
DSA-4911 chromium
DSA-4917 chromium
DSA-4981 firefox-esr
DSA-5034 thunderbird
DSA-5044 firefox-esr
DSA-5045 thunderbird
DSA-5069 firefox-esr
DSA-5074 thunderbird
DSA-5077 librecad
DSA-5080 snapd
DSA-5086 thunderbird
DSA-5090 firefox-esr
DSA-5094 thunderbird
DSA-5097 firefox-esr
DSA-5106 thunderbird
DSA-5108 tiff
DSA-5109 faad2
DSA-5111 zlib
DSA-5113 firefox-esr
DSA-5115 webkit2gtk
DSA-5118 thunderbird
DSA-5119 subversion
DSA-5122 gzip
DSA-5123 xz-utils
DSA-5126 ffmpeg
DSA-5129 firefox-esr
DSA-5131 openjdk-11
DSA-5132 ecdsautils
DSA-5135 postgresql-11
DSA-5137 needrestart
DSA-5138 waitress
DSA-5139 openssl
DSA-5140 openldap
DSA-5141 thunderbird
DSA-5142 libxml2
DSA-5143 firefox-esr
DSA-5144 condor
DSA-5145 lrzip
DSA-5147 dpkg
DSA-5149 cups
DSA-5150 rsyslog
DSA-5151 smarty3
DSA-5152 spip
DSA-5153 trafficserver
DSA-5154 webkit2gtk
DSA-5156 firefox-esr
DSA-5157 cifs-utils
DSA-5158 thunderbird
DSA-5159 python-bottle
DSA-5160 ntfs-3g
DSA-5164 exo
DSA-5165 vlc
DSA-5167 firejail
DSA-5169 openssl
DSA-5171 squid
DSA-5172 firefox-esr
DSA-5173 linux-latest
DSA-5173 linux-signed-amd64
DSA-5173 linux-signed-arm64
DSA-5173 linux-signed-i386
DSA-5173 linux
DSA-5174 gnupg2
DSA-5175 thunderbird
DSA-5176 blender
DSA-5178 intel-microcode
DSA-5181 request-tracker4
DSA-5182 webkit2gtk
DSA-5185 mat2
DSA-5186 djangorestframework
DSA-5188 openjdk-11
DSA-5189 gsasl
DSA-5190 spip
DSA-5193 firefox-esr
DSA-5194 booth
DSA-5195 thunderbird
DSA-5196 libpgjava

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die außerhalb unserer Kontrolle liegen::

Paket Grund
elog Unbetreut; Sicherheitsprobleme
libnet-amazon-perl Basiert auf nicht mehr vorhandenem API

Debian-Installer

Der Installer wurde aktualisiert, damit er die Änderungen enthält, die mit dieser Zwischenveröffentlichung in Oldstable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/buster/ChangeLog

Die derzeitige Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable/

Vorgeschlagene Änderungen für die Oldstable-Distribution:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Informationen zur Oldstable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/oldstable/

Sicherheitsaktualisierungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auch aufEnglisch) unter <debian-release@lists.debian.org>.