Debian 11 aktualisiert: 11.7 veröffentlicht

29. April 2023

Das Debian-Projekt freut sich, die siebte Aktualisierung seiner Stable-Distribution Debian 11 (Codename Bullseye) ankündigen zu dürfen. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wenn möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 11 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bullseye-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
akregator Gültigkeitsprüfungen überarbeitet, außerdem die Löschung von Feeds und Verzeichnissen
apache2 apache2-doc.conf nicht automatisch aktivieren; Regressionen in http2 sowie mod_rewrite, die in 2.4.56 eingebracht wurden, entfernt
at-spi2-core Zeitüberschreitung fürs Stoppen auf fünf Sekunden gesetzt, sodass das System beim Herunterfahren nicht unnötig aufgehalten wird
avahi Lokale Dienstblockade abgestellt [CVE-2021-3468]
base-files Aktualisierung auf die 11.7-Zwischenveröffentlichung
c-ares Stapelüberlauf und Dienstblockade unterbunden [CVE-2022-4904]
clamav Neue stabile Version der Originalautoren; mögliche Anfälligkeit für Codeausführung aus der Ferne im HFS+-Dateiauswerter behoben [CVE-2023-20032], potenzielles Informationsleck im DMG-Dateiauswerter gestopft [CVE-2023-20052]
command-not-found Neue non-free-firmware-Komponente hinzugefügt, um Probleme beim Upgrade auf Bookworm zu beheben
containerd Dienstblockade behoben [CVE-2023-25153]; mögliche Privilegieneskalation durch unsachgemäßes Anlegen von zusätzlichen Gruppen abgestellt [CVE-2023-25173]
crun Fähigkeiteneskalation durch Container, die fälschlicherweise mit nicht-leeren Vorgabeberechtigungen gestartet werden, abgestellt [CVE-2022-27650]
cwltool Fehlende Abhängigkeit von python3-distutils hinzugefügt
debian-archive-keyring Bookworm-Schlüssel hinzugefügt; Stretch-Schlüssel in den »removed«-Schlüsselbund verschoben
debian-installer Linux-Kernel-ABI auf 5.10.0-22 angehoben; Neukompilierung gegen proposed-updates
debian-installer-netboot-images Neukompilierung gegen proposed-updates
debian-ports-archive-keyring Die 2023 ablaufende Gültigkeit des Signierschlüssels um ein Jahr verlängert; Signierschlüssel für 2024 hinzugefügt; 2022er Signierschlüssel in den »removed«-Schlüsselbund verschoben
dpdk Neue stabile Version der Originalautoren
duktape Absturzprobleme behoben [CVE-2021-46322]
e2tools Kompilierungsfehlschlag durch Hinzufügen einer Kopmpilier-Abhängigkeit von e2fsprogs behoben
erlang Anfälligkeit für Umgehung der Client-Authentifizierung behoben [CVE-2022-37026]; Optimierung -O1 für armel verwenden, weil erl bei -O2 auf bestimmten Plattformen wie Marvell mit Speicherzugriffsfehler abstürzt
exiv2 Sicherheitskorrekturen [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623]
flask-security Anfälligkeit für offene Weiterleitungen behoben [CVE-2021-23385]
flatpak Neue stabile Version der Originalautoren; Sonderzeichen bei der Anzeige der Berechtigungen und Metadaten maskieren [CVE-2023-28101]; Kopieren/Einfügen via TIOCLINUX-ioctl nicht erlauben, wenn es in einer virtuellen Linux-Konsole läuft [CVE-2023-28100]
galera-3 Neue stabile Version der Originalautoren
ghostscript Pfad für PostScript-Helferdatei in ps2epsi korrigiert
glibc Speicherleck in den Funktionen der printf-Familie bei langen Multibyte-Zeichenketten behoben; Absturz in der printf-Familie durch Breite-/präzisionsabhängige Zuweisungen behoben; Speicherzugriffsfehler in printf beim Umgang mit Tausendertrennzeichen behoben; Überlauf in der AVX2-Implementierung von wcsnlen beim Überschreiten von Seiten behoben
golang-github-containers-common Auswertung der DBUS_SESSION_BUS_ADDRESS überarbeitet
golang-github-containers-psgo Prozess-Benutzer-Namensraum nicht betreten [CVE-2022-1227]
golang-github-containers-storage Bisherige interne Funktionen allgemein zugänglich gemacht, was nötig war, um CVE-2022-1227 in anderen Paketen zu beheben
golang-github-prometheus-exporter-toolkit Tests korrigiert, um Race Condition zu vermeiden; Authentifizierungs-Cache-Vergiftung beseitigt [CVE-2022-46146]
grep Falsche Übereinstimmungen abgestellt, die auftraten, wenn das letzte von mehreren Mustern einen Rückverweis enthält
gtk+3.0 Wayland + EGL auf nur-GLES-Plattformen überarbeitet
guix Kompilierungsfehlschlag, der durch abgelaufene Schlüssel in der Test-Suite verursacht wurde, behoben
intel-microcode Neue fehlerkorrigierende Veröffentlichung der Originalautoren
isc-dhcp Umgang mit Lebensdauer von IPv6-Adressen verbessert
jersey1 Kompilierungsfehlschlag mit libjettison-java 1.5.3 behoben
joblib Anfälligkeit für eigenmächtige Codeausführung behoben [CVE-2022-21797]
lemonldap-ng Anfälligkeit für Umgehung der URL-Validierung behoben; 2FA-Problem bei Verwendung des AuthBasic-Handlers behoben [CVE-2023-28862]
libapache2-mod-auth-openidc Anfälligkeit für offene Weiterleitungen behoben [CVE-2022-23527]
libapreq2 Pufferüberlauf behoben [CVE-2022-22728]
libdatetime-timezone-perl Enthaltene Daten aktualisiert
libexplain Kompatibilität mit neueren Linux-Kernelversionen verbessert - Linux 5.11 hat kein if_frad.h mehr, termiox gibt es seit Kernel 5.12 nicht mehr
libgit2 SSH-Schlüsselüberprüfung standardmäßig aktiviert [CVE-2023-22742]
libpod Anfälligkeit für Privilegieneskalation behoben [CVE-2022-1227]; Fähigkeiteneskalation durch Container, die fälschlicherweise mit nicht-leeren Vorgabeberechtigungen gestartet wurden, behoben [CVE-2022-27649]; Verarbeitung der DBUS_SESSION_BUS_ADDRESS überarbeitet
libreoffice Kroatiens Standardwährung auf Euro umgestellt; leeren -Djava.class.path= vermeiden [CVE-2022-38745]
libvirt Probleme behoben, die mit Container-Neustarts zu tun haben; Testfehlschläge behoben, die zusammen mit neueren Xen-Versionen auftraten
libxpm Anfälligkeit für Endlosschleifen behoben [CVE-2022-44617 CVE-2022-46285]; Doppel-free im Code für Fehlerbehandlung behoben; Komprimierbefehle hängen vom PATH ab behoben [CVE-2022-4883]
libzen Anfälligkeit für Nullzeiger-Dereferenzierung behoben [CVE-2020-36646]
linux Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86
linux-signed-amd64 Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86
linux-signed-arm64 Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86
linux-signed-i386 Neue stabile Version der Originalautoren; ABI auf 22 angehoben; [rt] Aktualisierung auf 5.10.176-rt86
lxc Datei-Existenz-Orakeln abgeschafft [CVE-2022-47952]
macromoleculebuilder Kompilierungsfehlschlag durch Hinzufügen einer Kompilierungs-Abhängigkeit von docbook-xsl behoben
mariadb-10.5 Neue stabile Version der Originalautoren; Änderung der Originalautoren an libmariadb-API rückgängig gemacht
mono Desktop-Datei entfernt
ncurses Schutz vor defekten terminfo-Daten eingebaut [CVE-2022-29458]; tic-Absturz bei sehr langen tc/use-Klauseln behoben
needrestart Warnungen bei Verwendung der Option -b behoben
node-cookiejar Schutz vor schadhaft großen Cookies eingebaut [CVE-2022-25901]
node-webpack Realm-übergreifenden Zugriff auf Objekte unterbunden [CVE-2023-28154]
nvidia-graphics-drivers Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-450 Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-470 Neue Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-modprobe Neue Version der Originalautoren
openvswitch openvswitch-switch-Aktualisierung zieht Schnittstellen nicht hoch behoben
passenger Kompatibilität mit neueren NodeJS-Versionen verbessert
phyx Unnötige Kompilierungs-Abhängigkeit von libatlas-cpp entfernt
postfix Neue stabile Version der Originalautoren
postgis Falsche Achsenanordnung in der polaren Stereografie behoben
postgresql-13 Neue stabile Version der Originalautoren; Anfälligkeit für Offenlegung des Client-Speichers behoben [CVE-2022-41862]
python-acme Version der erzeugten CSRs korrigiert, um Probleme mit Implementierungen der ACME-API, die sich strikt an die RFCs halten, zu beheben
ruby-aws-sdk-core Generierung der Versionsdatei überarbeitet
ruby-cfpropertylist Ein paar Funktionalitäten durch Aufgeben der Kompatibilität mit Ruby 1.8 wiederhergestellt
shim Neue Version der Originalautoren; neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert
shim-helpers-amd64-signed Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert
shim-helpers-arm64-signed Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert
shim-helpers-i386-signed Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert
shim-signed Neue stabile Version der Originalautoren; NX-Unterstützung zur Kompilierungszeit aktiviert; Debian-GRUB-Binärdateien mit sbat < 4 blockiert
snakeyaml Dienstblockaden behoben [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751]; Dokumentation beüglich Sicherheitsunterstützung und -Problemen hinzugefügt
spyder Code-Dublizierung beim Speichern abgestellt
symfony Private Kopfzeilen vor dem Einspeichern von Antworten mit HttpCache entfernen [CVE-2022-24894]; CSRF-Tokens beim erfolgreichen Anmelden vom Speicher entfernen [CVE-2022-24895]
systemd Anfälligkeit für Informationslecks [CVE-2022-4415], Dienstblockade behoben [CVE-2022-3821]; ata_id: Abruf des Response Code der SCSI Sense Data überarbeitet; logind: Abruf der Eigenschaft OnExternalPower via D-Bus überarbeitet; Absturz in systemd-machined behoben
tomcat9 OpenJDK-17-Unterstützung in JDK-Erkennung hinzugefügt
traceroute v4mapped-IPv6-Adressen als IPv4 interpretieren
tzdata Enthaltene Daten aktualisiert
unbound Angriff via Delegation auf nicht-reagierende DNS-Server behoben [CVE-2022-3204]; Probleme mit Geister-Domain-Namen behoben [CVE-2022-30698 CVE-2022-30699]
usb.ids Enthaltene Daten aktualisiert
vagrant Unterstützung für VirtualBox 7.0 hinzugefügt
voms-api-java Kompilierungsfehlschläge durch Abstellen einiger nicht-funktionierender Tests behoben
w3m Schreibzugriff außerhalb der Grenzen behoben [CVE-2022-38223]
x4d-icons Kompilierungsfehlschlag mit neueren imagemagick-Versionen behoben
xapian-core Datenbank-Beschädigung bei Plattenplatzmangel behoben
zfs-linux Mehrere Verbesserungen der Stabilität

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-5170 nodejs
DSA-5237 firefox-esr
DSA-5238 thunderbird
DSA-5259 firefox-esr
DSA-5262 thunderbird
DSA-5282 firefox-esr
DSA-5284 thunderbird
DSA-5300 pngcheck
DSA-5301 firefox-esr
DSA-5302 chromium
DSA-5303 thunderbird
DSA-5304 xorg-server
DSA-5305 libksba
DSA-5306 gerbv
DSA-5307 libcommons-net-java
DSA-5308 webkit2gtk
DSA-5309 wpewebkit
DSA-5310 ruby-image-processing
DSA-5311 trafficserver
DSA-5312 libjettison-java
DSA-5313 hsqldb
DSA-5314 emacs
DSA-5315 libxstream-java
DSA-5316 netty
DSA-5317 chromium
DSA-5318 lava
DSA-5319 openvswitch
DSA-5320 tor
DSA-5321 sudo
DSA-5322 firefox-esr
DSA-5323 libitext5-java
DSA-5324 linux-signed-amd64
DSA-5324 linux-signed-arm64
DSA-5324 linux-signed-i386
DSA-5324 linux
DSA-5325 spip
DSA-5326 nodejs
DSA-5327 swift
DSA-5328 chromium
DSA-5329 bind9
DSA-5330 curl
DSA-5331 openjdk-11
DSA-5332 git
DSA-5333 tiff
DSA-5334 varnish
DSA-5335 openjdk-17
DSA-5336 glance
DSA-5337 nova
DSA-5338 cinder
DSA-5339 libhtml-stripscripts-perl
DSA-5340 webkit2gtk
DSA-5341 wpewebkit
DSA-5342 xorg-server
DSA-5343 openssl
DSA-5344 heimdal
DSA-5345 chromium
DSA-5346 libde265
DSA-5347 imagemagick
DSA-5348 haproxy
DSA-5349 gnutls28
DSA-5350 firefox-esr
DSA-5351 webkit2gtk
DSA-5352 wpewebkit
DSA-5353 nss
DSA-5355 thunderbird
DSA-5356 sox
DSA-5357 git
DSA-5358 asterisk
DSA-5359 chromium
DSA-5361 tiff
DSA-5362 frr
DSA-5363 php7.4
DSA-5364 apr-util
DSA-5365 curl
DSA-5366 multipath-tools
DSA-5367 spip
DSA-5368 libreswan
DSA-5369 syslog-ng
DSA-5370 apr
DSA-5371 chromium
DSA-5372 rails
DSA-5373 node-sqlite3
DSA-5374 firefox-esr
DSA-5375 thunderbird
DSA-5376 apache2
DSA-5377 chromium
DSA-5378 xen
DSA-5379 dino-im
DSA-5380 xorg-server
DSA-5381 tomcat9
DSA-5382 cairosvg
DSA-5383 ghostscript
DSA-5384 openimageio
DSA-5385 firefox-esr
DSA-5386 chromium
DSA-5387 openvswitch
DSA-5388 haproxy
DSA-5389 rails
DSA-5390 chromium
DSA-5391 libxml2
DSA-5392 thunderbird
DSA-5393 chromium

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernet, die außerhalb unserer Kontrolle liegen:

Paket Grund
bind-dyndb-ldap Defekt bei neueren bind9-Versionen; Unterstützung in Stable nicht möglich
matrix-mirage Abhängig von python-matrix-io, das entfernt werden soll
pantalaimon Abhängig von python-matrix-io, das entfernt werden soll
python-matrix-nio Sicherheitsprobleme; funktioniert nicht mit aktuellen Matrix-Servern
weechat-matrix Abhängig von python-matrix-io, das entfernt werden soll

Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.