Debian 12 aktualisiert: 12.2 veröffentlicht

7. Oktober 2023

Das Debian-Projekt freut sich, die zweite Aktualisierung seiner Stable-Distribution Debian 12 (Codename Bookworm) bekanntgeben zu können. Diese Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen veröffentlicht worden, auf die, wo möglich, verwiesen wird.

Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von Debian 12 darstellt, sondern nur einige der enthaltenen Pakete auffrischt. Es gibt keinen Grund, Bookworm-Medien zu entsorgen, da deren Pakete auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf den neuesten Stand gebracht werden können.

Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.

Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.

Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:

https://www.debian.org/mirror/list

Verschiedene Fehlerbehebungen

Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:

Paket Grund
amd64-microcode Enthaltenen Mikrocode aktualisiert, inklusive Korrekturen für AMD Inception bei AMD-Zen4-Prozessoren [CVE-2023-20569]
arctica-greeter Konfiguration des Themas für die Bildschirmtastatur durch die ArcticaGreeter-Einstellungen unterstützen; Kompaktes BST-Layout (statt »Klein«) verwenden, weil dieses auch Spezialtasten wie die deutschen Umlaute enthält; Darstellung der Anmeldefehler-Meldungen verbessert; statt Emerald aktives Thema benutzen
autofs Rückschritt beim Feststellen der Erreichbarkeit von Dual-Stack-Hosts behoben
base-files Aktualisierung auf die Zwischenveröffentlichung 12.2
batik Serverseitige Abfragefälschungen behoben [CVE-2022-44729 CVE-2022-44730]
boxer-data Aufhören, https-everywhere für Firefox zu installieren
brltty xbrlapi: brltty nicht mit ba+a2 starten, falls nicht verfügbar; Cursor-Routing und Braille-Panning in Orca für den Fall verbessert, dass xbrlapi installiert ist, aber der a2-Bildschirmtreiber nicht
ca-certificates-java Während neuer Installationen nicht von unkonfigurierter JRE aufhalten lassen
cairosvg »data:«-URLs im abgesicherten Modus handhaben
calibre Export-Funktionalität überarbeitet
clamav Neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-20197 CVE-2023-20212]
cryptmount Probleme mit Speicher-Initialisierung in Befehlszeilen-Verarbeitungsroutine vermeiden
cups Heap-basierten Pufferüberlauf behoben [CVE-2023-4504]; unangemeldeten Zugriff unterbunden [CVE-2023-32360]
curl Zusammen mit OpenLDAP kompiliert, um fehlerhaften Abrufen von binären LDAP-Attributen zu begegnen; exzessiven Speicherbedarf behoben [CVE-2023-38039]
cyrus-imapd Sicherstellen, dass beim Upgrade von Bullseye aus keine Postfächer verloren gehen
dar Probleme beim Erstellen isolierter Kataloge, wenn dar mit einer aktuellen gcc-Version kompiliert wurde, behoben
dbus Neue stabile Version der Originalautoren; dbus-Daemon-Absturz beim Neuladen von Richtlinien behoben, der auftrat, wenn eine Verbindung einem Benutzer gehörte, der bereits gelöscht war, bzw. bei einem beschädigten Name-Service-Switch-Plugin oder auf Kernels, die kein SO_PEERGROUPS unterstützen; Fehler korrekt melden, wenn das Abfragen der Gruppen einer UID fehlschlägt; dbus-user-session: XDG_CURRENT_DESKTOP in die Aktivierungs-Umgebung kopieren
debian-archive-keyring Übrig gebliebene Schlüsselbunde in trusted.gpg.d aufräumen
debian-edu-doc Handbuch zu Debian Edu Bookworm aktualisiert
debian-edu-install Neue Version der Originalautoren; Größen bei der D-I-Autopartitionierung korrigiert
debian-installer Linux-Kernel-ABI auf 6.1.0-13 angehoben; Neukompilierung gegen proposed-updates
debian-installer-netboot-images Neukompilierung gegen proposed-updates
debian-parl Neukompilierung mit neuerem boxer-data; nicht länger von webext-https-everywhere abhängen
debianutils Doppeleinträge in /etc/shells behoben; /bin/sh in der State-File verwalten; Kanonialisierung der Shells in Lokationen mit Alias überarbeitet
dgit Alte /updates-Sicherheits-Mapping nur für Buster verwenden; Pushen alter Versionen, die bereits im Archiv liegen, verhindert
dhcpcd5 Upgrades mit Überresten von Wheezy erleichtern; missbilligte ntpd-Integration abgeschafft; Version im Aufräum-Skript korrigiert
dpdk Neue stabile Version der Originalautoren
dput-ng Erlaubte Upload-Ziele aktualisiert; Fehlschlag beim Kompilieren aus der Quelle behoben
efibootguard Unzureichende oder fehlende Validierung und Bereinigung von Eingaben aus nicht vertrauenswürdigen Dateien in der Bootloader-Umgebung überarbeitet [CVE-2023-39950]
electrum Lightning-Sicherheitsproblem behoben
filezilla Kompilate für 32-Bit-Umgebungen überarbeitet; Absturz beim Entfernen von Dateitypen von der Liste behoben
firewalld Keine IPv4- und IPv6-Adressen in einer einzelnen nftables-Regel vermischen
flann Überzähliges -llz4 von flann.pc entfernt
foot XTGETTCAP-Abfragen mit ungültigen Hex-Enkodierungen ignorieren
freedombox n= in apt-Einstellungen verwenden, damit Upgrades glatt laufen
freeradius Sicherstellen, dass in TLS-Client-Cert-Common-Name korrekte Daten stehen
ghostscript Pufferüberlauf behoben [CVE-2023-38559]; versucht, den IJS-Server-Start abzusichern [CVE-2023-43115]
gitit Neukompilierung gegen neues pandoc
gjs Endlosschleifen von Idle-Callbacks, wenn ein Idle-Handler während der GC aufgerufen wird, vermeiden
glibc Auf ppc64el den Wert von F_GETLK/F_SETLK/F_SETLKW mit __USE_FILE_OFFSET64 korrigiert; Stapel-Leseüberlauf in getaddrinfo im no-aaaa-Modus behoben [CVE-2023-4527]; Use-after-free in getcanonname behoben [CVE-2023-4806 CVE-2023-5156]; _dl_find_object dazu gebracht, auch früh im Startprozess richtige Werte zurückzuliefern
gosa-plugins-netgroups Missbilligungs-Warnungen auf der Webschnittstelle abgestellt
gosa-plugins-systems Verwaltung der DHCP-/DNS-Einträge im Default-Theme überarbeitet; Hinzufügen von (Standalone-) Netzwerkdrucker-Systemen überarbeitet; Erstellung von Ziel-DNs für verschiedene Systemtypen überarbeitet; Symboldarstellung im DHCP-Servlet korrigiert; unqualifizierten Hostnamen für Arbeitsstationen erzwingen
gtk+3.0 Neue stabile Version der Originalautoren; mehrere Abstürze behoben; auf der Inspector-Fehersuch-Schnittstelle mehr Infos ausgeben; GFileInfo-Warnungen bei Verwendung mit einer zurückportierten Version von GLib abgestellt; für das Caret bei dunklen Themen eine helle Farbe gewählt, damit es in diversen Programmen, vor allem Evince, viel leichter zu sehen ist
gtk4 Abschneidungen in der Orte-Seitenleiste, die auftreten, wenn die Schriftvergrößerung aktiv ist, behoben
haskell-hakyll Neukompilierung gegen neues pandoc
highway Unterstützung für armhf-Systeme ohne NEON verbessert
hnswlib Doppel-Free in init_index behoben, das auftrat, wenn das M-Argument eine große Ganzzahl war [CVE-2023-37365]
horizon Anfälligkeit für offene Weiterleitungen behoben [CVE-2022-45582]
icingaweb2 Nicht wünschenswerte Missbilligungs-Benachrichtigungen unterdrückt
imlib2 Beibehaltung des Alpha-Channel-Markierung verbessert
indent Lesezugriff außerhalb des Puffers behoben; übermäßigen Puffer-Schreibzugriff behoben [CVE-2023-40305]
inetutils Rückgabewerte beim Abgeben von Privilegien überprüfen [CVE-2023-40303]
inn2 nnrpd-Hänger bei eingeschalteter Kompression behoben; Unterstützung für hochpräzise Syslog-Zeitstempel hinzugefügt; inn-{radius,secrets}.conf nicht für alle Welt lesbar machen
jekyll YAML-Aliase unterstützen
kernelshark Speicherzugriffsfehler in libshark-tepdata behoben; Aufzeichnung in Zielverzeichnis mit Leerzeichen korrigiert
krb5 Freigabe nicht-initialisierter Zeiger überarbeitet [CVE-2023-36054]
lemonldap-ng Anmelde-Kontrolle auf Auth-Slave-Anfragen anwenden; offene Weiterleitungen wegen fehlerhafter Zeichenmaskierung behoben; offene Weiterleitungen durch nicht vorhandene Weiterleitungs-URIs in OIDC RP behoben; serverseitige Abfragefälschungen behoben [CVE-2023-44469]
libapache-mod-jk Funktion für implizite Mappings abgeschafft, die zu unbeabsichtigter Freigabe des Status-Workers und/oder Umgehung der Sicherheitsbeschränkungen führen konnte [CVE-2023-41081]
libclamunrar Neue stabile Version der Originalautoren
libmatemixer Heap-Korruptionen/Anwendungsabstürze beim Entfernen von Audiogeräten behoben
libpam-mklocaluser pam-auth-update: sichergestellt, dass das Modul vor den anderen Sitzungstyp-Modulen an der Reihe ist
libxnvctrl Neues Quellpaket, das von nvidia-settings abgespaltet wurde
linux Neue stabile Version der Originalautoren
linux-signed-amd64 Neue stabile Version der Originalautoren
linux-signed-arm64 Neue stabile Version der Originalautoren
linux-signed-i386 Neue stabile Version der Originalautoren
llvm-defaults Symbolischen /usr/include/lld-Verweis korrigiert; Beschädigt-Abhängigkeit von nicht gleichzeitig instalierbaren Paketen hinzugefügt, um Upgrades von Bullseye zu erleichtern
ltsp Anwendung von mv auf Init-Symlink vermeiden
lxc Nftables-Syntax für IPv6-NAT korrigiert
lxcfs CPU-Meldung innerhalb eines arm32-Containers mit vielen CPUs korrigiert
marco Compositing nur in dem Fall einschalten, dass es verfügbar ist
mariadb Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
mate-notification-daemon Zwei Speicherlecks geflickt
mgba Kaputten Ton in libretro core behoben; Absturz auf Hardware, die kein OpenGL 3.2 beherrscht, verhindert
modsecurity Dienstblockaden unterbunden [CVE-2023-38285]
monitoring-plugins check_disk: Beim Suchen nach passenden Einhängepunkten ein Einhängen vermeiden, um eine Verlangsamung gegenüber der Bullseye-Version zu lösen
mozjs102 Neue stabile Version der Originalautoren; inkorrekten Wert während WASM-Kompilierung verwendet behoben [CVE-2023-4046], potenzielles Use-after-Free [CVE-2023-37202], Probleme mit Speichersicherheit [CVE-2023-37211 CVE-2023-34416] behoben
mutt Neue stabile Version der Originalautoren
nco Unterstützung für udunits2 wieder aktiviert
nftables Inkorrekte Bytecode-Generierung behoben, die von einer neuen Kernel-Prüfung ausgelöst wird, welche das Ergänzen von Regeln zu verbundenen Chains verhindert
node-dottie Sicherheitskorrektur (Prototype Pollution) [CVE-2023-26132]
nvidia-settings Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
nvidia-settings-tesla Neue Fehlerkorrektur-Veröffentlichung der Originalautoren
nx-libs Fehlenden symbolischen Verweis /usr/share/nx/fonts hinzugefügt; Handbuchseite überarbeitet
open-ath9k-htc-firmware Richtige Firmware laden
openbsd-inetd Probleme bei Speicherhandhabung behoben
openrefine Anfälligkeit für eigenmächtige Codeausführung abgestellt [CVE-2023-37476]
openscap Abhängigkeiten von openscap-utils und python3-openscap korrigiert
openssh Anfälligkeit für Codeausführung aus der Ferne durch einen weitergeleiteten Agent-Socket unterbunden [CVE-2023-38408]
openssl Neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-2975 CVE-2023-3446 CVE-2023-3817]
pam pam-auth-update --disable überarbeitet; Türkisch-Übersetzung aktualisiert
pandoc Problem mit eigenmächtigen Datei-Schreibzugriffen behoben [CVE-2023-35936]
plasma-framework Plasmashell-Abstürze behoben
plasma-workspace Absturz in krunner behoben
python-git Anfälligkeit für Codeausführung aus der Ferne [CVE-2023-40267] und blindes Inkludieren von lokalen Dateien behoben [CVE-2023-41040]
pywinrm Kompatibilität mit Python 3.11 verbessert
qemu Aktualisierung auf Originalautoren-Baum 7.2.5; ui/vnc-clipboard: Endlosschleife in inflate_buffer [CVE-2023-3255] behoben; Nullzeiger-Dereferenzierung behoben [CVE-2023-3354]; Pufferüberlauf abgestellt [CVE-2023-3180]
qtlocation-opensource-src Einfrieren beim Laden von Kartenkacheln behoben
rar Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2023-40477]
reprepro Race Condition beim Einsatz externer Dekompressoren behoben
rmlint Fehler in anderen Paketen, die durch eine ungültige Version des Pakets python verursacht wurden, behoben; Fehlschläge bei GUI-Starts mit aktuellem python3.11 behoben
roundcube Neue stabile Version der Originalautoren; OAuth2-Authentifizierung überarbeitet; Anfälligkeit für seitenübergreifendes Skripting behoben [CVE-2023-43770]
runit-services dhclient: Verwendung von eth1 nicht hartkodieren
samba Neue stabile Version der Originalautoren
sitesummary Neue Version der Originalautoren; Installation des sitesummary-maintenance-CRON/systemd-timerd-Skripts überarbeitet; unsichere Erstellung von Temporärdateien und -Verzeichnissen korrigiert
slbackup-php Fehlerkorrekturen: Fernbefehle in Standardausgabe protokollieren; SSH-Known-Hosts-Dateien deaktiviert; PHP-8-Kompatibilität
spamprobe Abstürze beim Verarbeiten von JPEG-Anhängen beseitigt
stunnel4 Umgang mit Gegenstellen, welche die TLS-Verbindung ohne ordentliche Vorwarnung abbauen, überarbeitet
systemd Neue stabile Version der Originalautoren; kleineres Sicherheitsproblem beim Laden der Device-Trees während des arm64- und riscv64-systemd-Boots (EFI) behoben
testng7 Für zukünftige openjdk-17-Kompilierungen auf Stable zurückportiert
timg Anfälligkeit für Pufferüberläufe beseitigt [CVE-2023-40968]
transmission openssl3-Kompatibilitäts-Änderung ersetzt, um Speicherleck zu beheben
unbound Fehlerprotokoll-Flutung bei Verwendung von DNS over TLS mit openssl 3.0 behoben
unrar-nonfree Fernausführung von Code abgestellt [CVE-2023-40477]
vorta Ctime- und mtime-Änderungen in Diffs abhandeln
vte2.91 Ring-View öfter als nötig ungültig machen, um diverse Assertions-Fehlschläge während der Event-Handhabung zu vermeiden
x2goserver x2goruncommand: Unterstützung für KDE Plasma 5 hinzugefügt; x2gostartagent: Logdatei-Beschädigung verhindert; keystrokes.cfg: mit nx-libs abgleichen; Enkodierung der Finnisch-Übersetzung korrigiert

Sicherheitsaktualisierungen

Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:

Ankündigungs-ID Paket
DSA-5454 kanboard
DSA-5455 iperf3
DSA-5456 chromium
DSA-5457 webkit2gtk
DSA-5458 openjdk-17
DSA-5459 amd64-microcode
DSA-5460 curl
DSA-5462 linux-signed-amd64
DSA-5462 linux-signed-arm64
DSA-5462 linux-signed-i386
DSA-5462 linux
DSA-5463 thunderbird
DSA-5464 firefox-esr
DSA-5465 python-django
DSA-5466 ntpsec
DSA-5467 chromium
DSA-5468 webkit2gtk
DSA-5469 thunderbird
DSA-5471 libhtmlcleaner-java
DSA-5472 cjose
DSA-5473 orthanc
DSA-5474 intel-microcode
DSA-5475 linux-signed-amd64
DSA-5475 linux-signed-arm64
DSA-5475 linux-signed-i386
DSA-5475 linux
DSA-5476 gst-plugins-ugly1.0
DSA-5477 samba
DSA-5479 chromium
DSA-5481 fastdds
DSA-5482 tryton-server
DSA-5483 chromium
DSA-5484 librsvg
DSA-5485 firefox-esr
DSA-5487 chromium
DSA-5488 thunderbird
DSA-5491 chromium
DSA-5492 linux-signed-amd64
DSA-5492 linux-signed-arm64
DSA-5492 linux-signed-i386
DSA-5492 linux
DSA-5493 open-vm-tools
DSA-5494 mutt
DSA-5495 frr
DSA-5496 firefox-esr
DSA-5497 libwebp
DSA-5498 thunderbird
DSA-5501 gnome-shell
DSA-5504 bind9
DSA-5505 lldpd
DSA-5507 jetty9
DSA-5510 libvpx

Entfernte Pakete

Die folgenden Pakete wurden wegen Umständen entfernt, die sich unserer Kontrolle entziehen:

Paket Grund
https-everywhere obsolet, die gängigsten Browser bieten native Unterstützung

Debian-Installer

Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.

URLs

Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:

https://deb.debian.org/debian/dists/bookworm/ChangeLog

Die derzeitige Stable-Distribution:

https://deb.debian.org/debian/dists/stable/

Vorgeschlagene Aktualisierungen für die Stable-Distribution:

https://deb.debian.org/debian/dists/proposed-updates

Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):

https://www.debian.org/releases/stable/

Sicherheitsankündigungen und -informationen:

https://www.debian.org/security/

Über Debian

Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.

Kontaktinformationen

Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <press@debian.org> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <debian-release@lists.debian.org>.