Debian 12 aktualisiert: 12.1 veröffentlicht
22. Juli 2023
Das Debian-Projekt freut sich, die erste Aktualisierung seiner Stable-Distribution
Debian 12 (Codename Bookworm
) ankündigen zu können. Diese
Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken der Stable-Veröffentlichung
sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen
veröffentlicht worden, auf die, wenn möglich, verwiesen wird.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von
Debian 12 darstellt, sondern nur einige der enthaltenen Pakete auffrischt.
Es gibt keinen Grund, Bookworm
-Medien zu entsorgen, da deren Pakete
auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf
den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerbehebungen
Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
| Paket | Grund |
|---|---|
| aide | Systembenutzer ordentlich anlegen; Unterverzeichnis-Verarbeitung bei Übereinstimmung korrigiert |
| autofs | Hänger bei Verwendung von Kerberos-authentifiziertem LDAP behoben |
| ayatana-indicator-datetime | Wiedergabe eigener Alarmtöne überarbeitet |
| base-files | Aktualisierung auf die Zwischenveröffentlichung 12.1 |
| bepasty | Darstellung von Text-Uploads überarbeitet |
| boost1.81 | Fehlende Abhängigkeit von libboost-json1.81.0 für libboost-json1.81-dev nachgetragen |
| bup | POSIX-ACLs richtig wiederherstellen |
| context | Socket in ConTeXt-mtxrun aktivieren |
| cpdb-libs | Anfälligkeit für Pufferüberlauf behoben [CVE-2023-34095] |
| cpp-httplib | Problem mit CRLF-Injektion (Zeilenumbruch-Injektion) behoben [CVE-2023-26130] |
| crowdsec | Standard-acquis.yaml überarbeitet, damit sie auch journalctl als Datenquelle enthält, diese aber begrenzt auf die ssh.service-Unit, sodass sichergestellt wird, dass die Übernahme auch ohne die traditionelle auth.log-Datei funktioniert; sichergestellt, dass die Engine nicht wegen einer ungültigen Datenquelle mit Fehler aussteigt |
| cups | Sicherheitskorrekturen: Weiterverwendung nach Freigabe (use-after-free) [CVE-2023-34241]; Heap-Puffer-Überlauf [CVE-2023-32324] |
| cvs | Vollen Pfad zu ssh in Konfiguration hinterlegen |
| dbus | Neue Veröffentlichung der Originalautoren; Dienstblockade-Problem gelöst [CVE-2023-34969]; nicht länger versuchen, DPKG_ROOT zu berücksichtigen, sodass eher systemd's /etc/machine-id kopiert wird, statt eine komplett neue Maschinen-ID zu erzeugen |
| debian-installer | Linux-Kernel-ABI auf 6.1.0-10 angehoben; Neukompilierung gegen proposed-updates |
| debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
| desktop-base | emerald-Alternativen bei Paket-Deinstallation ebenfalls entfernen |
| dh-python | Beschädigt/Ersetzt-Abhängigkeit von python2 wiederhergestellt, um APT in einigen Upgrade-Szenarios zu helfen |
| dkms | Beschädigt-Abhängigkeit von obsoleten, inkompatiblen *-dkms-Paketen hinzugefügt |
| dnf | Standard-DNF-Konstante PYTHON_INSTALL_DIR korrigiert |
| dpdk | Neue Veröffentlichung der Originalautoren |
| exim4 | Argumentauswertung für ${run }-Expansion überarbeitet; behoben, dass ${srs_encode ..} alle 1024 Tage falsche Resultate zurückliefert |
| fai | Gültigkeit der IP-Adresse angepasst |
| glibc | Pufferüberlauf in gmon behoben; Deadlock in getaddrinfo (__check_pf) mit verzögertem Abbruch korrigiert; Jahr-2038-Unterstützung in strftime auf 32-Bit-Architekturen überarbeitet; Spezialfall in der Verarbeitung von /etc/gshadow korrigiert, die zu fehlerhaften Zeigern führen kann, was wiederum Speicherzugriffsfehler in Anwendungen verursachen kann; Deadlock in system() behoben, wenn es gleichzeitig von mehreren Threads aufgerufen wird; cdefs: Definition von Fortifizierungs-Makros auf __FORTIFY_LEVEL > 0 begrenzt, um alte C90-Compiler zu unterstützen |
| gnome-control-center | Neue fehlerbereinigte Version der Originalautoren |
| gnome-maps | Neue fehlerbereinigte Version der Originalautoren |
| gnome-shell | Neue fehlerbereinigte Version der Originalautoren |
| gnome-software | Neue Veröffentlichung der Originalautoren; Speicherlecks geflickt |
| gosa | PHP 8.2-Missbilligungswarnungen abgestellt; fehlende Vorlage im Vorgabe-Thema nachgereicht; Tabellengestaltung überarbeitet; Verwendung des debugLevel > 0 korrigiert |
| groonga | Links zur Dokumentation korrigiert |
| guestfs-tools | Sicherheitskorrektur [CVE-2022-2211] |
| indent | ROUND_UP-Makro wiederhergestellt und anfängliche Puffergröße korrigiert |
| installation-guide | Indonesische Übersetzung aktiviert |
| kanboard | Bösartige Injektion von HTML-Tags in das DOM [CVE-2023-32685] behoben; parameterbasierte indirekte Objektreferenzierung, die zur Offenlegung privater Dateien führen kann, behoben [CVE-2023-33956]; fehlende Zugriffskontrollen nachgereicht [CVE-2023-33968, CVE-2023-33970]; Stored-XSS in Funktionalität Task External Link behoben [CVE-2023-33969] |
| kf5-messagelib | Auch nach Unterschlüsseln suchen |
| libmatekbd | Speicherlecks behoben |
| libnginx-mod-http-modsecurity | Binäre Neukompilierung mit pcre2 |
| libreoffice | Neue fehlerbereinigte Version der Originalautoren |
| libreswan | Potenzielles Dienstblockade-Problem behoben [CVE-2023-30570] |
| libxml2 | Problem mit Nullzeiger-Dereferenzierung behoben [CVE-2022-2309] |
| linux | Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001] |
| linux-signed-amd64 | Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001] |
| linux-signed-arm64 | Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001] |
| linux-signed-i386 | Neue Veröffentlichung der Originalautoren; netfilter: nf_tables: Genmask nicht ignorieren, wenn Kette anhand der ID nachgeschlagen wird [CVE-2023-31248], OOB-Zugriff in nft_byteorder_eval verhindern [CVE-2023-35001] |
| mailman3 | Redundanten Cronjob gelöscht; Einreihung von Diensten übernehmen, wenn MariaDB vorhanden ist |
| marco | Wenn Eigentum vom Superuser, richtigen Fenstertitel anzeigen |
| mate-control-center | Mehrere Speicherlecks behoben |
| mate-power-manager | Mehrere Speicherlecks behoben |
| mate-session-manager | Mehrere Speicherlecks behoben; auch andere Clutter-Backends als X11 erlauben |
| multipath-tools | Darunterliegende Pfade vor dem LVM verbergen; Fehlschlag bei der ersten Dienstausführung bei neuen Installationen verhindern |
| mutter | Neue fehlerbereinigte Version der Originalautoren |
| network-manager-strongswan | Editor-Komponente mit GTK-4-Unterstützung kompiliert |
| nfdump | Beim Starten Erfolg zurückmelden; Speicherzugriffsfehler bei Optionenauswertung behoben |
| nftables | Regression beim Setzen des Listenformats behoben |
| node-openpgp-seek-bzip | Installation der Dateien im seek-bzip-Paket überarbeitet |
| node-tough-cookie | Prototype Pollution behoben [CVE-2023-26136] |
| node-undici | Sicherheitskorrekturen: Host-HTTP-Kopfzeile vor CLRF-Injektion [CVE-2023-23936] schützen; potenzielle Dienstblockade durch reguläre Ausdrücke auf Headers.set und Headers.append unterbunden [CVE-2023-24807] |
| node-webpack | Sicherheitskorrektur (cross-realm objects) [CVE-2023-28154] |
| nvidia-cuda-toolkit | Mitgeliefertes openjdk-8-jre aktualisiert |
| nvidia-graphics-drivers | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516] |
| nvidia-graphics-drivers-tesla | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516] |
| nvidia-graphics-drivers-tesla-470 | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516] |
| nvidia-modprobe | Neue fehlerbereinigte Version der Originalautoren |
| nvidia-open-gpu-kernel-modules | Neue Veröffentlichung der Originalautoren; Sicherheitskorrekturen [CVE-2023-25515 CVE-2023-25516] |
| nvidia-support | Beschädigt-Abhängigkeit von inkompatiblen Paketen in Bullseye hinzugefügt |
| onionshare | Installation von Desktop-Möbeln überarbeitet |
| openvpn | Speicherleck und ins Leere deutenden Zeiger (möglicher Absturz-Vektor) behoben |
| pacemaker | Regression im Ressourcen-Scheduler behoben |
| postfix | Neue fehlerbereinigte Version der Originalautoren; postfix set-permissionsbehoben |
| proftpd-dfsg | Bei der Installation keinen Socket im inetd-Stil aktivieren |
| qemu | Neue Veröffentlichung der Originalautoren; Nicht-Verfügbarkeit von USB-Geräten für den XEN HVM domUs behoben; 9pfs: Öffnen von Spezialdateien behoben [CVE-2023-2861]; Probleme mit Eintrittsvarianz im LSI-Controller behoben [CVE-2023-0330] |
| request-tracker5 | Links zur Dokumentation korrigiert |
| rime-cantonese | Wörter und Zeichen anhand Häufigkeit sortieren |
| rime-luna-pinyin | Fehlende Pinyin-Schemadaten nachgereicht |
| samba | Neue Veröffentlichung der Originalautoren; sicherstellen, dass Handbuchseiten während der Kompilierung erzeugt werden; Unterstützung fürs Speichern von Kerberos-Tickets im Kernel-Schlüsselbund aktiviert; Kompilierungsprobleme auf armel und mipsel behoben; Windows-Anmelde- und Vertrauensprobleme seit den Windows-Updates 2023-07 behoben |
| schleuder-cli | Sicherheitskorrektur (Wertmaskierung) |
| smarty4 | Eigenmächtige Codeausführung behoben [CVE-2023-28447] |
| spip | Verschiedene Sicherheitskorrekturen; Sicherheitskorrektur (Filterung von Authentifizierungsdaten) |
| sra-sdk | Dateiinstallation in libngs-java überarbeitet |
| sudo | Format des Ereignisprotokolls überarbeitet |
| systemd | Neue fehlerbereinigte Version der Originalautoren |
| tang | Race Condition beim Erstellen/Rotieren von Schlüsseln behoben [CVE-2023-1672] |
| texlive-bin | Socket in luatex standardmäßig deaktivieren [CVE-2023-32668]; auf i386 installierbar gemacht |
| unixodbc | Beschädigt+Ersetzt-Abhängigkeit für odbcinst1debian1 hinzugefügt |
| usb.ids | Enthaltene Daten aktualisiert |
| vm | Byte-Kompilierung abgeschaltet |
| vte2.91 | Neue fehlerbereinigte Version der Originalautoren |
| xerial-sqlite-jdbc | Eine UUID als Verbindungs-ID verwenden [CVE-2023-32697] |
| yajl | Speicherleck-Sicherheitskorrektur; Dienstblockade unterbunden [CVE-2017-16516], außerdem Ganzzahlüberlauf abgestellt [CVE-2022-24795] |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Debian-Installer
Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <[email protected]> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <[email protected]>.