Debian 12 aktualisiert: 12.2 veröffentlicht
7. Oktober 2023
Das Debian-Projekt freut sich, die zweite Aktualisierung seiner Stable-Distribution
Debian 12 (Codename Bookworm
) bekanntgeben zu können. Diese
Zwischenveröffentlichung behebt hauptsächlich Sicherheitslücken
sowie einige ernste Probleme. Es sind bereits separate Sicherheitsankündigungen
veröffentlicht worden, auf die, wo möglich, verwiesen wird.
Bitte beachten Sie, dass diese Zwischenveröffentlichung keine neue Version von
Debian 12 darstellt, sondern nur einige der enthaltenen Pakete auffrischt.
Es gibt keinen Grund, Bookworm
-Medien zu entsorgen, da deren Pakete
auch nach der Installation durch einen aktualisierten Debian-Spiegelserver auf
den neuesten Stand gebracht werden können.
Wer häufig Aktualisierungen von security.debian.org herunterlädt, wird nicht viele Pakete auf den neuesten Stand bringen müssen. Die meisten dieser Aktualisierungen sind in dieser Revision enthalten.
Neue Installationsabbilder können bald von den gewohnten Orten bezogen werden.
Vorhandene Installationen können auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen wird. Eine vollständige Liste der Spiegelserver ist verfügbar unter:
Verschiedene Fehlerbehebungen
Diese Stable-Aktualisierung fügt den folgenden Paketen einige wichtige Korrekturen hinzu:
| Paket | Grund |
|---|---|
| amd64-microcode | Enthaltenen Mikrocode aktualisiert, inklusive Korrekturen für AMD Inceptionbei AMD-Zen4-Prozessoren [CVE-2023-20569] |
| arctica-greeter | Konfiguration des Themas für die Bildschirmtastatur durch die ArcticaGreeter-Einstellungen unterstützen; KompaktesBST-Layout (statt »Klein«) verwenden, weil dieses auch Spezialtasten wie die deutschen Umlaute enthält; Darstellung der Anmeldefehler-Meldungen verbessert; statt Emerald aktives Thema benutzen |
| autofs | Rückschritt beim Feststellen der Erreichbarkeit von Dual-Stack-Hosts behoben |
| base-files | Aktualisierung auf die Zwischenveröffentlichung 12.2 |
| batik | Serverseitige Abfragefälschungen behoben [CVE-2022-44729 CVE-2022-44730] |
| boxer-data | Aufhören, https-everywhere für Firefox zu installieren |
| brltty | xbrlapi: brltty nicht mit ba+a2 starten, falls nicht verfügbar; Cursor-Routing und Braille-Panning in Orca für den Fall verbessert, dass xbrlapi installiert ist, aber der a2-Bildschirmtreiber nicht |
| ca-certificates-java | Während neuer Installationen nicht von unkonfigurierter JRE aufhalten lassen |
| cairosvg | »data:«-URLs im abgesicherten Modus handhaben |
| calibre | Export-Funktionalität überarbeitet |
| clamav | Neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-20197 CVE-2023-20212] |
| cryptmount | Probleme mit Speicher-Initialisierung in Befehlszeilen-Verarbeitungsroutine vermeiden |
| cups | Heap-basierten Pufferüberlauf behoben [CVE-2023-4504]; unangemeldeten Zugriff unterbunden [CVE-2023-32360] |
| curl | Zusammen mit OpenLDAP kompiliert, um fehlerhaften Abrufen von binären LDAP-Attributen zu begegnen; exzessiven Speicherbedarf behoben [CVE-2023-38039] |
| cyrus-imapd | Sicherstellen, dass beim Upgrade von Bullseye aus keine Postfächer verloren gehen |
| dar | Probleme beim Erstellen isolierter Kataloge, wenn dar mit einer aktuellen gcc-Version kompiliert wurde, behoben |
| dbus | Neue stabile Version der Originalautoren; dbus-Daemon-Absturz beim Neuladen von Richtlinien behoben, der auftrat, wenn eine Verbindung einem Benutzer gehörte, der bereits gelöscht war, bzw. bei einem beschädigten Name-Service-Switch-Plugin oder auf Kernels, die kein SO_PEERGROUPS unterstützen; Fehler korrekt melden, wenn das Abfragen der Gruppen einer UID fehlschlägt; dbus-user-session: XDG_CURRENT_DESKTOP in die Aktivierungs-Umgebung kopieren |
| debian-archive-keyring | Übrig gebliebene Schlüsselbunde in trusted.gpg.d aufräumen |
| debian-edu-doc | Handbuch zu Debian Edu Bookworm aktualisiert |
| debian-edu-install | Neue Version der Originalautoren; Größen bei der D-I-Autopartitionierung korrigiert |
| debian-installer | Linux-Kernel-ABI auf 6.1.0-13 angehoben; Neukompilierung gegen proposed-updates |
| debian-installer-netboot-images | Neukompilierung gegen proposed-updates |
| debian-parl | Neukompilierung mit neuerem boxer-data; nicht länger von webext-https-everywhere abhängen |
| debianutils | Doppeleinträge in /etc/shells behoben; /bin/sh in der State-File verwalten; Kanonialisierung der Shells in Lokationen mit Alias überarbeitet |
| dgit | Alte /updates-Sicherheits-Mapping nur für Buster verwenden; Pushen alter Versionen, die bereits im Archiv liegen, verhindert |
| dhcpcd5 | Upgrades mit Überresten von Wheezy erleichtern; missbilligte ntpd-Integration abgeschafft; Version im Aufräum-Skript korrigiert |
| dpdk | Neue stabile Version der Originalautoren |
| dput-ng | Erlaubte Upload-Ziele aktualisiert; Fehlschlag beim Kompilieren aus der Quelle behoben |
| efibootguard | Unzureichende oder fehlende Validierung und Bereinigung von Eingaben aus nicht vertrauenswürdigen Dateien in der Bootloader-Umgebung überarbeitet [CVE-2023-39950] |
| electrum | Lightning-Sicherheitsproblem behoben |
| filezilla | Kompilate für 32-Bit-Umgebungen überarbeitet; Absturz beim Entfernen von Dateitypen von der Liste behoben |
| firewalld | Keine IPv4- und IPv6-Adressen in einer einzelnen nftables-Regel vermischen |
| flann | Überzähliges -llz4 von flann.pc entfernt |
| foot | XTGETTCAP-Abfragen mit ungültigen Hex-Enkodierungen ignorieren |
| freedombox | n= in apt-Einstellungen verwenden, damit Upgrades glatt laufen |
| freeradius | Sicherstellen, dass in TLS-Client-Cert-Common-Name korrekte Daten stehen |
| ghostscript | Pufferüberlauf behoben [CVE-2023-38559]; versucht, den IJS-Server-Start abzusichern [CVE-2023-43115] |
| gitit | Neukompilierung gegen neues pandoc |
| gjs | Endlosschleifen von Idle-Callbacks, wenn ein Idle-Handler während der GC aufgerufen wird, vermeiden |
| glibc | Auf ppc64el den Wert von F_GETLK/F_SETLK/F_SETLKW mit __USE_FILE_OFFSET64 korrigiert; Stapel-Leseüberlauf in getaddrinfo im no-aaaa-Modus behoben [CVE-2023-4527]; Use-after-free in getcanonname behoben [CVE-2023-4806 CVE-2023-5156]; _dl_find_object dazu gebracht, auch früh im Startprozess richtige Werte zurückzuliefern |
| gosa-plugins-netgroups | Missbilligungs-Warnungen auf der Webschnittstelle abgestellt |
| gosa-plugins-systems | Verwaltung der DHCP-/DNS-Einträge im Default-Theme überarbeitet; Hinzufügen von (Standalone-) Netzwerkdrucker-Systemen überarbeitet; Erstellung von Ziel-DNs für verschiedene Systemtypen überarbeitet; Symboldarstellung im DHCP-Servlet korrigiert; unqualifizierten Hostnamen für Arbeitsstationen erzwingen |
| gtk+3.0 | Neue stabile Version der Originalautoren; mehrere Abstürze behoben; auf der Inspector-Fehersuch-Schnittstelle mehr Infos ausgeben; GFileInfo-Warnungen bei Verwendung mit einer zurückportierten Version von GLib abgestellt; für das Caret bei dunklen Themen eine helle Farbe gewählt, damit es in diversen Programmen, vor allem Evince, viel leichter zu sehen ist |
| gtk4 | Abschneidungen in der Orte-Seitenleiste, die auftreten, wenn die Schriftvergrößerung aktiv ist, behoben |
| haskell-hakyll | Neukompilierung gegen neues pandoc |
| highway | Unterstützung für armhf-Systeme ohne NEON verbessert |
| hnswlib | Doppel-Free in init_index behoben, das auftrat, wenn das M-Argument eine große Ganzzahl war [CVE-2023-37365] |
| horizon | Anfälligkeit für offene Weiterleitungen behoben [CVE-2022-45582] |
| icingaweb2 | Nicht wünschenswerte Missbilligungs-Benachrichtigungen unterdrückt |
| imlib2 | Beibehaltung des Alpha-Channel-Markierung verbessert |
| indent | Lesezugriff außerhalb des Puffers behoben; übermäßigen Puffer-Schreibzugriff behoben [CVE-2023-40305] |
| inetutils | Rückgabewerte beim Abgeben von Privilegien überprüfen [CVE-2023-40303] |
| inn2 | nnrpd-Hänger bei eingeschalteter Kompression behoben; Unterstützung für hochpräzise Syslog-Zeitstempel hinzugefügt; inn-{radius,secrets}.conf nicht für alle Welt lesbar machen |
| jekyll | YAML-Aliase unterstützen |
| kernelshark | Speicherzugriffsfehler in libshark-tepdata behoben; Aufzeichnung in Zielverzeichnis mit Leerzeichen korrigiert |
| krb5 | Freigabe nicht-initialisierter Zeiger überarbeitet [CVE-2023-36054] |
| lemonldap-ng | Anmelde-Kontrolle auf Auth-Slave-Anfragen anwenden; offene Weiterleitungen wegen fehlerhafter Zeichenmaskierung behoben; offene Weiterleitungen durch nicht vorhandene Weiterleitungs-URIs in OIDC RP behoben; serverseitige Abfragefälschungen behoben [CVE-2023-44469] |
| libapache-mod-jk | Funktion für implizite Mappings abgeschafft, die zu unbeabsichtigter Freigabe des Status-Workers und/oder Umgehung der Sicherheitsbeschränkungen führen konnte [CVE-2023-41081] |
| libclamunrar | Neue stabile Version der Originalautoren |
| libmatemixer | Heap-Korruptionen/Anwendungsabstürze beim Entfernen von Audiogeräten behoben |
| libpam-mklocaluser | pam-auth-update: sichergestellt, dass das Modul vor den anderen Sitzungstyp-Modulen an der Reihe ist |
| libxnvctrl | Neues Quellpaket, das von nvidia-settings abgespaltet wurde |
| linux | Neue stabile Version der Originalautoren |
| linux-signed-amd64 | Neue stabile Version der Originalautoren |
| linux-signed-arm64 | Neue stabile Version der Originalautoren |
| linux-signed-i386 | Neue stabile Version der Originalautoren |
| llvm-defaults | Symbolischen /usr/include/lld-Verweis korrigiert; Beschädigt-Abhängigkeit von nicht gleichzeitig instalierbaren Paketen hinzugefügt, um Upgrades von Bullseye zu erleichtern |
| ltsp | Anwendung von mv auf Init-Symlink vermeiden |
| lxc | Nftables-Syntax für IPv6-NAT korrigiert |
| lxcfs | CPU-Meldung innerhalb eines arm32-Containers mit vielen CPUs korrigiert |
| marco | Compositing nur in dem Fall einschalten, dass es verfügbar ist |
| mariadb | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren |
| mate-notification-daemon | Zwei Speicherlecks geflickt |
| mgba | Kaputten Ton in libretro core behoben; Absturz auf Hardware, die kein OpenGL 3.2 beherrscht, verhindert |
| modsecurity | Dienstblockaden unterbunden [CVE-2023-38285] |
| monitoring-plugins | check_disk: Beim Suchen nach passenden Einhängepunkten ein Einhängen vermeiden, um eine Verlangsamung gegenüber der Bullseye-Version zu lösen |
| mozjs102 | Neue stabile Version der Originalautoren; inkorrekten Wert während WASM-Kompilierung verwendetbehoben [CVE-2023-4046], potenzielles Use-after-Free [CVE-2023-37202], Probleme mit Speichersicherheit [CVE-2023-37211 CVE-2023-34416] behoben |
| mutt | Neue stabile Version der Originalautoren |
| nco | Unterstützung für udunits2 wieder aktiviert |
| nftables | Inkorrekte Bytecode-Generierung behoben, die von einer neuen Kernel-Prüfung ausgelöst wird, welche das Ergänzen von Regeln zu verbundenen Chains verhindert |
| node-dottie | Sicherheitskorrektur (Prototype Pollution) [CVE-2023-26132] |
| nvidia-settings | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren |
| nvidia-settings-tesla | Neue Fehlerkorrektur-Veröffentlichung der Originalautoren |
| nx-libs | Fehlenden symbolischen Verweis /usr/share/nx/fonts hinzugefügt; Handbuchseite überarbeitet |
| open-ath9k-htc-firmware | Richtige Firmware laden |
| openbsd-inetd | Probleme bei Speicherhandhabung behoben |
| openrefine | Anfälligkeit für eigenmächtige Codeausführung abgestellt [CVE-2023-37476] |
| openscap | Abhängigkeiten von openscap-utils und python3-openscap korrigiert |
| openssh | Anfälligkeit für Codeausführung aus der Ferne durch einen weitergeleiteten Agent-Socket unterbunden [CVE-2023-38408] |
| openssl | Neue stabile Version der Originalautoren; Sicherheitskorrekturen [CVE-2023-2975 CVE-2023-3446 CVE-2023-3817] |
| pam | pam-auth-update --disable überarbeitet; Türkisch-Übersetzung aktualisiert |
| pandoc | Problem mit eigenmächtigen Datei-Schreibzugriffen behoben [CVE-2023-35936] |
| plasma-framework | Plasmashell-Abstürze behoben |
| plasma-workspace | Absturz in krunner behoben |
| python-git | Anfälligkeit für Codeausführung aus der Ferne [CVE-2023-40267] und blindes Inkludieren von lokalen Dateien behoben [CVE-2023-41040] |
| pywinrm | Kompatibilität mit Python 3.11 verbessert |
| qemu | Aktualisierung auf Originalautoren-Baum 7.2.5; ui/vnc-clipboard: Endlosschleife in inflate_buffer [CVE-2023-3255] behoben; Nullzeiger-Dereferenzierung behoben [CVE-2023-3354]; Pufferüberlauf abgestellt [CVE-2023-3180] |
| qtlocation-opensource-src | Einfrieren beim Laden von Kartenkacheln behoben |
| rar | Fehlerkorrektur-Veröffentlichung der Originalautoren [CVE-2023-40477] |
| reprepro | Race Condition beim Einsatz externer Dekompressoren behoben |
| rmlint | Fehler in anderen Paketen, die durch eine ungültige Version des Pakets python verursacht wurden, behoben; Fehlschläge bei GUI-Starts mit aktuellem python3.11 behoben |
| roundcube | Neue stabile Version der Originalautoren; OAuth2-Authentifizierung überarbeitet; Anfälligkeit für seitenübergreifendes Skripting behoben [CVE-2023-43770] |
| runit-services | dhclient: Verwendung von eth1 nicht hartkodieren |
| samba | Neue stabile Version der Originalautoren |
| sitesummary | Neue Version der Originalautoren; Installation des sitesummary-maintenance-CRON/systemd-timerd-Skripts überarbeitet; unsichere Erstellung von Temporärdateien und -Verzeichnissen korrigiert |
| slbackup-php | Fehlerkorrekturen: Fernbefehle in Standardausgabe protokollieren; SSH-Known-Hosts-Dateien deaktiviert; PHP-8-Kompatibilität |
| spamprobe | Abstürze beim Verarbeiten von JPEG-Anhängen beseitigt |
| stunnel4 | Umgang mit Gegenstellen, welche die TLS-Verbindung ohne ordentliche Vorwarnung abbauen, überarbeitet |
| systemd | Neue stabile Version der Originalautoren; kleineres Sicherheitsproblem beim Laden der Device-Trees während des arm64- und riscv64-systemd-Boots (EFI) behoben |
| testng7 | Für zukünftige openjdk-17-Kompilierungen auf Stable zurückportiert |
| timg | Anfälligkeit für Pufferüberläufe beseitigt [CVE-2023-40968] |
| transmission | openssl3-Kompatibilitäts-Änderung ersetzt, um Speicherleck zu beheben |
| unbound | Fehlerprotokoll-Flutung bei Verwendung von DNS over TLS mit openssl 3.0 behoben |
| unrar-nonfree | Fernausführung von Code abgestellt [CVE-2023-40477] |
| vorta | Ctime- und mtime-Änderungen in Diffs abhandeln |
| vte2.91 | Ring-View öfter als nötig ungültig machen, um diverse Assertions-Fehlschläge während der Event-Handhabung zu vermeiden |
| x2goserver | x2goruncommand: Unterstützung für KDE Plasma 5 hinzugefügt; x2gostartagent: Logdatei-Beschädigung verhindert; keystrokes.cfg: mit nx-libs abgleichen; Enkodierung der Finnisch-Übersetzung korrigiert |
Sicherheitsaktualisierungen
Diese Revision fügt der Stable-Veröffentlichung die folgenden Sicherheitsaktualisierungen hinzu. Das Sicherheitsteam hat bereits für jede davon eine Ankündigung veröffentlicht:
Entfernte Pakete
Die folgenden Pakete wurden wegen Umständen entfernt, die sich unserer Kontrolle entziehen:
| Paket | Grund |
|---|---|
| https-everywhere | obsolet, die gängigsten Browser bieten native Unterstützung |
Debian-Installer
Der Installer wurde aktualisiert, damit er die Korrekturen enthält, die mit dieser Zwischenveröffentlichung in Stable eingeflossen sind.
URLs
Die vollständige Liste von Paketen, die sich mit dieser Revision geändert haben:
Die derzeitige Stable-Distribution:
Vorgeschlagene Aktualisierungen für die Stable-Distribution:
Informationen zur Stable-Distribution (Veröffentlichungshinweise, Errata usw.):
Sicherheitsankündigungen und -informationen:
Über Debian
Das Debian-Projekt ist ein Zusammenschluss von Entwicklern Freier Software, die ihre Zeit und Mühen einbringen, um das vollständig freie Betriebssystem Debian zu erschaffen.
Kontaktinformationen
Für weitere Informationen besuchen Sie bitte die Debian-Website unter https://www.debian.org/, schicken Sie eine Mail (auf Englisch) an <[email protected]> oder kontaktieren Sie das Stable-Veröffentlichungs-Team (auf Englisch) unter <[email protected]>.