Debian 10 is bijgewerkt: 10.12 werd uitgebracht
26 maart 2022
Het Debian-project kondigt met genoegen de twaalfde update aan van zijn
eerdere stabiele distributie Debian 10 (codenaam buster
).
Deze tussenrelease voegt voornamelijk correcties voor beveiligingsproblemen toe,
samen met een paar aanpassingen voor ernstige problemen. Beveiligingsadviezen
werden reeds afzonderlijk gepubliceerd en, waar beschikbaar, wordt hiernaar
verwezen.
Merk op dat de tussenrelease geen nieuwe versie van Debian 10 is,
maar slechts een update van enkele van de meegeleverde pakketten. Het is niet
nodig om oude media met buster
weg te gooien. Na de installatie
kunnen pakketten worden opgewaardeerd naar de huidige versie door een
bijgewerkte Debian-spiegelserver te gebruiken.
Wie regelmatig updates installeert vanuit security.debian.org zal niet veel pakketten moeten updaten, en de meeste van dergelijke updates zijn opgenomen in de tussenrelease.
Nieuwe installatie-images zullen binnenkort beschikbaar zijn op de gewone plaatsen.
Het upgraden van een bestaande installatie naar deze revisie kan worden bereikt door het pakketbeheersysteem naar een van de vele HTTP-spiegelservers van Debian te verwijzen. Een uitgebreide lijst van spiegelservers is beschikbaar op:
Aangescherpte controle van het OpenSSL-handtekeningalgoritme
De update van OpenSSL in deze tussenrelease bevat een wijziging om te garanderen dat het gevraagde handtekeningalgoritme ondersteund wordt door het actieve beveiligingsniveau.
Hoewel dit op de meeste toepassingen geen invloed zal hebben, zou dit kunnen leiden tot foutmeldingen als een niet-ondersteund algoritme wordt gevraagd - bijvoorbeeld het gebruik van RSA+SHA1-handtekeningen met het standaard beveiligingsniveau 2.
In dergelijke gevallen moet het beveiligingsniveau uitdrukkelijk worden verlaagd, hetzij voor individuele verzoeken, hetzij meer in het algemeen. Hiervoor kunnen wijzigingen in de configuratie van toepassingen nodig zijn. Voor OpenSSL zelf kan per verzoek het beveiligingsniveau verlaagd worden met een commandoregeloptie zoals:
-cipher ALL:@SECLEVEL=1
met de relevante configuratie op systeemniveau in /etc/ssl/openssl.cnf
Oplossingen voor diverse problemen
Deze update van oldstable, de eerdere stabiele release, voegt een paar belangrijke correcties toe aan de volgende pakketten:
| Pakket | Reden |
|---|---|
| apache-log4j1.2 | Oplossen van beveiligingsproblemen [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307], door ondersteuning voor de modules JMSSink, JDBCAppender, JMSAppender en Apache Chainsaw te verwijderen |
| apache-log4j2 | Oplossen van probleem met code-uitvoering van op afstand [CVE-2021-44832] |
| atftp | Probleem met een informatielek oplossen [CVE-2021-46671] |
| base-files | Update voor tussenrelease 10.12 |
| beads | Hercompileren tegen een bijgewerkt cimg om verschillende stapelbufferoverlopen te herstellen [CVE-2020-25693] |
| btrbk | Regressie in de update voor CVE-2021-38173 herstellen |
| cargo-mozilla | Nieuw pakket, teruggecompileerd vanaf Debian 11, om de compilatie van nieuwe rust-versies te ondersteunen |
| chrony | Het lezen van het chronyd-configuratiebestand dat timemaster(8) genereert, toestaan |
| cimg | Problemen van stapelbufferoverloop oplossen [CVE-2020-25693] |
| clamav | Nieuwe bovenstroomse stabiele release; probleem met denial of service oplossen [CVE-2022-20698] |
| cups | Oplossing voor een invoervalidatieprobleem kan een kwaadwillige toepassing in staat stellen besloten geheugen te lezen[CVE-2020-10001] |
| debian-installer | Hercompilatie tegen oldstable-proposed-updates; kernel-ABI updaten naar -20 |
| debian-installer-netboot-images | Hercompilatie tegen oldstable-proposed-updates |
| detox | Reparatie voor het verwerken van grote bestanden op ARM-architecturen |
| evolution-data-server | Crash bij verkeerd opgemaakte serverreactie verhelpen [CVE-2020-16117] |
| flac | Oplossing voor een probleem van lezen buiten de grenzen [CVE-2020-0499] |
| gerbv | Oplossing voor probleem met code-uitvoering [CVE-2021-40391] |
| glibc | Importeren van verschillende probleemoplossingen vanuit de bovenstroomse stabiele tak; vereenvoudigde controle op ondersteunde kernelversies, aangezien 2.x-kernels niet langer worden ondersteund; ondersteuning van installatie op kernels met een releasenummer groter dan 255 |
| gmp | Oplossing voor probleem van integer- en bufferoverloop [CVE-2021-43618] |
| graphicsmagick | Oplossing voor probleem van bufferoverloop [CVE-2020-12672] |
| htmldoc | Oplossing voor probleem met lezen buiten de grenzen [CVE-2022-0534] en problemen van bufferoverloop [CVE-2021-43579 CVE-2021-40985] |
| http-parser | Oplossing voor onbedoelde ABI-breuk |
| icu | Hulpprogramma pkgdatarepareren |
| intel-microcode | Update van ingesloten microcode; enkele beveiligingsproblemen inperken [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120] |
| jbig2dec | Oplossing voor probleem van bufferoverloop [CVE-2020-12268] |
| jtharness | Nieuwe bovenstroomse versie om de compilatie van recentere OpenJDK-11-versies te ondersteunen |
| jtreg | Nieuwe bovenstroomse versie om de compilatie van recentere OpenJDK-11-versies te ondersteunen |
| lemonldap-ng | Verificatieproces repareren in plug-ins voor het testen van wachtwoorden [CVE-2021-20874]; aanbevelen van gsfonts toevoegen om captcha te herstellen |
| leptonlib | Probleem van denial of service oplossen [CVE-2020-36277], problemen van bufferoverschrijding bij lezen oplossen [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281] |
| libdatetime-timezone-perl | Update van meegeleverde data |
| libencode-perl | Oplossen van geheugenlek in Encode.xs |
| libetpan | Probleem met STARTTLS-reactie-injectie oplossen [CVE-2020-15953] |
| libextractor | Ongeldig leesprobleem opgelost [CVE-2019-15531] |
| libjackson-json-java | Problemen met code-uitvoering opgelost [CVE-2017-15095 CVE-2017-7525], externe entiteitskwesties met XML [CVE-2019-10172] |
| libmodbus | Oplossing voor problemen met lezen buiten het bereik [CVE-2019-14462 CVE-2019-14463] |
| libpcap | Controleren van de lengte van de PHB-header voordat deze gebruikt wordt om geheugen toe te wijzen [CVE-2019-15165] |
| libsdl1.2 | Invoerfocusgebeurtenissen op de juiste manier afhandelen; problemen van bufferoverloop [CVE-2019-13616 CVE-2019-7637] en bufferoverschrijding bij lezen [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638] oplossen |
| libxml2 | Probleem met gebruik-na-vrijgave oplossen [CVE-2022-23308] |
| linux | Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20 |
| linux-latest | Update naar ABI 4.19.0-20 |
| linux-signed-amd64 | Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20 |
| linux-signed-arm64 | Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20 |
| linux-signed-i386 | Nieuwe bovenstroomse stabiele release; [rt] update naar 4.19.233-rt105; verhogen van ABI naar 20 |
| llvm-toolchain-11 | Nieuw pakket, teruggecompileerd vanuit Debian 11 om het bouwen van nieuwe rust-versies te ondersteunen |
| lxcfs | Foutief rapporteren van swap-gebruik oplossen |
| mailman | Probleem met cross-site scripting oplossen [CVE-2021-43331]; oplossing voor een moderator van een lijst kan het beheerderswachtwoord van de lijst, gecodeerd in een CSRF-token, kraken[CVE-2021-43332]; reparatie voor een mogelijke CSRF-aanval tegen een lijstbeheerder van een lid of moderator van de lijst [CVE-2021-44227]; reparatie van regressies in reparaties voor CVE-2021-42097 en CVE-2021-44227 |
| mariadb-10.3 | Nieuwe bovenstroomse stabiele release; beveiligingsmaatregelen [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052] |
| node-getobject | Probleem met prototypevervuiling oplossen [CVE-2020-28282] |
| opensc | Problemen van toegang buiten het bereik oplossen [CVE-2019-15945 CVE-2019-15946], crash door het lezen van onbekend geheugen [CVE-2019-19479], probleem van dubbele vrijgave [CVE-2019-20792], bufferoverloopproblemen [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572] |
| openscad | Oplossen van bufferoverlopen in de STL-parser [CVE-2020-28599 CVE-2020-28600] |
| openssl | Nieuwe bovenstroomse release |
| php-illuminate-database | Probleem met query-binding oplossen [CVE-2021-21263], probleem met SQL-injectie bij gebruik met de Microsoft SQL Server |
| phpliteadmin | Probleem met cross-site scripting oplossen [CVE-2021-46709] |
| plib | Probleem van integeroverloop oplossen [CVE-2021-38714] |
| privoxy | Reparatie voor geheugenlek [CVE-2021-44540] en probleem van cross-site scripting [CVE-2021-44543] |
| publicsuffix | Bijgewerkte meegeleverde data |
| python-virtualenv | Poging om pkg_resources vanuit PyPI te installeren, verhinderen |
| raptor2 | Oplossen van probleem van array-toegang buiten het bereik [CVE-2020-25713] |
| ros-ros-comm | Een probleem van denial of service oplossen [CVE-2021-37146] |
| rsyslog | Stapeloverloopproblemen oplossen [CVE-2019-17041 CVE-2019-17042] |
| ruby-httpclient | Systeemcertificaatarchief gebruiken |
| rust-cbindgen | Nieuwe bovenstroomse stabiele release om de bouw van recentere versies van firefox-esr en thunderbird te ondersteunen |
| rustc-mozilla | Nieuw bronpakket om de bouw van recentere versies van firefox-esr en thunderbird te ondersteunen |
| s390-dasd | Ophouden met het doorgeven van de verouderde optie -f aan dasdfmt |
| spip | Probleem met cross-site scripting oplossen |
| tzdata | Bijwerken van de data voor Fiji en Palestina |
| vim | Reparatie van mogelijkheid om code uit te voeren in beperkte modus [CVE-2019-20807], problemen van bufferoverloop [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875], probleem van gebruik na vrijgave [CVE-2021-3796]; verwijderen van per ongeluk toegevoegde patch |
| wavpack | Gebruik van niet-geïnitialiseerde waarden corrigeren [CVE-2019-1010317 CVE-2019-1010319] |
| weechat | Oplossing voor verschillende denial of service-problemen [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516] |
| wireshark | Oplossen van verschillende beveiligingsproblemen in dissectors [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929] |
| xterm | Oplossing voor probleem van bufferoverloop [CVE-2022-24130] |
| zziplib | Oplossing voor probleem van denial of service [CVE-2020-18442] |
Beveiligingsupdates
Deze revisie voegt de volgende beveiligingsupdates toe aan de eerdere stabiele release. Het beveiligingsteam heeft voor elk van deze updates al een advies uitgebracht:
Verwijderde pakketten
De volgende pakketten werden verwijderd wegens omstandigheden waarover wij geen controle hebben:
| Pakket | Reden |
|---|---|
| angular-maven-plugin | Niet langer bruikbaar |
| minify-maven-plugin | Niet langer bruikbaar |
Het Debian-installatieprogramma
Het installatieprogramma werd bijgewerkt om de reparaties die met deze tussenrelease in de eerdere stabiele release opgenomen werden, toe te voegen.
URL's
De volledige lijsten met pakketten die met deze revisie gewijzigd werden:
De huidige distributie oldstable (de eerdere stabiele release):
Voorgestelde updates voor de distributie oldstable:
informatie over de distributie oldstable (notities bij de release, errata, enz.):
Beveiligingsaankondigingen en -informatie:
Over Debian
Het Debian-project is een vereniging van ontwikkelaars van vrije software die vrijwillig tijd en moeite steken in het produceren van het volledig vrije besturingssysteem Debian.
Contactinformatie
Ga voor verdere informatie naar de webpagina's van Debian op https://www.debian.org/, stuur een e-mail naar <press@debian.org>, of neem contact met het release-team voor de stabiele distributie op <debian-release@lists.debian.org>.