Noch kein Nutzer?
Anmelden Kostenlos registrieren Produkt vorschlagen
Der Hersteller Debian Project hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Update

Authentifizierungsumgehung beheben [CVE-2024-21543]

DebianDebian
Debian Project
Update von patrick-devicebaseUpdate von:
patrick-devicebase (Experte)

Aktualisiertes Debian 12: 12.10 veröffentlicht
März 15, 2025

Das Debian-Projekt freut sich, die zehnte Aktualisierung seiner stabilen Distribution Debian 12 (Codename bookworm) bekannt zu geben. Diese Zwischenveröffentlichung fügt hauptsächlich Korrekturen für Sicherheitsprobleme hinzu, zusammen mit ein paar Anpassungen für ernsthafte Probleme. Sicherheitshinweise wurden bereits separat veröffentlicht und werden, wo verfügbar, referenziert.

Bitte beachten Sie, dass die Zwischenveröffentlichung keine neue Version von Debian 12 darstellt, sondern nur einige der enthaltenen Pakete aktualisiert. Es besteht keine Notwendigkeit, alte Bookworm-Medien wegzuwerfen. Nach der Installation können die Pakete mit Hilfe eines aktuellen Debian-Spiegels auf die aktuellen Versionen aktualisiert werden.

Diejenigen, die häufig Aktualisierungen von security.debian.org installieren, werden nicht viele Pakete aktualisieren müssen, und die meisten dieser Aktualisierungen sind in der Zwischenveröffentlichung enthalten.

Neue Installations-Images werden bald an den üblichen Stellen verfügbar sein.

Die Aktualisierung einer bestehenden Installation auf diese Revision kann erreicht werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verweist. Eine umfassende Liste von Spiegeln ist verfügbar unter:
https://www.debian.org/mirror/list

Verschiedene Fehlerkorrekturen
Diese stabile Aktualisierung fügt ein paar wichtige Korrekturen zu den folgenden Paketen hinzu:

  • 389-ds-base ---Behebt einen Absturz beim Ändern von userPassword unter Verwendung von fehlerhaften Eingaben [CVE-2024-2199 CVE-2024-8445]; verhindert eine Dienstverweigerung beim Versuch, sich mit einem Benutzer mit einem fehlerhaften Hash in seinem Passwort anzumelden [CVE-2024-5953]; verhindert eine Dienstverweigerung auf dem Verzeichnisserver mit speziell gestalteten LDAP-Abfragen [CVE-2024-3657]
  • base-files ---Update für die Zwischenveröffentlichung
  • bup ---Neue Upstream-Bugfix-Veröffentlichung
  • containerd ---Behebt Tests, die FTBFS im Auto-Builder-Netzwerk verursachen
  • curl ---Behebt unbeabsichtigte HTTPS-Upgrades oder eine vorzeitige Umstellung auf HTTP, wenn sowohl Subdomains als auch Parent-Domains verwendet werden [CVE-2024-9681]; verhindert das Anhalten von stunnel vor Wiederholungsversuchen in den Built-Time-Tests; behebt mögliche Probleme mit der Weitergabe von Anmeldeinformationen [CVE-2024-11053 CVE-2025-0167]; behebt Testfehler aufgrund von Port-Kollisionen
  • dacite ---Do not cache result of get_default_value_for_field
  • dcmtk ---Behebt ein Problem beim Rendern eines ungültigen monochromen DICOM-Bildes [CVE-2024-47796]; Sicherstellung: HighBit debian-installer ---Erhöhen der Linux-Kernel-ABI auf 6.1.0-32; Neuaufbau gegen vorgeschlagene Aktualisierungen
  • debian-ports-archive-keyring -- Hinzufügen des Schlüssels 2026; Verschieben der Schlüssel 2023 und 2024 in den entfernten Schlüsselbund
  • dgit ---Fügt fehlende Parameter für Quell-Upload-Ziel hinzu
  • djoser ---Behebt Umgehung der Authentifizierung [CVE-2024-21543]
  • dns-root-data ---Hinzufügen des DNSKEY-Eintrags für KSK-2024
  • edk2 ---Behebt Überlaufbedingung in PeCoffLoaderRelocateImage() [CVE-2024-38796]; behebt möglichen UINT32-Überlauf in S3 ResumeCount [CVE-2024-1298]
  • elpa ---Fix Tests auf Maschinen mit 2 vCPU oder weniger
  • flightgear ---Fix Sandbox-Bypass-Schwachstelle in Nasal-Skripten [CVE-2025-0781]
  • gensim ---Behebt Build-Fehler auf Single-CPU-Maschinen
  • glibc ---Behebt Pufferüberlauf beim Drucken von Assertion-Fehlermeldungen [CVE-2025-0395]; behebt Memset-Leistung für nicht ausgerichtete Ziele; behebt TLS-Leistungsabfall nach Verwendung von dlopen(); vermeidet Integer-Abschneidung beim Parsen von CPUID-Daten mit großen Cache-Größen; stellt sicher, dass die an den rseq-Syscall übergebenen Daten richtig initialisiert sind
  • golang-github-containers-buildah** ---Deaktiviert einen Test, der bekanntermaßen im Auto-Builder-Netzwerk fehlschlägt und behebt dadurch Build-Fehler
  • intel-microcode ---neue Upstream-Sicherheitsversion [CVE-2023-34440 CVE-2023-43758 CVE-2024-24582 CVE-2024-28047 CVE-2024-28127 CVE-2024-29214 CVE-2024-31068 CVE-2024-31157 CVE-2024-36293 CVE-2024-37020 CVE-2024-39279 CVE-2024-39355]
  • iptables-netflow ---Fix build mit neueren Bullseye-Kerneln
  • jinja2 ---Behebt Probleme mit beliebiger Codeausführung [CVE-2024-56201 CVE-2024-56326]
    - joblib ---Behebt Build-Fehler auf Single-CPU-Systemen
  • lemonldap-ng ---Behebt CSRF-Schwachstelle in der 2FA-Registrierungsschnittstelle [CVE-2024-52948]
  • libapache-mod-jk ---Korrekte Standardberechtigungen für gemeinsamen Speicher setzen [CVE-2024-46544]
    - libeconf ---Behebt Pufferüberlaufschwachstelle [CVE-2023-32181 CVE-2023-22652]
  • librabbitmq ---Option zum Lesen von Benutzernamen/Passwort aus Datei hinzufügen [CVE-2023-35789]
  • libtar ---Fix out-of-bounds read in gnu_longlink() [CVE-2021-33643]; fix out-of-bounds read in gnu_longname() [CVE-2021-33644]; fix memory leak in th_read() [CVE-2021-33645]; fix memory leak in th_read() [CVE-2021-33646]
  • linux ---Neue Upstream-Veröffentlichung; ABI auf 32 erhöhen
  • linux-signed-amd64 ---Neue Upstream-Veröffentlichung; Erhöhung der ABI auf 32
  • linux-signed-arm64 ---Neue Upstream-Veröffentlichung; ABI auf 32 erhöhen
  • linux-signed-i386 ---Neues Upstream-Release; ABI auf 32 erhöht
  • linuxcnc ---Behebt die Bewegung mehrerer Achsen bei einem G0-MDI-Aufruf mit einer Achse
  • ltt-control ---Fix Verbraucher Absturz beim Herunterfahren
  • lttng-modules** ---Fix build mit neueren Bullseye-Kerneln
  • mariadb ---neue stabile Upstream-Veröffentlichung; behebt Sicherheitslücke [CVE-2024-21096]; behebt Denial-of-Service-Problem [CVE-2025-21490]
  • monero ---Einführen von Antwortgrenzen für HTTP-Serververbindungen [CVE-2025-26819]
  • mozc ---Installation von fcitx-Symbolen an den richtigen Stellen
  • ndcube ---Testwarnungen von astropy ignorieren
  • nginx ---Behebt die mögliche Umgehung der Client-Zertifikat-Authentifizierung [CVE-2025-23419]
  • node-axios ---Behebt eine CSRF-Schwachstelle [CVE-2023-45857]; behebt eine mögliche Schwachstelle in der URL bei der Bestimmung eines Ursprungs [CVE-2024-57965].
  • node-js-sdsl ---Behebt Build-Fehler
  • node-postcss ---Behebt Fehler bei der Behandlung von nicht-ganzzahligen Werten, die zu einer Dienstverweigerung in nanoid führen [CVE-2024-55565]; behebt das Parsen von externem nicht vertrauenswürdigem CSS [CVE-2023-44270]
  • node-recast ---Fix build failure
  • node-redis ---Behebt Build-Fehler
  • node-rollup ---Behebt Build-Fehler aufgrund geänderter Timeout-API
  • openh264 ---Fix Cisco Download-URL
  • php-nesbot-carbon --behebt das Problem der Einbindung beliebiger Dateien [CVE-2025-22145]
  • postgresql-15 ---neue stabile Upstream-Veröffentlichung; Härtung von PQescapeString und verwandten Funktionen gegen ungültig kodierte Zeichenfolgen; Verbesserung des Verhaltens von libpqs Quoting-Funktionen [CVE-2025-1094]
  • puma ---Fix Verhalten beim Parsen von chunked Übertragung Kodierung Körper und Null-Länge Content-Length-Header [CVE-2023-40175]; Begrenzung der Größe der Chunk-Erweiterungen [CVE-2024-21647]; verhindern Manipulation von Headern durch Zwischen-Proxies gesetzt [CVE-2024-45614]
  • python-django ---Behebt ein auf regulären Ausdrücken basierendes Denial-of-Service-Problem [CVE-2023-36053], Denial-of-Service-Probleme [CVE-2024-38875 CVE-2024-39614 CVE-2024-41990 CVE-2024-41991], ein Benutzeraufzählungsproblem [CVE-2024-39329], ein Verzeichnistraversal-Problem [CVE-2024-39330], ein Problem mit übermäßigem Speicherverbrauch [CVE-2024-41989], ein SQL-Injection-Problem [CVE-2024-42005]
  • python-pycdlib --führt Tests nur aus, wenn /tmp tmpfs ist, andernfalls schlagen sie bekanntermaßen fehl
  • rapiddisk ---Unterstützt Linux-Versionen bis zu 6.10
  • rsyslog** ---Vermeidet Segmentierungsfehler, wenn ein SIGTERM während des Starts empfangen wird
  • runit-services** ---Der dhclient-Dienst wird standardmäßig nicht aktiviert
  • seqan3 ---Behebt parallele Ausführung von Tests
  • simgear ---Behebt eine Sandbox-Umgehungsschwachstelle in Nasal-Skripten [CVE-2025-0781].
  • spamassassin ---neue stabile Upstream-Veröffentlichung
  • sssd --konsistente Anwendung der GPO-Richtlinie [CVE-2023-3758]
  • subversion ---Fix anfälliges Parsing von Steuerzeichen in Pfaden, die von mod_dav_svn bedient werden [CVE-2024-46901]
  • sunpy ---Ignoriere Testwarnungen von astropy
  • systemd ---Neue stabile Upstream-Veröffentlichung
  • tzdata ---Neue Upstream-Veröffentlichung; Aktualisierung der Daten für Paraguay; Aktualisierung der Schaltsekundeninformationen
  • vagrant ---Fix URL der öffentlichen Vagrant-Registrierung
  • vim ---Fix Absturz beim Expandieren ~ in Ersatz [CVE-2023-2610]; fix Pufferüberlauf in vim_regsub_both() [CVE-2023-4738]; fix Heap-Nutzung nach frei in ins_compl_get_exp() [CVE-2023-4752]; fix Heap-Pufferüberlauf in vim_regsub_both [CVE-2023-4781]; fix Pufferüberlauf in trunc_string() [CVE-2023-5344]; fix Stack-Puffer-Überlauf in Option Callback-Funktionen [CVE-2024-22667]; fix Heap-Puffer-Überlauf in ins_typebuf (CVE-2024-43802]; fix use-after-free beim Schließen eines Puffers [CVE-2024-47814]; fix Build-Fehler auf 32-Bit-Architekturen
  • wget ---Fix falsche Behandlung von Semikolons in userinfo in URLs [CVE-2024-38428]
Weitere UpdatesZum Produkt
Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende Debian Project Debian Updates

Mehr aus dem Bereich Betriebssysteme

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Udemy IT certification ad