Linuxeden开源社区
Debian 项目高兴地宣布其稳定版Debian 11(代号bullseye)的第七次更新。这个点版主要增加了对安全问题的修正,以及一些对严重问题的调整。安全公告已经单独发布,并在可用的地方进行了引用。
请注意,这个点版并不构成Debian 11的新版本,而只是更新其中的一些软件包。没有必要扔掉旧的牛眼媒体。安装后,可以使用最新的 Debian 镜像将软件包升级到当前版本。
那些经常从 security.debian.org 安装更新的人不会有很多软件包需要更新,大多数这样的更新都包含在点版中。
新的安装镜像很快就会在常规位置提供。
将现有的安装程序升级到这个版本可以通过将软件包管理系统指向 Debian 的众多 HTTP 镜像之一来实现。一个全面的镜像列表可在以下网址找到:
https://www.debian.org/mirror/list
杂项错误修正
这个稳定版更新为以下软件包增加了一些重要的修正:
软件包 原因
akregator 修复有效性检查,包括修复删除feeds和文件夹的问题
apache2 不要自动启用apache2-doc.conf;修复2.4.56版本中引入的http2和mod_rewrite的退步问题。
at-spi2-core 设置停止超时为 5 秒,以避免不必要地阻止系统关闭
avahi 修复本地拒绝服务问题 [CVE-2021-3468]
base-files 为11.7点版本更新
c-res 防止堆栈溢出和拒绝服务 [CVE-2022-4904] 。
clamav 新的上游稳定版;修复HFS+文件解析器中可能的远程代码执行问题 [CVE-2023-20032],DMG文件解析器中可能的信息泄露 [CVE-2023-20052]
command-not-found 增加新的非自由软件组件,修复升级到bookworm的问题
containerd 修复拒绝服务问题[CVE-2023-25153];修复通过不正确设置补充组可能导致的权限升级[CVE-2023-25173]
crun 修复由于容器被错误地以非空的默认权限启动而导致的能力升级问题 [CVE-2022-27650]
cwltool 增加对 python3-distutils 的依赖。
debian-archive-keyring 增加书虫钥匙;将拉伸钥匙移至已删除的钥匙圈中
debian-installer 增加 Linux 内核 ABI 至 5.10.0-22;根据提议的更新进行重建
debian-installer-netboot-images 根据提议的更新重新构建
debian-ports-archive-keyring 将 2023 签名钥匙的有效期延长一年;增加 2024 签名钥匙;将 2022 签名钥匙移至已删除的钥匙圈。
dpdk 新的上游稳定版本
duktape 修复崩溃问题 [CVE-2021-46322] 。
e2tools 通过增加对e2fsprogs的构建依赖来修复构建失败。
erlang 修复客户端认证绕过问题 [CVE-2022-37026];对armel使用-O1优化,因为-O2使erl在某些平台上发生分离,例如Marvell。
exiv2 安全修复 [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37622 CVE-2021-37623]
flask-security 修复开放重定向漏洞 [CVE-2021-23385]
flatpak 新的上游稳定版本;在显示权限和元数据时转义特殊字符 [CVE-2023-28101];在 Linux 虚拟控制台运行时,不允许通过 TIOCLINUX ioctl 复制/粘贴 [CVE-2023-28100]
galera-3 新的上游稳定版本
ghostscript 修正ps2epsi中PostScript辅助文件的路径
glibc 修复printf-family函数在处理长的多字节字符串时的内存泄漏;修复printf-family中由于宽度/精度相关的分配而导致的崩溃;修复printf处理千位分隔符时的segfault;修复AVX2实现的wcsnlen在穿越页面时的溢出。
golang-github-containers-common 修复DBUS_SESSION_BUS_ADDRESS的解析问题。
golang-github-containers-psgo 不要进入进程用户名称空间 [CVE-2022-1227]
golang-github-containers-storage 让以前的内部函数可以公开访问,这是允许在其他软件包中修复CVE-2022-1227的需要。
golang-github-prometheus-exporter-toolkit 修补测试以避免竞赛条件;修复认证缓存中毒问题 [CVE-2022-46146]
grep 修正当多个模式的最后一个包括反向参考时的不正确匹配问题
gtk+3.0 修复只在GLES平台上的Wayland+EGL问题
guix 修复由于测试套件中使用的密钥过期而导致的构建失败。
intel-microcode 新的上游错误修复版本
isc-dhcp 修复IPv6地址寿命处理问题
jersey1 修复libjettison-java 1.5.3的构建失败问题
joblib 修复任意代码执行问题 [CVE-2022-21797] 。
lemonldap-ng 修复 URL 验证绕过问题;修复使用 AuthBasic 处理程序时的 2FA 问题 [CVE-2023-28862]
libapache2-mod-auth-openidc 修复开放重定向问题 [CVE-2022-23527]
libapreq2 修复缓冲区溢出问题 [CVE-2022-22728]
libdateteime-timezon-perl 更新包含的数据
libexplain 增强与较新内核版本的兼容性 – Linux 5.11 不再有 if_frad.h,自内核 5.12 起删除 termiox
libgit2 默认启用 SSH 密钥验证 [CVE-2023-22742] 。
libpod 修复特权升级问题 [CVE-2022-1227];修复由于容器被错误地以非空的默认权限启动而导致的能力升级问题 [CVE-2022-27649];修复对 DBUS_SESSION_BUS_ADDRESS 的解析
libreoffice 将克罗地亚的默认货币改为欧元;避免空的 -Djava.class.path= [CVE-2022-38745] 。
libvirt 修复与容器重启相关的问题;修复与较新的 Xen 版本结合时的测试故障
libxpm 修复无限循环问题 [CVE-2022-44617 CVE-2022-46285];修复错误处理代码中的双自由问题;修复压缩命令依赖PATH [CVE-2022-4883]
libzen 修复空指针解除引用问题 [CVE-2020-36646]
linux 新的上游稳定版本;增加ABI到22; [rt] 更新到5.10.176-rt86
linux-signed-amd64 新的上游稳定版本;增加ABI至22;[rt] 更新至5.10.176-rt86
linux-signed-arm64 新的上游稳定版本;增加ABI至22;[rt] 更新至5.10.176-rt86
linux-signed-i386 新的上游稳定版
安全更新
本次修订在稳定版中增加了以下安全更新。安全小组已经为这些更新中的每一项发布了一个公告:
被删除的软件包
由于我们无法控制的情况,以下包被删除:
包 原因
bind-dyndb-ldap 与较新的 bind9 版本断裂;在稳定版中不支持。
matrix-mirage 取决于即将移除的 python-matrix-nio。
pantalaimon 取决于即将移除的 python-matrix-nio。
python-matrix-nio 安全问题;不能与当前的Matrix服务器一起工作。
weechat-matrix 取决于即将移除的python-matrix-nio