Debian 9 actualizado: publicada la versión 9.2
7 de octubre de 2017
El proyecto Debian se complace en anunciar la segunda actualización de su
distribución «estable» Debian 9 (nombre en clave stretch
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
9, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de stretch
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
De forma excepcional para esta versión, quienes utilicen la herramienta apt-get
para llevar a cabo la actualización tendrán que asegurarse de usar la orden
dist-upgrade
para, de esta forma, actualizar los paquetes de kernel a la última versión. Los usuarios de otras herramientas,
como apt
o aptitude
, deberían utilizar la orden upgrade
.
Corrección de errores varios
Lamentablemente, por un descuido durante los preparativos para esta versión, no se incluyó
la habitual actualización del paquete base-files
para reflejar el número
de versión. En próximas fechas habrá disponible un paquete actualizado
vía stretch-updates
.
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| apt | Corrige problemas en apt-daily-upgrade; corrige una posible caída en el método mirror |
| at-spi2-core | Corrige caída al cambiar de ventana |
| bareos | Corrige permisos en config de logrotate bareos-dir al actualizar; corrige corrupción de fichero al usar firma SHA1 |
| bind9 | Importa soporte de DNSSEC KSK-2017 |
| bridge-utils | Corrige un problema con algunas interfaces vlan que no se creaban |
| caja | Corrige consumo excesivo de CPU al cargar la imagen de fondo |
| chrony | No pasa la orden «burst» a chronyc |
| cross-gcc | Corrige soporte anticuado de gcc 6.3.0-18 |
| cvxopt | Elimina la capa de compatibilidad con lpx_main(), que es innecesaria y no funciona |
| db5.3 | No accede a DB_CONFIG cuando no se ha especificado db_home [CVE-2017-10140] |
| dbus | Nueva versión «estable» del proyecto original |
| debian-edu-doc | Fusiona documentación relativa a stretch y traducciones actualizadas; actualiza manual de Debian Edu Stretch a partir del de la wiki; sustituye capturas de pantalla del menú de arranque por otras recientes de la wiki |
| debian-installer | Actualiza la ABI del kernel Linux a la versión 4 |
| debian-installer-netboot-images | Construido de nuevo contra proposed-updates |
| desktop-base | Corrige errores de sintaxis XML en ficheros de descripción de fondos de pantalla gnome que hacían que los fondos de pantalla Joy no estuvieran disponibles por omisión; se asegura de que no falle la postinstalación («postinst») al actualizar aunque esté activo un paquete incompleto de temas |
| dns-root-data | Actualiza root.hints a la versión 2017072601; cambia el estado de KSK-2017 a VALID |
| dnsdist | Correcciones de seguridad [CVE-2016-7069 CVE-2017-7557] |
| dnsviz | Selecciona correcciones del proyecto original relacionadas con cambios en root.hints y root.keys |
| dose3 | Corrige soporte de paquetes con número de versión: paquetes que proporcionan el mismo paquete virtual en diferentes versiones, o que proporcionan el mismo paquete virtual con número de versión como un paquete real, son coinstalables |
| ecl | Añade dependencia con libffi-dev, que faltaba |
| erlang-p1-tls | Corrige curvas ECDH |
| evolution | Corrige bloqueo al hacer click con el botón derecho del ratón en ventana de edición |
| expect | Comprueba adecuadamente el fin-de-fichero para evitar pérdida de información de entrada |
| fife | Corrige pérdida de información en memoria |
| flatpak | Nueva versión «estable» del proyecto original; impide despliegue de ficheros con permisos inadecuados; restaura compatibilidad con libostree 2017.7 |
| freerdp | Activa soporte de TLS >= 1.1 |
| gnome-exe-thumbnailer | Sustituye el análisis inseguro basado en VBScript por el uso de msiinfo de msitools para obtener ProductVersion [CVE-2017-11421]; corrige el ilegible texto blanco sobre fondo blanco en etiquetas de versión |
| gnupg2 | Corrige problemas de dirmngr con el DNS inverso roto, aserción al usar tofu-default-policy ask, varios problemas con scdaemon, evita avisos espurios al compartir una keybox con gpg >= 2.1.20 |
| gnutls28 | Corrige errores de verificación OCSP, especialmente con firmas ECDSA |
| gosa-plugin-mailaddress | Corrige llamadas a constructor padre, para compatibilidad con PHP7 |
| gsoap | Corrige desbordamiento de entero por documento XML grande [CVE-2017-9765] |
| haveged | Arranca haveged.service después de que se haya ejecutado systemd-tmpfiles-setup.service |
| ipsec-tools | Corrección de seguridad [CVE-2016-10396] |
| irssi | Corrige desreferencia de puntero nulo [CVE-2017-10965], condición use-after-free para nicklist [CVE-2017-10966] |
| kanatest | Elimina indicadores DISABLE_DEPRECATED, provocan conversión de puntero implícito y, por tanto, fallo de segmentación en el arranque |
| kdepim | Corrige send Later with Delay bypasses OpenPGP(«'enviar después' ignora OpenPGP») [CVE-2017-9604] |
| kf5-messagelib | Corrige send Later with Delay bypasses OpenPGP(«'enviar después' ignora OpenPGP») [CVE-2017-9604] |
| krb5 | Corrige problema de seguridad que permite a atacantes autenticados remotamente provocar la caída del KDC [CVE-2017-11368]; corrige el arranque si getaddrinfo() devuelve una dirección v6 comodín y la gestión de dirección v4 comodín especificada explícitamente; corrige búsquedas SRV para que respeten udp_preference_limit |
| lava-tool | Añade dependencia con python-simplejson, que faltaba |
| librsb | Corrige unos pocos fallos graves que daban lugar a resultados numéricos erróneos |
| libselinux | Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog») |
| libsolv | Corrige dependencias con módulos de Python 3 |
| libwpd | Corrige problema de denegación de servicio [CVE-2017-14226] |
| linux | Nueva versión «estable» del proyecto original |
| linux-latest | Actualizado a 4.9.0-4 |
| lzma | Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog») |
| mailman | Corrige dependencias rotas en contrib/SpamAssassin.py |
| mate-power-manager | No aborta ante una señal DBus de nombre desconocido |
| mate-themes | Corrige el color del tipo de letra en la barra para la URL de Google Chrome |
| mate-tweak | Añade dependencia con python3-gi, que faltaba |
| ncurses | Corrige varios fallos que provocaban caídas, en la librería tic y en el ejecutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733] |
| nettle | Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog») |
| node-brace-expansion | Corrige problema de denegación de servicio con expresión regular |
| node-dateformat | Hace TZ=UTC para las pruebas para corregir fallo de compilación |
| ntp | Compila e instala /usr/bin/sntp |
| nvidia-graphics-drivers | Nueva versión 375.82 en una rama de larga duración del proyecto original: correcciones de seguridad [CVE-2017-6257 CVE-2017-6259], añade soporte para las siguientes GPUs: GeForce GTX 1080 con diseño Max-Q, GeForce GTX 1070 con diseño Max-Q, GeForce GTX 1060 con diseño Max-Q; nvidia-kernel-dkms: respeta el valor de parallel configurado en dkms |
| open-vm-tools | Genera aleatoriamente nombre de directorio temporal [CVE-2015-5191] |
| opendkim | Arranca como root pero libera privilegios en opendkim para que el fichero de claves tenga el propietario adecuado |
| openldap | Relaja la dependencia de libldap-2.4-2 con libldap-common para permitir también versiones posteriores; corrige fallo al actualizar cuando olcSuffix contiene una barra invertida; evita la lectura del valor de la opción LDAP_OPT_X_TLS_REQUIRE_CERT de memoria liberada previamente; corrige potencial bucle infinito de replicación en un escenario multi-master delta-syncrepl con 3 o más nodos; corrige corrupción de memoria causada por llamar a sasl_client_init() repetidamente y, quizá, de forma concurrente |
| openvpn | Corrige reconexión rota por cálculo erróneo de resumen («digest») |
| osinfo-db | Actualiza información de distribución |
| pcb-rnd | Corrige ejecución de código a través de un fichero de diseño preparado maliciosamente |
| postfix | Nueva versión «estable» del proyecto original: envía a milters los nombres de variables de un único carácter sin {}; impide degradación de mensajes generados por Postfix y de los estados de entrega; evita que Berkeley DB intente leer la configuración en el fichero DB_CONFIG |
| python-pampy | Corrige dependencias con módulos de Python 3 |
| request-tracker4 | Corrige regresión en publicación previa de correcciones de seguridad en la que contraseñas SHA256 incorrectas podían provocar un error |
| ruby-gnome2 | ruby-{gdk3,gtksourceview2,pango,poppler}: Añade dependencias que faltaban |
| samba | Asegura que se exija firma SMB [CVE-2017-12150]; mantiene el requerimiento de cifrado a través de redirecciones SMB3 DFS [CVE-2017-12151]; corrige pérdida de información de memoria del servidor sobre SMB1 [CVE-2017-12163]; nueva versión del proyecto original; corrige libpam-winbind.prerm de forma que sea seguro en multiarquitectura; añade logrotate para /var/log/samba/log.samba, que faltaba; corrige servidores Root DNS anticuados; corrige Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM(«Falla acceso a sistemas no kerberos con winbind 4.X cuando krb5_auth esá configurado en PAM») |
| smplayer | Corrige conexiones a YouTube |
| speech-dispatcher | Hace que spd-conf funcione de nuevo |
| suricata | Limita el número de llamadas recursivas en el decodificador DER/ASN.1 para evitar desbordamientos de pila |
| swift | Nueva versión «estable» del proyecto original |
| tbdialout | Incluye signo más por delante cuando se usa el esquema URI tel: |
| tiny-initramfs | Añade dependencia con cpio, que faltaba |
| topal | Corrige uso incorrecto de la sintaxis de clases de caracteres sed |
| torsocks | Corrige check_addr() para que devuelva 0 o 1 |
| trace-cmd | Corrige fallo de segmentación al procesar ciertos ficheros de traza |
| unbound | Corrige instalación de ancla de confianza («trust anchor») cuando hay dos anclas presentes; depende de dns-root-data (>= 2017072601~) para KSK-2017 |
| unknown-horizons | Corrige pérdida de información de memoria |
| up-imapproxy | Corrige fichero de servicio de systemd |
| vim | Corrige varias caídas / acceso ilegal a memoria [CVE-2017-11109] |
| waagent | Nueva versión del proyecto original, con soporte para Azure Stack |
| webkit2gtk | Publicación de correcciones de errores y de seguridad en el proyecto original [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064] |
| whois | Corrige referencias para .com, .net, .jobs, .bz, .cc y .tv; añade varios servidores TLD nuevos de la India; actualiza la lista de gTLDs |
| wrk | Corrige fallos de compilación |
| xfonts-ayu | Corrige generación de tipos de letra negrita y cursiva |
| xkeyboard-config | Devuelve las distribuciones de teclado «Indic» a la lista principal de distribuciones de teclado, posibilitando de nuevo su uso |
| yadm | Corrige condición de carrera que podría permitir acceso a claves privadas PGP y SSH [CVE-2017-11353] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| clapack | Derivación de lapack anticuada y sin desarrollo activo |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URLs
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.