Debian 8 actualizado: publicada la versión 8.3
23 de enero de 2016
El proyecto Debian se complace en anunciar la tercera actualización de su
distribución «estable» Debian 8 (nombre en clave jessie
).
Esta versión añade, principalmente, correcciones de problemas de seguridad a la distribución
«estable», junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
8, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos CD o DVD de jessie
, basta con actualizar un
sistema Debian ya instalado, utilizando una réplica que esté al día, para que los
paquetes instalados de los que haya una versión posterior se actualicen.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevos medios de instalación e imágenes de CD y de DVD con paquetes actualizados en los sitios habituales.
La actualización en línea a esta versión se realiza habitualmente haciendo que la herramienta de gestión de paquetes aptitude (o apt) apunte a una de las muchas réplicas FTP o HTTP de Debian (vea la página del manual sources.list(5)). En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «estable» añade correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| android-platform-frameworks-base | [i386] recompilado para corregir dependencia con android-libhost |
| apache2 | Corrige split-logfile para que funcione con el perl actual, secondary-init-script para no incluir el script de inicio principal con 'set -e', las pruebas de conmutación a MPM aplazada; añade Reemplaza/Rompe con número de versión para libapache2-mod-macro |
| apt | Oculta el primer mensaje de nivel de depuración relativo a fallo de fusión de pdiff; corrige el marcado de dependencias de paquetes en APT::Never-MarkAuto-Sections como manual; no analiza sintácticamente campos Status de orígenes remotos |
| apt-dater-host | Corrige detección de la versión del núcleo |
| apt-offline | Añade dependencia con python-apt, que faltaba |
| arb | Omite la comprobación de la versión del compilador |
| augeas | HTTPD lense: incluye directorio /etc/apache2/conf-available, permite comentarios EOL tras etiquetas de sección |
| base-files | Actualizado para la versión 8.3; os-release: elimina la barra del final en la variable SUPPORT_URL |
| bcfg2 | Soporta Django 1.7 |
| ben | Corrige enlaces compactos a buildd.debian.org; ignora potenciales errores al borrar fichero de serialización («lock file»); llama a dose-debcheck con --deb-native-arch |
| ca-certificates | Actualiza el lote de autoridades certificadoras de Mozilla a la versión 2.6 |
| ceph | Codifica en la URL en nombre del «bucket» [CVE-2015-5245] |
| charybdis | Corrección de seguridad [CVE-2015-5290]; inicializa gnutls correctamente |
| chrony | Depende de libcap-dev en tiempo de compilación para permitir la eliminación de privilegios |
| commons-httpclient | Garantiza que las llamadas HTTPS utilicen http.socket.timeout durante el «handshake» SSL [CVE-2015-5262] |
| cpuset | Actualiza parche de prefijo del espacio de nombres del sistema de archivos |
| curlftpfs | Impide conversión insegura de tipo para getpass() en arquitecturas de 64 bits |
| dbconfig-common | Corrige permisos de ficheros de respaldo de PostgreSQL |
| debian-handbook | Actualizado para Jessie |
| debian-installer | Incluye de nuevo imágenes del instalador para QNAP TS-x09; proporciona imágenes u-boot para computadoras de enchufe; añade el módulo part_gpt en la imagen grub central; añade beep al menú de arranque de x86 UEFI; añade la 's' como tecla abreviada para «speech» al menú de arranque de x86 UEFI; excluye explícitamente usb-serial-modules de la imagen de network-console armel y usb-modules de network-console en armel/orion5x; elimina la extensión de fichero del initrd para dispositivos QNAP; ajusta el soporte p-u para gestionar solo file:// en lugar de (f|ht)tp:// |
| debian-installer-netboot-images | Recompilado para esta versión |
| docbook2x | No instala ficheros info/dir.gz |
| doctrine | Corrige problema de permisos de directorios [CVE-2015-5723] |
| drbd-utils | Corrige configuración de drbdadm con direcciones de pares IPv6 |
| ejabberd | Corrige consultas LDAP rotas |
| exfat-utils | Corrige desbordamiento de memoria y bucle infinito |
| exim4 | Corrige algunas caídas relacionadas con ACL MIME; corrige un fallo que provoca envíos duplicados, especialmente en conexiones TLS |
| fglrx-driver | Nueva versión del proyecto original; corrige problema de seguridad [CVE-2015-7724] |
| file | Corrige gestión de --parameter |
| flash-kernel | Evita que espere a Ctrl-C si está en uso alguna interfaz de debconf |
| fuse-exfat | Corrige desbordamiento de memoria y bucle infinito |
| ganglia-modules-linux | Reinicia el servicio ganglia tras la instalación solo si estaba en ejecución previamente |
| getmail4 | Establece poplib._MAXLINE=1MB |
| glance | Impide que se modifique directamente el estado de la imagen por medio de la API v1 [CVE-2015-5251] |
| glibc | Corrige el fallo por el que, con nscd, getaddrinfo en ocasiones devuelve datos no inicializados; corrige corrupción de datos al leer la base de datos files de NSS [CVE-2015-5277]; corrige desbordamiento de memoria (lectura más allá del final de la zona de memoria) en internal_fnmatch; corrige desbordamiento de entero _IO_wstr_overflow; corrige cierre inesperado de bases de datos nss_files tras búsquedas, provocando denegación de servicio [CVE-2014-8121]; corrige caché de netgroups NSCD; inhabilita de forma incondicional LD_POINTER_GUARD; modifica («mangle») los punteros a funciones en tls_dtor_list; corrige problemas de asignación de memoria que pueden dar lugar a desbordamientos de pila; actualiza la lista negra TSX para incluir también algunas CPU Broadwell |
| gnome-orca | Asegura el foco correcto al introducir la contraseña, de forma que no se muestren los caracteres introducidos |
| gnome-shell-extension-weather | Muestra un aviso si el usuario no ha proporcionado la clave de la API, puesto que la consulta a openweathermap.org ya no funciona sin dicha clave |
| gummi | Evita el uso de nombres predecibles para nombrar ficheros temporales [CVE 2015-7758] |
| human-icon-theme | debian/clean-up.sh: no ejecuta procesos en segundo plano |
| ieee-data | Actualiza los ficheros de datos incluidos, añadiendo mam.txt y oui36.txt; deja de descargar vía HTTPS, puesto que ni wget ni curl soportan TLS AIA, usado en la actualidad por standards.ieee.org |
| intel-microcode | Actualiza el microcódigo incluido |
| iptables-persistent | Deja de utilzar ficheros de reglas con permiso de lectura universal; reescrito README |
| isc-dhcp | Corrige error cuando se utiliza el máximo tiempo límite de concesión («lease time») en sistemas de 64 bits |
| keepassx | Corrige almacenamiento de contraseñas como texto en claro [CVE-2015-8378] |
| libapache-mod-fastcgi | Cambia B-D de libtool a libtool-bin para corregir error de compilación |
| libapache2-mod-perl2 | Corrige caídas en modperl_interp_unselect() |
| libcgi-session-perl | Marca como seguros («untaint») datos brutos provenientes de backends de almacenamiento de sesión, corrigiendo una regresión provocada por las correcciones para CVE-2015-8607 en perl |
| libdatetime-timezone-perl | Nueva versión del proyecto original |
| libencode-perl | Gestiona correctamente una ausencia de marca de orden de bytes (BOM, por sus siglas en inglés) al decodificar |
| libhtml-scrubber-perl | Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») en comentarios [CVE-2015-5667] |
| libinfinity | Corrige posibles caídas cuando se elimina una entrada del navegador de documentos y cuando están activas las listas de control de acceso |
| libiptables-parse-perl | Corrige el uso de nombres predecibles para ficheros temporales [CVE-2015-8326] |
| libraw | Corrige desbordamiento de índice en smal_decode_segment [CVE-2015-8366]; corrige objetos de memoria no inicializados correctamente [CVE-2015-8367] |
| libssh | Corrige desreferencia de puntero nulo debida a un error lógico en la gestión de paquetes SSH_MSG_NEWKEYS y KEXDH_REPLY[CVE-2015-3146] |
| linux | Actualizado a la versión 3.16.7-ctk20 del proyecto original; nbd: restaura detección de exceso de tiempo («timeout») en solicitudes; [x86] habilita PINCTRL_BAYTRAIL; [mips*/octeon] habilita CAVIUM_CN63XXP1; firmware_class: corrige condición en bucle de búsqueda de directorios; [x86] KVM: svm: intercepta #DB incondicionalmente [CVE-2015-8104] |
| linux-tools | Añade nuevo paquete hyperv-daemons |
| lldpd | Corrige una violación de acceso y un error de aserción al recibir direcciones de gestión LLDP mal formadas |
| madfuload | Usa autoreconf -fi para corregir error de compilación con automake 1.14 |
| mdadm | Inhabilita el ensamblado incremental, ya que puede provocar problemas al arrancar un RAID degradado |
| mkvmlinuz | Dirige la salida de run-parts a la salida de error estándar («stderr») |
| monit | Corrige regresión de la 5.8.1 relacionada con máscaras de usuario («umask») |
| mpm-itk | Corrige un problema cuando se intentaba el cierre de conexiones en el padre. Esto daba lugar a que no se respetara Connection: closey a varios efectos extraños con SSL keepalive en determinados navegadores |
| multipath-tools | Corrige el descubrimiento de dispositivos que tienen el atributo de sysfs en blanco; añade documentación para abarcar escenarios con nombres significativos («friendly names») adicionales; init: corrige problema que impide la parada cuando no se encuentra dispositivo raíz; usa 'SCSI_IDENT_.*' como lista blanca («whitelist») de propiedades por omisión |
| netcfg | Corrige is_layer3_qeth en s390x para evitar que abandone si el controlador de red no es qeth |
| nvidia-graphics-drivers | Nueva versión del proyecto original [CVE-2015-5950]; corrige problema de entrada no saneada en modo usuario [CVE-2015-7869] |
| nvidia-graphics-drivers-legacy-304xx | Nueva versión del proyecto original; corrige problema de entrada no saneada en modo usuario [CVE-2015-7869] |
| nvidia-graphics-modules | Recompilado con nvidia-kernel-source 340.96 |
| openldap | Corrige caída al añadir un valor grande de atributo con el componente de registro para auditoría («auditlog overlay») habilitado |
| openvpn | Añade --no-block a script if-up.d para evitar que se bloquee el arranque en interfaces con instancias openvpn |
| owncloud | Corrige inclusión de fichero local en Microsoft Windows Platform [CVE-2015-4716], agotamiento de recursos al sanear nombres de ficheros [CVE-2015-4717], inyección de órdenes cuando se usa almacenamiento SMB externo [CVE-2015-4718], calendar export: elusión de autorización mediante clave controlada por el usuario [CVE-2015-6670]; corrige XSS reflejado en descubrimiento de proveedores OCS [oc-sa-2016-001] [CVE-2016-1498], revelación de ficheros cuyo nombre empieza por \.v\por no comprobar un código de retorno [oc-sa-2016-003] [CVE-2016-1500], exposición de información mediante los listados de directorios en el explorador de ficheros [oc-sa-2016-002] [CVE-2016-1499] y revelación de la ruta de instalación a través de mensajes de error [oc-sa-2016-004] [CVE-2016-1501] |
| pam | Corrige denegación de servicio y enumeración de usuarios debido a un bloqueo de «tubería» («pipe») en pam_unix [CVE-2015-3238] |
| pcre3 | Corrige problemas de seguridad [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388] |
| pdns | Corrige actualizaciones con la configuración por omisión |
| perl | Gestiona correctamente una ausencia de marca de orden de bytes (BOM, por sus siglas en inglés) al decodificar |
| php-auth-sasl | Recompilado con pkg-php-tools 1.28 para corregir dependencias de PHP |
| php-doctrine-annotations | Corrige problema de permisos de directorios [CVE-2015-5723] |
| php-doctrine-cache | Corrige problema de permisos de ficheros y directorios [CVE-2015-5723] |
| php-doctrine-common | Corrige problema de permisos de ficheros [CVE-2015-5723] |
| php-dropbox | Rehúsa tratar ficheros que contengan una @ [CVE-2015-4715] |
| php-mail-mimedecode | Recompilado con pkg-php-tools 1.28 para corregir dependencias de PHP |
| php5 | Nueva versión del proyecto original |
| plowshare4 | Inhabilita soporte de Javascript |
| postgresql-9.1 | Nueva versión del proyecto original |
| pykerberos | Añade soporte de verificación de autenticidad del KDC [CVE-2015-3206] |
| python-yaql | Elimina el paquete python3-yaql, que está roto |
| qpsmtpd | Corrige problema de compatibilidad con versiones de Net::DNS más recientes |
| quassel | Corrige denegación de servicio remota en quassel core desencadenada mediante la orden /op * [CVE-2015-8547] |
| redis | Garantiza que se cree un directorio de ejecución («runtime directory») válido en ejecuciones bajo systemd |
| redmine | Corrige las actualizaciones en presencia de extensiones («plugins») instaladas localmente; corrige movimiento de peticiones («issues») entre proyectos |
| rsyslog | Corrige caída en el módulo imfile cuando se utiliza el modo inotify; evita violación de acceso en la creación de un dynafile |
| ruby-bson | Corrige denegación de servicio y posible inyección [CVE-2015-4410] |
| s390-dasd | Si no encuentra ningún canal, termina sin errores. Esto permite que s390-dasd se haga a un lado en VMs con discos virtio |
| shadow | Corrige gestión de errores en la detección de usuarios ocupados |
| sparse | Corrige error de compilación con llvm-3.5 |
| spip | Corrige problema de ejecución de scripts entre sitios («cross-site scripting») |
| stk | Instala los ficheros SKINI.{msg,tbl}, que faltaban |
| sus | Actualiza las sumas de verificación («checksums») para el fichero comprimido («tarball») del proyecto original |
| swift | Corrige borrado no autorizado de versiones de objetos Swift [CVE-2015-1856]; corrige fuga de información por medio de tempurls Swift [CVE-2015-5223]; corrige nombre de servicio del servicio de expiración de objetos en script de inicio; añade el script de inicio container-sync; estandariza (standardise) la adición de usuarios |
| systemd | Corrige rotura de espacio de nombres por ordenamiento incorrecto de rutas; no falla por exceso de tiempo («timeout») transcurridos 90 segundos cuando no se ha introducido contraseña para dispositivos cryptsetup; establece la zona horaria del núcleo solo cuando el RTC se ejecuta con la hora local, evitando posibles retrocesos de la hora; corrige gestión incorrecta del separador coma en systemd-delta; hace que el comportamiento de la difusión («broadcast») DHCP sea configurable en systemd-networkd |
| tangerine-icon-theme | debian/clean-up.sh: no ejecuta procesos en segundo plano |
| torbrowser-launcher | Aplica realmente los parches de 0.1.9-1+deb8u1; deja de confinar el script start-tor-browser con AppArmor; establece los perfiles AppArmor usr.bin.torbrowser-launcher en modo «queja» («complain mode») |
| ttylog | Corrige truncamiento de nombre de dispositivo al seleccionar dispositivo |
| tzdata | Nueva versión del proyecto original |
| uqm | Añade indicador -lm, que faltaba, lo que corrige error de compilación |
| vlc | Nueva versión «estable» del proyecto original |
| webkitgtk | Nueva versión «estable» del proyecto original; corrige verificación tardía de certificado TLS[CVE-2015-2330] |
| wxmaxima | Evita caída al encontrar paréntesis en diálogos |
| zendframework | Corrige problema de entropía con captcha [ZF2015-09] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| core-network | Problemas de seguridad |
| elasticsearch | Ya no está soportado |
| googlecl | Roto por depender de API obsoletas |
| libnsbmp | Problemas de seguridad, sin desarrollo activo |
| libnsgif | Problemas de seguridad, sin desarrollo activo |
| vimperator | Incompatible con versiones más recientes de iceweasel |
Instalador de Debian
Se ha actualizado el instalador para reincorporar el soporte de dispositivos QNAP TS-x09 y para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.