Debian 8 actualizado: publicada la versión 8.3

23 de enero de 2016

El proyecto Debian se complace en anunciar la tercera actualización de su distribución «estable» Debian 8 (nombre en clave jessie). Esta versión añade, principalmente, correcciones de problemas de seguridad a la distribución «estable», junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 8, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos CD o DVD de jessie, basta con actualizar un sistema Debian ya instalado, utilizando una réplica que esté al día, para que los paquetes instalados de los que haya una versión posterior se actualicen.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevos medios de instalación e imágenes de CD y de DVD con paquetes actualizados en los sitios habituales.

La actualización en línea a esta versión se realiza habitualmente haciendo que la herramienta de gestión de paquetes aptitude (o apt) apunte a una de las muchas réplicas FTP o HTTP de Debian (vea la página del manual sources.list(5)). En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade correcciones importantes a los paquetes siguientes:

Paquete Motivo
android-platform-frameworks-base [i386] recompilado para corregir dependencia con android-libhost
apache2 Corrige split-logfile para que funcione con el perl actual, secondary-init-script para no incluir el script de inicio principal con 'set -e', las pruebas de conmutación a MPM aplazada; añade Reemplaza/Rompe con número de versión para libapache2-mod-macro
apt Oculta el primer mensaje de nivel de depuración relativo a fallo de fusión de pdiff; corrige el marcado de dependencias de paquetes en APT::Never-MarkAuto-Sections como manual; no analiza sintácticamente campos Status de orígenes remotos
apt-dater-host Corrige detección de la versión del núcleo
apt-offline Añade dependencia con python-apt, que faltaba
arb Omite la comprobación de la versión del compilador
augeas HTTPD lense: incluye directorio /etc/apache2/conf-available, permite comentarios EOL tras etiquetas de sección
base-files Actualizado para la versión 8.3; os-release: elimina la barra del final en la variable SUPPORT_URL
bcfg2 Soporta Django 1.7
ben Corrige enlaces compactos a buildd.debian.org; ignora potenciales errores al borrar fichero de serialización («lock file»); llama a dose-debcheck con --deb-native-arch
ca-certificates Actualiza el lote de autoridades certificadoras de Mozilla a la versión 2.6
ceph Codifica en la URL en nombre del «bucket» [CVE-2015-5245]
charybdis Corrección de seguridad [CVE-2015-5290]; inicializa gnutls correctamente
chrony Depende de libcap-dev en tiempo de compilación para permitir la eliminación de privilegios
commons-httpclient Garantiza que las llamadas HTTPS utilicen http.socket.timeout durante el «handshake» SSL [CVE-2015-5262]
cpuset Actualiza parche de prefijo del espacio de nombres del sistema de archivos
curlftpfs Impide conversión insegura de tipo para getpass() en arquitecturas de 64 bits
dbconfig-common Corrige permisos de ficheros de respaldo de PostgreSQL
debian-handbook Actualizado para Jessie
debian-installer Incluye de nuevo imágenes del instalador para QNAP TS-x09; proporciona imágenes u-boot para computadoras de enchufe; añade el módulo part_gpt en la imagen grub central; añade beep al menú de arranque de x86 UEFI; añade la 's' como tecla abreviada para «speech» al menú de arranque de x86 UEFI; excluye explícitamente usb-serial-modules de la imagen de network-console armel y usb-modules de network-console en armel/orion5x; elimina la extensión de fichero del initrd para dispositivos QNAP; ajusta el soporte p-u para gestionar solo file:// en lugar de (f|ht)tp://
debian-installer-netboot-images Recompilado para esta versión
docbook2x No instala ficheros info/dir.gz
doctrine Corrige problema de permisos de directorios [CVE-2015-5723]
drbd-utils Corrige configuración de drbdadm con direcciones de pares IPv6
ejabberd Corrige consultas LDAP rotas
exfat-utils Corrige desbordamiento de memoria y bucle infinito
exim4 Corrige algunas caídas relacionadas con ACL MIME; corrige un fallo que provoca envíos duplicados, especialmente en conexiones TLS
fglrx-driver Nueva versión del proyecto original; corrige problema de seguridad [CVE-2015-7724]
file Corrige gestión de --parameter
flash-kernel Evita que espere a Ctrl-C si está en uso alguna interfaz de debconf
fuse-exfat Corrige desbordamiento de memoria y bucle infinito
ganglia-modules-linux Reinicia el servicio ganglia tras la instalación solo si estaba en ejecución previamente
getmail4 Establece poplib._MAXLINE=1MB
glance Impide que se modifique directamente el estado de la imagen por medio de la API v1 [CVE-2015-5251]
glibc Corrige el fallo por el que, con nscd, getaddrinfo en ocasiones devuelve datos no inicializados; corrige corrupción de datos al leer la base de datos files de NSS [CVE-2015-5277]; corrige desbordamiento de memoria (lectura más allá del final de la zona de memoria) en internal_fnmatch; corrige desbordamiento de entero _IO_wstr_overflow; corrige cierre inesperado de bases de datos nss_files tras búsquedas, provocando denegación de servicio [CVE-2014-8121]; corrige caché de netgroups NSCD; inhabilita de forma incondicional LD_POINTER_GUARD; modifica («mangle») los punteros a funciones en tls_dtor_list; corrige problemas de asignación de memoria que pueden dar lugar a desbordamientos de pila; actualiza la lista negra TSX para incluir también algunas CPU Broadwell
gnome-orca Asegura el foco correcto al introducir la contraseña, de forma que no se muestren los caracteres introducidos
gnome-shell-extension-weather Muestra un aviso si el usuario no ha proporcionado la clave de la API, puesto que la consulta a openweathermap.org ya no funciona sin dicha clave
gummi Evita el uso de nombres predecibles para nombrar ficheros temporales [CVE 2015-7758]
human-icon-theme debian/clean-up.sh: no ejecuta procesos en segundo plano
ieee-data Actualiza los ficheros de datos incluidos, añadiendo mam.txt y oui36.txt; deja de descargar vía HTTPS, puesto que ni wget ni curl soportan TLS AIA, usado en la actualidad por standards.ieee.org
intel-microcode Actualiza el microcódigo incluido
iptables-persistent Deja de utilzar ficheros de reglas con permiso de lectura universal; reescrito README
isc-dhcp Corrige error cuando se utiliza el máximo tiempo límite de concesión («lease time») en sistemas de 64 bits
keepassx Corrige almacenamiento de contraseñas como texto en claro [CVE-2015-8378]
libapache-mod-fastcgi Cambia B-D de libtool a libtool-bin para corregir error de compilación
libapache2-mod-perl2 Corrige caídas en modperl_interp_unselect()
libcgi-session-perl Marca como seguros («untaint») datos brutos provenientes de backends de almacenamiento de sesión, corrigiendo una regresión provocada por las correcciones para CVE-2015-8607 en perl
libdatetime-timezone-perl Nueva versión del proyecto original
libencode-perl Gestiona correctamente una ausencia de marca de orden de bytes (BOM, por sus siglas en inglés) al decodificar
libhtml-scrubber-perl Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») en comentarios [CVE-2015-5667]
libinfinity Corrige posibles caídas cuando se elimina una entrada del navegador de documentos y cuando están activas las listas de control de acceso
libiptables-parse-perl Corrige el uso de nombres predecibles para ficheros temporales [CVE-2015-8326]
libraw Corrige desbordamiento de índice en smal_decode_segment [CVE-2015-8366]; corrige objetos de memoria no inicializados correctamente [CVE-2015-8367]
libssh Corrige desreferencia de puntero nulo debida a un error lógico en la gestión de paquetes SSH_MSG_NEWKEYS y KEXDH_REPLY [CVE-2015-3146]
linux Actualizado a la versión 3.16.7-ctk20 del proyecto original; nbd: restaura detección de exceso de tiempo («timeout») en solicitudes; [x86] habilita PINCTRL_BAYTRAIL; [mips*/octeon] habilita CAVIUM_CN63XXP1; firmware_class: corrige condición en bucle de búsqueda de directorios; [x86] KVM: svm: intercepta #DB incondicionalmente [CVE-2015-8104]
linux-tools Añade nuevo paquete hyperv-daemons
lldpd Corrige una violación de acceso y un error de aserción al recibir direcciones de gestión LLDP mal formadas
madfuload Usa autoreconf -fi para corregir error de compilación con automake 1.14
mdadm Inhabilita el ensamblado incremental, ya que puede provocar problemas al arrancar un RAID degradado
mkvmlinuz Dirige la salida de run-parts a la salida de error estándar («stderr»)
monit Corrige regresión de la 5.8.1 relacionada con máscaras de usuario («umask»)
mpm-itk Corrige un problema cuando se intentaba el cierre de conexiones en el padre. Esto daba lugar a que no se respetara Connection: close y a varios efectos extraños con SSL keepalive en determinados navegadores
multipath-tools Corrige el descubrimiento de dispositivos que tienen el atributo de sysfs en blanco; añade documentación para abarcar escenarios con nombres significativos («friendly names») adicionales; init: corrige problema que impide la parada cuando no se encuentra dispositivo raíz; usa 'SCSI_IDENT_.*' como lista blanca («whitelist») de propiedades por omisión
netcfg Corrige is_layer3_qeth en s390x para evitar que abandone si el controlador de red no es qeth
nvidia-graphics-drivers Nueva versión del proyecto original [CVE-2015-5950]; corrige problema de entrada no saneada en modo usuario [CVE-2015-7869]
nvidia-graphics-drivers-legacy-304xx Nueva versión del proyecto original; corrige problema de entrada no saneada en modo usuario [CVE-2015-7869]
nvidia-graphics-modules Recompilado con nvidia-kernel-source 340.96
openldap Corrige caída al añadir un valor grande de atributo con el componente de registro para auditoría («auditlog overlay») habilitado
openvpn Añade --no-block a script if-up.d para evitar que se bloquee el arranque en interfaces con instancias openvpn
owncloud Corrige inclusión de fichero local en Microsoft Windows Platform [CVE-2015-4716], agotamiento de recursos al sanear nombres de ficheros [CVE-2015-4717], inyección de órdenes cuando se usa almacenamiento SMB externo [CVE-2015-4718], calendar export: elusión de autorización mediante clave controlada por el usuario [CVE-2015-6670]; corrige XSS reflejado en descubrimiento de proveedores OCS [oc-sa-2016-001] [CVE-2016-1498], revelación de ficheros cuyo nombre empieza por \.v\ por no comprobar un código de retorno [oc-sa-2016-003] [CVE-2016-1500], exposición de información mediante los listados de directorios en el explorador de ficheros [oc-sa-2016-002] [CVE-2016-1499] y revelación de la ruta de instalación a través de mensajes de error [oc-sa-2016-004] [CVE-2016-1501]
pam Corrige denegación de servicio y enumeración de usuarios debido a un bloqueo de «tubería» («pipe») en pam_unix [CVE-2015-3238]
pcre3 Corrige problemas de seguridad [CVE-2015-2325 CVE-2015-2326 CVE-2015-3210 CVE-2015-5073 CVE-2015-8384 CVE-2015-8388]
pdns Corrige actualizaciones con la configuración por omisión
perl Gestiona correctamente una ausencia de marca de orden de bytes (BOM, por sus siglas en inglés) al decodificar
php-auth-sasl Recompilado con pkg-php-tools 1.28 para corregir dependencias de PHP
php-doctrine-annotations Corrige problema de permisos de directorios [CVE-2015-5723]
php-doctrine-cache Corrige problema de permisos de ficheros y directorios [CVE-2015-5723]
php-doctrine-common Corrige problema de permisos de ficheros [CVE-2015-5723]
php-dropbox Rehúsa tratar ficheros que contengan una @ [CVE-2015-4715]
php-mail-mimedecode Recompilado con pkg-php-tools 1.28 para corregir dependencias de PHP
php5 Nueva versión del proyecto original
plowshare4 Inhabilita soporte de Javascript
postgresql-9.1 Nueva versión del proyecto original
pykerberos Añade soporte de verificación de autenticidad del KDC [CVE-2015-3206]
python-yaql Elimina el paquete python3-yaql, que está roto
qpsmtpd Corrige problema de compatibilidad con versiones de Net::DNS más recientes
quassel Corrige denegación de servicio remota en quassel core desencadenada mediante la orden /op * [CVE-2015-8547]
redis Garantiza que se cree un directorio de ejecución («runtime directory») válido en ejecuciones bajo systemd
redmine Corrige las actualizaciones en presencia de extensiones («plugins») instaladas localmente; corrige movimiento de peticiones («issues») entre proyectos
rsyslog Corrige caída en el módulo imfile cuando se utiliza el modo inotify; evita violación de acceso en la creación de un dynafile
ruby-bson Corrige denegación de servicio y posible inyección [CVE-2015-4410]
s390-dasd Si no encuentra ningún canal, termina sin errores. Esto permite que s390-dasd se haga a un lado en VMs con discos virtio
shadow Corrige gestión de errores en la detección de usuarios ocupados
sparse Corrige error de compilación con llvm-3.5
spip Corrige problema de ejecución de scripts entre sitios («cross-site scripting»)
stk Instala los ficheros SKINI.{msg,tbl}, que faltaban
sus Actualiza las sumas de verificación («checksums») para el fichero comprimido («tarball») del proyecto original
swift Corrige borrado no autorizado de versiones de objetos Swift [CVE-2015-1856]; corrige fuga de información por medio de tempurls Swift [CVE-2015-5223]; corrige nombre de servicio del servicio de expiración de objetos en script de inicio; añade el script de inicio container-sync; estandariza (standardise) la adición de usuarios
systemd Corrige rotura de espacio de nombres por ordenamiento incorrecto de rutas; no falla por exceso de tiempo («timeout») transcurridos 90 segundos cuando no se ha introducido contraseña para dispositivos cryptsetup; establece la zona horaria del núcleo solo cuando el RTC se ejecuta con la hora local, evitando posibles retrocesos de la hora; corrige gestión incorrecta del separador coma en systemd-delta; hace que el comportamiento de la difusión («broadcast») DHCP sea configurable en systemd-networkd
tangerine-icon-theme debian/clean-up.sh: no ejecuta procesos en segundo plano
torbrowser-launcher Aplica realmente los parches de 0.1.9-1+deb8u1; deja de confinar el script start-tor-browser con AppArmor; establece los perfiles AppArmor usr.bin.torbrowser-launcher en modo «queja» («complain mode»)
ttylog Corrige truncamiento de nombre de dispositivo al seleccionar dispositivo
tzdata Nueva versión del proyecto original
uqm Añade indicador -lm, que faltaba, lo que corrige error de compilación
vlc Nueva versión «estable» del proyecto original
webkitgtk Nueva versión «estable» del proyecto original; corrige verificación tardía de certificado TLS [CVE-2015-2330]
wxmaxima Evita caída al encontrar paréntesis en diálogos
zendframework Corrige problema de entropía con captcha [ZF2015-09]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-3208 freexl
DSA-3235 openjdk-7
DSA-3280 php5
DSA-3311 mariadb-10.0
DSA-3316 openjdk-7
DSA-3324 icedove
DSA-3327 squid3
DSA-3332 wordpress
DSA-3337 gdk-pixbuf
DSA-3344 php5
DSA-3346 drupal7
DSA-3347 pdns
DSA-3348 qemu
DSA-3350 bind9
DSA-3351 chromium-browser
DSA-3352 screen
DSA-3353 openslp-dfsg
DSA-3354 spice
DSA-3355 libvdpau
DSA-3356 openldap
DSA-3357 vzctl
DSA-3358 php5
DSA-3359 virtualbox
DSA-3360 icu
DSA-3361 qemu
DSA-3363 owncloud-client
DSA-3364 linux
DSA-3365 iceweasel
DSA-3366 rpcbind
DSA-3367 wireshark
DSA-3368 cyrus-sasl2
DSA-3369 zendframework
DSA-3370 freetype
DSA-3371 spice
DSA-3373 owncloud
DSA-3374 postgresql-9.4
DSA-3375 wordpress
DSA-3376 chromium-browser
DSA-3377 mysql-5.5
DSA-3378 gdk-pixbuf
DSA-3379 miniupnpc
DSA-3380 php5
DSA-3381 openjdk-7
DSA-3382 phpmyadmin
DSA-3384 virtualbox
DSA-3385 mariadb-10.0
DSA-3386 unzip
DSA-3387 openafs
DSA-3388 ntp
DSA-3390 xen
DSA-3391 php-horde
DSA-3392 freeimage
DSA-3393 iceweasel
DSA-3394 libreoffice
DSA-3395 krb5
DSA-3397 wpa
DSA-3398 strongswan
DSA-3399 libpng
DSA-3400 lxc
DSA-3401 openjdk-7
DSA-3402 symfony
DSA-3403 libcommons-collections3-java
DSA-3404 python-django
DSA-3405 smokeping
DSA-3406 nspr
DSA-3407 dpkg
DSA-3409 putty
DSA-3411 cups-filters
DSA-3412 redis
DSA-3413 openssl
DSA-3414 xen
DSA-3415 chromium-browser
DSA-3416 libphp-phpmailer
DSA-3417 bouncycastle
DSA-3418 chromium-browser
DSA-3419 cups-filters
DSA-3420 bind9
DSA-3421 grub2
DSA-3422 iceweasel
DSA-3423 cacti
DSA-3424 subversion
DSA-3425 tryton-server
DSA-3426 linux
DSA-3427 blueman
DSA-3428 tomcat8
DSA-3429 foomatic-filters
DSA-3430 libxml2
DSA-3431 ganeti
DSA-3433 ldb
DSA-3433 samba
DSA-3434 linux
DSA-3435 git
DSA-3438 xscreensaver
DSA-3439 prosody
DSA-3440 sudo
DSA-3441 perl
DSA-3442 isc-dhcp
DSA-3443 libpng
DSA-3444 wordpress
DSA-3445 pygments
DSA-3446 openssh

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
core-network Problemas de seguridad
elasticsearch Ya no está soportado
googlecl Roto por depender de API obsoletas
libnsbmp Problemas de seguridad, sin desarrollo activo
libnsgif Problemas de seguridad, sin desarrollo activo
vimperator Incompatible con versiones más recientes de iceweasel

Instalador de Debian

Se ha actualizado el instalador para reincorporar el soporte de dispositivos QNAP TS-x09 y para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.