Debian 8 actualizado: publicada la versión 8.6
17 de septiembre de 2016
El proyecto Debian se complace en anunciar la sexta actualización de su
distribución «estable» Debian 8 (nombre en clave jessie
).
Esta versión añade, principalmente, correcciones de problemas de seguridad a la distribución
«estable», junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
8, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos CD o DVD de jessie
, basta con actualizar un
sistema Debian ya instalado, utilizando una réplica que esté al día, para que los
paquetes instalados de los que haya una versión posterior se actualicen.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevos medios de instalación e imágenes de CD y de DVD con paquetes actualizados en los sitios habituales.
La actualización en línea a esta versión se realiza habitualmente haciendo que la herramienta de gestión de paquetes aptitude (o apt) apunte a una de las muchas réplicas FTP o HTTP de Debian (vea la página del manual sources.list(5)). En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de errores varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
Paquete | Motivo |
---|---|
adblock-plus | Nueva versión del proyecto original, compatible con firefox-esr |
apache2 | Corrige condición de carrera y error lógico en script init; elimina enlaces a manpages.debian.org en el fichero index.html por omisión; mod_socache_memcache: incrementa el límite de tiempo sin actividad («idle timeout») a 15s para permitir conexiones persistentes («keep-alive»); mod_proxy_fcgi: corrige comportamiento erróneo ante respuestas 304; corrige comportamiento de systemd-sysv-generator; mod_proxy_html: añade fichero de configuración mods-available/proxy_html.conf, que faltaba |
audiofile | Corrige desbordamiento de memoria al cambiar tanto el formato de las muestras como el número de canales [CVE-2015-7747] |
automake-1.14 | Evita el uso inseguro de /tmp/ en install-sh |
backintime | Añade dependencia con python-dbus, que faltaba |
backuppc | Corrige regresiones procedentes de la actualización de samba a la 4.2 |
base-files | Actualizado para esta versión |
biber | Corrige rotura provocada por la actualización de perl en esta versión |
cacti | Corrige inyección de sql en tree.php [CVE-2016-3172] y en graph_view.php [CVE-2016-3659]; corrige posibilidad de saltarse la autenticación [CVE-2016-2313] |
ccache | Corrección de error publicada en el proyecto original |
clamav | No falla aunque todavía se especifique AllowSupplementaryGroups en el fichero de configuración |
cmake | Corrige módulo FindOpenSSL para detectar OpenSSL 1.0.1t |
conkeror | Soporta Firefox 44 y posterior |
debian-edu-config | Pasa de Iceweasel a Firefox ESR; ldap-tools/ldap-debian-edu-install modificado para que se ajuste a systemd ahora que la unidad samba.service está enmascarada; dhclient-exit-hooks.d/hostname: ajustado para el caso de un servidor LTSP dedicado; ajusta cf.krb5client para garantizar que las ejecuciones de cfengine sean idempotentes; mueve código para limpiar /usr/share/pam-configs/krb5 de postinst a preinst con el objeto de facilitar actualizaciones desde instalaciones wheezy antiguas; no elimina libnss-mdns ya que cups ahora necesita mdns para detección automática de impresoras |
debian-edu-doc | Actualiza los manuales de Debian Edu jessie y wheezy a partir de los de la wiki |
debian-installer | Reconstruido contra proposed-updates |
debian-installer-netboot-images | Reconstruido para esta versión |
debian-security-support | Actualiza los datos de soporte incluidos; añade soporte para marcar paquetes indicando que dejarán de estar soportados en una fecha futura |
dietlibc | Corrige PATH por omisión inseguro |
dwarfutils | Correcciones de seguridad [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042] |
e2fsprogs | Inhabilita la petición al usuario de la desviación de la hora, que en e2fsck está maquillada; corrige potencial corrupción de sistemas de archivos de Hurd por e2fsck, errores de puntero que podrían provocar caídas en e2fsck y en resize2fs |
exim4 | Corrige error de cutthrough con líneas del cuerpo del mensaje cuyo único contenido es un punto; corrige caída con exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; mejora el fichero NEWS; adapta parche del proyecto original, que faltaba, para hacer que realmente funcione la variable de expansión $initial_cwd |
file | Corrige sobreescritura de memoria en finfo_open con fichero magic mal construido [CVE-2015-8865] |
firegestures | Nueva versión del proyecto original, compatible con firefox-esr |
flashplugin-nonfree | Update-flashplugin-nonfree: borra el antiguo get-upstream-version.pl de la caché |
fusionforge | Elimina dependencia con la extensión («plugin») Mediawiki del metapaquete fusionforge-full |
gdcm | Corrige desbordamiento de entero [CVE-2015-8396] y denegación de servicio [CVE-2015-8397] |
glibc | Corrige fallo de aserción con direcciones de servidores de nombres no accesibles (regresión introducida por la corrección de CVE-2015-7547); corrige funciones *context en s390x; corrige un desbordamiento de memoria en la función glob [CVE-2016-1234], un desbordamiento de pila en nss_dns_getnetbyname_r [CVE-2016-3075], un desbordamiento de pila en la función getaddrinfo [CVE-2016-3706], un desbordamiento de pila en la RPC clntudp_call() de Sun [CVE-2016-4429]; actualización procedente de la rama «estable» del proyecto original; corrige funciones open y openat con O_TMPFILE; corrige bloqueo durante traza inversa («backtrace») en armel/armhf que provoca, posiblemente, una vulnerabilidad de denegación de servicio menor [CVE-2016-6323]; corrige mtr en sistemas que utilizan solo servidores de nombres IPv6 |
gnome-maps | Nueva versión del proyecto original; utiliza el servidor de mosaicos Mapbox en lugar del servidor MapQuest, que ya no está soportado |
gnome-sudoku | No genera la misma secuencia de puzles cada vez |
gnupg | gpgv: afina las opciones por omisión para una mayor seguridad; g10: corrige comprobación de clave para validación de firma |
gnupg2 | gpgv: afina las opciones por omisión para una mayor seguridad; g10: corrige comprobación de clave para validación de firma |
greasemonkey | Nueva versión del proyecto original, compatible con firefox-esr |
intel-microcode | Nueva versión del proyecto original |
jakarta-jmeter | Instala realmente las plantillas; corrige un error con libxstream-java >= 1.4.9 al cargar las plantillas |
javatools | Devuelve la cadena de caracteres con la arquitectura correcta para ppc64el en java-arch.sh |
kamailio | Corrige la comprobación de la versión de libssl |
libbusiness-creditcard-perl | Adaptado a cambios en rangos y procesado de tarjetas de crédito por parte de varias empresas |
libcss-dom-perl | Adaptado a cambios en Encode incluidos en las actualizaciones «estables» de perl y libencode-perl |
libdatetime-timezone-perl | Actualizados datos incluidos a 2016e; nueva versión del proyecto original |
libdevel-declare-perl | Corrige rotura provocada por cambio en la actualización «estable» de perl |
libnet-ssleay-perl | Corrige fallo de compilación con openssl 1.0.1t-1+deb8u1 |
libquota-perl | Adapta detección de plataforma para que funcione con Linux 4.x |
libtool | Corrige capacidad de instalación simultánea multiarquitectura [amd64 i386] |
libxml2 | Corrige un problema de análisis de URIs sin parte host, como qemu:///system; esto corrige rotura de libvirt, de libsys-virt-perl y de otras |
linux | Nueva versión «estable» del proyecto original |
lxc | Se asegura de que los contenedores stretch/sid tengan un sistema init, después de que init 1.34 eliminara la cabecera 'Essential: yes' |
mariadb-10.0 | Nueva versión del proyecto original, incluyendo corrección de seguridad [CVE-2016-6662] |
mozilla-noscript | Nueva versión del proyecto original, compatible con firefox-esr |
nullmailer | No mantiene datos del host de envío («relayhost») en la base de datos de debconf durante más tiempo que el estrictamente necesario |
open-iscsi | Script init: espera un poco después de que aparezcan los dispositivos iSCSI, evitando una condición de carrera en la que dispositivos dependientes pueden aparecer solo después de que el udev settle inicial devuelva control; open-iscsi-udeb: actualiza initramfs después de copiar la configuración al sistema destino |
openssl | Corrige comprobación de longitud de CRLs; habilita optimización de asm para s390x |
ovirt-guest-agent | Instala ovirt-guest-agent.py ejecutable; cambia propietario del directorio de registro («log») a ovirtagent en postinst |
piuparts | Corrige fallo de compilación (no comprueba el estado de la versión actual de Debian, catalogándolo como problema de distro-info-data) |
policykit-1 | Varias correcciones de errores: corrige corrupción de memoria dinámica («heap») [CVE-2015-3255], denegación de servicio autenticado localmente [CVE-2015-4625] y problema con rutas de objetos inválidas en RegisterAuthenticationAgent [CVE-2015-3218] |
publicsuffix | Nueva versión del proyecto original |
pypdf2 | Corrige bucle infinito en la función readObject() |
python-django | Actualización de corrección de errores a la 1.7.11 |
python2.7 | Aborda ataque StartTLS stripping en smtplib [CVE-2016-0772], desbordamiento de entero en zipimporter [CVE-2016-5636], inyección de cabeceras HTTP [CVE-2016-5699] |
quassel | Corrige denegación de servicio remota en aplicación principal quassel con datos de negociación («handshake») inválidos [CVE-2016-4414] |
ruby-eventmachine | Corrige caída que puede ser provocada de forma remota por la gestión de FD |
ruby2.1 | dl::dlopen no debería abrir una librería cuyo nombre haya sido alterado, en modo seguro [CVE-2009-5147]; los Fiddle handles no deberían llamar a funciones cuyo nombre haya sido alterado [CVE-2015-7551] |
sendmail | No aborta con una aserción si se pierde la conexión a un servidor LDAP; se asegura de que el {client_port} de sendmail esté especificado correctamente en máquinas little endian |
sqlite3 | Corrige vulnerabilidad de selección de tempdir [CVE-2016-6153], fallo de segmentación tras uso intenso de SAVEPOINT |
systemd | Usa el límite de tiempo («timeout») correcto para detener los procesos que hemos iniciado con fork; no restablece el nivel de registro («log») a NOTICE si se ha indicado quiet en la línea de órdenes del kernel; corrige preparación de prioridad de la función de comparación de colas en sd-event; actualiza enlaces a la documentación de cgroup de kernel.org; no arranca console-getty.service si falta /dev/console; cambia el orden, situando systemd-user-sessions.service después de nss-user-lookup.target y de network.target |
tabmixplus | Nueva versión del proyecto original, compatible con firefox-esr |
tcpreplay | Maneja tramas de 65535 octetos de longitud, añade una comprobación de tamaño [CVE-2016-6160] |
tor | Actualiza el conjunto de servidores de autoridades de directorio |
tzdata | Nueva versión del proyecto original; actualizado a 2016e |
unbound | Correcciones en el script init: añade el «comentario mágico» pidfile; llama a start-stop-daemon con --retry para la acción 'stop' |
util-vserver | Recompilado contra dietlibc 0.33~cvs20120325-6+deb8u1, lo que corrige un valor de PATH por omisión inseguro |
vorbis-tools | Corrige asignación grande para AIFF erróneo, de entrada a oggenc [CVE-2015-6749], valida el número de canales de la cabecera [CVE-2014-9638 CVE-2014-9639], corrige fallo de segmentación en vcut |
vtk | Recompilado para corregir las rutas Java [ppc64el] |
wget | Por omisión, usa la URL original para obtener el nombre local del fichero en redirecciones del servidor a un recurso FTP [CVE-2016-4971] |
wpa | Actualizaciones de seguridad relativas a caracteres inválidos [CVE-2016-4476, CVE-2016-4477] |
yaws | Corrige injección de variable de entorno de cgi HTTP_PROXY [CVE-2016-1000108] |
zabbix | Corrige injección de orden mysql.size, de línea de órdenes («shell»), en zabbix-agent [CVE-2016-4338] |
La compilación del paquete mariadb-10.0
para la arquitectura powerpc
ha fallado, pero aún así ha sido incluido en esta versión para permitir
una publicación más rápida de la corrección para CVE-2016-6662, que no está disponible
en el momento de preparación de esta versión. Si aparece una corrección para el fallo de compilación
antes del próximo aviso de seguridad sobre mariadb-10.0, es posible que se publique un paquete actualizado
a través de jessie-updates
.
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
Paquete | Motivo |
---|---|
minit | Anticuado y sin mantenimiento activo |
trn | Problemas de seguridad; sustituido por trn4 |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URLs
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.