Debian 8 actualizado: publicada la versión 8.6

17 de septiembre de 2016

El proyecto Debian se complace en anunciar la sexta actualización de su distribución «estable» Debian 8 (nombre en clave jessie). Esta versión añade, principalmente, correcciones de problemas de seguridad a la distribución «estable», junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 8, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos CD o DVD de jessie, basta con actualizar un sistema Debian ya instalado, utilizando una réplica que esté al día, para que los paquetes instalados de los que haya una versión posterior se actualicen.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevos medios de instalación e imágenes de CD y de DVD con paquetes actualizados en los sitios habituales.

La actualización en línea a esta versión se realiza habitualmente haciendo que la herramienta de gestión de paquetes aptitude (o apt) apunte a una de las muchas réplicas FTP o HTTP de Debian (vea la página del manual sources.list(5)). En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de errores varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
adblock-plus	Nueva versión del proyecto original, compatible con firefox-esr
apache2	Corrige condición de carrera y error lógico en script init; elimina enlaces a manpages.debian.org en el fichero index.html por omisión; mod_socache_memcache: incrementa el límite de tiempo sin actividad («idle timeout») a 15s para permitir conexiones persistentes («keep-alive»); mod_proxy_fcgi: corrige comportamiento erróneo ante respuestas 304; corrige comportamiento de systemd-sysv-generator; mod_proxy_html: añade fichero de configuración mods-available/proxy_html.conf, que faltaba
audiofile	Corrige desbordamiento de memoria al cambiar tanto el formato de las muestras como el número de canales [CVE-2015-7747]
automake-1.14	Evita el uso inseguro de /tmp/ en install-sh
backintime	Añade dependencia con python-dbus, que faltaba
backuppc	Corrige regresiones procedentes de la actualización de samba a la 4.2
base-files	Actualizado para esta versión
biber	Corrige rotura provocada por la actualización de perl en esta versión
cacti	Corrige inyección de sql en tree.php [CVE-2016-3172] y en graph_view.php [CVE-2016-3659]; corrige posibilidad de saltarse la autenticación [CVE-2016-2313]
ccache	Corrección de error publicada en el proyecto original
clamav	No falla aunque todavía se especifique AllowSupplementaryGroups en el fichero de configuración
cmake	Corrige módulo FindOpenSSL para detectar OpenSSL 1.0.1t
conkeror	Soporta Firefox 44 y posterior
debian-edu-config	Pasa de Iceweasel a Firefox ESR; ldap-tools/ldap-debian-edu-install modificado para que se ajuste a systemd ahora que la unidad samba.service está enmascarada; dhclient-exit-hooks.d/hostname: ajustado para el caso de un servidor LTSP dedicado; ajusta cf.krb5client para garantizar que las ejecuciones de cfengine sean idempotentes; mueve código para limpiar /usr/share/pam-configs/krb5 de postinst a preinst con el objeto de facilitar actualizaciones desde instalaciones wheezy antiguas; no elimina libnss-mdns ya que cups ahora necesita mdns para detección automática de impresoras
debian-edu-doc	Actualiza los manuales de Debian Edu jessie y wheezy a partir de los de la wiki
debian-installer	Reconstruido contra proposed-updates
debian-installer-netboot-images	Reconstruido para esta versión
debian-security-support	Actualiza los datos de soporte incluidos; añade soporte para marcar paquetes indicando que dejarán de estar soportados en una fecha futura
dietlibc	Corrige PATH por omisión inseguro
dwarfutils	Correcciones de seguridad [CVE-2015-8538 CVE-2015-8750 CVE-2016-2050 CVE-2016-2091 CVE-2016-5034 CVE-2016-5036 CVE-2016-5038 CVE-2016-5039 CVE-2016-5042]
e2fsprogs	Inhabilita la petición al usuario de la desviación de la hora, que en e2fsck está maquillada; corrige potencial corrupción de sistemas de archivos de Hurd por e2fsck, errores de puntero que podrían provocar caídas en e2fsck y en resize2fs
exim4	Corrige error de cutthrough con líneas del cuerpo del mensaje cuyo único contenido es un punto; corrige caída con exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}'; mejora el fichero NEWS; adapta parche del proyecto original, que faltaba, para hacer que realmente funcione la variable de expansión $initial_cwd
file	Corrige sobreescritura de memoria en finfo_open con fichero magic mal construido [CVE-2015-8865]
firegestures	Nueva versión del proyecto original, compatible con firefox-esr
flashplugin-nonfree	Update-flashplugin-nonfree: borra el antiguo get-upstream-version.pl de la caché
fusionforge	Elimina dependencia con la extensión («plugin») Mediawiki del metapaquete fusionforge-full
gdcm	Corrige desbordamiento de entero [CVE-2015-8396] y denegación de servicio [CVE-2015-8397]
glibc	Corrige fallo de aserción con direcciones de servidores de nombres no accesibles (regresión introducida por la corrección de CVE-2015-7547); corrige funciones *context en s390x; corrige un desbordamiento de memoria en la función glob [CVE-2016-1234], un desbordamiento de pila en nss_dns_getnetbyname_r [CVE-2016-3075], un desbordamiento de pila en la función getaddrinfo [CVE-2016-3706], un desbordamiento de pila en la RPC clntudp_call() de Sun [CVE-2016-4429]; actualización procedente de la rama «estable» del proyecto original; corrige funciones open y openat con O_TMPFILE; corrige bloqueo durante traza inversa («backtrace») en armel/armhf que provoca, posiblemente, una vulnerabilidad de denegación de servicio menor [CVE-2016-6323]; corrige mtr en sistemas que utilizan solo servidores de nombres IPv6
gnome-maps	Nueva versión del proyecto original; utiliza el servidor de mosaicos Mapbox en lugar del servidor MapQuest, que ya no está soportado
gnome-sudoku	No genera la misma secuencia de puzles cada vez
gnupg	gpgv: afina las opciones por omisión para una mayor seguridad; g10: corrige comprobación de clave para validación de firma
gnupg2	gpgv: afina las opciones por omisión para una mayor seguridad; g10: corrige comprobación de clave para validación de firma
greasemonkey	Nueva versión del proyecto original, compatible con firefox-esr
intel-microcode	Nueva versión del proyecto original
jakarta-jmeter	Instala realmente las plantillas; corrige un error con libxstream-java >= 1.4.9 al cargar las plantillas
javatools	Devuelve la cadena de caracteres con la arquitectura correcta para ppc64el en java-arch.sh
kamailio	Corrige la comprobación de la versión de libssl
libbusiness-creditcard-perl	Adaptado a cambios en rangos y procesado de tarjetas de crédito por parte de varias empresas
libcss-dom-perl	Adaptado a cambios en Encode incluidos en las actualizaciones «estables» de perl y libencode-perl
libdatetime-timezone-perl	Actualizados datos incluidos a 2016e; nueva versión del proyecto original
libdevel-declare-perl	Corrige rotura provocada por cambio en la actualización «estable» de perl
libnet-ssleay-perl	Corrige fallo de compilación con openssl 1.0.1t-1+deb8u1
libquota-perl	Adapta detección de plataforma para que funcione con Linux 4.x
libtool	Corrige capacidad de instalación simultánea multiarquitectura [amd64 i386]
libxml2	Corrige un problema de análisis de URIs sin parte host, como qemu:///system; esto corrige rotura de libvirt, de libsys-virt-perl y de otras
linux	Nueva versión «estable» del proyecto original
lxc	Se asegura de que los contenedores stretch/sid tengan un sistema init, después de que init 1.34 eliminara la cabecera 'Essential: yes'
mariadb-10.0	Nueva versión del proyecto original, incluyendo corrección de seguridad [CVE-2016-6662]
mozilla-noscript	Nueva versión del proyecto original, compatible con firefox-esr
nullmailer	No mantiene datos del host de envío («relayhost») en la base de datos de debconf durante más tiempo que el estrictamente necesario
open-iscsi	Script init: espera un poco después de que aparezcan los dispositivos iSCSI, evitando una condición de carrera en la que dispositivos dependientes pueden aparecer solo después de que el udev settle inicial devuelva control; open-iscsi-udeb: actualiza initramfs después de copiar la configuración al sistema destino
openssl	Corrige comprobación de longitud de CRLs; habilita optimización de asm para s390x
ovirt-guest-agent	Instala ovirt-guest-agent.py ejecutable; cambia propietario del directorio de registro («log») a ovirtagent en postinst
piuparts	Corrige fallo de compilación (no comprueba el estado de la versión actual de Debian, catalogándolo como problema de distro-info-data)
policykit-1	Varias correcciones de errores: corrige corrupción de memoria dinámica («heap») [CVE-2015-3255], denegación de servicio autenticado localmente [CVE-2015-4625] y problema con rutas de objetos inválidas en RegisterAuthenticationAgent [CVE-2015-3218]
publicsuffix	Nueva versión del proyecto original
pypdf2	Corrige bucle infinito en la función readObject()
python-django	Actualización de corrección de errores a la 1.7.11
python2.7	Aborda ataque StartTLS stripping en smtplib [CVE-2016-0772], desbordamiento de entero en zipimporter [CVE-2016-5636], inyección de cabeceras HTTP [CVE-2016-5699]
quassel	Corrige denegación de servicio remota en aplicación principal quassel con datos de negociación («handshake») inválidos [CVE-2016-4414]
ruby-eventmachine	Corrige caída que puede ser provocada de forma remota por la gestión de FD
ruby2.1	dl::dlopen no debería abrir una librería cuyo nombre haya sido alterado, en modo seguro [CVE-2009-5147]; los Fiddle handles no deberían llamar a funciones cuyo nombre haya sido alterado [CVE-2015-7551]
sendmail	No aborta con una aserción si se pierde la conexión a un servidor LDAP; se asegura de que el {client_port} de sendmail esté especificado correctamente en máquinas little endian
sqlite3	Corrige vulnerabilidad de selección de tempdir [CVE-2016-6153], fallo de segmentación tras uso intenso de SAVEPOINT
systemd	Usa el límite de tiempo («timeout») correcto para detener los procesos que hemos iniciado con fork; no restablece el nivel de registro («log») a NOTICE si se ha indicado quiet en la línea de órdenes del kernel; corrige preparación de prioridad de la función de comparación de colas en sd-event; actualiza enlaces a la documentación de cgroup de kernel.org; no arranca console-getty.service si falta /dev/console; cambia el orden, situando systemd-user-sessions.service después de nss-user-lookup.target y de network.target
tabmixplus	Nueva versión del proyecto original, compatible con firefox-esr
tcpreplay	Maneja tramas de 65535 octetos de longitud, añade una comprobación de tamaño [CVE-2016-6160]
tor	Actualiza el conjunto de servidores de autoridades de directorio
tzdata	Nueva versión del proyecto original; actualizado a 2016e
unbound	Correcciones en el script init: añade el «comentario mágico» pidfile; llama a start-stop-daemon con --retry para la acción 'stop'
util-vserver	Recompilado contra dietlibc 0.33~cvs20120325-6+deb8u1, lo que corrige un valor de PATH por omisión inseguro
vorbis-tools	Corrige asignación grande para AIFF erróneo, de entrada a oggenc [CVE-2015-6749], valida el número de canales de la cabecera [CVE-2014-9638 CVE-2014-9639], corrige fallo de segmentación en vcut
vtk	Recompilado para corregir las rutas Java [ppc64el]
wget	Por omisión, usa la URL original para obtener el nombre local del fichero en redirecciones del servidor a un recurso FTP [CVE-2016-4971]
wpa	Actualizaciones de seguridad relativas a caracteres inválidos [CVE-2016-4476, CVE-2016-4477]
yaws	Corrige injección de variable de entorno de cgi HTTP_PROXY [CVE-2016-1000108]
zabbix	Corrige injección de orden mysql.size, de línea de órdenes («shell»), en zabbix-agent [CVE-2016-4338]

La compilación del paquete mariadb-10.0 para la arquitectura powerpc ha fallado, pero aún así ha sido incluido en esta versión para permitir una publicación más rápida de la corrección para CVE-2016-6662, que no está disponible en el momento de preparación de esta versión. Si aparece una corrección para el fallo de compilación antes del próximo aviso de seguridad sobre mariadb-10.0, es posible que se publique un paquete actualizado a través de jessie-updates.

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-3548	samba
DSA-3548	talloc
DSA-3548	tdb
DSA-3548	tevent
DSA-3548	ldb
DSA-3565	monotone
DSA-3588	symfony
DSA-3589	gdk-pixbuf
DSA-3590	chromium-browser
DSA-3591	imagemagick
DSA-3592	nginx
DSA-3593	libxml2
DSA-3594	chromium-browser
DSA-3595	mariadb-10.0
DSA-3596	spice
DSA-3597	expat
DSA-3598	vlc
DSA-3599	p7zip
DSA-3600	firefox-esr
DSA-3602	php5
DSA-3603	libav
DSA-3604	drupal7
DSA-3605	libxslt
DSA-3606	libpdfbox-java
DSA-3607	linux
DSA-3608	libreoffice
DSA-3609	tomcat8
DSA-3610	xerces-c
DSA-3611	libcommons-fileupload-java
DSA-3612	gimp
DSA-3613	libvirt
DSA-3614	tomcat7
DSA-3615	wireshark
DSA-3616	linux
DSA-3617	horizon
DSA-3618	php5
DSA-3619	libgd2
DSA-3620	pidgin
DSA-3621	mysql-connector-java
DSA-3622	python-django
DSA-3623	apache2
DSA-3624	mysql-5.5
DSA-3625	squid3
DSA-3626	openssh
DSA-3627	phpmyadmin
DSA-3628	libunicode-linebreak-perl
DSA-3628	debhelper
DSA-3628	libmime-encwords-perl
DSA-3628	perl
DSA-3628	libsys-syslog-perl
DSA-3628	libmodule-build-perl
DSA-3628	libnet-dns-perl
DSA-3628	libintl-perl
DSA-3628	cdbs
DSA-3628	libmime-charset-perl
DSA-3628	devscripts
DSA-3628	exim4
DSA-3629	ntp
DSA-3630	libgd2
DSA-3631	php5
DSA-3632	mariadb-10.0
DSA-3633	xen
DSA-3634	redis
DSA-3635	libdbd-mysql-perl
DSA-3637	chromium-browser
DSA-3638	curl
DSA-3639	wordpress
DSA-3640	firefox-esr
DSA-3641	openjdk-7
DSA-3642	lighttpd
DSA-3643	kde4libs
DSA-3644	fontconfig
DSA-3645	chromium-browser
DSA-3646	postgresql-9.4
DSA-3647	icedove
DSA-3648	wireshark
DSA-3649	gnupg
DSA-3650	libgcrypt20
DSA-3651	rails
DSA-3652	imagemagick
DSA-3653	flex
DSA-3653	bogofilter
DSA-3654	quagga
DSA-3655	mupdf
DSA-3656	tryton-server
DSA-3657	libarchive
DSA-3658	libidn
DSA-3659	linux
DSA-3660	chromium-browser
DSA-3661	charybdis
DSA-3662	inspircd
DSA-3663	xen
DSA-3664	pdns

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete	Motivo
minit	Anticuado y sin mantenimiento activo
trn	Problemas de seguridad; sustituido por trn4

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URLs

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/jessie/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.