Debian 8 actualizado: publicada la versión 8.7
14 de enero de 2017
El proyecto Debian se complace en anunciar la séptima actualización de su
distribución «estable» Debian 8 (nombre en clave jessie
).
Esta versión añade, principalmente, correcciones de problemas de seguridad a la distribución
«estable», junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
8, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos CD o DVD de jessie
, basta con actualizar un
sistema Debian ya instalado, utilizando una réplica que esté al día, para que los
paquetes instalados de los que haya una versión posterior se actualicen.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevos medios de instalación e imágenes de CD y de DVD con paquetes actualizados en los sitios habituales.
La actualización en línea a esta versión se realiza habitualmente haciendo que la herramienta de gestión de paquetes aptitude (o apt) apunte a una de las muchas réplicas FTP o HTTP de Debian (vea la página del manual sources.list(5)). En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de errores varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| ark | No cae al salir cuando se usa solo como un KPart |
| asterisk | Corrige problema de seguridad por tratar caracteres ASCII no imprimibles como espacios en blanco [CVE-2016-9938] |
| asused | Usa campos «creado» en lugar de «cambiado», en línea con modificaciones en datos fuente |
| base-files | Cambia /etc/debian_version a 8.7 |
| bash | Corrige ejecución de código arbitrario vía nombres de host maliciosos [CVE-2016-0634] y variables SHELLOPTS+PS4 manipuladas de forma determinada que permiten la sustitución de órdenes [CVE-2016-7543] |
| ca-certificates | Actualiza el lote de autoridades de certificación de Mozilla a la versión 2.9; postinst: ejecuta update-certificates sin «hooks» para poblar inicialmente /etc/ssl/certs |
| cairo | Corrige denegación de servicio mediante el uso de SVG para generar punteros inválidos [CVE-2016-9082] |
| ccache | [amd64] Recompilado en un entorno limpio |
| ceph | Corrige problema por solicitud CORS corta [CVE-2016-9579], denegación de servicio en mon [CVE-2016-5009], lectura anónima en ACL [CVE-2016-7031], denegación de servicio en RGW [CVE-2016-8626] |
| chirp | Desactiva la generación por omisión de informes de telemetría |
| cyrus-imapd-2.4 | Corrige soporte de LIST GROUP |
| darktable | Corrige desbordamiento de entero en ljpeg_start() [CVE-2015-3885] |
| dbus | Corrige vulnerabilidad potencial por cadena de caracteres de formato; dbus.prerm: se asegura de que dbus.socket esté parado antes del borrado |
| debian-edu-doc | Actualiza el manual de Debian Edu Jessie a partir del de la wiki; corrige los ficheros PO (da|nl) del manual de Jessi que impedían la generación de los manuales en PDF; actualizaciones de la traducción |
| debian-edu-install | Actualiza el número de versión a 8+edu1 |
| debian-installer | Recompilado para esta versión |
| debian-installer-netboot-images | Recompilado para esta versión |
| duck | Corrige la carga de código desde sitios no confiables [CVE-2016-1239] |
| e2fsprogs | Recompilado contra dietlibc 0.33~cvs20120325-6+deb8u1 para incorporar las correcciones de seguridad que incluye |
| ebook-speaker | Corrige sugerencia sobre instalación de html2text para leer ficheros html |
| elog | Corrige la posibilidad de enviar entradas suplantando a cualquier usuario [CVE-2016-6342] |
| evolution-data-server | Corrige desconexión prematura con tamaño reducido de ventana TCP, y la pérdida de datos resultante |
| exim4 | Corrige pérdida de información de memoria en GnuTLS |
| file | Corrige pérdida de información de memoria en «magic loader» |
| ganeti-instance-debootstrap | Corrige llamadas a losetup sustituyendo -s por --show |
| glibc | No usa la instrucción fsqrt incondicionalmente en máquinas PowerPC de 64 bits; corrige una regresión introducida por cvs-resolv-ipv6-nameservers.diff en hesiod; desactiva omisión de bloqueo (alias Intel TSX) en arquitecturas x86 |
| glusterfs | Quota: Corrige problema que impedía iniciar el montaje auxiliar |
| gnutls28 | Corrige validación incorrecta de certificado al usar respuestas OCSP [GNUTLS-SA-2016-3 / CVE-2016-7444]; garantiza compatibilidad con nettle cuando ésta tiene aplicado el parche para CVE-2016-6489 |
| hplip | Usa la huella dactilar completa de la clave gpg al descargar esta de servidores de claves [CVE-2015-0839] |
| ieee-data | Desactiva el trabajo cron de actualización mensual |
| intel-microcode | Actualiza micro código |
| irssi | Corrige problema de exposición de información vía buf.pl y /upgrade [CVE-2016-7553]; corrige desreferencia de puntero vacío en la función nickcmp [CVE-2017-5193], uso tras liberar («use-after-free») al recibir un mensaje de nick inválido [CVE-2017-5194] y lectura fuera de límites con determinados códigos de control incompletos [CVE-2017-5195] |
| isenkram | Descarga firmware con curl; usa HTTPS para descargar modaliases; cambia réplica http.debian.net por httpredir.debian.org |
| jq | Corrige desbordamiento de memoria dinámica («heap») [CVE-2015-8863] y agotamiento de la pila [CVE-2016-4074] |
| libclamunrar | Corrige acceso fuera de límites |
| libdatetime-timezone-perl | Actualizado a 2016h; datos incluidos actualizados a 2016i; actualizado a 2016j; actualizado a 2016g |
| libfcgi-perl | Corrige numerosas conexiones provocan denegación de servicio por fallo de segmentación[CVE-2012-6687] |
| libio-socket-ssl-perl | Corrige problema de error fichero de claves SSL ilegibleincorrecto al usar las ACL del sistema de archivos |
| libmateweather | Sustituye weather.noaa.gov, discontinuado, por aviationweather.gov |
| libphp-adodb | Corrige vulnerabilidad XSS [CVE-2016-4855] y problema de inyección de SQL [CVE-2016-7405] |
| libpng | Corrige problema de desreferencia de puntero vacío [CVE-2016-10087] |
| libwmf | Corrige asignación de bloque de memoria muy grande [CVE-2016-9011] |
| linkchecker | Corrige comprobaciones HTTPS |
| linux | Actualizado a versión «estable» 3.16.39; añade controlador chaoskey, adaptación del de la 4.8, soporte de dispositivo flash SPI n25q256a11; seguridad,perf: Permite que se desactive el uso no privilegiado de perf_event_open; varias correcciones de errores y de seguridad |
| lxc | Attach: no envía procfd a los procesos conectados («attached») [CVE-2016-8649]; monta de nuevo los montajes «bind» si se proporciona el indicador de solo lectura; corrige la creación de contenedor Alpine Linux |
| mapserver | Corrige errores de compilación con php >= 5.6.25; corrige fuga de información a través de mensajes de error [CVE-2016-9839] |
| mdadm | Permite que '--grow --continue' remodele («reshape») un array cuando usa espacio de backup en un dispositivo 'spare' |
| metar | Actualiza URL de informes |
| minissdpd | Corrige vulnerabilidad por validación inadecuada de índices de arrays [CVE-2016-3178 CVE-2016-3179] |
| monotone | Cambia el caso de prueba para sigpipe de forma que escriba 1M de datos de prueba, incrementando así las probabilidades de provocar un desbordamiento de la memoria del canal de comunicación («pipe») |
| most | Corrige ataque de inyección de intérprete de órdenes («shell») al abrir ficheros comprimidos con lzma [CVE-2016-1253] |
| mpg123 | Corrige denegación de servicio mediante etiquetas ID3v2 manipuladas |
| musl | Corrige desbordamiento de entero [CVE-2016-8859] |
| nbd | No mezcla indicadores globales en el campo flags que se envía al kernel, así la conexión a nbd-server >= 3.9 no provoca que cada exportación sea (incorrectamente) marcada como de solo lectura |
| nettle | Protege frente a potenciales ataques de canal lateral en operaciones de exponenciación [CVE-2016-6489] |
| nss-pam-ldapd | Hace que la acción stop del init script solo devuelva el control cuando nslcd se haya parado realmente |
| nvidia-graphics-drivers | Actualizado a nueva versión de controladores, incluyendo correcciones de seguridad [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
| nvidia-graphics-drivers-legacy-304xx | Actualizado a nueva versión de controladores, incluyendo correcciones de seguridad [CVE-2016-8826 CVE-2016-7382 CVE-2016-7389] |
| nvidia-graphics-modules | Recompilado contra nvidia-kernel-source 340.101 |
| openbox | Añade dependencia de compilación con libxcursor-dev para corregir la carga de notificaciones de arranque; sustituye getgrent por getgroups para no enumerar todos los grupos en el arranque |
| opendkim | Corrige cabeceras de carpetas con formato poco ortodoxo, que invalidaba firmas |
| pam | Corrige gestión de loginuid en contenedores |
| pgpdump | Corrige bucle infinito en read_binary al analizar entradas manipuladas de forma determinada [CVE-2016-4021] y lectura sobrepasando los límites del área de memoria en read_radix64 |
| postgresql-9.4 | Nueva versión del proyecto original |
| postgresql-common | Pg_upgradecluster: actualiza las bases de datos de forma adecuada con roles propietarios sin el atributo LOGIN; pg_ctlcluster: protección contra enlace simbólico en /var/log/postgresql/ que permitía la creación de ficheros arbitrarios en cualquier ubicacion [CVE-2016-1255] |
| potrace | Correcciones de seguridad [CVE-2016-8694 CVE-2016-8695 CVE-2016-8696 CVE-2016-8697 CVE-2016-8698 CVE-2016-8699 CVE-2016-8700 CVE-2016-8701 CVE-2016-8702 CVE-2016-8703] |
| python-crypto | Eleva un aviso cuando se usa IV con ECB o con CTR y se ignora el IV [CVE-2013-7459] |
| python-werkzeug | Corrige problema de XSS en depurador |
| qtbase-opensource-src | Impide la desreferencia de punteros erróneos en QNetworkConfigurationManagerPrivate; corrige iconos de bandeja X11 en algunos escritorios |
| rawtherapee | Corrige desbordamiento de memoria en dcraw [CVE-2015-8366] |
| redmine | Gestiona el fallo de verificación de dependencia cuando ocurre, para evitar que interrumpa las actualizaciones que se realizan con dist-upgrade; impide la apertura de la configuración de bases de datos no legibles |
| samba | Corrige se puede degradar el requisito de firma del lado cliente con SMB2/3[CVE-2016-2119], varias regresiones introducidas por las correcciones de seguridad de la 4.2.10, fallo de segmentación con configuración en cluster |
| sed | Garantiza permisos consistentes con máscaras de usuario («umasks») diferentes |
| shutter | Corrige uso inseguro de system() [CVE-2015-0854] |
| sniffit | Corrección de seguridad [CVE-2014-5439] |
| suckless-tools | Corrige SEGV en slock cuando la cuenta del usuario ha sido desactivada [CVE-2016-6866] |
| sympa | Corrige la configuración de logrotate de forma que sympa no quede en un estado confuso cuando se usa systemd |
| systemd | No devuelve ningún error en manager_dispatch_notify_fd() [CVE-2016-7796]; core: lógica rediseñada para determinar cuándo decidimos añadir dependencias automáticas para montajes; varias correcciones de ordenación para ifupdown; systemctl: corrige tratamiento de parámetros cuando es llamado como shutdown; localed: tolera ausencia de /etc/default/keyboard; systemctl, loginctl, etc.: no arrancan el agente de polkit cuando se ejecutan como root |
| tevent | Nueva versión del proyecto original, requerida por samba |
| tre | Corrige desbordamiento de entero en regex en cálculos de tamaño de zona de memoria [CVE-2016-8859] |
| tzdata | Datos incluidos actualizados a 2016h; actualizado a 2016g; actualizado a 2016j; datos incluidos actualizados a 2016i |
| unrtf | Corrige desbordamiento de memoria en varias funciones cmd_ [CVE-2016-10091] |
| w3m | Varias correcciones de seguridad [CVE-2016-9430 CVE-2016-9434 CVE-2016-9438 CVE-2016-9440 CVE-2016-9441 CVE-2016-9423 CVE-2016-9431 CVE-2016-9424 CVE-2016-9432 CVE-2016-9433 CVE-2016-9437 CVE-2016-9422 CVE-2016-9435 CVE-2016-9436 CVE-2016-9426 CVE-2016-9425 CVE-2016-9428 CVE-2016-9442 CVE-2016-9443 CVE-2016-9429 CVE-2016-9621 CVE-2016-9439 CVE-2016-9622 CVE-2016-9623 CVE-2016-9624 CVE-2016-9625 CVE-2016-9626 CVE-2016-9627 CVE-2016-9628 CVE-2016-9629 CVE-2016-9631 CVE-2016-9630 CVE-2016-9632 CVE-2016-9633] |
| wireless-regdb | Datos incluidos actualizados |
| wot | Elimina programa adicional («plugin») por problemas de privacidad |
| xwax | Sustituye ffmpeg por avconv de libav-tools |
| zookeeper | Corrige desbordamiento de memoria vía orden de entrada al usar la syntaxis de modo batch cmd:[CVE-2016-5017] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| dotclear | Problemas de seguridad |
| sogo | Problemas de seguridad |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URLs
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.