Debian 9 actualizado: publicada la versión 9.2

7 de octubre de 2017

El proyecto Debian se complace en anunciar la segunda actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

De forma excepcional para esta versión, quienes utilicen la herramienta apt-get para llevar a cabo la actualización tendrán que asegurarse de usar la orden dist-upgrade para, de esta forma, actualizar los paquetes de kernel a la última versión. Los usuarios de otras herramientas, como apt o aptitude, deberían utilizar la orden upgrade.

Corrección de errores varios

Lamentablemente, por un descuido durante los preparativos para esta versión, no se incluyó la habitual actualización del paquete base-files para reflejar el número de versión. En próximas fechas habrá disponible un paquete actualizado vía stretch-updates.

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
apt Corrige problemas en apt-daily-upgrade; corrige una posible caída en el método mirror
at-spi2-core Corrige caída al cambiar de ventana
bareos Corrige permisos en config de logrotate bareos-dir al actualizar; corrige corrupción de fichero al usar firma SHA1
bind9 Importa soporte de DNSSEC KSK-2017
bridge-utils Corrige un problema con algunas interfaces vlan que no se creaban
caja Corrige consumo excesivo de CPU al cargar la imagen de fondo
chrony No pasa la orden «burst» a chronyc
cross-gcc Corrige soporte anticuado de gcc 6.3.0-18
cvxopt Elimina la capa de compatibilidad con lpx_main(), que es innecesaria y no funciona
db5.3 No accede a DB_CONFIG cuando no se ha especificado db_home [CVE-2017-10140]
dbus Nueva versión «estable» del proyecto original
debian-edu-doc Fusiona documentación relativa a stretch y traducciones actualizadas; actualiza manual de Debian Edu Stretch a partir del de la wiki; sustituye capturas de pantalla del menú de arranque por otras recientes de la wiki
debian-installer Actualiza la ABI del kernel Linux a la versión 4
debian-installer-netboot-images Construido de nuevo contra proposed-updates
desktop-base Corrige errores de sintaxis XML en ficheros de descripción de fondos de pantalla gnome que hacían que los fondos de pantalla Joy no estuvieran disponibles por omisión; se asegura de que no falle la postinstalación («postinst») al actualizar aunque esté activo un paquete incompleto de temas
dns-root-data Actualiza root.hints a la versión 2017072601; cambia el estado de KSK-2017 a VALID
dnsdist Correcciones de seguridad [CVE-2016-7069 CVE-2017-7557]
dnsviz Selecciona correcciones del proyecto original relacionadas con cambios en root.hints y root.keys
dose3 Corrige soporte de paquetes con número de versión: paquetes que proporcionan el mismo paquete virtual en diferentes versiones, o que proporcionan el mismo paquete virtual con número de versión como un paquete real, son coinstalables
ecl Añade dependencia con libffi-dev, que faltaba
erlang-p1-tls Corrige curvas ECDH
evolution Corrige bloqueo al hacer click con el botón derecho del ratón en ventana de edición
expect Comprueba adecuadamente el fin-de-fichero para evitar pérdida de información de entrada
fife Corrige pérdida de información en memoria
flatpak Nueva versión «estable» del proyecto original; impide despliegue de ficheros con permisos inadecuados; restaura compatibilidad con libostree 2017.7
freerdp Activa soporte de TLS >= 1.1
gnome-exe-thumbnailer Sustituye el análisis inseguro basado en VBScript por el uso de msiinfo de msitools para obtener ProductVersion [CVE-2017-11421]; corrige el ilegible texto blanco sobre fondo blanco en etiquetas de versión
gnupg2 Corrige problemas de dirmngr con el DNS inverso roto, aserción al usar tofu-default-policy ask, varios problemas con scdaemon, evita avisos espurios al compartir una keybox con gpg >= 2.1.20
gnutls28 Corrige errores de verificación OCSP, especialmente con firmas ECDSA
gosa-plugin-mailaddress Corrige llamadas a constructor padre, para compatibilidad con PHP7
gsoap Corrige desbordamiento de entero por documento XML grande [CVE-2017-9765]
haveged Arranca haveged.service después de que se haya ejecutado systemd-tmpfiles-setup.service
ipsec-tools Corrección de seguridad [CVE-2016-10396]
irssi Corrige desreferencia de puntero nulo [CVE-2017-10965], condición use-after-free para nicklist [CVE-2017-10966]
kanatest Elimina indicadores DISABLE_DEPRECATED, provocan conversión de puntero implícito y, por tanto, fallo de segmentación en el arranque
kdepim Corrige send Later with Delay bypasses OpenPGP («'enviar después' ignora OpenPGP») [CVE-2017-9604]
kf5-messagelib Corrige send Later with Delay bypasses OpenPGP («'enviar después' ignora OpenPGP») [CVE-2017-9604]
krb5 Corrige problema de seguridad que permite a atacantes autenticados remotamente provocar la caída del KDC [CVE-2017-11368]; corrige el arranque si getaddrinfo() devuelve una dirección v6 comodín y la gestión de dirección v4 comodín especificada explícitamente; corrige búsquedas SRV para que respeten udp_preference_limit
lava-tool Añade dependencia con python-simplejson, que faltaba
librsb Corrige unos pocos fallos graves que daban lugar a resultados numéricos erróneos
libselinux Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog»)
libsolv Corrige dependencias con módulos de Python 3
libwpd Corrige problema de denegación de servicio [CVE-2017-14226]
linux Nueva versión «estable» del proyecto original
linux-latest Actualizado a 4.9.0-4
lzma Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog»)
mailman Corrige dependencias rotas en contrib/SpamAssassin.py
mate-power-manager No aborta ante una señal DBus de nombre desconocido
mate-themes Corrige el color del tipo de letra en la barra para la URL de Google Chrome
mate-tweak Añade dependencia con python3-gi, que faltaba
ncurses Corrige varios fallos que provocaban caídas, en la librería tic y en el ejecutable tic [CVE-2017-10684 CVE-2017-10685 CVE-2017-11112 CVE-2017-11113 CVE-2017-13728 CVE-2017-13729 CVE-2017-13730 CVE-2017-13731 CVE-2017-13732 CVE-2017-13734 CVE-2017-13733]
nettle Compilado con el nuevo sbuild para corregir fecha en el registro de cambios («changelog»)
node-brace-expansion Corrige problema de denegación de servicio con expresión regular
node-dateformat Hace TZ=UTC para las pruebas para corregir fallo de compilación
ntp Compila e instala /usr/bin/sntp
nvidia-graphics-drivers Nueva versión 375.82 en una rama de larga duración del proyecto original: correcciones de seguridad [CVE-2017-6257 CVE-2017-6259], añade soporte para las siguientes GPUs: GeForce GTX 1080 con diseño Max-Q, GeForce GTX 1070 con diseño Max-Q, GeForce GTX 1060 con diseño Max-Q; nvidia-kernel-dkms: respeta el valor de parallel configurado en dkms
open-vm-tools Genera aleatoriamente nombre de directorio temporal [CVE-2015-5191]
opendkim Arranca como root pero libera privilegios en opendkim para que el fichero de claves tenga el propietario adecuado
openldap Relaja la dependencia de libldap-2.4-2 con libldap-common para permitir también versiones posteriores; corrige fallo al actualizar cuando olcSuffix contiene una barra invertida; evita la lectura del valor de la opción LDAP_OPT_X_TLS_REQUIRE_CERT de memoria liberada previamente; corrige potencial bucle infinito de replicación en un escenario multi-master delta-syncrepl con 3 o más nodos; corrige corrupción de memoria causada por llamar a sasl_client_init() repetidamente y, quizá, de forma concurrente
openvpn Corrige reconexión rota por cálculo erróneo de resumen («digest»)
osinfo-db Actualiza información de distribución
pcb-rnd Corrige ejecución de código a través de un fichero de diseño preparado maliciosamente
postfix Nueva versión «estable» del proyecto original: envía a milters los nombres de variables de un único carácter sin {}; impide degradación de mensajes generados por Postfix y de los estados de entrega; evita que Berkeley DB intente leer la configuración en el fichero DB_CONFIG
python-pampy Corrige dependencias con módulos de Python 3
request-tracker4 Corrige regresión en publicación previa de correcciones de seguridad en la que contraseñas SHA256 incorrectas podían provocar un error
ruby-gnome2 ruby-{gdk3,gtksourceview2,pango,poppler}: Añade dependencias que faltaban
samba Asegura que se exija firma SMB [CVE-2017-12150]; mantiene el requerimiento de cifrado a través de redirecciones SMB3 DFS [CVE-2017-12151]; corrige pérdida de información de memoria del servidor sobre SMB1 [CVE-2017-12163]; nueva versión del proyecto original; corrige libpam-winbind.prerm de forma que sea seguro en multiarquitectura; añade logrotate para /var/log/samba/log.samba, que faltaba; corrige servidores Root DNS anticuados; corrige Non-kerberos logins fails on winbind 4.X when krb5_auth is configured in PAM («Falla acceso a sistemas no kerberos con winbind 4.X cuando krb5_auth esá configurado en PAM»)
smplayer Corrige conexiones a YouTube
speech-dispatcher Hace que spd-conf funcione de nuevo
suricata Limita el número de llamadas recursivas en el decodificador DER/ASN.1 para evitar desbordamientos de pila
swift Nueva versión «estable» del proyecto original
tbdialout Incluye signo más por delante cuando se usa el esquema URI tel:
tiny-initramfs Añade dependencia con cpio, que faltaba
topal Corrige uso incorrecto de la sintaxis de clases de caracteres sed
torsocks Corrige check_addr() para que devuelva 0 o 1
trace-cmd Corrige fallo de segmentación al procesar ciertos ficheros de traza
unbound Corrige instalación de ancla de confianza («trust anchor») cuando hay dos anclas presentes; depende de dns-root-data (>= 2017072601~) para KSK-2017
unknown-horizons Corrige pérdida de información de memoria
up-imapproxy Corrige fichero de servicio de systemd
vim Corrige varias caídas / acceso ilegal a memoria [CVE-2017-11109]
waagent Nueva versión del proyecto original, con soporte para Azure Stack
webkit2gtk Publicación de correcciones de errores y de seguridad en el proyecto original [CVE-2017-2538 CVE-2017-7052 CVE-2017-7018 CVE-2017-7030 CVE-2017-7034 CVE-2017-7037 CVE-2017-7039 CVE-2017-7046 CVE-2017-7048 CVE-2017-7055 CVE-2017-7056 CVE-2017-7061 CVE-2017-7064]
whois Corrige referencias para .com, .net, .jobs, .bz, .cc y .tv; añade varios servidores TLD nuevos de la India; actualiza la lista de gTLDs
wrk Corrige fallos de compilación
xfonts-ayu Corrige generación de tipos de letra negrita y cursiva
xkeyboard-config Devuelve las distribuciones de teclado «Indic» a la lista principal de distribuciones de teclado, posibilitando de nuevo su uso
yadm Corrige condición de carrera que podría permitir acceso a claves privadas PGP y SSH [CVE-2017-11353]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-3881 firefox-esr
DSA-3898 expat
DSA-3904 bind9
DSA-3909 samba
DSA-3913 apache2
DSA-3914 imagemagick
DSA-3915 ruby-mixlib-archive
DSA-3916 atril
DSA-3917 catdoc
DSA-3919 openjdk-8
DSA-3920 qemu
DSA-3921 enigmail
DSA-3923 freerdp
DSA-3924 varnish
DSA-3925 qemu
DSA-3926 chromium-browser
DSA-3927 linux
DSA-3928 firefox-esr
DSA-3929 libsoup2.4
DSA-3930 freeradius
DSA-3931 ruby-rack-cors
DSA-3932 subversion
DSA-3934 git
DSA-3936 postgresql-9.6
DSA-3938 libgd2
DSA-3940 cvs
DSA-3941 iortcw
DSA-3942 supervisor
DSA-3946 libmspack
DSA-3947 newsbeuter
DSA-3948 ioquake3
DSA-3949 augeas
DSA-3950 libraw
DSA-3952 libxml2
DSA-3953 aodh
DSA-3955 mariadb-10.1
DSA-3956 connman
DSA-3957 ffmpeg
DSA-3958 fontforge
DSA-3959 libgcrypt20
DSA-3961 libgd2
DSA-3962 strongswan
DSA-3963 mercurial
DSA-3964 asterisk
DSA-3965 file
DSA-3966 ruby2.3
DSA-3967 mbedtls
DSA-3968 icedove
DSA-3969 xen
DSA-3970 emacs24
DSA-3971 tcpdump
DSA-3972 bluez
DSA-3973 wordpress-shibboleth
DSA-3974 tomcat8
DSA-3975 emacs25
DSA-3976 freexl
DSA-3977 newsbeuter
DSA-3978 gdk-pixbuf
DSA-3979 pyjwt
DSA-3980 apache2
DSA-3982 perl
DSA-3984 git
DSA-3985 chromium-browser
DSA-3986 ghostscript
DSA-3987 firefox-esr
DSA-3988 libidn2-0

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
clapack Derivación de lapack anticuada y sin desarrollo activo

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URLs

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://security.debian.org/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.