Debian 9 actualizado: publicada la versión 9.4

10 de marzo de 2018

El proyecto Debian se complace en anunciar la cuarta actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de errores varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
acme-tiny	Corrige versión obsoleta del acuerdo de suscriptores
activity-log-manager	Añade la dependencia de python-zeitgeist, que faltaba
agenda.app	Corrige la creación de tareas y citas
apparmor	Mueve el archivo de características a /usr/share/apparmor-features; fija el juego de características de AppArmor al núcleo de Stretch
auto-apt-proxy	Elimina la configuración de apt al eliminar el paquete, y la vuelve a colocar al reinstalar
bareos	Corrige fallos en copias de seguridad del tipo No se ha proporcionado nombre de volumen
base-files	Actualizado para esta versión
cappuccino	Añade la dependencia de gir1.2-gtk-3.0, que faltaba
cerealizer	Corrige las depencencias de Python3
clamav	Nueva versión del proyecto original; actualización de seguridad [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron	Realiza una transición adecuada de los trabajos de sistema al contexto de SELinux system_cronjob_t y deja de depender de identificadores específicos de refpolicy
cups	Corrige la ejecución arbitraria de órdenes IPP al enviar peticiones POST al demonio CUPS en conjunción con revinculación de DNS [CVE-2017-18190]
dbus	Nueva versión del proyecto original
debian-edu-config	Preconfigura Chromium Webbrowser a nivel de sistema para autodetectar la configuración de http proxy vía WPAD; permite que se unan clientes con Windows 10 al dominio al estilo Samba NT4
debian-installer	Actualiza la versión del núcleo Linux de 4.9.0-4 a 4.9.0-6
debian-installer-netboot-images	Actualiza a las imágenes 20170615+deb9u3, desde stretch-proposed-updates
directfb	Corrige el filtro basado en arquitectura para la instalación de controladores
dpdk	Actualización a la nueva versión «estable»
espeakup	udeb: corrige el caso donde la tarjeta 0 no tiene identificador o donde las tarjetas tienen índices no contiguos; usa inglés de manera predeterminada; usa el identificador de tarjeta en un sistema instalado para evitar problemas con el orden de detección de tarjetas
exam	Corrige las dependencias de Python3
flatpak	Nueva versión del proyecto original; corrige una omisión de filtro D-Bus en flatpak-dbus-proxy; ignora las cadenas de permisos no reconocidas, en lugar de producir un fallo; no permite escuchas no autorizadas en el bus de sesión de D-Bus
fuse-zip	Corrige error de respuesta con libzip 1.0
glade	Corrige un posible bucle infinito
glibc	No actualiza /etc/nsswitch.conf cuando su contenido concuerda con el predeterminado; debian/script.in/nohwcap.sh: comprueba siempre todos los paquetes optimizados ya que multiarch permite instalar arquitecturas foráneas; evita acceso de lectura tras liberación («use-after-free») en clntudp_call [CVE-2017-12133]; define intercalaciones para los caracteres chillu del idioma malayalam o malabar y corrige la intercalación de los caracteres malayalam U+0D36 y U+0D37; corrige molde inválido en la fusión de grupos que afecta a ppc64 y s390x; corrige compatibilidad con la convención de llamadas Intel C++ __regcall; instala los procesos libc-otherbuild postinst y postrm en el paquete de transición libc6-i686, para asegurarse de que /etc/ld.so.nohwcap se elimina correctamente tras una actualización
global	Gozilla: entrecomilla las URLs antes de pasarlas al navegador [CVE-2017-17531]
gnumail	Deja de enlazar con OpenSSL
golang-github-go-ldap-ldap	Requiere intención explícita para contraseñas vacías
gosa-plugin-pwreset	Corrige llamada a constructor obsoleta
grilo-plugins	Corrige fuente de Radio France
hdf5	Corrige invocación a javahelper
inputlirc	Incluye input-event-codes.h en lugar de input.h, corrigiendo fallo en la construcción
intercal	Recompilado con PIE
java-atk-wrapper	Corrige la inicialización del iterador; corrige referencia que faltaba para los hijos
kildclient	Abandona el soporte a navegadores definidos por el usuario [CVE-2017-17511]
libdate-holidays-de-perl	Marca el día de la Reforma como festivo en Hamburgo y Schleswig-Holstein desde 2018 en adelante
libdatetime-timezone-perl	Nueva versión del proyecto original
libhibernate-validator-java	Corrige posible escalada de privilegios al eludir los permisos del gestor de seguridad [CVE-2017-7536]
libperlx-assert-perl	Añade dependencia de libkeyword-simple-perl, libdevel-declare-perl, que faltaban
libreoffice	Permite a FunctionAccess ejecutar WEBSERVICE; usa el código de error correcto en los fallos de WEBSERVICE()
libvhdi	Agrega dependencia de Python3, que faltaba
libvirt	QEMU: los discos compartidos con cache=directsync deberían ser seguros para migrar; evita denegación de servicio en lectura desde el monitor QEMU [CVE-2018-5748]
linux	Nueva versión del proyecto original
lxc	Corrige la creación de contenedores de «en pruebas» e «inestable» incluyendo iproute2 en lugar de iproute
mapproxy	Corrige problema de XSS en servicio demo [CVE-2017-1000426]
mosquitto	Corrige atributo de lectura para todos en fichero de persistencia [CVE-2017-9868]
mpi4py	Soporta la versión actual de libmpi
ncurses	Corrige desbordamiento de memoria en función _nc_write_entry [CVE-2017-16879]
needrestart	Corrige el cambio a modo lista si se ejecuta debconf de manera no interactiva
ntp	Incrementa el tamaño de la pila a 32kB como mínimo
nvidia-graphics-drivers-legacy-304xx	Nueva versión del proyecto original
nvidia-graphics-drivers-legacy-340xx	Nueva versión del proyecto original
nvidia-modprobe	Nueva versión del proyecto original; ejecuta setuid(0) antes de hacer un «fork» de modprobe para preservar los privilegios a través de invocaciones de shell y llamadas recursivas a modprobe
nvidia-persistenced	Nueva versión del proyecto original
nvidia-settings	Nueva versión del proyecto original; corrige un fallo que impedía que los cambios a la asignación de ojo estéreo se aplicaran desde el panel de control nvidia-settings
nvidia-xconfig	Nueva versión del proyecto original; corrige una regresión que impedía que nvidia-xconfig consultara a ciertas GPUs, p.ej. al ejecutar `nvidia-xconfig -a`
ocfs2-tools	Migración que pasa de usar rcS a usar niveles de ejecución estándar
opendmarc	Actualiza el fichero del servicio opendmarc para que use los cambios en opendmarc.conf
openssh	Corrige en modo solo lectura, sftp-server permitía de manera incorrecta la creación de ficheros de tamaño cero [CVE-2017-15906]
osinfo-db	Actualización de los datos incluidos
pdns-recursor	Recompilación usando publicsuffix 20171028.2055-0+deb9u1
postfix	Nueva versión del proyecto original que corrige fallos; no registra los avisos para los cuales alguna restricción devuelve OK, cuando la característica DISCARD de acceso al mapa es efectiva; añade soporte a mapas dinámicos en la orden sendmail de Postfix, que faltaba; corrige el envío a ciertos sitios con registros TLSA 2 X X
postgresql-9.6	Nueva versión del proyecto original
publicsuffix	Actualización de los datos incluidos
python-evtx	Corrige dependencia de Python3, que faltaba
python-hacking	Corrige dependencias de Python3
python-hkdf	Corrige dependencias de Python3
python-mimeparse	Corrige dependencias de Python3
python-pyperclip	Corrige dependencias de Python3
python-spake2	Corrige dependencias de Python3
qtpass	Corrige generación de contraseña incorporada insegura [CVE-2017-18021]
quota	Impide que quotacheck se ejecute en un bucle infinito
reportbug	Deja de enviar correo a secure-testing-team@lists.alioth.debian.org
rpy	Recompilación con r-base 3.3
ruby-redis-store	Permite que objetos inseguros se carguen desde redis [CVE-2017-1000248]
salt	Corrige vulnerabilidad transversal de directorio en salt-master a través de la elaboración de IDs subalternos [CVE-2017-12791], vulnerabilidad transversal de directorio en validación de identificadores subalternos en SaltStack [CVE-2017-14695], denegación de servicio remota con una petición de autenticación especialmente elaborada [CVE-2017-14696]; comprueba si data[return] es de tipo dict
slic3r	Modificación línea use lib en todos los binarios instalados; rodeo para evitar la macro GL_MULTISAMPLE, que falta; corrige la importación de binarios STLs en arquitecturas big-endian
soundtouch	Correcciones de seguridad [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd	networkd: maneja el campo MTU en IPv6 RA; añade un guion de enlazado para ayudar a impedir colisiones de símbolos, particularmente con módulos PAM; resolved: corrige bucle en paquetes con tipos pseudo dns [CVE-2017-15908]; machinectl: no producir salida No hay máquinas. con opción --no-legend
tzdata	Nueva versión del proyecto original
ust	Corrige la carga de biblioteca de agente Python
uwsgi	Corrige desbordamiento de memoria basada en pila en la función uwsgi_expand_path [CVE-2018-6758]
vagrant	Descarga cajas desde app.vagrantcloud.com en lugar de la obsoleta atlas.hashicorp.com
vdirsyncer	Corrige el descubrimiento de contactos de Google
virt-what	Repara la detección virt en arm/aarch64
w3m	Corrige desbordamiento de pila [CVE-2018-6196], desreferencia nula [CVE-2018-6197], carreras en archivo /tmp [CVE-2018-6198]
waagent	Nueva versión del proyecto original
webkit2gtk	Nueva versión «estable» del proyecto original
xchain	Corrige depencencia de wish
xrdp	Corrige problema de seguridad [CVE-2017-16927]; corrige alta carga de CPU en ssl_tls_accept

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-4054	tor
DSA-4055	heimdal
DSA-4056	nova
DSA-4057	erlang
DSA-4058	optipng
DSA-4059	libxcursor
DSA-4060	wireshark
DSA-4061	thunderbird
DSA-4062	firefox-esr
DSA-4063	pdns-recursor
DSA-4065	openssl1.0
DSA-4066	otrs2
DSA-4067	openafs
DSA-4068	rsync
DSA-4069	otrs2
DSA-4070	enigmail
DSA-4071	sensible-utils
DSA-4072	bouncycastle
DSA-4073	linux
DSA-4075	thunderbird
DSA-4076	asterisk
DSA-4077	gimp
DSA-4078	linux
DSA-4078	linux-latest
DSA-4079	poppler
DSA-4080	php7.0
DSA-4083	poco
DSA-4084	gifsicle
DSA-4086	libxml2
DSA-4087	transmission
DSA-4088	gdk-pixbuf
DSA-4089	bind9
DSA-4090	wordpress
DSA-4092	awstats
DSA-4093	openocd
DSA-4094	smarty3
DSA-4095	gcab
DSA-4096	firefox-esr
DSA-4097	poppler
DSA-4098	curl
DSA-4099	ffmpeg
DSA-4100	tiff
DSA-4101	wireshark
DSA-4102	thunderbird
DSA-4104	p7zip
DSA-4105	mpv
DSA-4106	libtasn1-6
DSA-4107	django-anymail
DSA-4108	mailman
DSA-4109	ruby-omniauth
DSA-4110	exim4
DSA-4111	libreoffice
DSA-4112	xen
DSA-4114	jackson-databind
DSA-4115	quagga
DSA-4116	plasma-workspace
DSA-4118	tomcat-native
DSA-4120	linux-latest
DSA-4120	linux
DSA-4121	gcc-6
DSA-4122	squid3
DSA-4123	drupal7
DSA-4124	lucene-solr
DSA-4125	wavpack
DSA-4126	xmltooling
DSA-4127	simplesamlphp
DSA-4128	trafficserver
DSA-4129	freexl
DSA-4130	dovecot
DSA-4131	xen
DSA-4132	libvpx

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete	Motivo
dolibarr	Demasiado trabajo para mantenerlo adecuadamente en Debian
electrum	Problemas de seguridad; roto debido a cambios en el proyecto original
jirc	Roto con el paquete libpoe-filter-xml-perl de Stretch
pgmodeler	Incompatible con el software Postgresql de Stretch
seelablet	Proyecto original abandonado; roto

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URLs

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.