Debian 9 actualizado: publicada la versión 9.4

10 de marzo de 2018

El proyecto Debian se complace en anunciar la cuarta actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de errores varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
acme-tiny Corrige versión obsoleta del acuerdo de suscriptores
activity-log-manager Añade la dependencia de python-zeitgeist, que faltaba
agenda.app Corrige la creación de tareas y citas
apparmor Mueve el archivo de características a /usr/share/apparmor-features; fija el juego de características de AppArmor al núcleo de Stretch
auto-apt-proxy Elimina la configuración de apt al eliminar el paquete, y la vuelve a colocar al reinstalar
bareos Corrige fallos en copias de seguridad del tipo No se ha proporcionado nombre de volumen
base-files Actualizado para esta versión
cappuccino Añade la dependencia de gir1.2-gtk-3.0, que faltaba
cerealizer Corrige las depencencias de Python3
clamav Nueva versión del proyecto original; actualización de seguridad [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380]
cron Realiza una transición adecuada de los trabajos de sistema al contexto de SELinux system_cronjob_t y deja de depender de identificadores específicos de refpolicy
cups Corrige la ejecución arbitraria de órdenes IPP al enviar peticiones POST al demonio CUPS en conjunción con revinculación de DNS [CVE-2017-18190]
dbus Nueva versión del proyecto original
debian-edu-config Preconfigura Chromium Webbrowser a nivel de sistema para autodetectar la configuración de http proxy vía WPAD; permite que se unan clientes con Windows 10 al dominio al estilo Samba NT4
debian-installer Actualiza la versión del núcleo Linux de 4.9.0-4 a 4.9.0-6
debian-installer-netboot-images Actualiza a las imágenes 20170615+deb9u3, desde stretch-proposed-updates
directfb Corrige el filtro basado en arquitectura para la instalación de controladores
dpdk Actualización a la nueva versión «estable»
espeakup udeb: corrige el caso donde la tarjeta 0 no tiene identificador o donde las tarjetas tienen índices no contiguos; usa inglés de manera predeterminada; usa el identificador de tarjeta en un sistema instalado para evitar problemas con el orden de detección de tarjetas
exam Corrige las dependencias de Python3
flatpak Nueva versión del proyecto original; corrige una omisión de filtro D-Bus en flatpak-dbus-proxy; ignora las cadenas de permisos no reconocidas, en lugar de producir un fallo; no permite escuchas no autorizadas en el bus de sesión de D-Bus
fuse-zip Corrige error de respuesta con libzip 1.0
glade Corrige un posible bucle infinito
glibc No actualiza /etc/nsswitch.conf cuando su contenido concuerda con el predeterminado; debian/script.in/nohwcap.sh: comprueba siempre todos los paquetes optimizados ya que multiarch permite instalar arquitecturas foráneas; evita acceso de lectura tras liberación («use-after-free») en clntudp_call [CVE-2017-12133]; define intercalaciones para los caracteres chillu del idioma malayalam o malabar y corrige la intercalación de los caracteres malayalam U+0D36 y U+0D37; corrige molde inválido en la fusión de grupos que afecta a ppc64 y s390x; corrige compatibilidad con la convención de llamadas Intel C++ __regcall; instala los procesos libc-otherbuild postinst y postrm en el paquete de transición libc6-i686, para asegurarse de que /etc/ld.so.nohwcap se elimina correctamente tras una actualización
global Gozilla: entrecomilla las URLs antes de pasarlas al navegador [CVE-2017-17531]
gnumail Deja de enlazar con OpenSSL
golang-github-go-ldap-ldap Requiere intención explícita para contraseñas vacías
gosa-plugin-pwreset Corrige llamada a constructor obsoleta
grilo-plugins Corrige fuente de Radio France
hdf5 Corrige invocación a javahelper
inputlirc Incluye input-event-codes.h en lugar de input.h, corrigiendo fallo en la construcción
intercal Recompilado con PIE
java-atk-wrapper Corrige la inicialización del iterador; corrige referencia que faltaba para los hijos
kildclient Abandona el soporte a navegadores definidos por el usuario [CVE-2017-17511]
libdate-holidays-de-perl Marca el día de la Reforma como festivo en Hamburgo y Schleswig-Holstein desde 2018 en adelante
libdatetime-timezone-perl Nueva versión del proyecto original
libhibernate-validator-java Corrige posible escalada de privilegios al eludir los permisos del gestor de seguridad [CVE-2017-7536]
libperlx-assert-perl Añade dependencia de libkeyword-simple-perl, libdevel-declare-perl, que faltaban
libreoffice Permite a FunctionAccess ejecutar WEBSERVICE; usa el código de error correcto en los fallos de WEBSERVICE()
libvhdi Agrega dependencia de Python3, que faltaba
libvirt QEMU: los discos compartidos con cache=directsync deberían ser seguros para migrar; evita denegación de servicio en lectura desde el monitor QEMU [CVE-2018-5748]
linux Nueva versión del proyecto original
lxc Corrige la creación de contenedores de «en pruebas» e «inestable» incluyendo iproute2 en lugar de iproute
mapproxy Corrige problema de XSS en servicio demo [CVE-2017-1000426]
mosquitto Corrige atributo de lectura para todos en fichero de persistencia [CVE-2017-9868]
mpi4py Soporta la versión actual de libmpi
ncurses Corrige desbordamiento de memoria en función _nc_write_entry [CVE-2017-16879]
needrestart Corrige el cambio a modo lista si se ejecuta debconf de manera no interactiva
ntp Incrementa el tamaño de la pila a 32kB como mínimo
nvidia-graphics-drivers-legacy-304xx Nueva versión del proyecto original
nvidia-graphics-drivers-legacy-340xx Nueva versión del proyecto original
nvidia-modprobe Nueva versión del proyecto original; ejecuta setuid(0) antes de hacer un «fork» de modprobe para preservar los privilegios a través de invocaciones de shell y llamadas recursivas a modprobe
nvidia-persistenced Nueva versión del proyecto original
nvidia-settings Nueva versión del proyecto original; corrige un fallo que impedía que los cambios a la asignación de ojo estéreo se aplicaran desde el panel de control nvidia-settings
nvidia-xconfig Nueva versión del proyecto original; corrige una regresión que impedía que nvidia-xconfig consultara a ciertas GPUs, p.ej. al ejecutar `nvidia-xconfig -a`
ocfs2-tools Migración que pasa de usar rcS a usar niveles de ejecución estándar
opendmarc Actualiza el fichero del servicio opendmarc para que use los cambios en opendmarc.conf
openssh Corrige en modo solo lectura, sftp-server permitía de manera incorrecta la creación de ficheros de tamaño cero [CVE-2017-15906]
osinfo-db Actualización de los datos incluidos
pdns-recursor Recompilación usando publicsuffix 20171028.2055-0+deb9u1
postfix Nueva versión del proyecto original que corrige fallos; no registra los avisos para los cuales alguna restricción devuelve OK, cuando la característica DISCARD de acceso al mapa es efectiva; añade soporte a mapas dinámicos en la orden sendmail de Postfix, que faltaba; corrige el envío a ciertos sitios con registros TLSA 2 X X
postgresql-9.6 Nueva versión del proyecto original
publicsuffix Actualización de los datos incluidos
python-evtx Corrige dependencia de Python3, que faltaba
python-hacking Corrige dependencias de Python3
python-hkdf Corrige dependencias de Python3
python-mimeparse Corrige dependencias de Python3
python-pyperclip Corrige dependencias de Python3
python-spake2 Corrige dependencias de Python3
qtpass Corrige generación de contraseña incorporada insegura [CVE-2017-18021]
quota Impide que quotacheck se ejecute en un bucle infinito
reportbug Deja de enviar correo a secure-testing-team@lists.alioth.debian.org
rpy Recompilación con r-base 3.3
ruby-redis-store Permite que objetos inseguros se carguen desde redis [CVE-2017-1000248]
salt Corrige vulnerabilidad transversal de directorio en salt-master a través de la elaboración de IDs subalternos [CVE-2017-12791], vulnerabilidad transversal de directorio en validación de identificadores subalternos en SaltStack [CVE-2017-14695], denegación de servicio remota con una petición de autenticación especialmente elaborada [CVE-2017-14696]; comprueba si data[return] es de tipo dict
slic3r Modificación línea use lib en todos los binarios instalados; rodeo para evitar la macro GL_MULTISAMPLE, que falta; corrige la importación de binarios STLs en arquitecturas big-endian
soundtouch Correcciones de seguridad [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260]
systemd networkd: maneja el campo MTU en IPv6 RA; añade un guion de enlazado para ayudar a impedir colisiones de símbolos, particularmente con módulos PAM; resolved: corrige bucle en paquetes con tipos pseudo dns [CVE-2017-15908]; machinectl: no producir salida No hay máquinas. con opción --no-legend
tzdata Nueva versión del proyecto original
ust Corrige la carga de biblioteca de agente Python
uwsgi Corrige desbordamiento de memoria basada en pila en la función uwsgi_expand_path [CVE-2018-6758]
vagrant Descarga cajas desde app.vagrantcloud.com en lugar de la obsoleta atlas.hashicorp.com
vdirsyncer Corrige el descubrimiento de contactos de Google
virt-what Repara la detección virt en arm/aarch64
w3m Corrige desbordamiento de pila [CVE-2018-6196], desreferencia nula [CVE-2018-6197], carreras en archivo /tmp [CVE-2018-6198]
waagent Nueva versión del proyecto original
webkit2gtk Nueva versión «estable» del proyecto original
xchain Corrige depencencia de wish
xrdp Corrige problema de seguridad [CVE-2017-16927]; corrige alta carga de CPU en ssl_tls_accept

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4054 tor
DSA-4055 heimdal
DSA-4056 nova
DSA-4057 erlang
DSA-4058 optipng
DSA-4059 libxcursor
DSA-4060 wireshark
DSA-4061 thunderbird
DSA-4062 firefox-esr
DSA-4063 pdns-recursor
DSA-4065 openssl1.0
DSA-4066 otrs2
DSA-4067 openafs
DSA-4068 rsync
DSA-4069 otrs2
DSA-4070 enigmail
DSA-4071 sensible-utils
DSA-4072 bouncycastle
DSA-4073 linux
DSA-4075 thunderbird
DSA-4076 asterisk
DSA-4077 gimp
DSA-4078 linux
DSA-4078 linux-latest
DSA-4079 poppler
DSA-4080 php7.0
DSA-4083 poco
DSA-4084 gifsicle
DSA-4086 libxml2
DSA-4087 transmission
DSA-4088 gdk-pixbuf
DSA-4089 bind9
DSA-4090 wordpress
DSA-4092 awstats
DSA-4093 openocd
DSA-4094 smarty3
DSA-4095 gcab
DSA-4096 firefox-esr
DSA-4097 poppler
DSA-4098 curl
DSA-4099 ffmpeg
DSA-4100 tiff
DSA-4101 wireshark
DSA-4102 thunderbird
DSA-4104 p7zip
DSA-4105 mpv
DSA-4106 libtasn1-6
DSA-4107 django-anymail
DSA-4108 mailman
DSA-4109 ruby-omniauth
DSA-4110 exim4
DSA-4111 libreoffice
DSA-4112 xen
DSA-4114 jackson-databind
DSA-4115 quagga
DSA-4116 plasma-workspace
DSA-4118 tomcat-native
DSA-4120 linux-latest
DSA-4120 linux
DSA-4121 gcc-6
DSA-4122 squid3
DSA-4123 drupal7
DSA-4124 lucene-solr
DSA-4125 wavpack
DSA-4126 xmltooling
DSA-4127 simplesamlphp
DSA-4128 trafficserver
DSA-4129 freexl
DSA-4130 dovecot
DSA-4131 xen
DSA-4132 libvpx

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
dolibarr Demasiado trabajo para mantenerlo adecuadamente en Debian
electrum Problemas de seguridad; roto debido a cambios en el proyecto original
jirc Roto con el paquete libpoe-filter-xml-perl de Stretch
pgmodeler Incompatible con el software Postgresql de Stretch
seelablet Proyecto original abandonado; roto

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URLs

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.