Debian 9 actualizado: publicada la versión 9.4
10 de marzo de 2018
El proyecto Debian se complace en anunciar la cuarta actualización de su
distribución «estable» Debian 9 (nombre en clave stretch
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
9, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de stretch
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de errores varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
Paquete | Motivo |
---|---|
acme-tiny | Corrige versión obsoleta del acuerdo de suscriptores |
activity-log-manager | Añade la dependencia de python-zeitgeist, que faltaba |
agenda.app | Corrige la creación de tareas y citas |
apparmor | Mueve el archivo de características a /usr/share/apparmor-features; fija el juego de características de AppArmor al núcleo de Stretch |
auto-apt-proxy | Elimina la configuración de apt al eliminar el paquete, y la vuelve a colocar al reinstalar |
bareos | Corrige fallos en copias de seguridad del tipo No se ha proporcionado nombre de volumen |
base-files | Actualizado para esta versión |
cappuccino | Añade la dependencia de gir1.2-gtk-3.0, que faltaba |
cerealizer | Corrige las depencencias de Python3 |
clamav | Nueva versión del proyecto original; actualización de seguridad [CVE-2017-6418 CVE-2017-6420 CVE-2017-12374 CVE-2017-12375 CVE-2017-12376 CVE-2017-12377 CVE-2017-12378 CVE-2017-12379 CVE-2017-12380] |
cron | Realiza una transición adecuada de los trabajos de sistema al contexto de SELinux system_cronjob_t y deja de depender de identificadores específicos de refpolicy |
cups | Corrige la ejecución arbitraria de órdenes IPP al enviar peticiones POST al demonio CUPS en conjunción con revinculación de DNS [CVE-2017-18190] |
dbus | Nueva versión del proyecto original |
debian-edu-config | Preconfigura Chromium Webbrowser a nivel de sistema para autodetectar la configuración de http proxy vía WPAD; permite que se unan clientes con Windows 10 al dominio al estilo Samba NT4 |
debian-installer | Actualiza la versión del núcleo Linux de 4.9.0-4 a 4.9.0-6 |
debian-installer-netboot-images | Actualiza a las imágenes 20170615+deb9u3, desde stretch-proposed-updates |
directfb | Corrige el filtro basado en arquitectura para la instalación de controladores |
dpdk | Actualización a la nueva versión «estable» |
espeakup | udeb: corrige el caso donde la tarjeta 0 no tiene identificador o donde las tarjetas tienen índices no contiguos; usa inglés de manera predeterminada; usa el identificador de tarjeta en un sistema instalado para evitar problemas con el orden de detección de tarjetas |
exam | Corrige las dependencias de Python3 |
flatpak | Nueva versión del proyecto original; corrige una omisión de filtro D-Bus en flatpak-dbus-proxy; ignora las cadenas de permisos no reconocidas, en lugar de producir un fallo; no permite escuchas no autorizadas en el bus de sesión de D-Bus |
fuse-zip | Corrige error de respuesta con libzip 1.0 |
glade | Corrige un posible bucle infinito |
glibc | No actualiza /etc/nsswitch.conf cuando su contenido concuerda con el predeterminado; debian/script.in/nohwcap.sh: comprueba siempre todos los paquetes optimizados ya que multiarch permite instalar arquitecturas foráneas; evita acceso de lectura tras liberación («use-after-free») en clntudp_call [CVE-2017-12133]; define intercalaciones para los caracteres chillu del idioma malayalam o malabar y corrige la intercalación de los caracteres malayalam U+0D36 y U+0D37; corrige molde inválido en la fusión de grupos que afecta a ppc64 y s390x; corrige compatibilidad con la convención de llamadas Intel C++ __regcall; instala los procesos libc-otherbuild postinst y postrm en el paquete de transición libc6-i686, para asegurarse de que /etc/ld.so.nohwcap se elimina correctamente tras una actualización |
global | Gozilla: entrecomilla las URLs antes de pasarlas al navegador [CVE-2017-17531] |
gnumail | Deja de enlazar con OpenSSL |
golang-github-go-ldap-ldap | Requiere intención explícita para contraseñas vacías |
gosa-plugin-pwreset | Corrige llamada a constructor obsoleta |
grilo-plugins | Corrige fuente de Radio France |
hdf5 | Corrige invocación a javahelper |
inputlirc | Incluye input-event-codes.h en lugar de input.h, corrigiendo fallo en la construcción |
intercal | Recompilado con PIE |
java-atk-wrapper | Corrige la inicialización del iterador; corrige referencia que faltaba para los hijos |
kildclient | Abandona el soporte a navegadores definidos por el usuario [CVE-2017-17511] |
libdate-holidays-de-perl | Marca el día de la Reforma como festivo en Hamburgo y Schleswig-Holstein desde 2018 en adelante |
libdatetime-timezone-perl | Nueva versión del proyecto original |
libhibernate-validator-java | Corrige posible escalada de privilegios al eludir los permisos del gestor de seguridad [CVE-2017-7536] |
libperlx-assert-perl | Añade dependencia de libkeyword-simple-perl, libdevel-declare-perl, que faltaban |
libreoffice | Permite a FunctionAccess ejecutar WEBSERVICE; usa el código de error correcto en los fallos de WEBSERVICE() |
libvhdi | Agrega dependencia de Python3, que faltaba |
libvirt | QEMU: los discos compartidos con cache=directsync deberían ser seguros para migrar; evita denegación de servicio en lectura desde el monitor QEMU [CVE-2018-5748] |
linux | Nueva versión del proyecto original |
lxc | Corrige la creación de contenedores de «en pruebas» e «inestable» incluyendo iproute2en lugar de iproute |
mapproxy | Corrige problema de XSS en servicio demo [CVE-2017-1000426] |
mosquitto | Corrige atributo de lectura para todos en fichero de persistencia [CVE-2017-9868] |
mpi4py | Soporta la versión actual de libmpi |
ncurses | Corrige desbordamiento de memoria en función _nc_write_entry [CVE-2017-16879] |
needrestart | Corrige el cambio a modo lista si se ejecuta debconf de manera no interactiva |
ntp | Incrementa el tamaño de la pila a 32kB como mínimo |
nvidia-graphics-drivers-legacy-304xx | Nueva versión del proyecto original |
nvidia-graphics-drivers-legacy-340xx | Nueva versión del proyecto original |
nvidia-modprobe | Nueva versión del proyecto original; ejecuta setuid(0) antes de hacer un «fork» de modprobe para preservar los privilegios a través de invocaciones de shell y llamadas recursivas a modprobe |
nvidia-persistenced | Nueva versión del proyecto original |
nvidia-settings | Nueva versión del proyecto original; corrige un fallo que impedía que los cambios a la asignación de ojo estéreo se aplicaran desde el panel de control nvidia-settings |
nvidia-xconfig | Nueva versión del proyecto original; corrige una regresión que impedía que nvidia-xconfig consultara a ciertas GPUs, p.ej. al ejecutar `nvidia-xconfig -a` |
ocfs2-tools | Migración que pasa de usar rcS a usar niveles de ejecución estándar |
opendmarc | Actualiza el fichero del servicio opendmarc para que use los cambios en opendmarc.conf |
openssh | Corrige en modo solo lectura, sftp-server permitía de manera incorrecta la creación de ficheros de tamaño cero[CVE-2017-15906] |
osinfo-db | Actualización de los datos incluidos |
pdns-recursor | Recompilación usando publicsuffix 20171028.2055-0+deb9u1 |
postfix | Nueva versión del proyecto original que corrige fallos; no registra los avisos para los cuales alguna restricción devuelve OK, cuando la característica DISCARD de acceso al mapa es efectiva; añade soporte a mapas dinámicos en la orden sendmail de Postfix, que faltaba; corrige el envío a ciertos sitios con registros TLSA 2 X X |
postgresql-9.6 | Nueva versión del proyecto original |
publicsuffix | Actualización de los datos incluidos |
python-evtx | Corrige dependencia de Python3, que faltaba |
python-hacking | Corrige dependencias de Python3 |
python-hkdf | Corrige dependencias de Python3 |
python-mimeparse | Corrige dependencias de Python3 |
python-pyperclip | Corrige dependencias de Python3 |
python-spake2 | Corrige dependencias de Python3 |
qtpass | Corrige generación de contraseña incorporada insegura [CVE-2017-18021] |
quota | Impide que quotacheck se ejecute en un bucle infinito |
reportbug | Deja de enviar correo a secure-testing-team@lists.alioth.debian.org |
rpy | Recompilación con r-base 3.3 |
ruby-redis-store | Permite que objetos inseguros se carguen desde redis [CVE-2017-1000248] |
salt | Corrige vulnerabilidad transversal de directorio en salt-master a través de la elaboración de IDs subalternos [CVE-2017-12791], vulnerabilidad transversal de directorio en validación de identificadores subalternos en SaltStack [CVE-2017-14695], denegación de servicio remota con una petición de autenticación especialmente elaborada [CVE-2017-14696]; comprueba si data[return] es de tipo dict |
slic3r | Modificación línea use liben todos los binarios instalados; rodeo para evitar la macro GL_MULTISAMPLE, que falta; corrige la importación de binarios STLs en arquitecturas big-endian |
soundtouch | Correcciones de seguridad [CVE-2017-9258 CVE-2017-9259 CVE-2017-9260] |
systemd | networkd: maneja el campo MTU en IPv6 RA; añade un guion de enlazado para ayudar a impedir colisiones de símbolos, particularmente con módulos PAM; resolved: corrige bucle en paquetes con tipos pseudo dns [CVE-2017-15908]; machinectl: no producir salida No hay máquinas.con opción --no-legend |
tzdata | Nueva versión del proyecto original |
ust | Corrige la carga de biblioteca de agente Python |
uwsgi | Corrige desbordamiento de memoria basada en pila en la función uwsgi_expand_path [CVE-2018-6758] |
vagrant | Descarga cajas desde app.vagrantcloud.com en lugar de la obsoleta atlas.hashicorp.com |
vdirsyncer | Corrige el descubrimiento de contactos de Google |
virt-what | Repara la detección virt en arm/aarch64 |
w3m | Corrige desbordamiento de pila [CVE-2018-6196], desreferencia nula [CVE-2018-6197], carreras en archivo /tmp [CVE-2018-6198] |
waagent | Nueva versión del proyecto original |
webkit2gtk | Nueva versión «estable» del proyecto original |
xchain | Corrige depencencia de wish |
xrdp | Corrige problema de seguridad [CVE-2017-16927]; corrige alta carga de CPU en ssl_tls_accept |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
Paquete | Motivo |
---|---|
dolibarr | Demasiado trabajo para mantenerlo adecuadamente en Debian |
electrum | Problemas de seguridad; roto debido a cambios en el proyecto original |
jirc | Roto con el paquete libpoe-filter-xml-perl de Stretch |
pgmodeler | Incompatible con el software Postgresql de Stretch |
seelablet | Proyecto original abandonado; roto |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URLs
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.