Debian 9 actualizado: publicada la versión 9.5

14 de julio de 2018

El proyecto Debian se complace en anunciar la quinta actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de errores varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
2ping Añade dependencia con python-pkg-resources, que faltaba
abiword Resuelve conflicto de fichero binario entre abiword-dbgsym y abiword-plugin-grammar-dbgsym
adminer No permite conexiones a puertos con privilegios [CVE-2018-7667]
animals Corrige permisos incorrectos de fichero que hacían que el juego fuera inutilizable
apache2 Actualiza mod_http y mod_proxy_http2 a las versiones a partir de la 2.4.33, corrigiendo fallos de segmentación, uso elevado de memoria y caída potencial [CVE-2018-1302]; hace que el script de inicialización de apache-htcacheclean use realmente /etc/default/apache-htcacheclean para su configuración
auto-complete-el Añade corrección del proyecto original para emacs25; ajusta las dependencias de emacs a las versiones de emacs en stretch; establece auto-complete-el.emacsen-compat en «silencia aviso de instalación»
awffull No usa en /etc/cron.daily/awffull opciones eliminadas
ax25-tools Evita fallo de segmentación en tiempo de ejecución
base-files Actualizado para esta versión
blktrace Corrige desbordamiento de memoria en btt [CVE-2018-10689]
ca-certificates Actualiza el lote de CA de Mozilla a la versión 2.22; correcciones de errores
camo Añade dependencia con openssl, que faltaba
cffi Añade ficheros que faltaban para cffi-libffi y para cffi-toolchain; añade varias dependencias que faltaban
check-postgres Actualiza el juego de pruebas para tener en cuenta que pg_get_indexdef() no siempre incluye el nombre de esquema
clamav Nueva versión del proyecto original; no falla por opciones de configuración eliminadas recientemente
clustershell Añade dependencia con python-pkg-resources, que faltaba
debian-installer Actualizado para la ABI -7 del kernel
debian-installer-netboot-images Recompilado para esta versión
debian-security-support Actualizados los datos incluidos
dehydrated Corrige el fallo en la creación de fullchain.pem
devscripts uscan: corrige la expresión regular de la versión del nuevo paquete en filenamemangle; debsign: corrige la finalización de bash; bts: soporta la nueva etiqueta ftbfs; uscan: soporta HTTPS en el redirector sf.net; debcheckout: soporta salsa.debian.org; debdiff: ordena los ficheros shlibs antes de comparar, reduciendo el ruido de diff; uscan: soporta realmente --copy
disc-cover Corrige error de perl al ejecutar disc-cover
discover Usa el tipo correcto para el parámetro length en la llamada a getline()
django-xmlrpc Corrige dependencias de python3
dosbox Corrige caídas con core=dynamic
dpdk Nueva actualización del proyecto original «estable»
dpkg Corrige desbordamiento de entero en el analizador sintáctico de la versión del formato de deb(5); corrige escalado de directorios con dpkg-deb --raw-extract; añade soporte de la CPU riscv64; no normaliza parámetros posteriores a una marca de fin de traspaso en Dpkg::Getopt; analiza sintácticamente de forma correcta nombres de usuario y nombres de grupo de start-stop-daemon que empiecen por dígitos; usa siempre la versión binaria del nombre del fichero .buildinfo
dput-ng Añade objetivos jessie-backports-sloppy y stretch-backports; incluye «en pruebas» en las colecciones rm-managed y «antigua estable» en protected distributions («distribuciones protegidas»); añade el perfil ports-master; FTP: analiza sintácticamente y utiliza la parte opcional [:port] del fqdn
elastix Recompilado con ITK, que, a su vez, se ha compilado con gcc 6
email2trac Corrige detección de Trac 1.2
faad2 Corrige varios problemas de denegación de servicio a través de ficheros MP4 manipulados [CVE-2017-9218 CVE-2017-9219 CVE-2017-9220 CVE-2017-9221 CVE-2017-9222 CVE-2017-9223 CVE-2017-9253 CVE-2017-9254 CVE-2017-9255 CVE-2017-9256 CVE-2017-9257]
faker Añade dependencia con python-ipaddress, que faltaba
fastkml Añade dependencia con pkg-resources, que faltaba
file Evita la lectura más allá del fin de la zona de memoria [CVE-2018-10360]
freedink-dfarc Corrige escalado de directorios en extractor D-Mod [CVE-2018-0496]
ganeti Verifica correctamente certificados SSL al exportar máquinas virtuales
ghostscript Corrige fallo de segmentación en gxht_thresh_image_init() con fichero aleatorizado; corrige desbordamiento de memoria en fill_threshold_buffer [CVE-2016-10317]; pdfwrite - Protección frente a intentos de escribir un número infinito [CVE-2018-10194]
git-annex Correcciones de seguridad [CVE-2018-10857 CVE-2018-10859]
glx-alternatives Nueva versión del proyecto original
gridengine Usa rutas correctas de pixmaps de qmon; corrige FTBFS en armhf
intel-microcode Actualiza el microcódigo incluido, e incorpora correcciones para Spectre v2 [CVE-2017-5715]
jdresolve Corrige incompatibilidad con libnet-dns-perl en Debian 8 y posteriores
libb64 Recompilado con PIE
libdate-holidays-de-perl Marca el Día de la Reforma como festivo en Baja Sajonia y en Bremen
libdatetime-timezone-perl Actualiza los datos incluidos
libextractor Varias correcciones de seguridad [CVE-2017-15266 CVE-2017-15267 CVE-2017-15600 CVE-2017-15601 CVE-2017-15602 CVE-2017-15922 CVE-2017-17440]
libipc-run-perl Corrige filtración de memoria
liblouis Corrige desbordamiento de memoria [CVE-2018-11410]; corrige varios desbordamientos de memoria [CVE-2018-11440 CVE-2018-11577 CVE-2018-11683 CVE-2018-11684 CVE-2018-11685 2018-12085]
libosmium Escribe en la salida coordenadas con valor -2^31 correctamente; corrige zonas de memoria mayores de 2^32 bytes
linux Nueva versión «estable» del proyecto original 4.9.110
linux-latest Actualizado a la ABI -7 del kernel
llvm-toolchain-4.0 Nuevo paquete para adaptaciones («backports») de rust; corrige compilación en s390x
local-apt-repository Deja de romper apt cuando el paquete es eliminado («removed») pero su configuración no («not purged»)
loook Corrige gestión de ficheros protegidos con contraseña
miniupnpd Corrige denegación de servicio [CVE-2017-1000494]
nss-pam-ldapd Aumenta el tamaño de la zona de memoria para el nombre de máquina («hostname»)
nvidia-graphics-drivers Nueva versión del proyecto original
obfsproxy No instala el perfil de AppArmor, que está roto
openldap Corrige un problema de falta de sincronización con la replicación delta-syncrepl en entornos multi-master; corrige realmente las actualizaciones cuando la configuración contiene caracteres especiales precedidos por el carácter de escape contrabarra
openstack-debian-images Pone CloudStack después de OpenStack en la lista de fuentes de datos («datasource_list») para evitar una espera de 120 segundos en cloud-init al iniciar una máquina en una nube OpenStack
patch Corrige ejecución de órdenes arbitrarias en parches tipo ed [CVE-2018-1000156]
piglit Corrige dependencia con python-mako, que faltaba
postgresql-9.6 Nueva versión del proyecto original
postgresql-common Impide que la actualización o el borrado de paquetes del servidor detenga clusters con otro número mayor de versión al ejecutar systemd
psad Añade dependencias con net-tools y con iproute2, que faltaban
pysurfer Añade dependencia con python-matplotlib, que faltaba
python-cluster Añade dependencia con pkg-resources, que faltaba
python-pyorick Corrige error de importación añadiendo dependencia con python3-numpy, que faltaba
python-scruffy Añade dependencias con pkg-resources, que faltaban
r-cran-mi Añade dependencia con r-cran-arm, que faltaba
redis Corrige error tipográfico RunTimeDirectory -> RuntimeDirectory en ficheros .service de systemd
reportbug Notifica al equipo de seguridad o al equipo LTS sobre una posible regresión cuando se informe de un error contra un paquete que contenga una corrección de seguridad
rustc Nueva versión del proyecto original para soportar Firefox ESR
salt Corrige salt-ssh minion configuración copiada desde Salt Master sin ajustar permisos [CVE-2017-8109]
shared-mime-info Cambia disparador de dpkg a noawait, corrigiendo problemas de actualización desde jessie
showq Corrige el prefijo, de forma que la aplicación funcione realmente
source-highlight Corrige dependencia con libboost-regex-dev
starplot Corrige caída en el arranque
subversion Rechaza commits que introducirían colisiones de hash con datos existentes, corrigiendo de esta forma el problema de SHA1/shattered («colisión SHA1»)
sus Actualizado a una nueva versión, idéntica técnicamente a SUSv4 + TC1 + TC2
systemd networkd-ndisc: gestiona la ausencia de MTU elegantemente; permite que se dé valor a RemoveIPC= en el fichero unit, no solo vía D-Bus; nspawn: añade -E a getopt_long, que faltaba; login: respeta --no-wall al cancelar una petición de apagado («shutdown»)
tclreadline Corrige compilación de biblioteca compartida en ppc64el
thefuck Añade dependencia con pkg-resources, que faltaba
tinyproxy No deja de escuchar tras SIGHUP; corrige ruta de fichero de configuración; añade dependencia con adduser, que faltaba
tlslite-ng Verifica el MAC incluso si el relleno tiene una longitud de un byte
tzdata Nueva versión del proyecto original
unison Recompilado con el ocaml de stretch
variety Corrige inyección de intérprete de órdenes («shell injection») al borrar ficheros enviándolos a la papelera; corrige inyección de intérprete de órdenes («shell injection») en filter y clock con nombres de ficheros preparados de una manera determinada; blinda llamadas a ImageMagick contra inyecciones de intérprete de órdenes («shell injections») potenciales
xapian-core Corrige MSet::snippet() para que incluya caracteres de escape HTML en todos los casos [CVE-2018-0499]
xerces-c Corrige denegación de servicio a través de referencias a DTD externas [CVE-2017-12627]; corrige una regresión que hacía que gcc usara SSE2 incluso en plataformas que no lo soportan
xrdp Corrige un error por uno («off-by-one») que podría dar lugar a caídas

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4010 git-annex
DSA-4064 chromium-browser
DSA-4113 libvorbis
DSA-4133 isc-dhcp
DSA-4134 util-linux
DSA-4135 samba
DSA-4136 curl
DSA-4137 libvirt
DSA-4138 mbedtls
DSA-4139 firefox-esr
DSA-4140 libvorbis
DSA-4141 libvorbisidec
DSA-4142 uwsgi
DSA-4143 firefox-esr
DSA-4144 openjdk-8
DSA-4145 gitlab
DSA-4146 plexus-utils
DSA-4148 kamailio
DSA-4150 icu
DSA-4151 librelp
DSA-4152 mupdf
DSA-4153 firefox-esr
DSA-4155 thunderbird
DSA-4156 drupal7
DSA-4157 openssl
DSA-4158 openssl1.0
DSA-4159 remctl
DSA-4160 libevt
DSA-4161 python-django
DSA-4162 irssi
DSA-4163 beep
DSA-4164 apache2
DSA-4165 ldap-account-manager
DSA-4167 sharutils
DSA-4169 pcs
DSA-4170 pjproject
DSA-4171 ruby-loofah
DSA-4172 perl
DSA-4173 r-cran-readxl
DSA-4174 corosync
DSA-4175 freeplane
DSA-4177 libsdl2-image
DSA-4178 libreoffice
DSA-4180 drupal7
DSA-4181 roundcube
DSA-4183 tor
DSA-4184 sdl-image1.2
DSA-4185 openjdk-8
DSA-4188 linux
DSA-4189 quassel
DSA-4190 jackson-databind
DSA-4191 redmine
DSA-4192 libmad
DSA-4193 wordpress
DSA-4194 lucene-solr
DSA-4195 wget
DSA-4196 linux
DSA-4197 wavpack
DSA-4198 prosody
DSA-4199 firefox-esr
DSA-4200 kwallet-pam
DSA-4201 xen
DSA-4202 curl
DSA-4203 vlc
DSA-4203 phonon-backend-vlc
DSA-4203 goldencheetah
DSA-4206 gitlab
DSA-4206 ruby-omniauth-auth0
DSA-4207 packagekit
DSA-4208 procps
DSA-4209 thunderbird
DSA-4210 xen
DSA-4211 xdg-utils
DSA-4212 git
DSA-4213 qemu
DSA-4214 zookeeper
DSA-4215 batik
DSA-4216 prosody
DSA-4217 wireshark
DSA-4218 memcached
DSA-4219 jruby
DSA-4220 firefox-esr
DSA-4221 libvncserver
DSA-4222 gnupg2
DSA-4223 gnupg1
DSA-4226 perl
DSA-4227 plexus-archiver
DSA-4228 spip
DSA-4229 strongswan
DSA-4230 redis
DSA-4231 libgcrypt20
DSA-4232 xen
DSA-4233 bouncycastle
DSA-4234 lava-server
DSA-4235 firefox-esr
DSA-4236 xen
DSA-4238 exiv2
DSA-4239 gosa
DSA-4240 php7.0
DSA-4241 libsoup2.4

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
libnet-whois-perl Roto
mlbviewer Ha dejado de funcionar debido a cambios del proveedor de contenidos
python-uniconvertor No utilizable; necesita dependencias que no están empaquetadas
singularity-container Sin posibilidad de soporte de seguridad
undertow Sin posibilidad de soporte; varios problemas de seguridad; existen alternativas
visionegg No utilizable; necesita numpy.oldnumeric, que ya no está disponible

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.