Debian 9 actualizado: publicada la versión 9.6

10 de noviembre de 2018

El proyecto Debian se complace en anunciar la sexta actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
accerciser Corrige el acceso a elementos sin un compositor; corrige la consola Python; añade dependencia con python3-xlib, que faltaba
apache2 mod_http2: corrige denegación de servicio por uso de todos los trabajadores disponibles [CVE-2018-1333] y por envío de SETTINGS continuos [CVE-2018-11763]; mod_proxy_fcgi: corrige fallo de segmentación
base-files Actualiza /etc/debian_version para esta versión
brltty Corrige autenticación con polkit
canna Corrige conflicto de ficheros entre canna-dbgsym y canna-utils-dbgsym
cargo Nuevo paquete para soportar la compilación de Firefox ESR60
clamav Nueva versión del proyecto original; corrige vulnerabilidad de desbordamiento de entero HWP que provoca bucle infinito [CVE-2018-0360]; corrige problema de comprobación de longitud de objeto PDF, más tiempo de lo razonable para analizar sintácticamente un fichero relativamente pequeño [CVE-2018-0361]; nueva versión del proyecto original; corrige problema de denegación de servicio [CVE-2018-15378]; corrige bucle infinito en dpkg-reconfigure
confuse Corrige una lectura fuera de límites en trim_whitespace [CVE-2018-14447]
debian-installer Actualizado para la ABI -8 del kernel
debian-installer-netboot-images Recompilado para esta versión
dnsmasq trust-anchors.conf: incluye el ancla de confianza («trust anchor») de DNS más reciente KSK-2017
dom4j Corrige ataque de inyección de XML [CVE-2018-1000632]; compila con fuente/objetivo («target») 1.5 para corregir un problema de compilación con String.format
dpdk Nueva versión «estable» del proyecto original
dropbear Corrige vulnerabilidad de enumeración de usuarios [CVE-2018-15599]
easytag Corrige corrupción de OGG
enigmail Añade compatibilidad con versiones más recientes de Thunderbird
espeakup espeakup.service: carga speakup_soft automáticamente en el arranque del daemon
fastforward Corrige fallos de segmentación en arquitecturas de 64 bits
firetray Añade compatibilidad con versiones más recientes de Thunderbird
firmware-nonfree Corrige problemas de seguridad en firmware wifi de Broadcom [CVE-2016-0801 CVE-2017-0561 CVE-2017-9417 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081]; añade de nuevo paquetes de transición para firmware-{adi,ralink}
fofix-dfsg Corrige error en el arranque
fuse Aprueba («whitelist») autofs y FAT como sistemas de archivos de puntos de montaje válidos
ganeti Verifica correctamente certificados SSL durante VM export; firma los certificados generados utilizando SHA256 en lugar de SHA1; hace autocargables las configuraciones de autocompletado de bash
globus-gsi-credential Corrige problema con proxy voms y openssl 1.1
gnupg2 Correcciones de seguridad; adaptada funcionalidad requerida por el nuevo enigmail
gnutls28 Corrige problemas de seguridad [CVE-2018-10844 CVE-2018-10845]
gphoto2-cffi Hace que python3-gphoto2cffi vuelva a funcionar
grub2 grub-mknetdir: añade soporte para ARM64 EFI; cambia el método de calibrado por omisión del TSC a pmtimer en sistemas EFI
hdparm Solo habilita APM en los discos que lo anuncian
https-everywhere Adapta nueva versión del proyecto original, para compatibilidad con Firefox ESR 60
i3-wm Corrige caída tras el reinicio cuando se utilizan marcas («marks»)
iipimage Corrige configuración de Apache
jhead Corrige problemas de seguridad [CVE-2018-17088 CVE-2018-16554]
lastpass-cli Adapta los pins del certificado incluidos en el código de lastpass-cli 1.3.1 para reflejar los cambios en el servicio Lastpass.com
ldap2zone Corrige bucle sin fin al comprobar el número de serie de la zona
libcgroup Corrige ficheros de log accesibles (y modificables) universalmente [CVE-2018-14348]
libclamunrar Nueva versión del proyecto original
libdap Corrige contenidos de libdap-doc
libdatetime-timezone-perl Actualiza los datos incluidos
libgd2 Bmp: comprueba el valor devuelto en gdImageBmpPtr [CVE-2018-1000222]; corrige potencial bucle infinito en gdImageCreateFromGifCtx [CVE-2018-5711]
libmail-deliverystatus-bounceparser-perl Elimina ejemplos no distribuibles de correo no deseado y de virus
libmspack Corrige escritura fuera de límites [CVE-2018-18584] y aceptación de nombres de fichero en blanco [CVE-2018-18585]
libopenmpt Corrige up11: lectura fuera de límites al cargar ficheros IT / MO3 con muchos bucles de patrones [CVE-2018-10017]
libseccomp Añade soporte para llamadas al sistema de Linux 4.9: preadv2, pwritev2, pkey_mprotect, pkey_alloc y pkey_free; añade soporte para statx
libtirpc rendezvous_request: comprueba el valor devuelto por makefd_xprt [CVE-2018-14622]
libx11 Corrige varios problemas de seguridad [CVE-2018-14598 CVE-2018-14599 CVE-2018-14600]
libxcursor Corrige una denegación de servicio o, potencialmente, ejecución de código por medio de un desbordamiento de memoria dinámica («heap») por exceso de un byte [CVE-2015-9262]
libxml-stream-perl Proporciona una ruta de CA por omisión
libxml-structured-perl Añade dependencia en compilación y en ejecución con libxml-parser-perl, que faltaba
linux Xen: corrige regresión en arranque en dominios PV; xen-netfront: corrige regresiones; ext4: corrige falsos negativos *y* falsos positivos en ext4_check_descriptors(); udeb: añade virtio_console a virtio-modules; cdc_ncm: evita el relleno más allá del fin de skb; revierte sit: carga de nuevo iphdr en ipip6_rcv; nueva versión del proyecto original
lxcfs Revierte la virtualización del tiempo de actividad, corrigiendo las horas de arranque de los procesos
magicmaze Ahora que ttf-isabella es un paquete virtual, depende de fonts-isabella
mailman Corrige vulnerabilidad de inyección de texto arbitrario en los CGI de Mailman [CVE-2018-13796]
multipath-tools Evita interbloqueo en disparadores de udev
nagstamon Aborda problema de autenticación Basic en IcingaWeb2
network-manager libnm: corrige acceso a propiedades enabled y metered; corrige escritura fuera de límites en la memoria dinámica («heap») en la gestión de la opción dhcpv6 [CVE-2018-15688] y varios otros problemas en la extensión («plugin») dhcp=internal, basada en sd-network
network-manager-applet libnma/pygobject: libnma/NMA debe usar libnm/NM en lugar de usar bibliotecas heredadas
ola Corrige error tipográfico en /etc/init.d/rdm_test_server; corrige nombre de fichero para jquery en ficheros de HTML estático del servidor de pruebas de rdm
opensc Corrige recursión infinita y varias lecturas y escrituras fuera de límites [CVE-2018-16391 CVE-2018-16392 CVE-2018-16393 CVE-2018-16418 CVE-2018-16419 CVE-2018-16420 CVE-2018-16421 CVE-2018-16422 CVE-2018-16423 CVE-2018-16424 CVE-2018-16425 CVE-2018-16426 CVE-2018-16427]
pkgsel Instala nuevas dependencias cuando se selecciona safe-upgrade (seleccionado por omisión)
publicsuffix Actualiza los datos incluidos
python-django Por omisión soporta Spatialite >= 4.2
python-imaplib2 Instala el módulo de Python 3 correcto; no usa TIMEOUT_MAX
rustc Habilita la compilación en más arquitecturas: arm64, armel, armhf, i386, ppc64el, s390x
sddm Respeta los grupos complementarios ambientales de PAM; añade gestión de utmp/wtmp/btmp, que faltaba
serf Corrige desreferencia de puntero NULL
soundconverter Corrige el valor configurado de vbr para opus
spamassassin Nueva versión del proyecto original; corrige denegación de servicio [CVE-2017-15705], ejecución de código remoto [CVE-2018-11780], inyección de código [CVE-2018-11781] y uso no seguro de . en @INC [CVE-2016-1238]; corrige gestión del servicio spamd en actualizaciones del paquete
spice-gtk Corrige desbordamiento de matriz flexible («flexible array») [CVE-2018-10873]
sqlcipher Evita caída al abrir un fichero
subversion Corrige una regresión introducida por las correcciones para colisiones SHA1, por la que los commits fallarían indebidamente con un error Filesystem is corrupt («El sistema de archivos está corrupto») si la longitud de la diferencia («delta») es múltiplo de 16K
systemd networkd: manager_connect_bus() no falla aunque dbus no esté activo todavía; dhcp6: se asegura de que tenemos espacio suficiente para la cabecera de la opción DHCP6 [CVE-2018-15688]
systraq Invierte la lógica para terminar sin errores en caso de que no exista /e/s/Makefile
tomcat-native Corrige problema de respondedor OSCP que hacía posible que los usuarios se autenticaran con certificados revocados al utilizar autenticación TLS recíproca («mutual TLS») [CVE-2018-8019 CVE-2018-8020]
tor Cambios de autoridad de directorio: retira la autoridad de puente Bifroest, en favor de Serge; añade una dirección IPv6 para la autoridad de directorio dannenberg
tzdata Nueva versión del proyecto original
ublock-origin Adaptación de nueva versión del proyecto original, para compatibilidad con Firefox ESR 60
unbound Corrige vulnerabilidad en el tratamiento de registros NSEC sintetizados comodín [CVE-2017-15105]
vagrant Soporta VirtualBox 5.2
vmtk python-vmtk: añade la dependencia con python-vtk6, que faltaba
wesnoth-1.12 No permite la carga de bytecode lua por medio de load/dofile [CVE-2018-1999023]
wpa Ignora datos EAPOL-Key que estén cifrados y no autenticados [CVE-2018-14526]
x11vnc Corrige dos desbordamientos de memoria
xapian-core Corrige fallo en el backend glass con cursores de larga duración sobre una tabla en una WritableDatabase que podía dar lugar al lanzamiento, de forma incorrecta, de un DatabaseCorruptError cuando, en realidad, la base de datos estaba bien
xmotd Evita caída con indicadores para endurecimiento («hardening flags»)
xorg-server GLX: no usa la configuración de sRGB para RGBA visual de 32 bits - corrige varios problemas de mezcla con kwin y Mesa >= 18.0 (es decir, Mesa de stretch-backports)
zutils Corrige un desbordamiento de memoria en zcat [CVE-2018-1000637]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4074 imagemagick
DSA-4103 chromium-browser
DSA-4182 chromium-browser
DSA-4237 chromium-browser
DSA-4242 ruby-sprockets
DSA-4243 cups
DSA-4244 thunderbird
DSA-4245 imagemagick
DSA-4246 mailman
DSA-4247 ruby-rack-protection
DSA-4248 blender
DSA-4249 ffmpeg
DSA-4250 wordpress
DSA-4251 vlc
DSA-4252 znc
DSA-4253 network-manager-vpnc
DSA-4254 slurm-llnl
DSA-4256 chromium-browser
DSA-4257 fuse
DSA-4258 ffmpeg
DSA-4260 libmspack
DSA-4261 vim-syntastic
DSA-4262 symfony
DSA-4263 cgit
DSA-4264 python-django
DSA-4265 xml-security-c
DSA-4266 linux
DSA-4267 kamailio
DSA-4268 openjdk-8
DSA-4269 postgresql-9.6
DSA-4270 gdm3
DSA-4271 samba
DSA-4272 linux
DSA-4273 intel-microcode
DSA-4274 xen
DSA-4275 keystone
DSA-4276 php-horde-image
DSA-4277 mutt
DSA-4278 jetty9
DSA-4279 linux
DSA-4279 linux-latest
DSA-4280 openssh
DSA-4281 tomcat8
DSA-4282 trafficserver
DSA-4283 ruby-json-jwt
DSA-4284 lcms2
DSA-4285 sympa
DSA-4286 curl
DSA-4287 firefox-esr
DSA-4288 ghostscript
DSA-4289 chromium-browser
DSA-4290 libextractor
DSA-4291 mgetty
DSA-4292 kamailio
DSA-4293 discount
DSA-4294 ghostscript
DSA-4295 thunderbird
DSA-4296 mbedtls
DSA-4297 chromium-browser
DSA-4298 hylafax
DSA-4299 texlive-bin
DSA-4300 libarchive-zip-perl
DSA-4301 mediawiki
DSA-4302 openafs
DSA-4303 okular
DSA-4304 firefox-esr
DSA-4305 strongswan
DSA-4306 python2.7
DSA-4307 python3.5
DSA-4308 linux
DSA-4309 strongswan
DSA-4310 firefox-esr
DSA-4311 git
DSA-4312 tinc
DSA-4313 linux
DSA-4314 net-snmp
DSA-4315 wireshark
DSA-4316 imagemagick
DSA-4317 otrs2
DSA-4318 moin
DSA-4319 spice
DSA-4320 asterisk
DSA-4321 graphicsmagick
DSA-4322 libssh
DSA-4323 drupal7
DSA-4324 firefox-esr
DSA-4325 mosquitto
DSA-4326 openjdk-8
DSA-4327 thunderbird
DSA-4328 xorg-server
DSA-4329 teeworlds
DSA-4331 curl

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
adblock-plus-element-hiding-helper Incompatible con versiones más recientes de firefox-esr
all-in-one-sidebar Incompatible con versiones más recientes de firefox-esr
autofill-forms Incompatible con versiones más recientes de firefox-esr
automatic-save-folder Incompatible con versiones más recientes de firefox-esr
classic-theme-restorer Incompatible con versiones más recientes de firefox-esr
colorfultabs Incompatible con versiones más recientes de firefox-esr
custom-tab-width Incompatible con versiones más recientes de firefox-esr
dactyl Incompatible con versiones más recientes de firefox-esr
downthemall Incompatible con versiones más recientes de firefox-esr
dvips-fontdata-n2bk Paquete vacío
firebug Incompatible con versiones más recientes de firefox-esr
firegestures Incompatible con versiones más recientes de firefox-esr
firexpath Incompatible con versiones más recientes de firefox-esr
flashgot Incompatible con versiones más recientes de firefox-esr
form-history-control Incompatible con versiones más recientes de firefox-esr
foxyproxy Incompatible con versiones más recientes de firefox-esr
gitlab Problemas de seguridad abiertos, correcciones difíciles de adaptar
greasemonkey Incompatible con versiones más recientes de firefox-esr
intel-processor-trace [s390x] Útil solo en arquitecturas Intel
itsalltext Incompatible con versiones más recientes de firefox-esr
knot-resolver Problemas de seguridad, correcciones difíciles de adaptar
lightbeam Incompatible con versiones más recientes de firefox-esr
livehttpheaders Incompatible con versiones más recientes de firefox-esr
lyz Incompatible con versiones más recientes de firefox-esr
npapi-vlc Incompatible con versiones más recientes de firefox-esr
nukeimage Incompatible con versiones más recientes de firefox-esr
openinbrowser Incompatible con versiones más recientes de firefox-esr
perspectives-extension Incompatible con versiones más recientes de firefox-esr
pwdhash Incompatible con versiones más recientes de firefox-esr
python-facebook Roto por cambios en el proyecto original
python-tvrage Inútil tras el cierre de tvrage.com
reloadevery Incompatible con versiones más recientes de firefox-esr
sage-extension Incompatible con versiones más recientes de firefox-esr
scrapbook Incompatible con versiones más recientes de firefox-esr
self-destructing-cookies Incompatible con versiones más recientes de firefox-esr
spdy-indicator Incompatible con versiones más recientes de firefox-esr
status-4-evar Incompatible con versiones más recientes de firefox-esr
stylish Incompatible con versiones más recientes de firefox-esr
tabmixplus Incompatible con versiones más recientes de firefox-esr
tree-style-tab Incompatible con versiones más recientes de firefox-esr
ubiquity-extension Incompatible con versiones más recientes de firefox-esr
uppity Incompatible con versiones más recientes de firefox-esr
useragentswitcher Incompatible con versiones más recientes de firefox-esr
video-without-flash Incompatible con versiones más recientes de firefox-esr
webdeveloper Incompatible con versiones más recientes de firefox-esr
xul-ext-monkeysphere Incompatible con versiones más recientes de firefox-esr

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.