Debian 9 actualizado: publicada la versión 9.9

27 de abril de 2019

El proyecto Debian se complace en anunciar la novena actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Como una cuestión particular de esta versión en concreto, quienes utilicen apt-get para la actualización tendrán que asegurarse de utilizar la orden dist-upgrade para incluir la actualización a los últimos paquetes del núcleo. Quienes utilicen otras herramientas como apt o aptitude deberían utilizar la orden upgrade.

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
audiofile Corrige problemas de denegación de servicio [CVE-2018-13440] y de desbordamiento de memoria [CVE-2018-17095]
base-files Actualizado para esta versión
bwa Corrige desbordamiento de memoria [CVE-2019-10269]
ca-certificates-java Corrige códigos específicos para bash en postinst y en jks-keystore
cernlib Aplica la opción de optimización -O a los módulos Fortran en lugar de -O2, que genera código inválido; corrige fallo de compilación en arm64 inhabilitando PIE para los ejecutables Fortran
choose-mirror Actualiza la lista de réplicas incluida
chrony Corrige el registro de medidas y estadísticas y la parada de chronyd en algunas plataformas cuando está habilitado el filtrado con seccomp
ckermit Elimina la comprobación de la versión de OpenSSL
clamav Corrige acceso a la memoria dinámica («heap») fuera de límites al examinar documentos PDF [CVE-2019-1787], ficheros PE empaquetados con Aspack [CVE-2019-1789] o ficheros OLE2 [CVE-2019-1788]
dansguardian Añade missingok a la configuración de logrotate
debian-installer Recompilado contra proposed-updates
debian-installer-netboot-images Recompilado contra proposed-updates
debian-security-support Actualiza estados de soporte
diffoscope Corrige pruebas para que funcionen con Ghostscript 9.26
dns-root-data Actualiza datos raíz («root data») a 2019031302
dnsruby Añade nueva clave raíz (KSK-2017); ruby 2.3.0 desaconseja usar TimeoutError, usa en su lugar Timeout::Error
dpdk Nueva versión «estable» del proyecto original
edk2 Corrige desbordamiento de memoria en servicio BlockIo [CVE-2018-12180]; DNS: comprueba tamaño del paquete recibido antes de usarlo [CVE-2018-12178]; corrige desbordamiento de pila con BMP corrupto [CVE-2018-12181]
firmware-nonfree atheros / iwlwifi: actualiza firmware de BlueTooth [CVE-2018-5383]
flatpak Rechaza todos los ioctls que el núcleo interpretaría como TIOCSTI [CVE-2019-10063]
geant321 Recompilado contra cernlib con optimizaciones de Fortran fijas
gnome-chemistry-utils Deja de compilar el paquete obsoleto gcu-plugin
gocode gocode-auto-complete-el: pasa auto-complete-el a Pre-Depends para asegurar actualizaciones satisfactorias
gpac Corrige desbordamientos de memoria [CVE-2018-7752 CVE-2018-20762], desbordamientos de memoria dinámica («heap») [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761] y escrituras fuera de límites [CVE-2018-20760 CVE-2018-20763]
icedtea-web Deja de compilar la extensión («plugin») de navegador, ya no funciona con Firefox 60
igraph Corrige una caída al cargar ficheros GraphML mal construidos [CVE-2018-20349]
jabref Corrige ataque de entidad externa XML [CVE-2018-1000652]
java-common Elimina el paquete default-java-plugin, ya que la extensión («plugin») Xul de icedtea-web se va a eliminar
jquery Evita contaminación de Object.prototype [CVE-2019-11358]
kauth Corrige gestión insegura de parámetros en utilidades de ayuda («helpers») [CVE-2019-7443]
libdate-holidays-de-perl Añade el 8 de marzo (de 2019 en adelante) y el 8 de mayo (solo en 2020) como festivos (solo en Berlin)
libdatetime-timezone-perl Actualiza los datos incluidos
libreoffice Introduce la próxima era japonesa nengō 'Reiwa'; hace que -core entre en conflicto con openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), que tiene una ClassPathURLCheck rota
linux Nueva versión «estable» del proyecto original
linux-latest Actualizado para la ABI -9 del núcleo
mariadb-10.1 Nueva versión «estable» del proyecto original
mclibs Recompilado contra cernlib con optimizaciones de Fortran fijas
ncmpc Corrige desreferencia de puntero NULL [CVE-2018-9240]
node-superagent Corrige ataques mediante bombas ZIP [CVE-2017-16129]; corrige error de sintaxis
nvidia-graphics-drivers Nueva versión «estable» del proyecto original [CVE-2018-6260]
nvidia-settings Nueva versión «estable» del proyecto original
obs-build No permite la escritura de ficheros en el sistema anfitrión [CVE-2017-14804]
paw Recompilado contra cernlib con optimizaciones Fortran fijas
perlbrew Permite las URL HTTPS de CPAN
postfix Nueva versión «estable» del proyecto original
postgresql-9.6 Nueva versión «estable» del proyecto original
psk31lx Ordena los números de versión correctamente para evitar problemas potenciales en las actualizaciones
publicsuffix Actualiza los datos incluidos
pyca Añade missingok a la configuración de logrotate
python-certbot Vuelve a debhelper compat 9 para asegurar que los temporizadores de systemd arrancan correctamente
python-cryptography Elimina BIO_callback_ctrl: el prototipo difiere de la definición de él dada por OpenSSL tras su modificación (corrección) en OpenSSL
python-django-casclient Aplica la corrección del middleware django 1.10; python(3)-django-casclient: corrige dependencias con python(3)-django, que faltaban
python-mode Elimina soporte para xemacs21
python-pip Captura correctamente los HTTPError de solicitudes en index.py
python-pykmip Corrige problema de denegación de servicio potencial [CVE-2018-1000872]
r-cran-igraph Corrige denegación de servicio mediante objeto modificado [CVE-2018-20349]
rails Corrige problemas de revelación de información [CVE-2018-16476 CVE-2019-5418] y problema de denegación de servicio [CVE-2019-5419]
rsync Varias correcciones de seguridad para zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843]
ruby-i18n Evita una vulnerabilidad de denegación de servicio remota [CVE-2014-10077]
ruby2.3 Corrige FTBFS
runc Corrige vulnerabilidad de elevación a privilegios de root [CVE-2019-5736]
systemd journald: corrige fallo de aserción sobre journal_file_link_data; tmpfiles: corrige e para soportar patrones de nombres de fichero estilo intérprete de órdenes («shell»); mount-util: acepta que name_to_handle_at() podría fallar con EPERM; automount: acusa recibo de peticiones de automount también cuando ya están montadas [CVE-2018-1049]; corrige elevación potencial a privilegios de root [CVE-2018-15686]
twitter-bootstrap3 Corrige problema de cross site scripting en descripciones emergentes («tooltips») o en «popovers» [CVE-2019-8331]
tzdata Nueva versión del proyecto original
unzip Corrige desbordamiento de memoria en archivos ZIP protegidos con contraseña [CVE-2018-1000035]
vcftools Corrige revelación de información [CVE-2018-11099] y denegación de servicio [CVE-2018-11129 CVE-2018-11130] por medio de ficheros manipulados
vips Corrige desreferencia de puntero de función NULL [CVE-2018-7998] y acceso a memoria no inicializada [CVE-2019-6976]
waagent Nueva versión del proyecto original, con muchas correcciones de Azure [CVE-2019-0804]
yorick-av Reescala las marcas de tiempo de fotograma; establece el tamaño de la zona de memoria VBV para ficheros MPEG1/2
zziplib Corrige acceso a memoria inválida [CVE-2018-6381], error de bus [CVE-2018-6540], lectura fuera de límites [CVE-2018-7725], caída por fichero zip manipulado [CVE-2018-7726] y fuga de contenido de la memoria [CVE-2018-16548]; rechaza el fichero ZIP si el tamaño del directorio central y/o el desplazamiento al comienzo del directorio central apuntan más allá del final del fichero ZIP [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4259 ruby2.3
DSA-4332 ruby2.3
DSA-4341 mariadb-10.1
DSA-4373 coturn
DSA-4374 qtbase-opensource-src
DSA-4377 rssh
DSA-4385 dovecot
DSA-4387 openssh
DSA-4388 mosquitto
DSA-4389 libu2f-host
DSA-4390 flatpak
DSA-4391 firefox-esr
DSA-4392 thunderbird
DSA-4393 systemd
DSA-4394 rdesktop
DSA-4396 ansible
DSA-4397 ldb
DSA-4398 php7.0
DSA-4399 ikiwiki
DSA-4400 openssl1.0
DSA-4401 wordpress
DSA-4402 mumble
DSA-4403 php7.0
DSA-4405 openjpeg2
DSA-4406 waagent
DSA-4407 xmltooling
DSA-4408 liblivemedia
DSA-4409 neutron
DSA-4410 openjdk-8
DSA-4411 firefox-esr
DSA-4412 drupal7
DSA-4413 ntfs-3g
DSA-4414 libapache2-mod-auth-mellon
DSA-4415 passenger
DSA-4416 wireshark
DSA-4417 firefox-esr
DSA-4418 dovecot
DSA-4419 twig
DSA-4420 thunderbird
DSA-4422 apache2
DSA-4423 putty
DSA-4424 pdns
DSA-4425 wget
DSA-4426 tryton-server
DSA-4427 samba
DSA-4428 systemd
DSA-4429 spip
DSA-4430 wpa
DSA-4431 libssh2
DSA-4432 ghostscript
DSA-4433 ruby2.3
DSA-4434 drupal7

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
gcontactsync Incompatible con versiones más recientes de firefox-esr
google-tasks-sync Incompatible con versiones más recientes de firefox-esr
mozilla-gnome-kerying Incompatible con versiones más recientes de firefox-esr
tbdialout Incompatible con versiones más recientes de thunderbird
timeline Incompatible con versiones más recientes de thunderbird

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.