Debian 9 actualizado: publicada la versión 9.10

7 de septiembre de 2019

El proyecto Debian se complace en anunciar la décima actualización de su distribución «antigua estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
base-files Actualizado para esta versión; añade VERSION_CODENAME a os-release
basez Decodifica correctamente cadenas codificadas en base64url
biomaj-watcher Corrige actualizaciones de jessie a stretch
c-icap-modules Añade soporte para clamav 0.101.1
chaosreader Añade dependencia con libnet-dns-perl, que faltaba
clamav Nueva versión «estable» del proyecto original: añade límite de tiempo de escaneo para mitigar los efectos de bombas zip [CVE-2019-12625]; corrige escritura fuera de límites en la biblioteca bzip2 de NSIS [CVE-2019-12900]
corekeeper No usa un /var/crash con permisos universales de escritura con el script dumper; gestiona versiones anteriores del núcleo Linux de una manera más segura; no trunca los nombres de los volcados de memoria («cores») para ejecutables con espacios
cups Corrige múltiples problemas de seguridad y de revelación de información: problemas de desbordamientos de memoria SNMP [CVE-2019-8696 CVE-2019-8675], de desbordamiento de memoria IPP, de denegación de servicio y de revelación de contenido de la memoria en el planificador
dansguardian Añade soporte para clamav 0.101
dar Recompilado para actualizar los paquetes built-using
debian-archive-keyring Añade claves de buster; elimina claves de wheezy
fence-agents Corrige problema de denegación de servicio [CVE-2019-10153]
fig2dev No provoca fallo de segmentación en puntas de flecha circulares o semicirculares con una ampliación superior a 42 [CVE-2019-14275]
fribidi Corrige salida de derecha a izquierda en modo texto del instalador de Debian
fusiondirectory Comprobaciones más estrictas en búsquedas LDAP; añade dependencia con php-xml, que faltaba
gettext xgettext() deja de provocar caídas cuando se ejecuta con la opción --its=FILE
glib2.0 Crea directorio y fichero con permisos restrictivos cuando se usa el GKeyfileSettingsBackend [CVE-2019-13012]; evita lectura de memoria fuera de límites al formatear mensajes de error por UTF-8 inválido en GMarkup [CVE-2018-16429]; evita desreferencia NULL al analizar sintácticamente GMarkup inválido con una etiqueta de cierre mal construida, no emparejada con una etiqueta de apertura [CVE-2018-16429]
gocode gocode-auto-complete-el: hace que «predependa» de auto-complete-el con número de versión para corregir actualizaciones de jessie a stretch
groonga Mitiga elevación de privilegios mediante el cambio del propietario y grupo de los logs con la opción su
grub2 Correcciones para el soporte de Xen UEFI
gsoap Corrige problema de denegación de servicio si se compila una aplicación del servidor con el indicador -DWITH_COOKIES [CVE-2019-7659]; corrige problema con el receptor del protocolo DIME y cabeceras DIME mal construidas
gthumb Corrige fallo de «doble liberación» [CVE-2018-18718]
havp Añade soporte para clamav 0.101.1
icu Corrige violación de acceso en la orden pkgdata
koji Corrige problema de inyección de SQL [CVE-2018-1002161]; valida correctamente rutas SCM [CVE-2017-1002153]
lemonldap-ng Corrige regresión de autenticación entre dominios; corrige vulnerabilidad de entidad externa XML
libcaca Corrige problemas de desbordamiento de entero [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549]
libclamunrar Nueva versión «estable» del proyecto original
libconvert-units-perl Recompilado sin modificaciones con número de versión corregido
libdatetime-timezone-perl Actualiza los datos incluidos
libebml Aplica correcciones del proyecto original a lecturas fuera de límites de memoria dinámica («heap»)
libevent-rpc-perl Corrige error de compilación debido a certificados SSL de prueba expirados
libgd2 Corrige lectura no inicializada en gdImageCreateFromXbm [CVE-2019-11038]
libgovirt Regenera certificados de prueba con fecha de expiración en el futuro lejano para evitar fallos de las pruebas
librecad Corrige denegación de servicio mediante fichero manipulado [CVE-2018-19105]
libsdl2-image Corrige múltiples problemas de seguridad
libthrift-java Corrige elusión de la negociación SASL [CVE-2018-1320]
libtk-img Deja de utilizar copias internas de los codecs JPEG, Zlib y PixarLog, con lo que corrige caídas
libu2f-host Corrige fuga del contenido de la pila [CVE-2019-9578]
libxslt Corrige elusión de la infraestructura de soporte de seguridad [CVE-2019-11068]; corrige lectura no inicializada del token xsl:number [CVE-2019-13117]; corrige lectura no inicializada con caracteres de agrupación («grouping chars») UTF-8 [CVE-2019-13118]
linux Nueva versión del proyecto original con actualización de la ABI; correcciones de seguridad [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882]
linux-latest Actualizado para la ABI del núcleo 4.9.0-11
liquidsoap Corrige compilación con Ocaml 4.02
llvm-toolchain-7 Nuevo paquete para soportar la compilación de versiones nuevas de Firefox
mariadb-10.1 Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614]
minissdpd Impide una vulnerabilidad de «uso tras liberar» que permitiría que un atacante remoto provocara la caída del proceso [CVE-2019-12106]
miniupnpd Corrige problemas de denegación de servicio [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110]; corrige fuga de información [CVE-2019-12107]
mitmproxy Pruebas de lista negra que requieren acceso a Internet; impide inserción de dependencias no deseadas con número de versión acotado superiormente
monkeysphere Corrige error de compilación actualizando las pruebas para tener en cuenta que en stretch GnuPG ahora produce una salida diferente
nasm-mozilla Nuevo paquete para soportar la compilación de versiones nuevas de Firefox
ncbi-tools6 Empaquetado sin data/UniVec.* no libres
node-growl Sanea la entrada antes de pasársela a exec
node-ws Limita el tamaño de los datos a subir [CVE-2016-10542]
open-vm-tools Corrige posible problema de seguridad con los permisos del directorio intermedio de preparación y con los de la ruta
openldap Limita rootDN proxyauthz a sus propias bases de datos [CVE-2019-13057]; hace cumplir la sentencia ACL sasl_ssf en cada conexión [CVE-2019-13565]; corrige el fallo por el que slapo-rwm no liberaba el filtro original cuando el filtro reescrito era inválido
openssh Corrige abrazo mortal en la determinación de coincidencias de claves
passwordsafe No instala ficheros para traducción a otros idiomas en un subdirectorio extra
pound Corrige «contrabando» de peticiones («request smuggling») mediante cabeceras modificadas [CVE-2016-10711]
prelink Recompilado para actualizar los paquetes built-using
python-clamav Añade soporte para clamav 0.101.1
reportbug Actualiza nombres de versión, en línea con la publicación de buster
resiprocate Resuelve un problema de instalación con libssl-dev e --install-recommends
sash Recompilado para actualizar los paquetes built-using
sdl-image1.2 Corrige desbordamientos de memoria [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] y acceso fuera de límites [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051]
signing-party Corrige llamada insegura al intérprete de órdenes («shell») que habilita inyección de intérprete de órdenes a través de un identificativo de usuario («User ID») [CVE-2019-11627]
slurm-llnl Corrige potencial desbordamiento de memoria dinámica («heap») en sistemas de 32 bits [CVE-2019-6438]
sox Corrige varios problemas de seguridad [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332
systemd No detiene el cliente ndisc en caso de error de configuración
t-digest Recompilado sin modificaciones para evitar la reutilización de la versión 3.0-1 anterior a la época («pre-epoch»)
tenshi Corrige problema con el fichero PID que permite que usuarios locales cancelen procesos arbitrarios [CVE-2017-11746]
tzdata Nueva versión del proyecto original
unzip Corrige análisis sintáctico incorrecto de valores de 64 bits en fileio.c; corrige problemas de bombas zip [CVE-2019-13232]
usbutils Actualiza la lista de los ID USB
xymon Corrige varios problemas de seguridad (exclusivos del servidor) [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486]
yubico-piv-tool Corrige problemas de seguridad [CVE-2018-14779 CVE-2018-14780]
z3 No da al SONAME de libz3java.so el valor libz3.so.4
zfs-auto-snapshot Hace que los trabajos cron terminen sin mensajes de error tras el borrado de paquetes
zsh Recompilado para actualizar los paquetes built-using

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4435 libpng1.6
DSA-4436 imagemagick
DSA-4437 gst-plugins-base1.0
DSA-4438 atftp
DSA-4439 postgresql-9.6
DSA-4440 bind9
DSA-4441 symfony
DSA-4442 cups-filters
DSA-4442 ghostscript
DSA-4443 samba
DSA-4444 linux
DSA-4445 drupal7
DSA-4446 lemonldap-ng
DSA-4447 intel-microcode
DSA-4448 firefox-esr
DSA-4449 ffmpeg
DSA-4450 wpa
DSA-4451 thunderbird
DSA-4452 jackson-databind
DSA-4453 openjdk-8
DSA-4454 qemu
DSA-4455 heimdal
DSA-4456 exim4
DSA-4457 evolution
DSA-4458 cyrus-imapd
DSA-4459 vlc
DSA-4460 mediawiki
DSA-4461 zookeeper
DSA-4462 dbus
DSA-4463 znc
DSA-4464 thunderbird
DSA-4465 linux
DSA-4466 firefox-esr
DSA-4467 vim
DSA-4468 php-horde-form
DSA-4469 libvirt
DSA-4470 pdns
DSA-4471 thunderbird
DSA-4472 expat
DSA-4473 rdesktop
DSA-4475 openssl
DSA-4475 openssl1.0
DSA-4476 python-django
DSA-4477 zeromq3
DSA-4478 dosbox
DSA-4480 redis
DSA-4481 ruby-mini-magick
DSA-4482 thunderbird
DSA-4483 libreoffice
DSA-4485 openjdk-8
DSA-4487 neovim
DSA-4488 exim4
DSA-4489 patch
DSA-4490 subversion
DSA-4491 proftpd-dfsg
DSA-4492 postgresql-9.6
DSA-4494 kconfig
DSA-4498 python-django
DSA-4499 ghostscript
DSA-4501 libreoffice
DSA-4504 vlc
DSA-4505 nginx
DSA-4506 qemu
DSA-4509 apache2
DSA-4510 dovecot

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
pump Sin desarrollo activo; problemas de seguridad
teeworlds Problemas de seguridad; incompatible con servidores actuales

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «antigua estable» actual:

http://ftp.debian.org/debian/dists/oldstable/

Actualizaciones propuestas a la distribución «antigua estable»:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/oldstable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.