Debian 9 actualizado: publicada la versión 9.10
7 de septiembre de 2019
El proyecto Debian se complace en anunciar la décima actualización de su
distribución «antigua estable» Debian 9 (nombre en clave stretch
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
9, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de stretch
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| base-files | Actualizado para esta versión; añade VERSION_CODENAME a os-release |
| basez | Decodifica correctamente cadenas codificadas en base64url |
| biomaj-watcher | Corrige actualizaciones de jessie a stretch |
| c-icap-modules | Añade soporte para clamav 0.101.1 |
| chaosreader | Añade dependencia con libnet-dns-perl, que faltaba |
| clamav | Nueva versión «estable» del proyecto original: añade límite de tiempo de escaneo para mitigar los efectos de bombas zip [CVE-2019-12625]; corrige escritura fuera de límites en la biblioteca bzip2 de NSIS [CVE-2019-12900] |
| corekeeper | No usa un /var/crash con permisos universales de escritura con el script dumper; gestiona versiones anteriores del núcleo Linux de una manera más segura; no trunca los nombres de los volcados de memoria («cores») para ejecutables con espacios |
| cups | Corrige múltiples problemas de seguridad y de revelación de información: problemas de desbordamientos de memoria SNMP [CVE-2019-8696 CVE-2019-8675], de desbordamiento de memoria IPP, de denegación de servicio y de revelación de contenido de la memoria en el planificador |
| dansguardian | Añade soporte para clamav 0.101 |
| dar | Recompilado para actualizar los paquetes built-using |
| debian-archive-keyring | Añade claves de buster; elimina claves de wheezy |
| fence-agents | Corrige problema de denegación de servicio [CVE-2019-10153] |
| fig2dev | No provoca fallo de segmentación en puntas de flecha circulares o semicirculares con una ampliación superior a 42 [CVE-2019-14275] |
| fribidi | Corrige salida de derecha a izquierda en modo texto del instalador de Debian |
| fusiondirectory | Comprobaciones más estrictas en búsquedas LDAP; añade dependencia con php-xml, que faltaba |
| gettext | xgettext() deja de provocar caídas cuando se ejecuta con la opción --its=FILE |
| glib2.0 | Crea directorio y fichero con permisos restrictivos cuando se usa el GKeyfileSettingsBackend [CVE-2019-13012]; evita lectura de memoria fuera de límites al formatear mensajes de error por UTF-8 inválido en GMarkup [CVE-2018-16429]; evita desreferencia NULL al analizar sintácticamente GMarkup inválido con una etiqueta de cierre mal construida, no emparejada con una etiqueta de apertura [CVE-2018-16429] |
| gocode | gocode-auto-complete-el: hace que «predependa» de auto-complete-el con número de versión para corregir actualizaciones de jessie a stretch |
| groonga | Mitiga elevación de privilegios mediante el cambio del propietario y grupo de los logs con la opción su |
| grub2 | Correcciones para el soporte de Xen UEFI |
| gsoap | Corrige problema de denegación de servicio si se compila una aplicación del servidor con el indicador -DWITH_COOKIES [CVE-2019-7659]; corrige problema con el receptor del protocolo DIME y cabeceras DIME mal construidas |
| gthumb | Corrige fallo de «doble liberación» [CVE-2018-18718] |
| havp | Añade soporte para clamav 0.101.1 |
| icu | Corrige violación de acceso en la orden pkgdata |
| koji | Corrige problema de inyección de SQL [CVE-2018-1002161]; valida correctamente rutas SCM [CVE-2017-1002153] |
| lemonldap-ng | Corrige regresión de autenticación entre dominios; corrige vulnerabilidad de entidad externa XML |
| libcaca | Corrige problemas de desbordamiento de entero [CVE-2018-20545 CVE-2018-20546 CVE-2018-20547 CVE-2018-20548 CVE-2018-20549] |
| libclamunrar | Nueva versión «estable» del proyecto original |
| libconvert-units-perl | Recompilado sin modificaciones con número de versión corregido |
| libdatetime-timezone-perl | Actualiza los datos incluidos |
| libebml | Aplica correcciones del proyecto original a lecturas fuera de límites de memoria dinámica («heap») |
| libevent-rpc-perl | Corrige error de compilación debido a certificados SSL de prueba expirados |
| libgd2 | Corrige lectura no inicializada en gdImageCreateFromXbm [CVE-2019-11038] |
| libgovirt | Regenera certificados de prueba con fecha de expiración en el futuro lejano para evitar fallos de las pruebas |
| librecad | Corrige denegación de servicio mediante fichero manipulado [CVE-2018-19105] |
| libsdl2-image | Corrige múltiples problemas de seguridad |
| libthrift-java | Corrige elusión de la negociación SASL [CVE-2018-1320] |
| libtk-img | Deja de utilizar copias internas de los codecs JPEG, Zlib y PixarLog, con lo que corrige caídas |
| libu2f-host | Corrige fuga del contenido de la pila [CVE-2019-9578] |
| libxslt | Corrige elusión de la infraestructura de soporte de seguridad [CVE-2019-11068]; corrige lectura no inicializada del token xsl:number [CVE-2019-13117]; corrige lectura no inicializada con caracteres de agrupación («grouping chars») UTF-8 [CVE-2019-13118] |
| linux | Nueva versión del proyecto original con actualización de la ABI; correcciones de seguridad [CVE-2015-8553 CVE-2017-5967 CVE-2018-20509 CVE-2018-20510 CVE-2018-20836 CVE-2018-5995 CVE-2019-11487 CVE-2019-3882] |
| linux-latest | Actualizado para la ABI del núcleo 4.9.0-11 |
| liquidsoap | Corrige compilación con Ocaml 4.02 |
| llvm-toolchain-7 | Nuevo paquete para soportar la compilación de versiones nuevas de Firefox |
| mariadb-10.1 | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2019-2737 CVE-2019-2739 CVE-2019-2740 CVE-2019-2805 CVE-2019-2627 CVE-2019-2614] |
| minissdpd | Impide una vulnerabilidad de «uso tras liberar» que permitiría que un atacante remoto provocara la caída del proceso [CVE-2019-12106] |
| miniupnpd | Corrige problemas de denegación de servicio [CVE-2019-12108 CVE-2019-12109 CVE-2019-12110]; corrige fuga de información [CVE-2019-12107] |
| mitmproxy | Pruebas de lista negra que requieren acceso a Internet; impide inserción de dependencias no deseadas con número de versión acotado superiormente |
| monkeysphere | Corrige error de compilación actualizando las pruebas para tener en cuenta que en stretch GnuPG ahora produce una salida diferente |
| nasm-mozilla | Nuevo paquete para soportar la compilación de versiones nuevas de Firefox |
| ncbi-tools6 | Empaquetado sin data/UniVec.* no libres |
| node-growl | Sanea la entrada antes de pasársela a exec |
| node-ws | Limita el tamaño de los datos a subir [CVE-2016-10542] |
| open-vm-tools | Corrige posible problema de seguridad con los permisos del directorio intermedio de preparación y con los de la ruta |
| openldap | Limita rootDN proxyauthz a sus propias bases de datos [CVE-2019-13057]; hace cumplir la sentencia ACL sasl_ssf en cada conexión [CVE-2019-13565]; corrige el fallo por el que slapo-rwm no liberaba el filtro original cuando el filtro reescrito era inválido |
| openssh | Corrige abrazo mortal en la determinación de coincidencias de claves |
| passwordsafe | No instala ficheros para traducción a otros idiomas en un subdirectorio extra |
| pound | Corrige «contrabando» de peticiones («request smuggling») mediante cabeceras modificadas [CVE-2016-10711] |
| prelink | Recompilado para actualizar los paquetes built-using |
| python-clamav | Añade soporte para clamav 0.101.1 |
| reportbug | Actualiza nombres de versión, en línea con la publicación de buster |
| resiprocate | Resuelve un problema de instalación con libssl-dev e --install-recommends |
| sash | Recompilado para actualizar los paquetes built-using |
| sdl-image1.2 | Corrige desbordamientos de memoria [CVE-2018-3977 CVE-2019-5058 CVE-2019-5052] y acceso fuera de límites [CVE-2019-12216 CVE-2019-12217 CVE-2019-12218 CVE-2019-12219 CVE-2019-12220 CVE-2019-12221 CVE-2019-12222 CVE-2019-5051] |
| signing-party | Corrige llamada insegura al intérprete de órdenes («shell») que habilita inyección de intérprete de órdenes a través de un identificativo de usuario («User ID») [CVE-2019-11627] |
| slurm-llnl | Corrige potencial desbordamiento de memoria dinámica («heap») en sistemas de 32 bits [CVE-2019-6438] |
| sox | Corrige varios problemas de seguridad [CVE-2019-8354 CVE-2019-8355 CVE-2019-8356 CVE-2019-8357 927906 CVE-2019-1010004 CVE-2017-18189 881121 CVE-2017-15642 882144 CVE-2017-15372 878808 CVE-2017-15371 878809 CVE-2017-15370 878810 CVE-2017-11359 CVE-2017-11358 CVE-2017-11332 |
| systemd | No detiene el cliente ndisc en caso de error de configuración |
| t-digest | Recompilado sin modificaciones para evitar la reutilización de la versión 3.0-1 anterior a la época («pre-epoch») |
| tenshi | Corrige problema con el fichero PID que permite que usuarios locales cancelen procesos arbitrarios [CVE-2017-11746] |
| tzdata | Nueva versión del proyecto original |
| unzip | Corrige análisis sintáctico incorrecto de valores de 64 bits en fileio.c; corrige problemas de bombas zip [CVE-2019-13232] |
| usbutils | Actualiza la lista de los ID USB |
| xymon | Corrige varios problemas de seguridad (exclusivos del servidor) [CVE-2019-13273 CVE-2019-13274 CVE-2019-13451 CVE-2019-13452 CVE-2019-13455 CVE-2019-13484 CVE-2019-13485 CVE-2019-13486] |
| yubico-piv-tool | Corrige problemas de seguridad [CVE-2018-14779 CVE-2018-14780] |
| z3 | No da al SONAME de libz3java.so el valor libz3.so.4 |
| zfs-auto-snapshot | Hace que los trabajos cron terminen sin mensajes de error tras el borrado de paquetes |
| zsh | Recompilado para actualizar los paquetes built-using |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| pump | Sin desarrollo activo; problemas de seguridad |
| teeworlds | Problemas de seguridad; incompatible con servidores actuales |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «antigua estable» actual:
Actualizaciones propuestas a la distribución «antigua estable»:
Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.