Debian 10 actualizado: publicada la versión 10.3

8 de febrero de 2020

El proyecto Debian se complace en anunciar la tercera actualización de su distribución «estable» Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 10, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
alot Elimina fecha de expiración de las claves del juego de pruebas, corrigiendo fallo de compilación
atril Corrige violación de acceso cuando no se carga ningún documento; corrige lectura de memoria no inicializada [CVE-2019-11459]
base-files Actualizado para esta versión
beagle Proporciona un script «wrapper» en lugar de enlaces simbólicos a los JAR, haciendo que funcionen de nuevo
bgpdump Corrige violación de acceso
boost1.67 Corrige comportamiento indefinido que da lugar a la caída de libboost-numpy
brightd Compara realmente el valor leído de /sys/class/power_supply/AC/online con 0
casacore-data-jplde Incluye tablas hasta 2040
clamav Nueva versión del proyecto original; corrige problema de denegación de servicio [CVE-2019-15961]; elimina la opción ScanOnAccess, la sustituye por clamonacc
compactheader Nueva versión del proyecto original compatible con Thunderbird 68
console-common Corrige regresión que hacía que no se incluyeran ficheros
csh Corrige violación de acceso en eval
cups Corrige filtración de contenido de la memoria en ppdOpen; corrige validación del idioma por omisión en ippSetValuetag [CVE-2019-2228]
cyrus-imapd Añade tipo BACKUP a cyrus-upgrade-db, corrigiendo problemas al actualizar
debian-edu-config Conserva la configuración de proxy en el cliente si no se puede conectar con el WPAD
debian-installer Recompilado contra proposed-updates; modificada la generación de mini.iso en arm de forma que funcione el arranque desde red EFI; actualizado el valor de USE_UDEBS_FROM por omisión, de unstable a buster, para ayudar a los usuarios a realizar compilaciones locales
debian-installer-netboot-images Recompilado contra proposed-updates
debian-security-support Actualizado el estado del soporte de seguridad de varios paquetes
debos Recompilado contra golang-github-go-debos-fakemachine actualizado
dispmua Nueva versión del proyecto original compatible con Thunderbird 68
dkimpy Nueva versión «estable» del proyecto original
dkimpy-milter Corrige la gestión de privilegios en el arranque de forma que funcionen los sockets Unix
dpdk Nueva versión «estable» del proyecto original
e2fsprogs Corrige subdesbordamiento de pila potencial en e2fsck [CVE-2019-5188]; corrige «uso tras liberar» en e2fsck
fig2dev Permite que las cadenas de texto Fig v2 terminen con múltiples ^A [CVE-2019-19555]; rechaza tipos de flecha enormes que provocan desbordamiento de entero [CVE-2019-19746]; corrige varias caídas [CVE-2019-19797]
freerdp2 Corrige el tratamiento del código de retorno devuelto por realloc [CVE-2019-17177]
freetds tds: se asegura de que UDT tiene varint configurado a 8 [CVE-2019-13508]
git-lfs Corrige problemas de compilación con versiones de Go más recientes
gnubg Incrementa el tamaño de las zonas de memoria estáticas utilizadas para componer mensajes durante el arranque del programa para que la traducción a español no provoque desbordamiento de memoria
gnutls28 Corrige problemas de interoperabilidad con gnutls 2.x; corrige el análisis sintáctico de certificados que contienen RegisteredID
gtk2-engines-murrine Corrige la posibilidad de instalación conjuntamente con otros temas
guile-2.2 Corrige error de compilación
libburn Corrige la grabación multipista con cdrskin era lenta y se detenía tras la pista 1
libcgns Corrige error de compilación en ppc64el
libimobiledevice Gestiona correctamente escrituras SSL parciales
libmatroska Incrementa la dependencia de la biblioteca compartida a 1.4.7 porque esa versión introdujo nuevos símbolos
libmysofa Correcciones de seguridad [CVE-2019-16091 CVE-2019-16092 CVE-2019-16093 CVE-2019-16094 CVE-2019-16095]
libole-storage-lite-perl Corrige interpretación de años del 2020 en adelante
libparse-win32registry-perl Corrige interpretación de años del 2020 en adelante
libperl4-corelibs-perl Corrige interpretación de años del 2020 en adelante
libsolv Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-20387]
libspreadsheet-wright-perl Corrige hojas de cálculo OpenDocument que antes no eran utilizables y el paso de opciones de formateo JSON
libtimedate-perl Corrige interpretación de años del 2020 en adelante
libvirt Apparmor: permite ejecutar pygrub; no incluye osxsave, ospke en la línea de órdenes de QEMU; esto ayuda a QEMU más recientes con algunas configuraciones generadas por virt-install
libvncserver RFBserver: no filtra contenido de la pila al remoto [CVE-2019-15681]; resuelve una congelación («freeze») durante el cierre de conexión y una violación de acceso en servidores VNC multihilo; corrige problema al conectarse a servidores de VMWare; corrige caída de x11vnc cuando se conecta vncviewer
limnoria Corrige revelación de información remota y, posiblemente, ejecución de código remoto en la extensión («plugin») Math [CVE-2019-19010]
linux Nueva versión «estable» del proyecto original
linux-latest Actualizado para la ABI del núcleo 4.19.0-8
linux-signed-amd64 Nueva versión «estable» del proyecto original
linux-signed-arm64 Nueva versión «estable» del proyecto original
linux-signed-i386 Nueva versión «estable» del proyecto original
mariadb-10.3 Nueva versión «estable» del proyecto original [CVE-2019-2938 CVE-2019-2974 CVE-2020-2574]
mesa Llama a shmget() con permisos 0600, en lugar de 0777 [CVE-2019-5068]
mnemosyne Añade dependencia con PIL, que faltaba
modsecurity Corrige fallo en el análisis sintáctico de las cabeceras de cookies [CVE-2019-19886]
node-handlebars Impide las llamadas directas a helperMissing y a blockHelperMissing [CVE-2019-19919]
node-kind-of Corrige vulnerabilidad de comprobación de tipos en ctorName() [CVE-2019-20149]
ntpsec Corrige reintentos de DNS lentos; modifica ntpdate -s (syslog) para corregir el «hook» if-up; correcciones de la documentación
numix-gtk-theme Corrige la posibilidad de instalación conjuntamente con otros temas
nvidia-graphics-drivers-legacy-340xx Nueva versión «estable» del proyecto original
nyancat Recompilado en un entorno limpio para añadir la unidad de systemd para nyancat-server
openjpeg2 Corrige desbordamiento de memoria dinámica («heap») [CVE-2018-21010] y desbordamiento de entero [CVE-2018-20847]
opensmtpd Avisa a los usuarios del cambio en la sintaxis de smtpd.conf (en versiones anteriores); instala smtpctl setgid opensmtpq; gestiona códigos de retorno de hostname distintos de cero en la fase de configuración
openssh Rechaza (de forma no fatal) ipc en el entorno aislado («sandbox») seccomp, corrigiendo errores con OpenSSL 1.1.1d y Linux < 3.19 en algunas arquitecturas
php-horde Corrige problema de ejecución directa de scrips entre sitios («stored cross-site scripting») en Horde Cloud Block [CVE-2019-12095]
php-horde-text-filter Corrige expresiones regulares inválidas
postfix Nueva versión «estable» del proyecto original
postgresql-11 Nueva versión «estable» del proyecto original
print-manager Corrige caída si CUPS devuelve el mismo ID para varios trabajos de impresión
proftpd-dfsg Corrige problemas de CRL [CVE-2019-19270 CVE-2019-19269]
pykaraoke Corrige ruta de tipos de letra
python-evtx Corrige importación de hexdump
python-internetarchive Cierra fichero tras obtener el hash, evitando que se agoten los descriptores de ficheros
python3.7 Correcciones de seguridad [CVE-2019-9740 CVE-2019-9947 CVE-2019-9948 CVE-2019-10160 CVE-2019-16056 CVE-2019-16935]
qtbase-opensource-src Añade soporte para impresoras no-PPD y evita el uso, sin notificación, de una impresora PPD; corrige caída al utilizar QLabels con texto enriquecido; corrige eventos de tableta gráfica
qtwebengine-opensource-src Corrige análisis sintáctico de PDF; inhabilita la pila ejecutable
quassel Corrige denegaciones de AppArmor en quasselcore cuando se graba la configuración; canal por omisión correcto para Debian; elimina fichero NEWS innecesario
qwinff Corrige caída debida a detección incorrecta de ficheros
raspi3-firmware Corrige detección de consola serie con núcleos 5.x
ros-ros-comm Corrige problemas de seguridad [CVE-2019-13566 CVE-2019-13465 CVE-2019-13445]
roundcube Nueva versión «estable» del proyecto original; corrige permisos inseguros en la extensión («plugin») enigma [CVE-2018-1000071]
schleuder Corrige el reconocimiento de palabras clave en correos electrónicos con protected headers y sin «asunto»; elimina firmas de terceros («non-self-signatures») al refrescar o descargar claves; error si el argumento proporcionado a «refresh_keys» no es una lista existente; añade cabecera List-Id, que faltaba, a los correos electrónicos de notificación enviados a los administradores; gestiona problemas de descifrado de forma más elegante; codificación ASCII-8BIT por omisión
simplesamlphp Corrige incompatibilidad con PHP 7.3
sogo-connector Nueva versión del proyecto original compatible con Thunderbird 68
spf-engine Corrige la gestión de privilegios en el arranque de forma que funcionen los sockets Unix; actualiza la documentación de TestOnly
sudo Corrige un desbordamiento de memoria (no explotable en buster) cuando está habilitado pwfeedback y la entrada no es un tty [CVE-2019-18634]
systemd Da a fs.file-max sysctl el valor LONG_MAX en lugar de ULONG_MAX; cambia propietario y permisos de los directorios de ejecución también para los usuarios estáticos, asegurándose de que a los directorios de ejecución como CacheDirectory y StateDirectory se les asigna correctamente como propietario el usuario especificado en User= antes de lanzar el servicio
tifffile Corrige script «wrapper»
tigervnc Correcciones de seguridad [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695]
tightvnc Correcciones de seguridad [CVE-2014-6053 CVE-2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE-2019-15681]
uif Corrige las rutas a ip(6)tables-restore teniendo en cuenta la migración a nftables
unhide Corrige agotamiento de la pila
x2goclient Elimina ~/, ~user{,/}, ${HOME}{,/} y $HOME{,/} de las rutas de destino en modo SCP; corrige regresión con versiones más recientes de libssh que tengan aplicadas las correcciones para CVE-2019-14889
xmltooling Corrige condición de carrera que podría dar lugar a caídas en situaciones de carga

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4546 openjdk-11
DSA-4563 webkit2gtk
DSA-4564 linux
DSA-4564 linux-signed-i386
DSA-4564 linux-signed-arm64
DSA-4564 linux-signed-amd64
DSA-4565 intel-microcode
DSA-4566 qemu
DSA-4567 dpdk
DSA-4568 postgresql-common
DSA-4569 ghostscript
DSA-4570 mosquitto
DSA-4571 enigmail
DSA-4571 thunderbird
DSA-4572 slurm-llnl
DSA-4573 symfony
DSA-4575 chromium
DSA-4577 haproxy
DSA-4578 libvpx
DSA-4579 nss
DSA-4580 firefox-esr
DSA-4581 git
DSA-4582 davical
DSA-4583 spip
DSA-4584 spamassassin
DSA-4585 thunderbird
DSA-4586 ruby2.5
DSA-4588 python-ecdsa
DSA-4589 debian-edu-config
DSA-4590 cyrus-imapd
DSA-4591 cyrus-sasl2
DSA-4592 mediawiki
DSA-4593 freeimage
DSA-4595 debian-lan-config
DSA-4597 netty
DSA-4598 python-django
DSA-4599 wordpress
DSA-4600 firefox-esr
DSA-4601 ldm
DSA-4602 xen
DSA-4603 thunderbird
DSA-4604 cacti
DSA-4605 openjdk-11
DSA-4606 chromium
DSA-4607 openconnect
DSA-4608 tiff
DSA-4609 python-apt
DSA-4610 webkit2gtk
DSA-4611 opensmtpd
DSA-4612 prosody-modules
DSA-4613 libidn2
DSA-4615 spamassassin

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
caml-crush [armel] No se puede compilar debido a la falta de ocaml-native-compilers
firetray Incompatible con versiones actuales de Thunderbird
koji Problemas de seguridad
python-lamson Roto por cambios en python-daemon
radare2 Problemas de seguridad; el proyecto original no proporciona soporte estable
radare2-cutter Depende de radare2, que se eliminará

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/buster/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.