Debian 10 actualizado: publicada la versión 10.4

9 de mayo de 2020

El proyecto Debian se complace en anunciar la cuarta actualización de su distribución «estable» Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 10, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
apt-cacher-ng	Hace que la llamada al servidor al lanzar trabajos de mantenimiento sea segura [CVE-2020-5202]; permite compresión .zst para archivos tar; incrementa el tamaño del área de memoria utilizada para descomprimir las líneas durante la lectura del fichero de configuración
backuppc	Pasa el nombre de usuario a start-stop-daemon al recargar, evitando fallos de recarga
base-files	Actualizado para esta versión
brltty	Reduce gravedad de mensaje de log para evitar la generación de demasiados mensajes cuando se utiliza con versiones nuevas de Orca
checkstyle	Corrige problema de inyección de entidad externa XML [CVE-2019-9658 CVE-2019-10782]
choose-mirror	Actualiza lista de réplicas incluida
clamav	Nueva versión del proyecto original [CVE-2020-3123]
corosync	totemsrp: reduce MTU para evitar la generación de paquetes con exceso de longitud
corosync-qdevice	Corrige arranque del servicio
csync2	Falla la orden HELLO cuando se requiere SSL
cups	Corrige desbordamiento de memoria dinámica («heap») [CVE-2020-3898] y la función `ippReadIO` puede leer fuera de límites un campo extensión («under-read an extension field») [CVE-2019-8842]
dav4tbsync	Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
debian-edu-config	Añade ficheros de políticas para Firefox ESR y para Thunderbird con el objetivo de corregir la configuración de TLS/SSL
debian-installer	Actualizado para la ABI del núcleo 4.19.0-9
debian-installer-netboot-images	Recompilado contra proposed-updates
debian-security-support	Nueva versión «estable» del proyecto original; actualizado el estado de varios paquetes; usa runuser en lugar de su
distro-info-data	Añade Ubuntu 20.10 y fecha estimada de fin de soporte para stretch
dojo	Corrige uso incorrecto de expresiones regulares [CVE-2019-10785]
dpdk	Nueva versión «estable» del proyecto original
dtv-scan-tables	Nuevo snapshot del proyecto original; añade todos los multiplexores actuales del DVB-T2 alemán y el satélite Eutelsat-5-West-A
eas4tbsync	Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
edk2	Correcciones de seguridad [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587]
el-api	Corrige migraciones de stretch a buster que incluyen Tomcat 8
fex	Corrige un potencial problema de seguridad en fexsrv
filezilla	Corrige vulnerabilidad de ruta de búsqueda no confiable («untrusted search path vulnerability») [CVE-2019-5429]
frr	Corrige capacidad extendida de siguiente salto («extended next hop capability»)
fuse	Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge»)
fuse3	Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge»); corrige filtración de contenido de la memoria en fuse_session_new()
golang-github-prometheus-common	Extiende validez de certificados de prueba
gosa	Sustituye (un)serialize por json_encode/json_decode para mitigar inyección de objetos PHP [CVE-2019-14466]
hbci4java	Soporta directiva de la Unión Europea sobre servicios de pago (PSD2)
hibiscus	Soporta directiva de la Unión Europea sobre servicios de pago (PSD2)
iputils	Corrige un problema por el cual ping termina, incorrectamente, con un código de error cuando todavía quedan direcciones no probadas en la lista devuelta por la función de biblioteca getaddrinfo()
ircd-hybrid	Usa dhparam.pem para evitar caída en el arranque
jekyll	Permite el uso de ruby-i18n 0.x y 1.x
jsp-api	Corrige migraciones de stretch a buster que incluyen Tomcat 8
lemonldap-ng	Evita accesos no deseados a puntos de acceso («endpoints») de administración [CVE-2019-19791]; corrige la extensión («plugin») GrantSession que no podía prohibir el acceso («logon») cuando se usaba autenticación de doble factor; corrige redirecciones arbitrarias con OIDC si no se usaba redirect_uri
libdatetime-timezone-perl	Actualiza los datos incluidos
libreoffice	Corrige transiciones de transparencias OpenGL
libssh	Corrige posible problema de denegación de servicio al manejar claves AES-CTR con OpenSSL [CVE-2020-1730]
libvncserver	Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-15690]
linux	Nueva versión «estable» del proyecto original
linux-latest	Actualizada la ABI del núcleo a la 4.19.0-9
linux-signed-amd64	Nueva versión «estable» del proyecto original
linux-signed-arm64	Nueva versión «estable» del proyecto original
linux-signed-i386	Nueva versión «estable» del proyecto original
lwip	Corrige desbordamiento de memoria [CVE-2020-8597]
lxc-templates	Nueva versión «estable» del proyecto original; gestiona idiomas que solo están codificados en UTF-8
manila	Corrige comprobación de los permisos de acceso, que faltaba [CVE-2020-9543]
megatools	Añade soporte para el nuevo formato de los enlaces mega.nz
mew	Corrige comprobación de la validez de certificados SSL de servidor
mew-beta	Corrige comprobación de la validez de certificados SSL de servidor
mkvtoolnix	Recompilado para ajustar dependencia con libmatroska6v5
ncbi-blast+	Inhabilita soporte de SSE4.2
node-anymatch	Elimina dependencias innecesarias
node-dot	Evita ejecución de código después de contaminación de prototipo [CVE-2020-8141]
node-dot-prop	Corrige contaminación de prototipo [CVE-2020-8116]
node-knockout	Corrige la codificación para evitar la evaluación («escaping») con versiones antiguas de Internet Explorer [CVE-2019-14862]
node-mongodb	Rechaza _bsontypes inválidos [CVE-2019-2391 CVE-2020-7610]
node-yargs-parser	Corrige contaminación de prototipo [CVE-2020-7608]
npm	Corrige acceso a rutas arbitrarias [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777]
nvidia-graphics-drivers	Nueva versión «estable» del proyecto original
nvidia-graphics-drivers-legacy-390xx	Nueva versión «estable» del proyecto original
nvidia-settings-legacy-340xx	Nueva versión del proyecto original
oar	Revierte el comportamiento de la función perl Storable::dclone al que tenía en stretch, corrigiendo problemas de profundidad de recursión
opam	Prefiere mccs a aspcud
openvswitch	Corrige fallo de vswitchd cuando se añade un puerto y el controlador está caído
orocos-kdl	Corrige conversión de cadena de caracteres con Python 3
owfs	Elimina paquetes de Python 3 rotos
pango1.0	Corrige caída en pango_fc_font_key_get_variations() cuando la clave es nula
pgcli	Añade dependencia con python3-pkg-resources, que faltaba
php-horde-data	Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8518]
php-horde-form	Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8866]
php-horde-trean	Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8865]
postfix	Nueva versión «estable» del proyecto original; corrige panic con configuración Postfix multi-Milter durante MAIL FROM; corrige cambio en d/init.d running de forma que vuelva a funcionar con instancias múltiples
proftpd-dfsg	Corrige problema de acceso a memoria en código de «keyboard-interactive» en mod_sftp; procesa correctamente mensajes DEBUG, IGNORE, DISCONNECT y UNIMPLEMENTED en modo «keyboard-interactive»
puma	Corrige problema de denegación de servicio [CVE-2019-16770]
purple-discord	Corrige caídas en ssl_nss_read
python-oslo.utils	Corrige fuga de información sensible a través de los logs de mistral [CVE-2019-3866]
rails	Corrige posible ejecución de scripts entre sitios («cross-site scripting») mediante métodos de ayuda Javascript para codificar caracteres y evitar su evaluación («escape helper») [CVE-2020-5267]
rake	Corrige vulnerabilidad de inyección de órdenes [CVE-2020-8130]
raspi3-firmware	Corrige discordancia de nombres de los dtb en z50-raspi-firmware; corrige arranque en Raspberry Pi familias 1 y 0
resource-agents	Corrige ethmonitor no lista interfaces que no tienen dirección IP asignada; elimina parche xen-toolstack, que ya no es necesario; corrige uso no estándar en agente ZFS
rootskel	Inhabilita soporte de múltiples consolas si se usa preselección de respuestas («preseeding»)
ruby-i18n	Corrige generación de gemspec
rubygems-integration	Evita avisos de depreciación cuando los usuarios instalan una versión más reciente de Rubygems mediante gem update --system
schleuder	Mejora el parche para tratar errores de codificación introducido en la versión anterior; cambia la codificación por omisión a UTF-8; permite que x-add-key procese correos con claves adjuntas codificadas con caracteres imprimibles («quoted-printable»); corrige x-attach-listkey con correos creados por Thunderbird que incluyen cabeceras protegidas
scilab	Corrige la carga de bibliotecas con OpenJDK 11.0.7
serverspec-runner	Soporta Ruby 2.5
softflowd	Corrige la agregación de flujos, que está rota y podría dar lugar al desbordamiento de la tabla de flujos y a un consumo de CPU del 100%
speech-dispatcher	Corrige latencia por omisión de pulseaudio, que provoca salida chirriante («scratchy»)
spl-linux	Corrige abrazo mortal
sssd	Corrige bucle en sssd_be cuando la conexión a LDAP es intermitente
systemd	Al autorizar con PolicyKit, resuelve de nuevo la retrollamada («callback») y los datos de usuario en lugar de cachearlos [CVE-2020-1712]; instala 60-block.rules en udev-udeb y en initramfs-tools
taglib	Corrige problemas de corrupción de ficheros OGG
tbsync	Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
timeshift	Corrige uso de directorio temporal predecible [CVE-2020-10174]
tinyproxy	Solo da valor a PIDDIR si PIDFILE es una cadena de caracteres con longitud mayor que cero
tzdata	Nueva versión «estable» del proyecto original
uim	Elimina del registro módulos que no están instalados, corrigiendo una regresión en la actualización anterior del paquete
user-mode-linux	Corrige error de compilación con núcleos «estables» actuales
vite	Corrige caída cuando hay más de 32 elementos
waagent	Nueva versión del proyecto original; soporta instalación conjuntamente con cloud-init
websocket-api	Corrige migraciones de stretch a buster que incluyen Tomcat 8
wpa	No intenta detectar discordancia de la PSK durante la regeneración («rekeying») de la PTK; comprueba el soporte de FT al seleccionar suites FT; corrige problema de aleatorización de la MAC con algunas tarjetas
xdg-utils	xdg-open: corrige comprobación y tratamiento por parte de pcmanfm de directorios cuyo nombre contiene espacios; xdg-screensaver: sanea el nombre de la ventana antes de enviárselo a D-Bus; xdg-mime: crea el directorio de configuración si no existe
xtrlock	Corrige el bloqueo de (algunos) dispositivos multitáctiles mientras está cerrado [CVE-2016-10894]
zfs-linux	Corrige potenciales problemas de abrazo mortal

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-4616	qemu
DSA-4617	qtbase-opensource-src
DSA-4618	libexif
DSA-4619	libxmlrpc3-java
DSA-4620	firefox-esr
DSA-4623	postgresql-11
DSA-4624	evince
DSA-4625	thunderbird
DSA-4627	webkit2gtk
DSA-4629	python-django
DSA-4630	python-pysaml2
DSA-4631	pillow
DSA-4632	ppp
DSA-4633	curl
DSA-4634	opensmtpd
DSA-4635	proftpd-dfsg
DSA-4636	python-bleach
DSA-4637	network-manager-ssh
DSA-4638	chromium
DSA-4639	firefox-esr
DSA-4640	graphicsmagick
DSA-4641	webkit2gtk
DSA-4642	thunderbird
DSA-4643	python-bleach
DSA-4644	tor
DSA-4645	chromium
DSA-4646	icu
DSA-4647	bluez
DSA-4648	libpam-krb5
DSA-4649	haproxy
DSA-4650	qbittorrent
DSA-4651	mediawiki
DSA-4652	gnutls28
DSA-4653	firefox-esr
DSA-4654	chromium
DSA-4655	firefox-esr
DSA-4656	thunderbird
DSA-4657	git
DSA-4658	webkit2gtk
DSA-4659	git
DSA-4660	awl
DSA-4661	openssl
DSA-4663	python-reportlab
DSA-4664	mailman
DSA-4665	qemu
DSA-4666	openldap
DSA-4667	linux-signed-amd64
DSA-4667	linux-signed-arm64
DSA-4667	linux-signed-i386
DSA-4667	linux
DSA-4669	nodejs
DSA-4671	vlc
DSA-4672	trafficserver

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete	Motivo
getlive	Roto debido a cambios en Hotmail
gplaycli	Roto por cambios en la API de Google
kerneloops	El servicio del proyecto original ya no está disponible
lambda-align2	[arm64 armel armhf i386 mips64el ppc64el s390x] Roto en arquitecturas no amd64
libmicrodns	Problemas de seguridad
libperlspeak-perl	Problemas de seguridad; sin desarrollo activo
quotecolors	Incompatible con versiones más recientes de Thunderbird
torbirdy	Incompatible con versiones más recientes de Thunderbird
ugene	No libre; no compila
yahoo2mbox	Roto desde hace varios años

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/buster/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.