Debian 10 actualizado: publicada la versión 10.4

9 de mayo de 2020

El proyecto Debian se complace en anunciar la cuarta actualización de su distribución «estable» Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 10, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
apt-cacher-ng Hace que la llamada al servidor al lanzar trabajos de mantenimiento sea segura [CVE-2020-5202]; permite compresión .zst para archivos tar; incrementa el tamaño del área de memoria utilizada para descomprimir las líneas durante la lectura del fichero de configuración
backuppc Pasa el nombre de usuario a start-stop-daemon al recargar, evitando fallos de recarga
base-files Actualizado para esta versión
brltty Reduce gravedad de mensaje de log para evitar la generación de demasiados mensajes cuando se utiliza con versiones nuevas de Orca
checkstyle Corrige problema de inyección de entidad externa XML [CVE-2019-9658 CVE-2019-10782]
choose-mirror Actualiza lista de réplicas incluida
clamav Nueva versión del proyecto original [CVE-2020-3123]
corosync totemsrp: reduce MTU para evitar la generación de paquetes con exceso de longitud
corosync-qdevice Corrige arranque del servicio
csync2 Falla la orden HELLO cuando se requiere SSL
cups Corrige desbordamiento de memoria dinámica («heap») [CVE-2020-3898] y la función `ippReadIO` puede leer fuera de límites un campo extensión («under-read an extension field») [CVE-2019-8842]
dav4tbsync Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
debian-edu-config Añade ficheros de políticas para Firefox ESR y para Thunderbird con el objetivo de corregir la configuración de TLS/SSL
debian-installer Actualizado para la ABI del núcleo 4.19.0-9
debian-installer-netboot-images Recompilado contra proposed-updates
debian-security-support Nueva versión «estable» del proyecto original; actualizado el estado de varios paquetes; usa runuser en lugar de su
distro-info-data Añade Ubuntu 20.10 y fecha estimada de fin de soporte para stretch
dojo Corrige uso incorrecto de expresiones regulares [CVE-2019-10785]
dpdk Nueva versión «estable» del proyecto original
dtv-scan-tables Nuevo snapshot del proyecto original; añade todos los multiplexores actuales del DVB-T2 alemán y el satélite Eutelsat-5-West-A
eas4tbsync Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
edk2 Correcciones de seguridad [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587]
el-api Corrige migraciones de stretch a buster que incluyen Tomcat 8
fex Corrige un potencial problema de seguridad en fexsrv
filezilla Corrige vulnerabilidad de ruta de búsqueda no confiable («untrusted search path vulnerability») [CVE-2019-5429]
frr Corrige capacidad extendida de siguiente salto («extended next hop capability»)
fuse Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge»)
fuse3 Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge»); corrige filtración de contenido de la memoria en fuse_session_new()
golang-github-prometheus-common Extiende validez de certificados de prueba
gosa Sustituye (un)serialize por json_encode/json_decode para mitigar inyección de objetos PHP [CVE-2019-14466]
hbci4java Soporta directiva de la Unión Europea sobre servicios de pago (PSD2)
hibiscus Soporta directiva de la Unión Europea sobre servicios de pago (PSD2)
iputils Corrige un problema por el cual ping termina, incorrectamente, con un código de error cuando todavía quedan direcciones no probadas en la lista devuelta por la función de biblioteca getaddrinfo()
ircd-hybrid Usa dhparam.pem para evitar caída en el arranque
jekyll Permite el uso de ruby-i18n 0.x y 1.x
jsp-api Corrige migraciones de stretch a buster que incluyen Tomcat 8
lemonldap-ng Evita accesos no deseados a puntos de acceso («endpoints») de administración [CVE-2019-19791]; corrige la extensión («plugin») GrantSession que no podía prohibir el acceso («logon») cuando se usaba autenticación de doble factor; corrige redirecciones arbitrarias con OIDC si no se usaba redirect_uri
libdatetime-timezone-perl Actualiza los datos incluidos
libreoffice Corrige transiciones de transparencias OpenGL
libssh Corrige posible problema de denegación de servicio al manejar claves AES-CTR con OpenSSL [CVE-2020-1730]
libvncserver Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-15690]
linux Nueva versión «estable» del proyecto original
linux-latest Actualizada la ABI del núcleo a la 4.19.0-9
linux-signed-amd64 Nueva versión «estable» del proyecto original
linux-signed-arm64 Nueva versión «estable» del proyecto original
linux-signed-i386 Nueva versión «estable» del proyecto original
lwip Corrige desbordamiento de memoria [CVE-2020-8597]
lxc-templates Nueva versión «estable» del proyecto original; gestiona idiomas que solo están codificados en UTF-8
manila Corrige comprobación de los permisos de acceso, que faltaba [CVE-2020-9543]
megatools Añade soporte para el nuevo formato de los enlaces mega.nz
mew Corrige comprobación de la validez de certificados SSL de servidor
mew-beta Corrige comprobación de la validez de certificados SSL de servidor
mkvtoolnix Recompilado para ajustar dependencia con libmatroska6v5
ncbi-blast+ Inhabilita soporte de SSE4.2
node-anymatch Elimina dependencias innecesarias
node-dot Evita ejecución de código después de contaminación de prototipo [CVE-2020-8141]
node-dot-prop Corrige contaminación de prototipo [CVE-2020-8116]
node-knockout Corrige la codificación para evitar la evaluación («escaping») con versiones antiguas de Internet Explorer [CVE-2019-14862]
node-mongodb Rechaza _bsontypes inválidos [CVE-2019-2391 CVE-2020-7610]
node-yargs-parser Corrige contaminación de prototipo [CVE-2020-7608]
npm Corrige acceso a rutas arbitrarias [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777]
nvidia-graphics-drivers Nueva versión «estable» del proyecto original
nvidia-graphics-drivers-legacy-390xx Nueva versión «estable» del proyecto original
nvidia-settings-legacy-340xx Nueva versión del proyecto original
oar Revierte el comportamiento de la función perl Storable::dclone al que tenía en stretch, corrigiendo problemas de profundidad de recursión
opam Prefiere mccs a aspcud
openvswitch Corrige fallo de vswitchd cuando se añade un puerto y el controlador está caído
orocos-kdl Corrige conversión de cadena de caracteres con Python 3
owfs Elimina paquetes de Python 3 rotos
pango1.0 Corrige caída en pango_fc_font_key_get_variations() cuando la clave es nula
pgcli Añade dependencia con python3-pkg-resources, que faltaba
php-horde-data Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8518]
php-horde-form Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8866]
php-horde-trean Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8865]
postfix Nueva versión «estable» del proyecto original; corrige panic con configuración Postfix multi-Milter durante MAIL FROM; corrige cambio en d/init.d running de forma que vuelva a funcionar con instancias múltiples
proftpd-dfsg Corrige problema de acceso a memoria en código de «keyboard-interactive» en mod_sftp; procesa correctamente mensajes DEBUG, IGNORE, DISCONNECT y UNIMPLEMENTED en modo «keyboard-interactive»
puma Corrige problema de denegación de servicio [CVE-2019-16770]
purple-discord Corrige caídas en ssl_nss_read
python-oslo.utils Corrige fuga de información sensible a través de los logs de mistral [CVE-2019-3866]
rails Corrige posible ejecución de scripts entre sitios («cross-site scripting») mediante métodos de ayuda Javascript para codificar caracteres y evitar su evaluación («escape helper») [CVE-2020-5267]
rake Corrige vulnerabilidad de inyección de órdenes [CVE-2020-8130]
raspi3-firmware Corrige discordancia de nombres de los dtb en z50-raspi-firmware; corrige arranque en Raspberry Pi familias 1 y 0
resource-agents Corrige ethmonitor no lista interfaces que no tienen dirección IP asignada; elimina parche xen-toolstack, que ya no es necesario; corrige uso no estándar en agente ZFS
rootskel Inhabilita soporte de múltiples consolas si se usa preselección de respuestas («preseeding»)
ruby-i18n Corrige generación de gemspec
rubygems-integration Evita avisos de depreciación cuando los usuarios instalan una versión más reciente de Rubygems mediante gem update --system
schleuder Mejora el parche para tratar errores de codificación introducido en la versión anterior; cambia la codificación por omisión a UTF-8; permite que x-add-key procese correos con claves adjuntas codificadas con caracteres imprimibles («quoted-printable»); corrige x-attach-listkey con correos creados por Thunderbird que incluyen cabeceras protegidas
scilab Corrige la carga de bibliotecas con OpenJDK 11.0.7
serverspec-runner Soporta Ruby 2.5
softflowd Corrige la agregación de flujos, que está rota y podría dar lugar al desbordamiento de la tabla de flujos y a un consumo de CPU del 100%
speech-dispatcher Corrige latencia por omisión de pulseaudio, que provoca salida chirriante («scratchy»)
spl-linux Corrige abrazo mortal
sssd Corrige bucle en sssd_be cuando la conexión a LDAP es intermitente
systemd Al autorizar con PolicyKit, resuelve de nuevo la retrollamada («callback») y los datos de usuario en lugar de cachearlos [CVE-2020-1712]; instala 60-block.rules en udev-udeb y en initramfs-tools
taglib Corrige problemas de corrupción de ficheros OGG
tbsync Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird
timeshift Corrige uso de directorio temporal predecible [CVE-2020-10174]
tinyproxy Solo da valor a PIDDIR si PIDFILE es una cadena de caracteres con longitud mayor que cero
tzdata Nueva versión «estable» del proyecto original
uim Elimina del registro módulos que no están instalados, corrigiendo una regresión en la actualización anterior del paquete
user-mode-linux Corrige error de compilación con núcleos «estables» actuales
vite Corrige caída cuando hay más de 32 elementos
waagent Nueva versión del proyecto original; soporta instalación conjuntamente con cloud-init
websocket-api Corrige migraciones de stretch a buster que incluyen Tomcat 8
wpa No intenta detectar discordancia de la PSK durante la regeneración («rekeying») de la PTK; comprueba el soporte de FT al seleccionar suites FT; corrige problema de aleatorización de la MAC con algunas tarjetas
xdg-utils xdg-open: corrige comprobación y tratamiento por parte de pcmanfm de directorios cuyo nombre contiene espacios; xdg-screensaver: sanea el nombre de la ventana antes de enviárselo a D-Bus; xdg-mime: crea el directorio de configuración si no existe
xtrlock Corrige el bloqueo de (algunos) dispositivos multitáctiles mientras está cerrado [CVE-2016-10894]
zfs-linux Corrige potenciales problemas de abrazo mortal

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4623 postgresql-11
DSA-4624 evince
DSA-4625 thunderbird
DSA-4627 webkit2gtk
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4636 python-bleach
DSA-4637 network-manager-ssh
DSA-4638 chromium
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4641 webkit2gtk
DSA-4642 thunderbird
DSA-4643 python-bleach
DSA-4644 tor
DSA-4645 chromium
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4649 haproxy
DSA-4650 qbittorrent
DSA-4651 mediawiki
DSA-4652 gnutls28
DSA-4653 firefox-esr
DSA-4654 chromium
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4658 webkit2gtk
DSA-4659 git
DSA-4660 awl
DSA-4661 openssl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4665 qemu
DSA-4666 openldap
DSA-4667 linux-signed-amd64
DSA-4667 linux-signed-arm64
DSA-4667 linux-signed-i386
DSA-4667 linux
DSA-4669 nodejs
DSA-4671 vlc
DSA-4672 trafficserver

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
getlive Roto debido a cambios en Hotmail
gplaycli Roto por cambios en la API de Google
kerneloops El servicio del proyecto original ya no está disponible
lambda-align2 [arm64 armel armhf i386 mips64el ppc64el s390x] Roto en arquitecturas no amd64
libmicrodns Problemas de seguridad
libperlspeak-perl Problemas de seguridad; sin desarrollo activo
quotecolors Incompatible con versiones más recientes de Thunderbird
torbirdy Incompatible con versiones más recientes de Thunderbird
ugene No libre; no compila
yahoo2mbox Roto desde hace varios años

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/buster/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.