Debian 9 actualizado: publicada la versión 9.13
18 de julio de 2020
El proyecto Debian se complace en anunciar la decimotercera (y última) actualización de su
distribución «antigua estable» Debian 9 (nombre en clave stretch
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tras la publicación de esta versión, los equipos de seguridad y responsable de la publicación de Debian ya no proporcionarán actualizaciones para Debian 9. Los usuarios que deseen continuar recibiendo soporte de seguridad deberían actualizar a Debian 10 o consultar https://wiki.debian.org/LTS para detalles sobre el subconjunto de arquitecturas y paquetes que están cubiertos por el proyecto de soporte a largo plazo («LTS»).
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
9, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de stretch
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| acmetool | Recompilado contra golang reciente para recoger correcciones de seguridad |
| atril | dvi: mitiga ataques de inyección de órdenes cambiando la manera de entrecomillar el nombre de fichero [CVE-2017-1000159]; corrige comprobaciones de desbordamiento en backend tiff [CVE-2019-1010006]; tiff: gestiona fallo procedente de TIFFReadRGBAImageOriented [CVE-2019-11459] |
| bacula | Añade paquete de transición bacula-director-common, evitando la pérdida de /etc/bacula/bacula-dir.conf al eliminar el paquete («purge»); hace que root sea el propietario de los ficheros de PID |
| base-files | Actualiza /etc/debian_version para esta versión |
| batik | Corrige falsificación de solicitudes en el lado servidor («server-side request forgery») mediante atributos xlink:href [CVE-2019-17566] |
| c-icap-modules | Soporta ClamAV 0.102 |
| ca-certificates | Actualiza el lote de CA de Mozilla a la 2.40, añade a la lista negra los no confiables certificados raíz de Symantec y el expirado AddTrust External Root; elimina certificados exclusivos para correo electrónico |
| chasquid | Recompilado contra golang reciente para recoger correcciones de seguridad |
| checkstyle | Corrige problema de inyección de entidad externa XML [CVE-2019-9658 CVE-2019-10782] |
| clamav | Nueva versión del proyecto original [CVE-2020-3123]; correcciones de seguridad [CVE-2020-3327 CVE-2020-3341] |
| compactheader | Nueva versión del proyecto original, compatible con versiones más recientes de Thunderbird |
| cram | Ignora fallos de pruebas para corregir problemas de compilación |
| csync2 | Falla la orden HELLO cuando se requiere SSL |
| cups | Corrige desbordamiento de memoria dinámica («heap») [CVE-2020-3898] y la función `ippReadIO` puede leer fuera de límites un campo extensión ('under-read an extension field')[CVE-2019-8842] |
| dbus | Nueva versión «estable» del proyecto original; evita un problema de denegación de servicio [CVE-2020-12049]; evita «uso tras liberar» si dos nombres de usuario tienen el mismo uid |
| debian-installer | Actualizado para la ABI del núcleo Linux 4.9.0-13 |
| debian-installer-netboot-images | Recompilado contra stretch-proposed-updates |
| debian-security-support | Actualiza el estado de soporte de varios paquetes |
| erlang | Corrige el uso de algoritmos de cifrado TLS débiles [CVE-2020-12872] |
| exiv2 | Corrige problema de denegación de servicio [CVE-2018-16336]; corrige solución demasiado restrictiva para CVE-2018-10958 y CVE-2018-10999 |
| fex | Actualización de seguridad |
| file-roller | Corrección de seguridad [CVE-2020-11736] |
| fwupd | Nueva versión del proyecto original; usa un CNAME para redireccionar al CDN correcto para los metadatos; no aborta el arranque si el fichero XML de metadatos es inválido; añade las claves públicas GPG de la Linux Foundation para firmware y metadatos; aumenta el límite de metadatos a 10MB |
| glib-networking | Devuelve error de identidad errónea si identity no tiene valor [CVE-2020-13645] |
| gnutls28 | Corrige problema de corrupción de memoria [CVE-2019-3829]; corrige filtración de contenido de la memoria; añade soporte para tickets de sesión de longitud cero, corrige errores de conexión a algunos proveedores de alojamiento («hosting providers») en sesiones TLS1.2 |
| gosa | Hace más stricta la comprobación de LDAP correcto/erróneo [CVE-2019-11187]; corrige compatibilidad con versiones de PHP más recientes; retroadapta otros parches; sustituye (un)serialize por json_encode/json_decode para mitigar inyección de objetos PHP [CVE-2019-14466] |
| heartbleeder | Recompilado contra golang reciente para recoger correcciones de seguridad |
| intel-microcode | Devuelve algunos microcódigos a versiones previas, como solución provisional a cuelgues durante el arranque en Skylake-U/Y y Skylake Xeon E3 |
| iptables-persistent | No falla en caso de que lo haga modprobe |
| jackson-databind | Corrige varios problemas de seguridad que afectan a BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267] |
| libbusiness-hours-perl | Usa cuatro dígitos para los años, corrigiendo problemas de compilación y de uso |
| libclamunrar | Nueva versión «estable» del proyecto original; añade un metapaquete sin número de versión |
| libdbi | Marca de nuevo como comentario la llamada a _error_handler(), corrigiendo problemas con consumidores |
| libembperl-perl | Trata páginas de error de Apache >= 2.4.40 |
| libexif | Correcciones de seguridad [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; correcciones de seguridad [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; corrige una lectura de memoria fuera de límites [CVE-2020-0182] y un desbordamiento de entero sin signo [CVE-2020-0198] |
| libvncserver | Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-15690] |
| linux | Nueva versión «estable» del proyecto original; actualiza la ABI a la 4.9.0-13 |
| linux-latest | Actualizado para la ABI del núcleo 4.9.0-13 |
| mariadb-10.1 | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814] |
| megatools | Añade soporte para el nuevo formato de los enlaces mega.nz |
| mod-gnutls | Evita conjuntos de algoritmos de cifrado discontinuados («deprecated») en el conjunto de pruebas; corrige fallos de pruebas cuando se combina con la corrección de Apache para CVE-2019-10092 |
| mongo-tools | Recompilado contra golang reciente para recoger correcciones de seguridad |
| neon27 | Trata fallos de pruebas relacionados con OpenSSL como no fatales |
| nfs-utils | Corrige potencial vulnerabilidad de sobreescritura de fichero [CVE-2019-3689]; no hace que el propietario de todo /var/lib/nfs sea el usuario statd |
| nginx | Corrige vulnerabilidad de «contrabando» de petición («request smuggling») de páginas de error [CVE-2019-20372] |
| node-url-parse | Sanea rutas y nombres de máquina («hosts») antes del análisis sintáctico [CVE-2018-3774] |
| nvidia-graphics-drivers | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2020-5963 CVE-2020-5967] |
| pcl | Corrige dependencia con libvtk6-qt-dev, que faltaba |
| perl | Corrige varios problemas de seguridad relacionados con expresiones regulares [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723] |
| php-horde | Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») [CVE-2020-8035] |
| php-horde-data | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8518] |
| php-horde-form | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8866] |
| php-horde-gollem | Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») en la salida de breadcrumb [CVE-2020-8034] |
| php-horde-trean | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8865] |
| phpmyadmin | Varias correcciones de seguridad [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504] |
| postfix | Nueva versión «estable» del proyecto original |
| proftpd-dfsg | Corrige gestión de paquetes SSH_MSG_IGNORE |
| python-icalendar | Corrige dependencias con Python3 |
| rails | Corrige posible ejecución de scripts entre sitios («cross-site scripting») mediante métodos de ayuda Javascript para codificar caracteres y evitar su evaluación («escape helper») [CVE-2020-5267] |
| rake | Corrige vulnerabilidad de inyección de órdenes [CVE-2020-8130] |
| roundcube | Corrige problema de ejecución de scripts entre sitios («cross-site scripting») mediante mensajes HTML con svg/namespace malicioso [CVE-2020-15562] |
| ruby-json | Corrige vulnerabilidad de creación insegura de objetos [CVE-2020-10663] |
| ruby2.3 | Corrige vulnerabilidad de creación insegura de objetos [CVE-2020-10663] |
| sendmail | Corrige la localización del proceso de control de los mensajeros de las colas («queue runner») en modo split daemon(«daemons separados»), el texto del mensaje NOQUEUE: connect from (null), fallo de eliminación cuando se utiliza BTRFS |
| sogo-connector | Nueva versión del proyecto original, compatible con versiones más recientes de Thunderbird |
| ssvnc | Corrige escritura fuera de límites [CVE-2018-20020], bucle infinito [CVE-2018-20021], inicialización errónea [CVE-2018-20022], potencial denegación de servicio [CVE-2018-20024] |
| storebackup | Corrige posible vulnerabilidad de elevación de privilegios [CVE-2020-7040] |
| swt-gtk | Corrige dependencia con libwebkitgtk-1.0-0, que faltaba |
| tinyproxy | Crea fichero de PID antes de reducir privilegios a los de una cuenta distinta de root [CVE-2017-11747] |
| tzdata | Nueva versión «estable» del proyecto original |
| websockify | Corrige dependencia con python{3,}-pkg-resources, que faltaba |
| wpa | Corrige elusión de la protección contra la desconexión con PMF en modo AP [CVE-2019-16275]; corrige problemas de aleatorización de la MAC con algunas tarjetas |
| xdg-utils | Sanea el nombre de la ventana antes de enviárselo a D-Bus; gestiona correctamente directorios cuyo nombre contiene espacios; crea el directorio applicationssi es necesario |
| xml-security-c | Corrige el cálculo de una longitud en el método concat |
| xtrlock | Corrige el bloqueo de (algunos) dispositivos multitáctiles mientras está cerrado [CVE-2016-10894] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| certificatepatrol | Incompatible con versiones más recientes de Firefox ESR |
| colorediffs-extension | Incompatible con versiones más recientes de Thunderbird |
| dynalogin | Depende de simpleid, que se elimina |
| enigmail | Incompatible con versiones más recientes de Thunderbird |
| firefox-esr | [armel] Deja de estar soportado (requiere nodejs) |
| firefox-esr | [mips mipsel mips64el] Deja de estar soportado (necesita rustc más reciente) |
| getlive | Roto por cambios en Hotmail |
| gplaycli | Roto por cambios en la API de Google |
| kerneloops | Ya no está disponible el servicio del proyecto original |
| libmicrodns | Problemas de seguridad |
| libperlspeak-perl | Problemas de seguridad; sin desarrollo activo |
| mathematica-fonts | Depende de una ubicación de descargas no disponible |
| pdns-recursor | Problemas de seguridad; no soportado |
| predictprotein | Depende de profphd, que se elimina |
| profphd | Inservible |
| quotecolors | Incompatible con versiones más recientes de Thunderbird |
| selenium-firefoxdriver | Incompatible con versiones más recientes de Firefox ESR |
| simpleid | No funciona con PHP7 |
| simpleid-ldap | Depende de simpleid, que se elimina |
| torbirdy | Incompatible con versiones más recientes de Thunderbird |
| weboob | Sin desarrollo activo; ya eliminado de versiones posteriores |
| yahoo2mbox | Roto desde hace varios años |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «antigua estable» actual:
Actualizaciones propuestas a la distribución «antigua estable»:
Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.