Debian 9 actualizado: publicada la versión 9.13

18 de julio de 2020

El proyecto Debian se complace en anunciar la decimotercera (y última) actualización de su distribución «antigua estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tras la publicación de esta versión, los equipos de seguridad y responsable de la publicación de Debian ya no proporcionarán actualizaciones para Debian 9. Los usuarios que deseen continuar recibiendo soporte de seguridad deberían actualizar a Debian 10 o consultar https://wiki.debian.org/LTS para detalles sobre el subconjunto de arquitecturas y paquetes que están cubiertos por el proyecto de soporte a largo plazo («LTS»).

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
acmetool Recompilado contra golang reciente para recoger correcciones de seguridad
atril dvi: mitiga ataques de inyección de órdenes cambiando la manera de entrecomillar el nombre de fichero [CVE-2017-1000159]; corrige comprobaciones de desbordamiento en backend tiff [CVE-2019-1010006]; tiff: gestiona fallo procedente de TIFFReadRGBAImageOriented [CVE-2019-11459]
bacula Añade paquete de transición bacula-director-common, evitando la pérdida de /etc/bacula/bacula-dir.conf al eliminar el paquete («purge»); hace que root sea el propietario de los ficheros de PID
base-files Actualiza /etc/debian_version para esta versión
batik Corrige falsificación de solicitudes en el lado servidor («server-side request forgery») mediante atributos xlink:href [CVE-2019-17566]
c-icap-modules Soporta ClamAV 0.102
ca-certificates Actualiza el lote de CA de Mozilla a la 2.40, añade a la lista negra los no confiables certificados raíz de Symantec y el expirado AddTrust External Root; elimina certificados exclusivos para correo electrónico
chasquid Recompilado contra golang reciente para recoger correcciones de seguridad
checkstyle Corrige problema de inyección de entidad externa XML [CVE-2019-9658 CVE-2019-10782]
clamav Nueva versión del proyecto original [CVE-2020-3123]; correcciones de seguridad [CVE-2020-3327 CVE-2020-3341]
compactheader Nueva versión del proyecto original, compatible con versiones más recientes de Thunderbird
cram Ignora fallos de pruebas para corregir problemas de compilación
csync2 Falla la orden HELLO cuando se requiere SSL
cups Corrige desbordamiento de memoria dinámica («heap») [CVE-2020-3898] y la función `ippReadIO` puede leer fuera de límites un campo extensión ('under-read an extension field') [CVE-2019-8842]
dbus Nueva versión «estable» del proyecto original; evita un problema de denegación de servicio [CVE-2020-12049]; evita «uso tras liberar» si dos nombres de usuario tienen el mismo uid
debian-installer Actualizado para la ABI del núcleo Linux 4.9.0-13
debian-installer-netboot-images Recompilado contra stretch-proposed-updates
debian-security-support Actualiza el estado de soporte de varios paquetes
erlang Corrige el uso de algoritmos de cifrado TLS débiles [CVE-2020-12872]
exiv2 Corrige problema de denegación de servicio [CVE-2018-16336]; corrige solución demasiado restrictiva para CVE-2018-10958 y CVE-2018-10999
fex Actualización de seguridad
file-roller Corrección de seguridad [CVE-2020-11736]
fwupd Nueva versión del proyecto original; usa un CNAME para redireccionar al CDN correcto para los metadatos; no aborta el arranque si el fichero XML de metadatos es inválido; añade las claves públicas GPG de la Linux Foundation para firmware y metadatos; aumenta el límite de metadatos a 10MB
glib-networking Devuelve error de identidad errónea si identity no tiene valor [CVE-2020-13645]
gnutls28 Corrige problema de corrupción de memoria [CVE-2019-3829]; corrige filtración de contenido de la memoria; añade soporte para tickets de sesión de longitud cero, corrige errores de conexión a algunos proveedores de alojamiento («hosting providers») en sesiones TLS1.2
gosa Hace más stricta la comprobación de LDAP correcto/erróneo [CVE-2019-11187]; corrige compatibilidad con versiones de PHP más recientes; retroadapta otros parches; sustituye (un)serialize por json_encode/json_decode para mitigar inyección de objetos PHP [CVE-2019-14466]
heartbleeder Recompilado contra golang reciente para recoger correcciones de seguridad
intel-microcode Devuelve algunos microcódigos a versiones previas, como solución provisional a cuelgues durante el arranque en Skylake-U/Y y Skylake Xeon E3
iptables-persistent No falla en caso de que lo haga modprobe
jackson-databind Corrige varios problemas de seguridad que afectan a BeanDeserializerFactory [CVE-2020-9548 CVE-2020-9547 CVE-2020-9546 CVE-2020-8840 CVE-2020-14195 CVE-2020-14062 CVE-2020-14061 CVE-2020-14060 CVE-2020-11620 CVE-2020-11619 CVE-2020-11113 CVE-2020-11112 CVE-2020-11111 CVE-2020-10969 CVE-2020-10968 CVE-2020-10673 CVE-2020-10672 CVE-2019-20330 CVE-2019-17531 and CVE-2019-17267]
libbusiness-hours-perl Usa cuatro dígitos para los años, corrigiendo problemas de compilación y de uso
libclamunrar Nueva versión «estable» del proyecto original; añade un metapaquete sin número de versión
libdbi Marca de nuevo como comentario la llamada a _error_handler(), corrigiendo problemas con consumidores
libembperl-perl Trata páginas de error de Apache >= 2.4.40
libexif Correcciones de seguridad [CVE-2016-6328 CVE-2017-7544 CVE-2018-20030 CVE-2020-12767 CVE-2020-0093]; correcciones de seguridad [CVE-2020-13112 CVE-2020-13113 CVE-2020-13114]; corrige una lectura de memoria fuera de límites [CVE-2020-0182] y un desbordamiento de entero sin signo [CVE-2020-0198]
libvncserver Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-15690]
linux Nueva versión «estable» del proyecto original; actualiza la ABI a la 4.9.0-13
linux-latest Actualizado para la ABI del núcleo 4.9.0-13
mariadb-10.1 Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2020-2752 CVE-2020-2812 CVE-2020-2814]
megatools Añade soporte para el nuevo formato de los enlaces mega.nz
mod-gnutls Evita conjuntos de algoritmos de cifrado discontinuados («deprecated») en el conjunto de pruebas; corrige fallos de pruebas cuando se combina con la corrección de Apache para CVE-2019-10092
mongo-tools Recompilado contra golang reciente para recoger correcciones de seguridad
neon27 Trata fallos de pruebas relacionados con OpenSSL como no fatales
nfs-utils Corrige potencial vulnerabilidad de sobreescritura de fichero [CVE-2019-3689]; no hace que el propietario de todo /var/lib/nfs sea el usuario statd
nginx Corrige vulnerabilidad de «contrabando» de petición («request smuggling») de páginas de error [CVE-2019-20372]
node-url-parse Sanea rutas y nombres de máquina («hosts») antes del análisis sintáctico [CVE-2018-3774]
nvidia-graphics-drivers Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2020-5963 CVE-2020-5967]
pcl Corrige dependencia con libvtk6-qt-dev, que faltaba
perl Corrige varios problemas de seguridad relacionados con expresiones regulares [CVE-2020-10543 CVE-2020-10878 CVE-2020-12723]
php-horde Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») [CVE-2020-8035]
php-horde-data Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8518]
php-horde-form Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8866]
php-horde-gollem Corrige vulnerabilidad de ejecución de scripts entre sitios («cross-site scripting») en la salida de breadcrumb [CVE-2020-8034]
php-horde-trean Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8865]
phpmyadmin Varias correcciones de seguridad [CVE-2018-19968 CVE-2018-19970 CVE-2018-7260 CVE-2019-11768 CVE-2019-12616 CVE-2019-6798 CVE-2019-6799 CVE-2020-10802 CVE-2020-10803 CVE-2020-10804 CVE-2020-5504]
postfix Nueva versión «estable» del proyecto original
proftpd-dfsg Corrige gestión de paquetes SSH_MSG_IGNORE
python-icalendar Corrige dependencias con Python3
rails Corrige posible ejecución de scripts entre sitios («cross-site scripting») mediante métodos de ayuda Javascript para codificar caracteres y evitar su evaluación («escape helper») [CVE-2020-5267]
rake Corrige vulnerabilidad de inyección de órdenes [CVE-2020-8130]
roundcube Corrige problema de ejecución de scripts entre sitios («cross-site scripting») mediante mensajes HTML con svg/namespace malicioso [CVE-2020-15562]
ruby-json Corrige vulnerabilidad de creación insegura de objetos [CVE-2020-10663]
ruby2.3 Corrige vulnerabilidad de creación insegura de objetos [CVE-2020-10663]
sendmail Corrige la localización del proceso de control de los mensajeros de las colas («queue runner») en modo split daemon («daemons separados»), el texto del mensaje NOQUEUE: connect from (null), fallo de eliminación cuando se utiliza BTRFS
sogo-connector Nueva versión del proyecto original, compatible con versiones más recientes de Thunderbird
ssvnc Corrige escritura fuera de límites [CVE-2018-20020], bucle infinito [CVE-2018-20021], inicialización errónea [CVE-2018-20022], potencial denegación de servicio [CVE-2018-20024]
storebackup Corrige posible vulnerabilidad de elevación de privilegios [CVE-2020-7040]
swt-gtk Corrige dependencia con libwebkitgtk-1.0-0, que faltaba
tinyproxy Crea fichero de PID antes de reducir privilegios a los de una cuenta distinta de root [CVE-2017-11747]
tzdata Nueva versión «estable» del proyecto original
websockify Corrige dependencia con python{3,}-pkg-resources, que faltaba
wpa Corrige elusión de la protección contra la desconexión con PMF en modo AP [CVE-2019-16275]; corrige problemas de aleatorización de la MAC con algunas tarjetas
xdg-utils Sanea el nombre de la ventana antes de enviárselo a D-Bus; gestiona correctamente directorios cuyo nombre contiene espacios; crea el directorio applications si es necesario
xml-security-c Corrige el cálculo de una longitud en el método concat
xtrlock Corrige el bloqueo de (algunos) dispositivos multitáctiles mientras está cerrado [CVE-2016-10894]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4005 openjfx
DSA-4255 ant
DSA-4352 chromium-browser
DSA-4379 golang-1.7
DSA-4380 golang-1.8
DSA-4395 chromium
DSA-4421 chromium
DSA-4616 qemu
DSA-4617 qtbase-opensource-src
DSA-4618 libexif
DSA-4619 libxmlrpc3-java
DSA-4620 firefox-esr
DSA-4621 openjdk-8
DSA-4622 postgresql-9.6
DSA-4624 evince
DSA-4625 thunderbird
DSA-4628 php7.0
DSA-4629 python-django
DSA-4630 python-pysaml2
DSA-4631 pillow
DSA-4632 ppp
DSA-4633 curl
DSA-4634 opensmtpd
DSA-4635 proftpd-dfsg
DSA-4637 network-manager-ssh
DSA-4639 firefox-esr
DSA-4640 graphicsmagick
DSA-4642 thunderbird
DSA-4646 icu
DSA-4647 bluez
DSA-4648 libpam-krb5
DSA-4650 qbittorrent
DSA-4653 firefox-esr
DSA-4655 firefox-esr
DSA-4656 thunderbird
DSA-4657 git
DSA-4659 git
DSA-4660 awl
DSA-4663 python-reportlab
DSA-4664 mailman
DSA-4666 openldap
DSA-4668 openjdk-8
DSA-4670 tiff
DSA-4671 vlc
DSA-4673 tomcat8
DSA-4674 roundcube
DSA-4675 graphicsmagick
DSA-4676 salt
DSA-4677 wordpress
DSA-4678 firefox-esr
DSA-4683 thunderbird
DSA-4685 apt
DSA-4686 apache-log4j1.2
DSA-4687 exim4
DSA-4688 dpdk
DSA-4689 bind9
DSA-4692 netqmail
DSA-4693 drupal7
DSA-4695 firefox-esr
DSA-4698 linux
DSA-4700 roundcube
DSA-4701 intel-microcode
DSA-4702 thunderbird
DSA-4703 mysql-connector-java
DSA-4704 vlc
DSA-4705 python-django
DSA-4706 drupal7
DSA-4707 mutt
DSA-4711 coturn
DSA-4713 firefox-esr
DSA-4715 imagemagick
DSA-4717 php7.0
DSA-4718 thunderbird

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
certificatepatrol Incompatible con versiones más recientes de Firefox ESR
colorediffs-extension Incompatible con versiones más recientes de Thunderbird
dynalogin Depende de simpleid, que se elimina
enigmail Incompatible con versiones más recientes de Thunderbird
firefox-esr [armel] Deja de estar soportado (requiere nodejs)
firefox-esr [mips mipsel mips64el] Deja de estar soportado (necesita rustc más reciente)
getlive Roto por cambios en Hotmail
gplaycli Roto por cambios en la API de Google
kerneloops Ya no está disponible el servicio del proyecto original
libmicrodns Problemas de seguridad
libperlspeak-perl Problemas de seguridad; sin desarrollo activo
mathematica-fonts Depende de una ubicación de descargas no disponible
pdns-recursor Problemas de seguridad; no soportado
predictprotein Depende de profphd, que se elimina
profphd Inservible
quotecolors Incompatible con versiones más recientes de Thunderbird
selenium-firefoxdriver Incompatible con versiones más recientes de Firefox ESR
simpleid No funciona con PHP7
simpleid-ldap Depende de simpleid, que se elimina
torbirdy Incompatible con versiones más recientes de Thunderbird
weboob Sin desarrollo activo; ya eliminado de versiones posteriores
yahoo2mbox Roto desde hace varios años

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/stretch/ChangeLog

La distribución «antigua estable» actual:

http://ftp.debian.org/debian/dists/oldstable/

Actualizaciones propuestas a la distribución «antigua estable»:

http://ftp.debian.org/debian/dists/oldstable-proposed-updates

Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/oldstable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.