Debian 10 actualizado: publicada la versión 10.6

26 de septiembre de 2020

El proyecto Debian se complace en anunciar la sexta actualización de la distribución estable Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado de forma independiente y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión de Debian 10 sino que actualiza alguno de los paquetes que vienen incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica de Debian actualizada.

Quienes instalen actualizaciones desde security.debian.org con frecuencia no necesitarán actualizar muchos paquetes ya que la mayoría de dichas actualizaciones están incluidas en esta versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación ya existente a esta versión conectando el sistema de gestión de paquetes a una de las múltiples réplicas HTTP de Debian. En la siguiente dirección puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta versión «estable» añade correcciones importantes a los siguientes paquetes.

Tenga en cuenta que, debido a problemas de la compilación, las actualizaciones para los paquetes cargo, rustc y rustc-bindgen no están disponibles actualmente para la arquitectura armel. Estas actualizaciones se añadirán en un futuro si se resuelven esos problemas.

Paquete Motivo
arch-test Corrige fallos de detección ocasionales de S390x
asterisk Corrige caída en la negociación de T.38 con una transmisión rechazada («declined stream») [CVE-2019-15297], Una petición SIP puede cambiar la dirección de un par SIP [CVE-2019-18790], Un usuario de la AMI podría ejecutar órdenes del sistema [CVE-2019-18610], violación de acceso en «pjsip show history» con pares IPv6
bacula Corrige cadena de datos sobredimensionada permite a un cliente malicioso causar un desbordamiento de la memora dinámica («heap») del director [CVE-2020-11061]
base-files Actualiza /etc/debian_version a la versión actual
calamares-settings-debian Inhabilita el módulo displaymanager
cargo Nueva versión del proyecto original para dar soporte a próximas versiones de Firefox ESR
chocolate-doom Corrige la validación ausente [CVE-2020-14983]
chrony Previene una carrera de enlace simbólico cuando se escribe en el archivo PID [CVE-2020-14367]; corrige la lectura de temperatura
debian-installer Actualiza la ABI de Linux a la versión 4.19.0-11
debian-installer-netboot-images Recompilado contra proposed-updates
diaspora-installer Usa la opción --frozen en «bundle install» para que utilice el Gemfile.lock del proyecto original; no excluye Gemfile.lock en las actualizaciones; no sobrescribe config/oidc_key.pem en las actualizaciones; convierte config/schedule.yml en un archivo escribible
dojo Corrige contaminación del prototipo en el método deepCopy [CVE-2020-5258] y en el método jqMix [CVE-2020-5259]
dovecot Corrige regresión de sincronización de filtros sieve con dsync; corrige el manejo del resultado de getpwent en userdb-passwd
facter Cambia el extremo de los metadatos de Google GCE de v1beta1 a v1
gnome-maps Corrige un problema con el renderizado de capas de forma desalineadas
gnome-shell Diálogo de inicio de sesión: al cambiar de VT, inicializa los campos para introducir las credenciales antes de mostrar el diálogo [CVE-2020-17489]
gnome-weather Previene caída cuando el conjunto de localizaciones configurado no es válido
grunt Emplea carga segura («safeLoad») cuando se cargan archivos YAML [CVE-2020-7729]
gssdp Nueva versión «estable» del proyecto original
gupnp Nueva versión «estable» del proyecto original; previene el ataque de CallStranger [CVE-2020-12695]; necesita GSSDP 1.0.5
haproxy logrotate.conf: emplea un script auxiliar de rsyslog en lugar del script de inicio SysV; rechaza mensajes en los que no está presente chunked en «Transfer-Encoding»[CVE-2019-18277]
icinga2 Corrige el ataque de enlace simbólico [CVE-2020-14004]
incron Corrige la limpieza de procesos zombies
inetutils Corrige problema de ejecución de código remoto [CVE-2020-10188]
libcommons-compress-java Corrige problema de denegación de servicio [CVE-2019-12402]
libdbi-perl Corrige la corrupción de memoria en funciones XS cuando se reasigna una pila de Perl [CVE-2020-14392]; corrige el desbordamiento de memoria en un nombre de clase DBD muy largo [CVE-2020-14393]; corrige una desreferencia de perfil NULL en dbi_profile() [CVE-2019-20919]
libvncserver libvncclient: cancela el intento de conexión si el nombre del socket UNIX es demasiado largo [CVE-2019-20839]; corrige problema del aliasing/alineamiento del puntero [CVE-2020-14399]; limita el tamaño del chat de texto [CVE-2020-14405]; libvncserver: añade comprobación de puntero nulo faltante [CVE-2020-14397]; corrige problema del aliasing/alineamiento del puntero [CVE-2020-14400]; scale: convierte a 64 bits antes de desplazar [CVE-2020-14401]; previene accesos OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404]
libx11 Corrige desbordamiento de números enteros [CVE-2020-14344 CVE-2020-14363]
lighttpd Adapta correcciones de usabilidad y seguridad para versiones anteriores
linux Nueva versión «estable» del proyecto original; aumenta ABI a 11
linux-latest Actualización para la ABI del núcleo -11
linux-signed-amd64 Nueva versión «estable» del proyecto original
linux-signed-arm64 Nueva versión «estable» del proyecto original
linux-signed-i386 Nueva versión «estable» del proyecto original
llvm-toolchain-7 Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR; corrige fallos que afectan al compilado rustc
lucene-solr Corrige un problema de seguridad en el manejo de la configuración DataImportHandler [CVE-2019-0193]
milkytracker Corrige el desbordamiento de memoria dinámica «heap» [CVE-2019-14464], desbordamiento de pila [CVE-2019-14496], desbordamiento de memoria dinámica «heap» [CVE-2019-14497] y «uso tras liberar» [CVE-2020-15569]
node-bl Corrige vulnerabilidad de lectura fuera de límites [CVE-2020-8244]
node-elliptic Prevención de maleabilidad y desbordamientos [CVE-2020-13822]
node-mysql Añade la opción localInfile para controlar LOAD DATA LOCAL INFILE [CVE-2019-14939]
node-url-parse Corrige la validación insuficiente y el saneado en la entrada de usuario [CVE-2020-8124]
npm Oculta el password en los registros [CVE-2020-15095]
orocos-kdl Elimina inclusión explícita de la ruta «include» predeterminada, corrigiendo problemas con cmake < 3.16
postgresql-11 Nueva versión «estable» del proyecto original; configura un search_path seguro en la replicación lógica de walsenders y apply workers [CVE-2020-14349]; hace más seguros los scripts de instalación de los módulos de contribuidores [CVE-2020-14350]
postgresql-common No deja caer plpgsql antes de probar las extensiones
pyzmq Asyncio: espera a POLLOUT en el emisor en can_connect
qt4-x11 Corrige desbordamiento de memoria en el intérprete XBM [CVE-2020-17507]
qtbase-opensource-src Corrige desbordamiento de memoria en el intérprete XBM [CVE-2020-17507]; corrige la ruptura del portapapeles cuando el temporizador completa su ciclo y vuelve al principio tras 50 días
ros-actionlib Carga YAML de forma segura [CVE-2020-10289]
rustc Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR
rust-cbindgen Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR
ruby-ronn Corrige el manejo de contenido UTF-8 en las páginas del manual
s390-tools Definición interna de dependencias de perl en lugar de usar ${perl:Depends}, corrige la instalación bajo debootstrap

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la versión «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-4662 openjdk-11
DSA-4734 openjdk-11
DSA-4736 firefox-esr
DSA-4737 xrdp
DSA-4738 ark
DSA-4739 webkit2gtk
DSA-4740 thunderbird
DSA-4741 json-c
DSA-4742 firejail
DSA-4743 ruby-kramdown
DSA-4744 roundcube
DSA-4745 dovecot
DSA-4746 net-snmp
DSA-4747 icingaweb2
DSA-4748 ghostscript
DSA-4749 firefox-esr
DSA-4750 nginx
DSA-4751 squid
DSA-4752 bind9
DSA-4753 mupdf
DSA-4754 thunderbird
DSA-4755 openexr
DSA-4756 lilypond
DSA-4757 apache2
DSA-4758 xorg-server
DSA-4759 ark
DSA-4760 qemu
DSA-4761 zeromq3
DSA-4762 lemonldap-ng
DSA-4763 teeworlds
DSA-4764 inspircd
DSA-4765 modsecurity

Instalador de Debian

Se ha actualizado para incluir las correcciones incorporadas por esta nueva versión «estable».

URLs

Las listas completas de paquetes que han cambiado en esta versión:

http://ftp.debian.org/debian/dists/buster/ChangeLog

La distribución «estable» actual:

http://ftp.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

http://ftp.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo a <press@debian.org>, o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.