Debian 10 actualizado: publicada la versión 10.8
6 de febrero de 2021
El proyecto Debian se complace en anunciar la octava actualización de su
distribución «estable» Debian 10 (nombre en clave buster
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
10, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de buster
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
Paquete | Motivo |
---|---|
atftp | Corrige problema de denegación de servicio [CVE-2020-6097] |
base-files | Actualiza /etc/debian_version para la versión 10.8 |
ca-certificates | Actualiza el lote de CA de Mozilla a la 2.40, añade a la lista negra el expirado AddTrust External Root |
cacti | Corrige problema de inyección de SQL [CVE-2020-35701] y problema de XSS directo |
cairo | Corrige uso de la máscara («mask») en image-compositor [CVE-2020-35492] |
choose-mirror | Actualiza lista de réplicas |
cjson | Corrige bucle infinito en cJSON_Minify |
clevis | Corrige creación de initramfs; clevis-dracut: desencadena la creación de initramfs en la instalación |
cyrus-imapd | Corrige comparación de la versión en script cron |
debian-edu-config | Mueve el código de limpieza de tablas de claves («keytabs») de máquinas desde gosa-modify-host a un script independiente, reduciendo las llamadas LDAP a una única consulta |
debian-installer | Usa la ABI del núcleo Linux 4.19.0-14; recompilado contra proposed-updates |
debian-installer-netboot-images | Recompilado contra proposed-updates |
debian-installer-utils | Soporta particiones en dispositivos USB UAS |
device-tree-compiler | Corrige violación de acceso en dtc -I fs /proc/device-tree |
didjvu | Añade dependencia en tiempo de compilación con tzdata, que faltaba |
dovecot | Corrige caída al buscar en buzones de correo que contienen mensajes MIME mal construidos |
dpdk | Nueva versión «estable» del proyecto original |
edk2 | CryptoPkg/BaseCryptLib: corrige desreferencia NULL [CVE-2019-14584] |
emacs | No cae con identificativos de usuario OpenPGP que no contienen dirección de correo electrónico |
fcitx | Corrige soporte de método de entrada en Flatpaks |
file | Aumenta la profundidad por omisión de recursión de nombres a 50 |
geoclue-2.0 | Comprueba el máximo nivel de precisión permitido incluso en aplicaciones del sistema; hace que la clave de la API de Mozilla sea configurable y usa por omisión una clave específica de Debian; corrige visualización del indicador de uso |
gnutls28 | Corrige error en la colección de pruebas provocado por certificado expirado |
grub2 | Al actualizar grub-pc de forma no interactiva, abandona si falla grub-install; comprueba explícitamente si existe el dispositivo objetivo antes de ejecutar grub-install; grub-install: añade obtención de copia de seguridad y su restauración; no llama a grub-install en instalaciones nuevas de grub-pc |
highlight.js | Corrige contaminación de prototipo [CVE-2020-26237] |
intel-microcode | Actualiza varios microcódigos |
iproute2 | Corrige fallos en salida JSON; corrige condición de carrera que provoca denegación de servicio en el sistema al utilizar ip netns add en el arranque |
irssi-plugin-xmpp | No desencadena prematuramente situaciones de exceso de tiempo («timeout») al conectar al núcleo de irssi, corrigiendo así las conexiones mediante STARTTLS |
libdatetime-timezone-perl | Actualizado para la nueva versión de tzdata |
libdbd-csv-perl | Corrige fallo de prueba con libdbi-perl 1.642-1+deb10u2 |
libdbi-perl | Corrección de seguridad [CVE-2014-10402] |
libmaxminddb | Corrige lectura de memoria dinámica («heap») fuera de límites [CVE-2020-28241] |
lttng-modules | Corrige compilación en núcleos con versiones >= 4.19.0-10 |
m2crypto | Corrige compatibilidad con OpenSSL 1.1.1i y posteriores |
mini-buildd | builder.py: llamada a sbuild: utiliza '--no-arch-all' explícitamente |
net-snmp | snmpd: añade los indicadores cacheTime y execType a EXTEND-MIB |
node-ini | No permite cadenas de caracteres inválidas y peligrosas como nombres de sección [CVE-2020-7788] |
node-y18n | Corrige problema de contaminación de prototipo [CVE-2020-7774] |
nvidia-graphics-drivers | Nueva versión del proyecto original; corrige posibles denegación de servicio y revelación de información [CVE-2021-1056] |
nvidia-graphics-drivers-legacy-390xx | Nueva versión del proyecto original; corrige posibles denegación de servicio y revelación de información [CVE-2021-1056] |
pdns | Correcciones de seguridad [CVE-2019-10203 CVE-2020-17482] |
pepperflashplugin-nonfree | Se transforma en un paquete ficticio cuidando de eliminar la extensión («plugin») previamente instalada (ya no es funcional ni está soportada) |
pngcheck | Corrige desbordamiento de memoria [CVE-2020-27818] |
postgresql-11 | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2020-25694 CVE-2020-25695 CVE-2020-25696] |
postsrsd | Antes de decodificar una etiqueta de marca temporal («timestamp»), se asegura de que no sea demasiado larga [CVE-2020-35573] |
python-bottle | Deja de aceptar ;como separador de consultas [CVE-2020-28473] |
python-certbot | En renovaciones usa automáticamente la API ACMEv2 para evitar problemas con la eliminación de la API ACMEv1 |
qxmpp | Corrige potencial violación de acceso en errores de conexión |
silx | python(3)-silx: añade dependencia con python(3)-scipy |
slirp | Corrige desbordamientos de memoria [CVE-2020-7039 CVE-2020-8608] |
steam | Nueva versión del proyecto original |
systemd | journal: no desencadena aserción cuando se le pasa NULL a journal_file_close() |
tang | Evita condición de carrera entre keygen y update |
tzdata | Nueva versión del proyecto original; actualiza los datos de zonas horarias incluidos |
unzip | Aplica más correcciones para CVE-2019-13232 |
wireshark | Corrige varias caídas, bucles infinitos y fugas de contenido de la memoria [CVE-2019-16319 CVE-2019-19553 CVE-2020-11647 CVE-2020-13164 CVE-2020-15466 CVE-2020-25862 CVE-2020-25863 CVE-2020-26418 CVE-2020-26421 CVE-2020-26575 CVE-2020-28030 CVE-2020-7045 CVE-2020-9428 CVE-2020-9430 CVE-2020-9431] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
Paquete | Motivo |
---|---|
compactheader | Incompatible con versiones actuales de Thunderbird |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.