Debian 11 actualizado: publicada la versión 11.1

9 de octubre de 2021

El proyecto Debian se complace en anunciar la primera actualización de su distribución «estable» Debian 11 (nombre en clave bullseye). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 11, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de bullseye. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
apr	Evita desreferencia de array fuera de límites
atftp	Corrige desbordamiento de memoria [CVE-2021-41054]
automysqlbackup	Corrige caída cuando se utiliza LATEST=yes
base-files	Actualizado para la versión 11.1
clamav	Nueva versión «estable» del proyecto original; corrige violaciones de acceso en clamdscan cuando --fdpass y --multipass se utilizan conjuntamente con ExcludePath
cloud-init	Evita includedir duplicado en /etc/sudoers
cyrus-imapd	Corrige problema de denegación de servicio [CVE-2021-33582]
dazzdb	Corrige un «uso tras liberar» en DBstats
debian-edu-config	debian-edu-ltsp-install: amplía la lista de exclusiones relativas al servidor principal; añade slapd y xrdp-sesman a la lista de servicios enmascarados
debian-installer	Recompilado contra proposed-updates; actualiza la ABI de Linux a la 5.10.0-9; usa udebs de proposed-updates
debian-installer-netboot-images	Recompilado contra proposed-updates; usa udebs de proposed-updates y de «estable»; usa ficheros Packages comprimidos con xz
detox	Corrige tratamiento de ficheros grandes
devscripts	Hace que la opción --bpo apunte a bullseye-backports
dlt-viewer	Añade al paquete dev ficheros cabecera qdlt/qdlt*.h que faltaban
dpdk	Nueva versión «estable» del proyecto original
fetchmail	Corrige violación de acceso y regresión de seguridad
flatpak	Nueva versión «estable» del proyecto original; no hereda un valor inusual de $XDG_RUNTIME_DIR en el entorno aislado («sandbox»)
freeradius	Corrige caída de hilo y configuración de ejemplo
galera-3	Nueva versión «estable» del proyecto original
galera-4	Nueva versión «estable» del proyecto original; deja de proporcionar un paquete virtual galera, con lo que resuelve «Conflicts» circular con galera-3
glewlwyd	Corrige posible desbordamiento de memoria durante validación de firma FIDO2 al registrar webauthn [CVE-2021-40818]
glibc	Reinicia openssh-server incluso si ha sido desconfigurado durante la actualización; corrige el paso a modo texto cuando no se puede utilizar debconf
gnome-maps	Nueva versión «estable» del proyecto original; corrige caída al arrancar cuando el tipo del último mapa usado es aerial y no encuentra la definición de ningún teselado aerial; deja de escribir en ocasiones «broken last view position» («posición de la última vista inválida») al salir; corrige cuelgue al arrastrar marcas de rutas
gnome-shell	Nueva versión «estable» del proyecto original; corrige cuelgue tras cancelar (algunos) diálogos «system-modal»; corrige sugerencias de palabras en el teclado de la pantalla; corrige caídas
hdf5	Ajusta dependencias para mejorar las actualizaciones desde versiones anteriores
iotop-c	Trata correctamente nombres de proceso en UTF-8
jailkit	Corrige la creación de jaulas que necesitan usar /dev; corrige comprobación de presencia de bibliotecas
java-atk-wrapper	Utiliza dbus también para detectar si la accesibilidad está habilitada
krb5	Corrige caída del KDC por desreferencia nula en peticiones FAST que no incluyen el campo server [CVE-2021-37750]; corrige fuga de memoria en krb5_gss_inquire_cred
libavif	Usa el libdir correcto en el fichero pkgconfig de libavif.pc
libbluray	Cambia a libasm embebida; la versión de libasm-java es demasiado reciente
libdatetime-timezone-perl	Nueva versión «estable» del proyecto original; actualiza reglas de DST para Samoa y Jordania; confirmación de ausencia de segundo intercalar el 31 de diciembre de 2021
libslirp	Corrige varios problemas de desbordamiento de memoria [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595]
linux	Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300]
linux-signed-amd64	Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300]
linux-signed-arm64	Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300]
linux-signed-i386	Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300]
mariadb-10.5	Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2021-2372 CVE-2021-2389]
mbrola	Corrige detección de fin de fichero
modsecurity-crs	Corrige problema de elusión de los cuerpos de solicitudes [CVE-2021-35368]
mtr	Corrige regresión en salida JSON
mutter	Nueva versión «estable» del proyecto original; kms: mejora el tratamiento de modos de vídeo comunes que podrían exceder el ancho de banda; asegura tamaño de textura de ventana válido tras cambiar la vista
nautilus	Al solicitar la apertura de varios ficheros evita la apertura de cada fichero en una instancia distinta de la aplicación; no guarda tamaño y posición de ventana al organizar como mosaico; corrige algunas fugas de memoria; actualiza traducciones
node-ansi-regex	Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3807]
node-axios	Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3749]
node-object-path	Corrige problemas de contaminación de prototipo [CVE-2021-23434 CVE-2021-3805]
node-prismjs	Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3801]
node-set-value	Corrige contaminación de prototipo [CVE-2021-23440]
node-tar	Borra rutas que no corresponden a directorios de la caché de directorios [CVE-2021-32803]; elimina rutas absolutas de forma más completa [CVE-2021-32804]
osmcoastline	Corrige las proyecciones distintas de la WGS84
osmpbf	Recompilado contra protobuf 3.12.4
pam	Corrige error de sintaxis en libpam0g.postinst cuando falla una unidad systemd
perl	Actualización de seguridad; corrige una fuga de memoria por expresión regular
pglogical	Incorpora correcciones para tratar snapshots de PostgreSQL 13.4
pmdk	Corrige falta de barreras tras memcpy no temporal
postgresql-13	Nueva versión «estable» del proyecto original; corrige error de planificación de la aplicación repetida de un paso de proyección [CVE-2021-3677]; rechaza renegociación de SSL de forma más completa
proftpd-dfsg	Corrige mod_radius leaks memory contents to radius server («mod_radius filtra contenido de la memoria a servidor radius») y sftp connection aborts with 'Corrupted MAC on input' («conexión sftp aborta con 'MAC corrupta en la entrada'»); se salta la codificación para evitar la evaluación («escape») de texto SQL que ya ha pasado por este proceso
pyx3	Corrige problema de alineación de tipos de letra con texlive 2020
reportbug	Actualiza los nombres de las distribuciones tras la publicación de bullseye
request-tracker4	Corrige problema de ataque de canal lateral de sincronización en el acceso al sistema («login») [CVE-2021-38562]
rhonabwy	Corrige cálculo de etiqueta JWE CBC y verificación de firma JWS alg:none
rpki-trust-anchors	Añade URL HTTPS al TAL de LACNIC
rsync	Añade de nuevo --copy-devices; corrige regresión en --delay-updates; corrige caso límite en --mkpath; corrige rsync-ssl; corrige --sparce e --inplace; actualiza opciones disponibles para rrsync; correcciones de documentación
ruby-rqrcode-rails3	Corrige compatibilidad con ruby-rqrcode 1.0
sabnzbdplus	Evita escape del directorio en función renamer [CVE-2021-29488]
shellcheck	Corrige la visualización de las opciones largas en la página de manual
shiro	Corrige problemas de elusión de autenticación [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; actualiza parche de compatibilidad con Spring Framework; soporte para Guice 4
speech-dispatcher	Corrige configuración del nombre de voz para el módulo generic
telegram-desktop	Evita caída con auto-delete habilitado
termshark	Incluye temas en el paquete
tmux	Corrige una condición de carrera que da lugar a que no se cargue la configuración si varios clientes están interactuando con el servidor mientras se inicializa
txt2man	Corrige regresión en el tratamiento de bloques
tzdata	Actualiza reglas de DST para Samoa y Jordania; confirmación de ausencia de segundo intercalar el 31 de diciembre de 2021
ublock-origin	Nueva versión «estable» del proyecto original; corrige problema de denegación de servicio [CVE-2021-36773]
ulfius	Se asegura de que la memoria está inicializada antes de usarla [CVE-2021-40540]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-4959	thunderbird
DSA-4960	haproxy
DSA-4961	tor
DSA-4962	ledgersmb
DSA-4963	openssl
DSA-4964	grilo
DSA-4965	libssh
DSA-4966	gpac
DSA-4967	squashfs-tools
DSA-4968	haproxy
DSA-4969	firefox-esr
DSA-4970	postorius
DSA-4971	ntfs-3g
DSA-4972	ghostscript
DSA-4973	thunderbird
DSA-4974	nextcloud-desktop
DSA-4975	webkit2gtk
DSA-4976	wpewebkit
DSA-4977	xen
DSA-4978	linux-signed-amd64
DSA-4978	linux-signed-arm64
DSA-4978	linux-signed-i386
DSA-4978	linux
DSA-4979	mediawiki

Durante las etapas finales de la congelación de bullseye algunas actualizaciones se publicaron a través del archivo de seguridad pero sin el correspondiente aviso de seguridad (DSA, por sus siglas en inglés). Detallamos a continuación estas actualizaciones.

Paquete	Motivo
apache2	Corrige inyección de línea en mod_proxy en peticiones HTTP2 [CVE-2021-33193]
btrbk	Corrige problema de ejecución de código arbitrario [CVE-2021-38173]
c-ares	Corrige ausencia de validación de la entrada en nombres de máquina devueltos por servidores DNS [CVE-2021-3672]
exiv2	Corrige problemas de desbordamiento [CVE-2021-29457 CVE-2021-31292]
firefox-esr	Nueva versión «estable» del proyecto original [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989]
libencode-perl	Encode: mitiga contaminación de @INC al cargar ConfigLocal [CVE-2021-36770]
libspf2	spf_compile.c: corrige tamaño de ds_avail [CVE-2021-20314]; corrige modificador de macro reverse
lynx	Corrige fuga de credenciales si se usa SNI junto a un URL que contenga credenciales [CVE-2021-38165]
nodejs	Nueva versión «estable» del proyecto original; corrige problema de «uso tras liberar» [CVE-2021-22930]
tomcat9	Corrige problema de elusión de autenticación [CVE-2021-30640] y problema de «contrabando» de peticiones («request smuggling») [CVE-2021-33037]
xmlgraphics-commons	Corrige problema de falsificación de solicitudes en el lado servidor («server side request forgery») [CVE-2020-11988]

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

La distribución «estable» actual:

https://deb.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

https://deb.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.