Debian 10 actualizado: publicada la versión 10.13

10 de septiembre de 2022

El proyecto Debian se complace en anunciar la decimotercera (y última) actualización de su distribución «antigua estable» Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tras la publicación de esta versión, los equipos de seguridad y responsable de la publicación de Debian ya no proporcionarán actualizaciones para Debian 10. Los usuarios que deseen continuar recibiendo soporte de seguridad deberían actualizar a Debian 11 o consultar https://wiki.debian.org/LTS para detalles sobre el subconjunto de arquitecturas y paquetes que están cubiertos por el proyecto de soporte a largo plazo («LTS»).

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 10, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
adminer	Corrige problema de redirección abierta y problemas de ejecución de scripts entre sitios («cross-site scripting») [CVE-2020-35572 CVE-2021-29625]; elasticsearch: no imprime la respuesta si el código HTTP es distinto de 200 [CVE-2021-21311]; proporciona una versión compilada y ficheros de configuración
apache2	Corrige problema de denegación de servicio [CVE-2022-22719], problema de «contrabando» de peticiones HTTP («HTTP request smuggling») [CVE-2022-22720], problema de desbordamiento de entero [CVE-2022-22721], problema de escritura fuera de límites [CVE-2022-23943], problema de «contrabando» de peticiones HTTP [CVE-2022-26377], problemas de lectura fuera de límites [CVE-2022-28614 CVE-2022-28615], problema de denegación de servicio [CVE-2022-29404], problema de lectura fuera de límites [CVE-2022-30556] y posible problema de elusión de autenticación por IP [CVE-2022-31813]
base-files	Actualizado para la versión 10.13
clamav	Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796]
commons-daemon	Corrige la detección de la JVM
composer	Corrige vulnerabilidad de inyección de código [CVE-2022-24828]; actualiza patrón de tokens de GitHub; usa la cabecera Authorization en lugar del parámetro de consulta access_token, considerado obsoleto
debian-installer	Recompilado contra buster-proposed-updates; incrementa la ABI de Linux a la 4.19.0-21
debian-installer-netboot-images	Recompilado contra buster-proposed-updates; incrementa la ABI de Linux a la 4.19.0-21
debian-security-support	Actualiza el estado de seguridad de varios paquetes
debootstrap	Asegura que se puedan seguir creando chroots con /usr no fusionado para versiones anteriores y para chroots de buildd
distro-info-data	Añade Ubuntu 22.04 LTS, Jammy Jellyfish, y Ubuntu 22.10, Kinetic Kudu
dropbear	Corrige posible problema de enumeración de nombres de usuario [CVE-2019-12953]
eboard	Corrige violación de acceso en la selección de motor
esorex	Corrige fallos en el juego de pruebas en armhf y ppc64el provocados por un uso incorrecto de libffi
evemu	Corrige fallo de compilación con versiones del núcleo recientes
feature-check	Corrige algunas comparaciones de versiones
flac	Corrige problema de escritura fuera de límites [CVE-2021-0561]
foxtrotgps	Corrige fallo de compilación con versiones de imagemagick más recientes
freeradius	Corrige fuga de información de canal lateral por el fallo de 1 de cada 2048 handshakes [CVE-2019-13456], denegación de servicio por acceder a una estructura BN_CTX desde varios hilos [CVE-2019-17185] y caída por asignación de memoria que no tiene seguridad en hilos («non-thread safe memory»)
freetype	Corrige problema de desbordamiento de memoria [CVE-2022-27404]; corrige caídas [CVE-2022-27405 CVE-2022-27406]
fribidi	Corrige problemas de desbordamiento de memoria [CVE-2022-25308 CVE-2022-25309]; corrige caída [CVE-2022-25310]
ftgl	No intenta convertir de PNG a EPS en el caso de latex, ya que nuestro imagemagick tiene el EPS inhabilitado por razones de seguridad
gif2apng	Corrige desbordamientos de memoria dinámica («heap») [CVE-2021-45909 CVE-2021-45910 CVE-2021-45911]
gnucash	Corrige fallo de compilación con tzdata reciente
gnutls28	Corrige juego de pruebas al combinarlo con OpenSSL 1.1.1e o posterior
golang-github-docker-go-connections	Omite las pruebas que usan certificados expirados
golang-github-pkg-term	Corrige compilación en núcleos 4.19 más recientes
golang-github-russellhaering-goxmldsig	Corrige problema de desreferencia de puntero NULL [CVE-2020-7711]
grub-efi-amd64-signed	Nueva versión del proyecto original
grub-efi-arm64-signed	Nueva versión del proyecto original
grub-efi-ia32-signed	Nueva versión del proyecto original
grub2	Nueva versión del proyecto original
htmldoc	Corrige bucle infinito [CVE-2022-24191], problemas de desbordamiento de entero [CVE-2022-27114] y problema de desbordamiento de memoria dinámica («heap») [CVE-2022-28085]
iptables-netflow	Corrige regresión de fallo de compilación vía DKMS provocada por cambios en la versión 4.19.191 del núcleo realizados por el proyecto original Linux
isync	Corrige problemas de desbordamiento de memoria [CVE-2021-3657]
kannel	Corrige fallo de compilación inhabilitando la generación de documentación en Postscript
krb5	Usa SHA256 como Pkinit CMS Digest
libapache2-mod-auth-openidc	Mejora la validación del parámetro de URL post-logout en logout [CVE-2019-14857]
libdatetime-timezone-perl	Actualiza los datos incluidos
libhttp-cookiejar-perl	Corrige fallo de compilación retrasando la fecha de expiración de una cookie de prueba
libnet-freedb-perl	Cambia la máquina por omisión de la obsoleta freedb.freedb.org a gnudb.gnudb.org
libnet-ssleay-perl	Corrige fallos de pruebas con OpenSSL 1.1.1n
librose-db-object-perl	Corrige fallo de prueba después del 6/6/2020
libvirt-php	Corrige violación de acceso en libvirt_node_get_cpu_stats
llvm-toolchain-13	Nuevo paquete fuente para soportar la compilación de versiones más recientes de firefox-esr y de thunderbird
minidlna	Valida peticiones HTTP para proteger frente a ataques de revinculación de DNS [CVE-2022-26505]
mokutil	Nueva versión del proyecto original, para permitir gestión de SBAT
mutt	Corrige desbordamiento de memoria en uudecode [CVE-2022-1328]
node-ejs	Sanea opciones y objetos nuevos [CVE-2022-29078]
node-end-of-stream	Solución provisional a un fallo en una prueba
node-minimist	Corrige problema de contaminación de prototipo [CVE-2021-44906]
node-node-forge	Corrige problemas de verificación de firmas [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773]
node-require-from-string	Corrige una prueba con nodejs >= 10.16
nvidia-graphics-drivers	Nueva versión del proyecto original
nvidia-graphics-drivers-legacy-390xx	Nueva versión del proyecto original; corrige problemas de escritura fuera de límites [CVE-2022-28181 CVE-2022-28185]; correcciones de seguridad [CVE-2022-31607 CVE-2022-31608 CVE-2022-31615]
octavia	Corrige las comprobaciones de los certificados de clientes [CVE-2019-17134]; detecta de forma correcta que el agente se está ejecutando en Debian; corrige la plantilla que genera el script de comprobación de vrrp; añade dependencias de ejecución adicionales; distribuye configuración adicional directamente en el paquete agente
orca	Corrige uso con WebKitGTK 2.36
pacemaker	Actualiza relación entre versiones para corregir actualizaciones desde stretch LTS
pglogical	Corrige fallo de compilación
php-guzzlehttp-psr7	Corrige análisis sintáctico de cabeceras incorrecto [CVE-2022-24775]
postfix	Nueva versión «estable» del proyecto original; no ignora el valor de default_transport configurado por el usuario; if-up.d: no notifica error si postfix todavía no puede enviar correos; corrige entradas duplicadas de bounce_notice_recipient en la salida de postconf
postgresql-common	pg_virtualenv: escribe el fichero temporal de contraseñas antes de cambiar el propietario del fichero
postsrsd	Corrige potencial problema de denegación de servicio cuando Postfix envía ciertos campos largos de datos como, por ejemplo, varias direcciones de correo electrónico concatenadas [CVE-2021-35525]
procmail	Corrige desreferencia de puntero NULL
publicsuffix	Actualiza los datos incluidos
python-keystoneauth1	Actualiza las pruebas para corregir fallo de compilación
python-scrapy	No envía datos de autenticación con todas las peticiones [CVE-2021-41125]; no expone cookies de dominios cruzados en los redireccionamientos [CVE-2022-0577]
python-udatetime	Enlaza correctamente con la biblioteca libm
qtbase-opensource-src	Corrige setTabOrder para widgets compuestos; añade un límite de expansión de entidades XML [CVE-2015-9541]
ruby-activeldap	Corrige dependencia con ruby-builder, que faltaba
ruby-hiredis	Omite algunas pruebas no fiables para corregir fallo de compilación
ruby-http-parser.rb	Corrige fallo de compilación cuando el http-parser utilizado contiene la corrección para CVE-2019-15605
ruby-riddle	Permite el uso de LOAD DATA LOCAL INFILE
sctk	Usa pdftoppm en lugar de convert para convertir de PDF a JPEG ya que el segundo falla con la política de seguridad de ImageMagick modificada
twisted	Corrige problema de validación incorrecta de URI y de métodos HTTP [CVE-2019-12387], validación incorrecta de certificados en el soporte XMPP [CVE-2019-12855], problemas de denegación de servicio en HTTP/2, problemas de «contrabando» de peticiones HTTP («HTTP request smuggling») [CVE-2020-10108 CVE-2020-10109 CVE-2022-24801], problema de revelación de información al seguir redirecciones entre dominios [CVE-2022-21712] y problema de denegación de servicio durante el handshake de SSH [CVE-2022-21716]
tzdata	Actualiza datos de zona horaria para Irán, Chile y Palestina; actualiza lista de segundos intercalares
ublock-origin	Nueva versión «estable» del proyecto original
unrar-nonfree	Corrige problema de escalado de directorios [CVE-2022-30333]
wireshark	Corrige problema de ejecución de código remoto [CVE-2021-22191] y problemas de denegación de servicio [CVE-2021-4181 CVE-2021-4184 CVE-2021-4185 CVE-2022-0581 CVE-2022-0582 CVE-2022-0583 CVE-2022-0585 CVE-2022-0586]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-4836	openvswitch
DSA-4852	openvswitch
DSA-4906	chromium
DSA-4911	chromium
DSA-4917	chromium
DSA-4981	firefox-esr
DSA-5034	thunderbird
DSA-5044	firefox-esr
DSA-5045	thunderbird
DSA-5069	firefox-esr
DSA-5074	thunderbird
DSA-5077	librecad
DSA-5080	snapd
DSA-5086	thunderbird
DSA-5090	firefox-esr
DSA-5094	thunderbird
DSA-5097	firefox-esr
DSA-5106	thunderbird
DSA-5108	tiff
DSA-5109	faad2
DSA-5111	zlib
DSA-5113	firefox-esr
DSA-5115	webkit2gtk
DSA-5118	thunderbird
DSA-5119	subversion
DSA-5122	gzip
DSA-5123	xz-utils
DSA-5126	ffmpeg
DSA-5129	firefox-esr
DSA-5131	openjdk-11
DSA-5132	ecdsautils
DSA-5135	postgresql-11
DSA-5137	needrestart
DSA-5138	waitress
DSA-5139	openssl
DSA-5140	openldap
DSA-5141	thunderbird
DSA-5142	libxml2
DSA-5143	firefox-esr
DSA-5144	condor
DSA-5145	lrzip
DSA-5147	dpkg
DSA-5149	cups
DSA-5150	rsyslog
DSA-5151	smarty3
DSA-5152	spip
DSA-5153	trafficserver
DSA-5154	webkit2gtk
DSA-5156	firefox-esr
DSA-5157	cifs-utils
DSA-5158	thunderbird
DSA-5159	python-bottle
DSA-5160	ntfs-3g
DSA-5164	exo
DSA-5165	vlc
DSA-5167	firejail
DSA-5169	openssl
DSA-5171	squid
DSA-5172	firefox-esr
DSA-5173	linux-latest
DSA-5173	linux-signed-amd64
DSA-5173	linux-signed-arm64
DSA-5173	linux-signed-i386
DSA-5173	linux
DSA-5174	gnupg2
DSA-5175	thunderbird
DSA-5176	blender
DSA-5178	intel-microcode
DSA-5181	request-tracker4
DSA-5182	webkit2gtk
DSA-5185	mat2
DSA-5186	djangorestframework
DSA-5188	openjdk-11
DSA-5189	gsasl
DSA-5190	spip
DSA-5193	firefox-esr
DSA-5194	booth
DSA-5195	thunderbird
DSA-5196	libpgjava

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete	Motivo
elog	Sin desarrollo activo; problemas de seguridad
libnet-amazon-perl	Depende de una API eliminada

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

https://deb.debian.org/debian/dists/buster/ChangeLog

La distribución «antigua estable» actual:

https://deb.debian.org/debian/dists/oldstable/

Actualizaciones propuestas a la distribución «antigua estable»:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/oldstable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.