Debian 11 actualizado: publicada la versión 11.7

29 de abril de 2023

El proyecto Debian se complace en anunciar la séptima actualización de su distribución «estable» Debian 11 (nombre en clave bullseye). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 11, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de bullseye. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
akregator Corrige comprobaciones de validez, incluyendo la corrección del borrado de fuentes de noticias y de carpetas
apache2 No habilita apache2-doc.conf automáticamente; corrige regresiones en http2 y en mod_rewrite introducidas en la 2.4.56
at-spi2-core Da al tiempo de espera en parada («stop timeout») un valor de 5 segundos, para no bloquear innecesariamente las paradas del sistema
avahi Corrige problema de denegación de servicio local [CVE-2021-3468]
base-files Actualizado para la versión 11.7
c-ares Evita desbordamiento de pila y denegación de servicio [CVE-2022-4904]
clamav Nueva versión «estable» del proyecto original; corrige posible problema de ejecución de código remoto en el analizador sintáctico de ficheros HFS+ [CVE-2023-20032] y posible fuga de información en el analizador sintáctico de ficheros DMG [CVE-2023-20052]
command-not-found Añade nuevo componente: 'non-free-firmware', corrigiendo las actualizaciones a bookworm
containerd Corrige problema de denegación de servicio [CVE-2023-25153]; corrige posible elevación de privilegios por una incorrecta configuración de grupos suplementarios [CVE-2023-25173]
crun Corrige problema de elevación de capacidades debido a la incorrecta inicialización de contenedores con permisos por omisión no nulos [CVE-2022-27650]
cwltool Añade dependencia con python3-distutils, que faltaba
debian-archive-keyring Añade las claves de bookworm; mueve las claves de stretch al anillo de claves eliminadas
debian-installer Incrementa la ABI del núcleo Linux a la 5.10.0-22; recompilado contra proposed-updates
debian-installer-netboot-images Recompilado contra proposed-updates
debian-ports-archive-keyring Retrasa un año la fecha de expiración de la clave de firma 2023; añade la clave de firma 2024; mueve la clave de firma 2022 al anillo de claves eliminadas
dpdk Nueva versión «estable» del proyecto original
duktape Corrige problema de caída [CVE-2021-46322]
e2tools Corrige fallo de compilación añadiendo dependencia en tiempo de compilación con e2fsprogs
erlang Corrige problema de elusión de autenticación del cliente [CVE-2022-37026]; usa optimización -O1 para armel porque -O2 hace que erl falle con violación de acceso en algunas plataformas como, por ejemplo, en Marvell
exiv2 Correcciones de seguridad [CVE-2021-29458 CVE-2021-29463 CVE-2021-29464 CVE-2021-29470 CVE-2021-29473 CVE-2021-29623 CVE-2021-32815 CVE-2021-34334 CVE-2021-34335 CVE-2021-3482 CVE-2021-37615 CVE-2021-37616 CVE-2021-37618 CVE-2021-37619 CVE-2021-37620 CVE-2021-37621 CVE-2021-37622 CVE-2021-37623]
flask-security Corrige vulnerabilidad de redirección abierta [CVE-2021-23385]
flatpak Nueva versión «estable» del proyecto original; codifica caracteres especiales para evitar su evaluación («escape») al mostrar permisos y metadatos [CVE-2023-28101]; no permite copiar/pegar por medio de TIOCLINUX ioctl cuando se ejecuta en una consola virtual de Linux [CVE-2023-28100]
galera-3 Nueva versión «estable» del proyecto original
ghostscript Corrige la ruta del fichero de ayuda PostScript en ps2epsi
glibc Corrige fuga de memoria en funciones de la familia printf con cadenas de caracteres multibyte largas; corrige caída en la familia printf debida a asignaciones dependientes de la anchura/precisión; corrige violación de acceso («segfault») en la gestión del separador de millares en printf; corrige desbordamiento en la implementación AVX2 de wcsnlen al pasar de una página a la siguiente
golang-github-containers-common Corrige análisis sintáctico de DBUS_SESSION_BUS_ADDRESS
golang-github-containers-psgo No entra al espacio de nombres de usuario del proceso [CVE-2022-1227]
golang-github-containers-storage Hace que funciones que antes eran internas ahora sean accesibles públicamente, necesario para permitir la corrección de CVE-2022-1227 en otros paquetes
golang-github-prometheus-exporter-toolkit Parchea las pruebas para evitar condiciones de carrera; corrige problema de envenenamiento de la caché de autenticación [CVE-2022-46146]
grep Corrige coincidencia incorrecta cuando el último de múltiples patrones incluye una referencia inversa
gtk+3.0 Corrige Wayland + EGL en plataformas que solo soportan GLES
guix Corrige fallo de compilación por claves expiradas en el juego de pruebas
intel-microcode Nueva versión del proyecto original para corrección de errores
isc-dhcp Corrige el tratamiento del tiempo de vida de las direcciones IPv6
jersey1 Corrige fallo de compilación con libjettison-java 1.5.3
joblib Corrige problema de ejecución de código arbitrario [CVE-2022-21797]
lemonldap-ng Corrige problema de elusión de validación de URL; corrige problema de doble factor de autenticación cuando se usa el gestor AuthBasic [CVE-2023-28862]
libapache2-mod-auth-openidc Corrige problema de redirección abierta [CVE-2022-23527]
libapreq2 Corrige problema de desbordamiento de memoria [CVE-2022-22728]
libdatetime-timezone-perl Actualiza los datos incluidos
libexplain Mejora compatibilidad con versiones más recientes del núcleo: Linux 5.11 ya no tiene if_frad.h, termiox eliminado desde la versión 5.12
libgit2 Habilita la verificación de las claves SSH, por omisión [CVE-2023-22742]
libpod Corrige problema de elevación de privilegios [CVE-2022-1227]; corrige problema de elevación de capacidades debido al arranque incorrecto de contenedores con permisos por omisión no nulos [CVE-2022-27649]; corrige análisis sintáctico de DBUS_SESSION_BUS_ADDRESS
libreoffice Cambia la moneda por omisión de Croacia, pasando a ser el euro; evita -Djava.class.path= vacía [CVE-2022-38745]
libvirt Corrige problemas relacionados con el reinicio de contenedores; corrige fallos en las pruebas en combinación con versiones más recientes de Xen
libxpm Corrige problemas de bucles infinitos [CVE-2022-44617 CVE-2022-46285]; corrige problema de «doble liberación» en código de tratamiento de errores; corrige compression commands depend on PATH («órdenes de compresión dependen de PATH») [CVE-2022-4883]
libzen Corrige problema de desreferencia de puntero nulo [CVE-2020-36646]
linux Nueva versión «estable» del proyecto original; incrementa la ABI a la 22; [rt] actualiza a la 5.10.176-rt86
linux-signed-amd64 Nueva versión «estable» del proyecto original; incrementa la ABI a la 22; [rt] actualiza a la 5.10.176-rt86
linux-signed-arm64 Nueva versión «estable» del proyecto original; incrementa la ABI a la 22; [rt] actualiza a la 5.10.176-rt86
linux-signed-i386 Nueva versión «estable» del proyecto original; incrementa la ABI a la 22; [rt] actualiza a la 5.10.176-rt86
lxc Corrige oráculo de existencia de ficheros [CVE-2022-47952]
macromoleculebuilder Corrige fallo de compilación añadiendo dependencia en tiempo de compilación con docbook-xsl
mariadb-10.5 Nueva versión «estable» del proyecto original; revierte cambio del proyecto original en la API libmariadb
mono Elimina fichero desktop
ncurses Se protege de datos de terminfo corruptos [CVE-2022-29458]; corrige caída de tic en sentencias tc/use muy largas
needrestart Corrige avisos cuando se usa la opción -b
node-cookiejar Se protege de cookies con tamaños maliciosamente grandes [CVE-2022-25901]
node-webpack Evita acceso a objetos entre dominios («realm») [CVE-2023-28154]
nvidia-graphics-drivers Nueva versión del proyecto original; correcciones de seguridad [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-450 Nueva versión del proyecto original; correcciones de seguridad [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-graphics-drivers-tesla-470 Nueva versión del proyecto original; correcciones de seguridad [CVE-2023-0180 CVE-2023-0184 CVE-2023-0185 CVE-2023-0187 CVE-2023-0188 CVE-2023-0189 CVE-2023-0190 CVE-2023-0191 CVE-2023-0194 CVE-2023-0195 CVE-2023-0198 CVE-2023-0199]
nvidia-modprobe Nueva versión del proyecto original
openvswitch Corrige openvswitch-switch update leaves interfaces down («la actualización de openvswitch-switch deja las interfaces en estado down»)
passenger Corrige compatibilidad con versiones más recientes de NodeJS
phyx Elimina dependencia en tiempo de compilación con libatlas-cpp, que es innecesaria
postfix Nueva versión «estable» del proyecto original
postgis Corrige orden incorrecto de ejes en la proyección estereográfica polar
postgresql-13 Nueva versión «estable» del proyecto original; corrige problema de revelación de contenido de la memoria del cliente [CVE-2022-41862]
python-acme Corrige la versión de los CSR creados para evitar problemas con las implementaciones de la API ACME que cumplen estrictamente la RFC
ruby-aws-sdk-core Corrige la generación del fichero de versión
ruby-cfpropertylist Corrige algunas funcionalidades abandonando la compatibilidad con Ruby 1.8
shim Nueva versión del proyecto original; nueva versión «estable» del proyecto original; habilita soporte de NX en tiempo de compilación; bloquea binarios de grub de Debian con sbat < 4
shim-helpers-amd64-signed Nueva versión «estable» del proyecto original; habilita soporte de NX en tiempo de compilación; bloquea binarios de grub de Debian con sbat < 4
shim-helpers-arm64-signed Nueva versión «estable» del proyecto original; habilita soporte de NX en tiempo de compilación; bloquea binarios de grub de Debian con sbat < 4
shim-helpers-i386-signed Nueva versión «estable» del proyecto original; habilita soporte de NX en tiempo de compilación; bloquea binarios de grub de Debian con sbat < 4
shim-signed Nueva versión «estable» del proyecto original; habilita soporte de NX en tiempo de compilación; bloquea binarios de grub de Debian con sbat < 4
snakeyaml Corrige problemas de denegación de servicio [CVE-2022-25857 CVE-2022-38749 CVE-2022-38750 CVE-2022-38751]; añade documentación sobre soporte/problemas de seguridad
spyder Corrige duplicación de código al grabar
symfony Elimina cabeceras privadas antes de almacenar respuestas con HttpCache [CVE-2022-24894]; elimina tokens CSRF del almacenamiento en los accesos («login») satisfactorios [CVE-2022-24895]
systemd Corrige problema de fuga de información [CVE-2022-4415] y problema de denegación de servicio [CVE-2022-3821]; ata_id: corrige la obtención del Response Code de SCSI Sense Data; logind: corrige la obtención de la propiedad OnExternalPower vía D-Bus; corrige caída en systemd-machined
tomcat9 Añade soporte de OpenJDK 17 en la detección de JDK
traceroute Interpreta direcciones v4mapped-IPv6 como IPv4
tzdata Actualiza los datos incluidos
unbound Corrige ataque de delegación sin respuesta («Non-Responsive Delegation Attack») [CVE-2022-3204]; corrige problema de ghost domain names («nombres de domino fantasma») [CVE-2022-30698 CVE-2022-30699]
usb.ids Actualiza los datos incluidos
vagrant Añade soporte de VirtualBox 7.0
voms-api-java Corrige fallos de compilación inhabilitando algunas pruebas que no funcionan
w3m Corrige problema de escritura fuera de límites [CVE-2022-38223]
x4d-icons Corrige fallo de compilación con versiones más recientes de imagemagick
xapian-core Evita corrupción de la base de datos al agotarse el espacio en disco
zfs-linux Añade varias mejoras de estabilidad

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-5170 nodejs
DSA-5237 firefox-esr
DSA-5238 thunderbird
DSA-5259 firefox-esr
DSA-5262 thunderbird
DSA-5282 firefox-esr
DSA-5284 thunderbird
DSA-5300 pngcheck
DSA-5301 firefox-esr
DSA-5302 chromium
DSA-5303 thunderbird
DSA-5304 xorg-server
DSA-5305 libksba
DSA-5306 gerbv
DSA-5307 libcommons-net-java
DSA-5308 webkit2gtk
DSA-5309 wpewebkit
DSA-5310 ruby-image-processing
DSA-5311 trafficserver
DSA-5312 libjettison-java
DSA-5313 hsqldb
DSA-5314 emacs
DSA-5315 libxstream-java
DSA-5316 netty
DSA-5317 chromium
DSA-5318 lava
DSA-5319 openvswitch
DSA-5320 tor
DSA-5321 sudo
DSA-5322 firefox-esr
DSA-5323 libitext5-java
DSA-5324 linux-signed-amd64
DSA-5324 linux-signed-arm64
DSA-5324 linux-signed-i386
DSA-5324 linux
DSA-5325 spip
DSA-5326 nodejs
DSA-5327 swift
DSA-5328 chromium
DSA-5329 bind9
DSA-5330 curl
DSA-5331 openjdk-11
DSA-5332 git
DSA-5333 tiff
DSA-5334 varnish
DSA-5335 openjdk-17
DSA-5336 glance
DSA-5337 nova
DSA-5338 cinder
DSA-5339 libhtml-stripscripts-perl
DSA-5340 webkit2gtk
DSA-5341 wpewebkit
DSA-5342 xorg-server
DSA-5343 openssl
DSA-5344 heimdal
DSA-5345 chromium
DSA-5346 libde265
DSA-5347 imagemagick
DSA-5348 haproxy
DSA-5349 gnutls28
DSA-5350 firefox-esr
DSA-5351 webkit2gtk
DSA-5352 wpewebkit
DSA-5353 nss
DSA-5355 thunderbird
DSA-5356 sox
DSA-5357 git
DSA-5358 asterisk
DSA-5359 chromium
DSA-5361 tiff
DSA-5362 frr
DSA-5363 php7.4
DSA-5364 apr-util
DSA-5365 curl
DSA-5366 multipath-tools
DSA-5367 spip
DSA-5368 libreswan
DSA-5369 syslog-ng
DSA-5370 apr
DSA-5371 chromium
DSA-5372 rails
DSA-5373 node-sqlite3
DSA-5374 firefox-esr
DSA-5375 thunderbird
DSA-5376 apache2
DSA-5377 chromium
DSA-5378 xen
DSA-5379 dino-im
DSA-5380 xorg-server
DSA-5381 tomcat9
DSA-5382 cairosvg
DSA-5383 ghostscript
DSA-5384 openimageio
DSA-5385 firefox-esr
DSA-5386 chromium
DSA-5387 openvswitch
DSA-5388 haproxy
DSA-5389 rails
DSA-5390 chromium
DSA-5391 libxml2
DSA-5392 thunderbird
DSA-5393 chromium

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
bind-dyndb-ldap Roto con versiones más recientes de bind9; no se le puede dar soporte en «estable»
matrix-mirage Depende de python-matrix-nio, que se elimina
pantalaimon Depende de python-matrix-nio, que se elimina
python-matrix-nio Problemas de seguridad; no funciona con los servidores Matrix actuales
weechat-matrix Depende de python-matrix-nio, que se elimina

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

La distribución «estable» actual:

https://deb.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

https://deb.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.