Ya se encuentra disponible una nueva actualización de mantenimiento para una de nuestras distribuciones favoritas Debian 9 Stretch, ahora se va a la versión 9.9 y a la espera de la 10, veamos que nos trae.
Esta nueva versión no esta considerada una versión nueva, si no que viene a actualizar algunos paquetes, sobre todo correcciones de seguridad, por lo que no hace falta instalar desde cero, aunque las nuevas imágenes ya contendrán estos cambios.
Para aquellos usuarios que quieran actualizar desde Debian 9.8 lo podemos hacer por comando:
apt update && apt dist-upgrade
El proyecto Debian se complace en anunciar la novena actualización de su distribución «estable» Debian 9 (nombre en clave stretch). Esta versión añade, principalmente, correcciones de problemas de seguridad, junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 9, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de stretch. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:https://www.debian.org/mirror/list
Como una cuestión particular de esta versión en concreto, quienes utilicen apt-get para la actualización tendrán que asegurarse de utilizar la orden dist-upgrade para incluir la actualización a los últimos paquetes del núcleo. Quienes utilicen otras herramientas como apt o aptitude deberían utilizar la orden upgrade.
Tabla de contenidos
Corrección de fallos varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| audiofile | Corrige problemas de denegación de servicio [CVE-2018-13440] y de desbordamiento de memoria [CVE-2018-17095] |
| base-files | Actualizado para esta versión |
| bwa | Corrige desbordamiento de memoria [CVE-2019-10269] |
| ca-certificates-java | Corrige códigos específicos para bash en postinst y en jks-keystore |
| cernlib | Aplica la opción de optimización -O a los módulos Fortran en lugar de -O2, que genera código inválido; corrige fallo de compilación en arm64 inhabilitando PIE para los ejecutables Fortran |
| choose-mirror | Actualiza la lista de réplicas incluida |
| chrony | Corrige el registro de medidas y estadísticas y la parada de chronyd en algunas plataformas cuando está habilitado el filtrado con seccomp |
| ckermit | Elimina la comprobación de la versión de OpenSSL |
| clamav | Corrige acceso a la memoria dinámica («heap») fuera de límites al examinar documentos PDF [CVE-2019-1787], ficheros PE empaquetados con Aspack [CVE-2019-1789] o ficheros OLE2 [CVE-2019-1788] |
| dansguardian | Añade missingok a la configuración de logrotate |
| debian-installer | Recompilado contra proposed-updates |
| debian-installer-netboot-images | Recompilado contra proposed-updates |
| debian-security-support | Actualiza estados de soporte |
| diffoscope | Corrige pruebas para que funcionen con Ghostscript 9.26 |
| dns-root-data | Actualiza datos raíz («root data») a 2019031302 |
| dnsruby | Añade nueva clave raíz (KSK-2017); ruby 2.3.0 desaconseja usar TimeoutError, usa en su lugar Timeout::Error |
| dpdk | Nueva versión «estable» del proyecto original |
| edk2 | Corrige desbordamiento de memoria en servicio BlockIo [CVE-2018-12180]; DNS: comprueba tamaño del paquete recibido antes de usarlo [CVE-2018-12178]; corrige desbordamiento de pila con BMP corrupto [CVE-2018-12181] |
| firmware-nonfree | atheros / iwlwifi: actualiza firmware de BlueTooth [CVE-2018-5383] |
| flatpak | Rechaza todos los ioctls que el núcleo interpretaría como TIOCSTI [CVE-2019-10063] |
| geant321 | Recompilado contra cernlib con optimizaciones de Fortran fijas |
| gnome-chemistry-utils | Deja de compilar el paquete obsoleto gcu-plugin |
| gocode | gocode-auto-complete-el: pasa auto-complete-el a Pre-Depends para asegurar actualizaciones satisfactorias |
| gpac | Corrige desbordamientos de memoria [CVE-2018-7752 CVE-2018-20762], desbordamientos de memoria dinámica («heap») [CVE-2018-13005 CVE-2018-13006 CVE-2018-20761] y escrituras fuera de límites [CVE-2018-20760 CVE-2018-20763] |
| icedtea-web | Deja de compilar la extensión («plugin») de navegador, ya no funciona con Firefox 60 |
| igraph | Corrige una caída al cargar ficheros GraphML mal construidos [CVE-2018-20349] |
| jabref | Corrige ataque de entidad externa XML [CVE-2018-1000652] |
| java-common | Elimina el paquete default-java-plugin, ya que la extensión («plugin») Xul de icedtea-web se va a eliminar |
| jquery | Evita contaminación de Object.prototype [CVE-2019-11358] |
| kauth | Corrige gestión insegura de parámetros en utilidades de ayuda («helpers») [CVE-2019-7443] |
| libdate-holidays-de-perl | Añade el 8 de marzo (de 2019 en adelante) y el 8 de mayo (solo en 2020) como festivos (solo en Berlin) |
| libdatetime-timezone-perl | Actualiza los datos incluidos |
| libreoffice | Introduce la próxima era japonesa nengō ‘Reiwa’; hace que -core entre en conflicto con openjdk-8-jre-headless (= 8u181-b13-2~deb9u1), que tiene una ClassPathURLCheck rota |
| linux | Nueva versión «estable» del proyecto original |
| linux-latest | Actualizado para la ABI -9 del núcleo |
| mariadb-10.1 | Nueva versión «estable» del proyecto original |
| mclibs | Recompilado contra cernlib con optimizaciones de Fortran fijas |
| ncmpc | Corrige desreferencia de puntero NULL [CVE-2018-9240] |
| node-superagent | Corrige ataques mediante bombas ZIP [CVE-2017-16129]; corrige error de sintaxis |
| nvidia-graphics-drivers | Nueva versión «estable» del proyecto original [CVE-2018-6260] |
| nvidia-settings | Nueva versión «estable» del proyecto original |
| obs-build | No permite la escritura de ficheros en el sistema anfitrión [CVE-2017-14804] |
| paw | Recompilado contra cernlib con optimizaciones Fortran fijas |
| perlbrew | Permite las URL HTTPS de CPAN |
| postfix | Nueva versión «estable» del proyecto original |
| postgresql-9.6 | Nueva versión «estable» del proyecto original |
| psk31lx | Ordena los números de versión correctamente para evitar problemas potenciales en las actualizaciones |
| publicsuffix | Actualiza los datos incluidos |
| pyca | Añade missingok a la configuración de logrotate |
| python-certbot | Vuelve a debhelper compat 9 para asegurar que los temporizadores de systemd arrancan correctamente |
| python-cryptography | Elimina BIO_callback_ctrl: el prototipo difiere de la definición de él dada por OpenSSL tras su modificación (corrección) en OpenSSL |
| python-django-casclient | Aplica la corrección del middleware django 1.10; python(3)-django-casclient: corrige dependencias con python(3)-django, que faltaban |
| python-mode | Elimina soporte para xemacs21 |
| python-pip | Captura correctamente los HTTPError de solicitudes en index.py |
| python-pykmip | Corrige problema de denegación de servicio potencial [CVE-2018-1000872] |
| r-cran-igraph | Corrige denegación de servicio mediante objeto modificado [CVE-2018-20349] |
| rails | Corrige problemas de revelación de información [CVE-2018-16476 CVE-2019-5418] y problema de denegación de servicio [CVE-2019-5419] |
| rsync | Varias correcciones de seguridad para zlib [CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-2016-9843] |
| ruby-i18n | Evita una vulnerabilidad de denegación de servicio remota [CVE-2014-10077] |
| ruby2.3 | Corrige FTBFS |
| runc | Corrige vulnerabilidad de elevación a privilegios de root [CVE-2019-5736] |
| systemd | journald: corrige fallo de aserción sobre journal_file_link_data; tmpfiles: corrige e para soportar patrones de nombres de fichero estilo intérprete de órdenes («shell»); mount-util: acepta que name_to_handle_at() podría fallar con EPERM; automount: acusa recibo de peticiones de automount también cuando ya están montadas [CVE-2018-1049]; corrige elevación potencial a privilegios de root [CVE-2018-15686] |
| twitter-bootstrap3 | Corrige problema de cross site scripting en descripciones emergentes («tooltips») o en «popovers» [CVE-2019-8331] |
| tzdata | Nueva versión del proyecto original |
| unzip | Corrige desbordamiento de memoria en archivos ZIP protegidos con contraseña [CVE-2018-1000035] |
| vcftools | Corrige revelación de información [CVE-2018-11099] y denegación de servicio [CVE-2018-11129 CVE-2018-11130] por medio de ficheros manipulados |
| vips | Corrige desreferencia de puntero de función NULL [CVE-2018-7998] y acceso a memoria no inicializada [CVE-2019-6976] |
| waagent | Nueva versión del proyecto original, con muchas correcciones de Azure [CVE-2019-0804] |
| yorick-av | Reescala las marcas de tiempo de fotograma; establece el tamaño de la zona de memoria VBV para ficheros MPEG1/2 |
| zziplib | Corrige acceso a memoria inválida [CVE-2018-6381], error de bus [CVE-2018-6540], lectura fuera de límites [CVE-2018-7725], caída por fichero zip manipulado [CVE-2018-7726] y fuga de contenido de la memoria [CVE-2018-16548]; rechaza el fichero ZIP si el tamaño del directorio central y/o el desplazamiento al comienzo del directorio central apuntan más allá del final del fichero ZIP [CVE-2018-6484, CVE-2018-6541, CVE-2018-6869] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| gcontactsync | Incompatible con versiones más recientes de firefox-esr |
| google-tasks-sync | Incompatible con versiones más recientes de firefox-esr |
| mozilla-gnome-kerying | Incompatible con versiones más recientes de firefox-esr |
| tbdialout | Incompatible con versiones más recientes de thunderbird |
| timeline | Incompatible con versiones más recientes de thunderbird |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:http://ftp.debian.org/debian/dists/stretch/ChangeLog
La distribución «estable» actual:http://ftp.debian.org/debian/dists/stable/
Actualizaciones propuestas a la distribución «estable»:http://ftp.debian.org/debian/dists/proposed-updates
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):https://www.debian.org/releases/stable/
Información y anuncios de seguridad:https://www.debian.org/security/
