Debian 10 actualizado: publicada la versión 10.4
9 de mayo de 2020
El proyecto Debian se complace en anunciar la cuarta actualización de su
distribución «estable» Debian 10 (nombre en clave buster
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
10, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de buster
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
Paquete | Motivo |
---|---|
apt-cacher-ng | Hace que la llamada al servidor al lanzar trabajos de mantenimiento sea segura [CVE-2020-5202]; permite compresión .zst para archivos tar; incrementa el tamaño del área de memoria utilizada para descomprimir las líneas durante la lectura del fichero de configuración |
backuppc | Pasa el nombre de usuario a start-stop-daemon al recargar, evitando fallos de recarga |
base-files | Actualizado para esta versión |
brltty | Reduce gravedad de mensaje de log para evitar la generación de demasiados mensajes cuando se utiliza con versiones nuevas de Orca |
checkstyle | Corrige problema de inyección de entidad externa XML [CVE-2019-9658 CVE-2019-10782] |
choose-mirror | Actualiza lista de réplicas incluida |
clamav | Nueva versión del proyecto original [CVE-2020-3123] |
corosync | totemsrp: reduce MTU para evitar la generación de paquetes con exceso de longitud |
corosync-qdevice | Corrige arranque del servicio |
csync2 | Falla la orden HELLO cuando se requiere SSL |
cups | Corrige desbordamiento de memoria dinámica («heap») [CVE-2020-3898] y la función `ippReadIO` puede leer fuera de límites un campo extensión («under-read an extension field»)[CVE-2019-8842] |
dav4tbsync | Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird |
debian-edu-config | Añade ficheros de políticas para Firefox ESR y para Thunderbird con el objetivo de corregir la configuración de TLS/SSL |
debian-installer | Actualizado para la ABI del núcleo 4.19.0-9 |
debian-installer-netboot-images | Recompilado contra proposed-updates |
debian-security-support | Nueva versión «estable» del proyecto original; actualizado el estado de varios paquetes; usa runuseren lugar de su |
distro-info-data | Añade Ubuntu 20.10 y fecha estimada de fin de soporte para stretch |
dojo | Corrige uso incorrecto de expresiones regulares [CVE-2019-10785] |
dpdk | Nueva versión «estable» del proyecto original |
dtv-scan-tables | Nuevo snapshot del proyecto original; añade todos los multiplexores actuales del DVB-T2 alemán y el satélite Eutelsat-5-West-A |
eas4tbsync | Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird |
edk2 | Correcciones de seguridad [CVE-2019-14558 CVE-2019-14559 CVE-2019-14563 CVE-2019-14575 CVE-2019-14586 CVE-2019-14587] |
el-api | Corrige migraciones de stretch a buster que incluyen Tomcat 8 |
fex | Corrige un potencial problema de seguridad en fexsrv |
filezilla | Corrige vulnerabilidad de ruta de búsqueda no confiable («untrusted search path vulnerability») [CVE-2019-5429] |
frr | Corrige capacidad extendida de siguiente salto («extended next hop capability») |
fuse | Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge») |
fuse3 | Elimina órdenes udevadm obsoletas de scripts post-install; no borra fuse.conf explícitamente al eliminar («purge»); corrige filtración de contenido de la memoria en fuse_session_new() |
golang-github-prometheus-common | Extiende validez de certificados de prueba |
gosa | Sustituye (un)serialize por json_encode/json_decode para mitigar inyección de objetos PHP [CVE-2019-14466] |
hbci4java | Soporta directiva de la Unión Europea sobre servicios de pago (PSD2) |
hibiscus | Soporta directiva de la Unión Europea sobre servicios de pago (PSD2) |
iputils | Corrige un problema por el cual ping termina, incorrectamente, con un código de error cuando todavía quedan direcciones no probadas en la lista devuelta por la función de biblioteca getaddrinfo() |
ircd-hybrid | Usa dhparam.pem para evitar caída en el arranque |
jekyll | Permite el uso de ruby-i18n 0.x y 1.x |
jsp-api | Corrige migraciones de stretch a buster que incluyen Tomcat 8 |
lemonldap-ng | Evita accesos no deseados a puntos de acceso («endpoints») de administración [CVE-2019-19791]; corrige la extensión («plugin») GrantSession que no podía prohibir el acceso («logon») cuando se usaba autenticación de doble factor; corrige redirecciones arbitrarias con OIDC si no se usaba redirect_uri |
libdatetime-timezone-perl | Actualiza los datos incluidos |
libreoffice | Corrige transiciones de transparencias OpenGL |
libssh | Corrige posible problema de denegación de servicio al manejar claves AES-CTR con OpenSSL [CVE-2020-1730] |
libvncserver | Corrige desbordamiento de memoria dinámica («heap») [CVE-2019-15690] |
linux | Nueva versión «estable» del proyecto original |
linux-latest | Actualizada la ABI del núcleo a la 4.19.0-9 |
linux-signed-amd64 | Nueva versión «estable» del proyecto original |
linux-signed-arm64 | Nueva versión «estable» del proyecto original |
linux-signed-i386 | Nueva versión «estable» del proyecto original |
lwip | Corrige desbordamiento de memoria [CVE-2020-8597] |
lxc-templates | Nueva versión «estable» del proyecto original; gestiona idiomas que solo están codificados en UTF-8 |
manila | Corrige comprobación de los permisos de acceso, que faltaba [CVE-2020-9543] |
megatools | Añade soporte para el nuevo formato de los enlaces mega.nz |
mew | Corrige comprobación de la validez de certificados SSL de servidor |
mew-beta | Corrige comprobación de la validez de certificados SSL de servidor |
mkvtoolnix | Recompilado para ajustar dependencia con libmatroska6v5 |
ncbi-blast+ | Inhabilita soporte de SSE4.2 |
node-anymatch | Elimina dependencias innecesarias |
node-dot | Evita ejecución de código después de contaminación de prototipo [CVE-2020-8141] |
node-dot-prop | Corrige contaminación de prototipo [CVE-2020-8116] |
node-knockout | Corrige la codificación para evitar la evaluación («escaping») con versiones antiguas de Internet Explorer [CVE-2019-14862] |
node-mongodb | Rechaza _bsontypes inválidos [CVE-2019-2391 CVE-2020-7610] |
node-yargs-parser | Corrige contaminación de prototipo [CVE-2020-7608] |
npm | Corrige acceso a rutas arbitrarias [CVE-2019-16775 CVE-2019-16776 CVE-2019-16777] |
nvidia-graphics-drivers | Nueva versión «estable» del proyecto original |
nvidia-graphics-drivers-legacy-390xx | Nueva versión «estable» del proyecto original |
nvidia-settings-legacy-340xx | Nueva versión del proyecto original |
oar | Revierte el comportamiento de la función perl Storable::dclone al que tenía en stretch, corrigiendo problemas de profundidad de recursión |
opam | Prefiere mccs a aspcud |
openvswitch | Corrige fallo de vswitchd cuando se añade un puerto y el controlador está caído |
orocos-kdl | Corrige conversión de cadena de caracteres con Python 3 |
owfs | Elimina paquetes de Python 3 rotos |
pango1.0 | Corrige caída en pango_fc_font_key_get_variations() cuando la clave es nula |
pgcli | Añade dependencia con python3-pkg-resources, que faltaba |
php-horde-data | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8518] |
php-horde-form | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8866] |
php-horde-trean | Corrige vulnerabilidad de ejecución de código remoto por usuarios autenticados [CVE-2020-8865] |
postfix | Nueva versión «estable» del proyecto original; corrige panic con configuración Postfix multi-Milter durante MAIL FROM; corrige cambio en d/init.d running de forma que vuelva a funcionar con instancias múltiples |
proftpd-dfsg | Corrige problema de acceso a memoria en código de «keyboard-interactive» en mod_sftp; procesa correctamente mensajes DEBUG, IGNORE, DISCONNECT y UNIMPLEMENTED en modo «keyboard-interactive» |
puma | Corrige problema de denegación de servicio [CVE-2019-16770] |
purple-discord | Corrige caídas en ssl_nss_read |
python-oslo.utils | Corrige fuga de información sensible a través de los logs de mistral [CVE-2019-3866] |
rails | Corrige posible ejecución de scripts entre sitios («cross-site scripting») mediante métodos de ayuda Javascript para codificar caracteres y evitar su evaluación («escape helper») [CVE-2020-5267] |
rake | Corrige vulnerabilidad de inyección de órdenes [CVE-2020-8130] |
raspi3-firmware | Corrige discordancia de nombres de los dtb en z50-raspi-firmware; corrige arranque en Raspberry Pi familias 1 y 0 |
resource-agents | Corrige ethmonitor no lista interfaces que no tienen dirección IP asignada; elimina parche xen-toolstack, que ya no es necesario; corrige uso no estándar en agente ZFS |
rootskel | Inhabilita soporte de múltiples consolas si se usa preselección de respuestas («preseeding») |
ruby-i18n | Corrige generación de gemspec |
rubygems-integration | Evita avisos de depreciación cuando los usuarios instalan una versión más reciente de Rubygems mediante gem update --system |
schleuder | Mejora el parche para tratar errores de codificación introducido en la versión anterior; cambia la codificación por omisión a UTF-8; permite que x-add-key procese correos con claves adjuntas codificadas con caracteres imprimibles («quoted-printable»); corrige x-attach-listkey con correos creados por Thunderbird que incluyen cabeceras protegidas |
scilab | Corrige la carga de bibliotecas con OpenJDK 11.0.7 |
serverspec-runner | Soporta Ruby 2.5 |
softflowd | Corrige la agregación de flujos, que está rota y podría dar lugar al desbordamiento de la tabla de flujos y a un consumo de CPU del 100% |
speech-dispatcher | Corrige latencia por omisión de pulseaudio, que provoca salida chirriante(«scratchy») |
spl-linux | Corrige abrazo mortal |
sssd | Corrige bucle en sssd_be cuando la conexión a LDAP es intermitente |
systemd | Al autorizar con PolicyKit, resuelve de nuevo la retrollamada («callback») y los datos de usuario en lugar de cachearlos [CVE-2020-1712]; instala 60-block.rules en udev-udeb y en initramfs-tools |
taglib | Corrige problemas de corrupción de ficheros OGG |
tbsync | Nueva versión del proyecto original, recuperando compatibilidad con versiones más recientes de Thunderbird |
timeshift | Corrige uso de directorio temporal predecible [CVE-2020-10174] |
tinyproxy | Solo da valor a PIDDIR si PIDFILE es una cadena de caracteres con longitud mayor que cero |
tzdata | Nueva versión «estable» del proyecto original |
uim | Elimina del registro módulos que no están instalados, corrigiendo una regresión en la actualización anterior del paquete |
user-mode-linux | Corrige error de compilación con núcleos «estables» actuales |
vite | Corrige caída cuando hay más de 32 elementos |
waagent | Nueva versión del proyecto original; soporta instalación conjuntamente con cloud-init |
websocket-api | Corrige migraciones de stretch a buster que incluyen Tomcat 8 |
wpa | No intenta detectar discordancia de la PSK durante la regeneración («rekeying») de la PTK; comprueba el soporte de FT al seleccionar suites FT; corrige problema de aleatorización de la MAC con algunas tarjetas |
xdg-utils | xdg-open: corrige comprobación y tratamiento por parte de pcmanfm de directorios cuyo nombre contiene espacios; xdg-screensaver: sanea el nombre de la ventana antes de enviárselo a D-Bus; xdg-mime: crea el directorio de configuración si no existe |
xtrlock | Corrige el bloqueo de (algunos) dispositivos multitáctiles mientras está cerrado [CVE-2016-10894] |
zfs-linux | Corrige potenciales problemas de abrazo mortal |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
Paquete | Motivo |
---|---|
getlive | Roto debido a cambios en Hotmail |
gplaycli | Roto por cambios en la API de Google |
kerneloops | El servicio del proyecto original ya no está disponible |
lambda-align2 | [arm64 armel armhf i386 mips64el ppc64el s390x] Roto en arquitecturas no amd64 |
libmicrodns | Problemas de seguridad |
libperlspeak-perl | Problemas de seguridad; sin desarrollo activo |
quotecolors | Incompatible con versiones más recientes de Thunderbird |
torbirdy | Incompatible con versiones más recientes de Thunderbird |
ugene | No libre; no compila |
yahoo2mbox | Roto desde hace varios años |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.