Debian 10 actualizado: publicada la versión 10.6
26 de septiembre de 2020
El proyecto Debian se complace en anunciar la sexta actualización de la
distribución estable Debian 10 (nombre en clave buster
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado de forma independiente y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión de Debian
10 sino que actualiza alguno de los paquetes que vienen incluidos. No es necesario deshacerse de los viejos medios de instalación de buster
. Tras la instalación, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica de Debian actualizada.
Quienes instalen actualizaciones desde security.debian.org con frecuencia no necesitarán actualizar muchos paquetes ya que la mayoría de dichas actualizaciones están incluidas en esta versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación ya existente a esta versión conectando el sistema de gestión de paquetes a una de las múltiples réplicas HTTP de Debian. En la siguiente dirección puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta versión «estable» añade correcciones importantes a los siguientes paquetes.
Tenga en cuenta que, debido a problemas de la compilación, las actualizaciones para los paquetes cargo, rustc y rustc-bindgen no están disponibles actualmente para la arquitectura armel
.
Estas actualizaciones se añadirán en un futuro si se resuelven esos problemas.
Paquete | Motivo |
---|---|
arch-test | Corrige fallos de detección ocasionales de S390x |
asterisk | Corrige caída en la negociación de T.38 con una transmisión rechazada («declined stream») [CVE-2019-15297], Una petición SIP puede cambiar la dirección de un par SIP[CVE-2019-18790], Un usuario de la AMI podría ejecutar órdenes del sistema[CVE-2019-18610], violación de acceso en «pjsip show history» con pares IPv6 |
bacula | Corrige cadena de datos sobredimensionada permite a un cliente malicioso causar un desbordamiento de la memora dinámica («heap») del director[CVE-2020-11061] |
base-files | Actualiza /etc/debian_version a la versión actual |
calamares-settings-debian | Inhabilita el módulo displaymanager |
cargo | Nueva versión del proyecto original para dar soporte a próximas versiones de Firefox ESR |
chocolate-doom | Corrige la validación ausente [CVE-2020-14983] |
chrony | Previene una carrera de enlace simbólico cuando se escribe en el archivo PID [CVE-2020-14367]; corrige la lectura de temperatura |
debian-installer | Actualiza la ABI de Linux a la versión 4.19.0-11 |
debian-installer-netboot-images | Recompilado contra proposed-updates |
diaspora-installer | Usa la opción --frozen en «bundle install» para que utilice el Gemfile.lock del proyecto original; no excluye Gemfile.lock en las actualizaciones; no sobrescribe config/oidc_key.pem en las actualizaciones; convierte config/schedule.yml en un archivo escribible |
dojo | Corrige contaminación del prototipo en el método deepCopy [CVE-2020-5258] y en el método jqMix [CVE-2020-5259] |
dovecot | Corrige regresión de sincronización de filtros sieve con dsync; corrige el manejo del resultado de getpwent en userdb-passwd |
facter | Cambia el extremo de los metadatos de Google GCE de v1beta1a v1 |
gnome-maps | Corrige un problema con el renderizado de capas de forma desalineadas |
gnome-shell | Diálogo de inicio de sesión: al cambiar de VT, inicializa los campos para introducir las credenciales antes de mostrar el diálogo [CVE-2020-17489] |
gnome-weather | Previene caída cuando el conjunto de localizaciones configurado no es válido |
grunt | Emplea carga segura («safeLoad») cuando se cargan archivos YAML [CVE-2020-7729] |
gssdp | Nueva versión «estable» del proyecto original |
gupnp | Nueva versión «estable» del proyecto original; previene el ataque de CallStranger[CVE-2020-12695]; necesita GSSDP 1.0.5 |
haproxy | logrotate.conf: emplea un script auxiliar de rsyslog en lugar del script de inicio SysV; rechaza mensajes en los que no está presente chunkeden «Transfer-Encoding»[CVE-2019-18277] |
icinga2 | Corrige el ataque de enlace simbólico [CVE-2020-14004] |
incron | Corrige la limpieza de procesos zombies |
inetutils | Corrige problema de ejecución de código remoto [CVE-2020-10188] |
libcommons-compress-java | Corrige problema de denegación de servicio [CVE-2019-12402] |
libdbi-perl | Corrige la corrupción de memoria en funciones XS cuando se reasigna una pila de Perl [CVE-2020-14392]; corrige el desbordamiento de memoria en un nombre de clase DBD muy largo [CVE-2020-14393]; corrige una desreferencia de perfil NULL en dbi_profile() [CVE-2019-20919] |
libvncserver | libvncclient: cancela el intento de conexión si el nombre del socket UNIX es demasiado largo [CVE-2019-20839]; corrige problema del aliasing/alineamiento del puntero [CVE-2020-14399]; limita el tamaño del chat de texto [CVE-2020-14405]; libvncserver: añade comprobación de puntero nulo faltante [CVE-2020-14397]; corrige problema del aliasing/alineamiento del puntero [CVE-2020-14400]; scale: convierte a 64 bits antes de desplazar [CVE-2020-14401]; previene accesos OOB [CVE-2020-14402 CVE-2020-14403 CVE-2020-14404] |
libx11 | Corrige desbordamiento de números enteros [CVE-2020-14344 CVE-2020-14363] |
lighttpd | Adapta correcciones de usabilidad y seguridad para versiones anteriores |
linux | Nueva versión «estable» del proyecto original; aumenta ABI a 11 |
linux-latest | Actualización para la ABI del núcleo -11 |
linux-signed-amd64 | Nueva versión «estable» del proyecto original |
linux-signed-arm64 | Nueva versión «estable» del proyecto original |
linux-signed-i386 | Nueva versión «estable» del proyecto original |
llvm-toolchain-7 | Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR; corrige fallos que afectan al compilado rustc |
lucene-solr | Corrige un problema de seguridad en el manejo de la configuración DataImportHandler [CVE-2019-0193] |
milkytracker | Corrige el desbordamiento de memoria dinámica «heap» [CVE-2019-14464], desbordamiento de pila [CVE-2019-14496], desbordamiento de memoria dinámica «heap» [CVE-2019-14497] y «uso tras liberar» [CVE-2020-15569] |
node-bl | Corrige vulnerabilidad de lectura fuera de límites [CVE-2020-8244] |
node-elliptic | Prevención de maleabilidad y desbordamientos [CVE-2020-13822] |
node-mysql | Añade la opción localInfile para controlar LOAD DATA LOCAL INFILE [CVE-2019-14939] |
node-url-parse | Corrige la validación insuficiente y el saneado en la entrada de usuario [CVE-2020-8124] |
npm | Oculta el password en los registros [CVE-2020-15095] |
orocos-kdl | Elimina inclusión explícita de la ruta «include» predeterminada, corrigiendo problemas con cmake < 3.16 |
postgresql-11 | Nueva versión «estable» del proyecto original; configura un search_path seguro en la replicación lógica de walsenders y apply workers [CVE-2020-14349]; hace más seguros los scripts de instalación de los módulos de contribuidores [CVE-2020-14350] |
postgresql-common | No deja caer plpgsql antes de probar las extensiones |
pyzmq | Asyncio: espera a POLLOUT en el emisor en can_connect |
qt4-x11 | Corrige desbordamiento de memoria en el intérprete XBM [CVE-2020-17507] |
qtbase-opensource-src | Corrige desbordamiento de memoria en el intérprete XBM [CVE-2020-17507]; corrige la ruptura del portapapeles cuando el temporizador completa su ciclo y vuelve al principio tras 50 días |
ros-actionlib | Carga YAML de forma segura [CVE-2020-10289] |
rustc | Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR |
rust-cbindgen | Nueva versión del proyecto original para dar soporte a versiones próximas de Firefox ESR |
ruby-ronn | Corrige el manejo de contenido UTF-8 en las páginas del manual |
s390-tools | Definición interna de dependencias de perl en lugar de usar ${perl:Depends}, corrige la instalación bajo debootstrap |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la versión «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Instalador de Debian
Se ha actualizado para incluir las correcciones incorporadas por esta nueva versión «estable».
URLs
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo a <press@debian.org>, o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.