Debian 10 actualizado: publicada la versión 10.12

26 de marzo de 2022

El proyecto Debian se complace en anunciar la duodécima actualización de su distribución «antigua estable» Debian 10 (nombre en clave buster). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 10, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de buster. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Endurecimiento de la comprobación de los algoritmos de firma de OpenSSL

La actualización de OpenSSL proporcionada en esta versión incluye un cambio para asegurar que el algoritmo de firma solicitado está soportado en el nivel de seguridad activo.

Aunque eso no afectará a la mayoría de los casos de uso, podría dar lugar a la emisión de mensajes de error si se solicita un algoritmo no soportado. Por ejemplo, si se utilizan firmas RSA+SHA1 con el nivel de seguridad 2, que es el nivel de seguridad por omisión.

En casos así, el nivel de seguridad tiene que ser rebajado explícitamente, ya sea para operaciones individuales o de forma más global. Esto puede requerir cambios en la configuración de las aplicaciones. Para el propio OpenSSL, se puede rebajar el nivel de seguridad en operaciones individuales con una opción de línea de órdenes como:

-cipher ALL:@SECLEVEL=1

residiendo la configuración relevante a nivel de sistema en /etc/ssl/openssl.cnf

Corrección de fallos varios

Esta actualización de la distribución «antigua estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete	Motivo
apache-log4j1.2	Resuelve problemas de seguridad [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] eliminando el soporte de los módulos JMSSink, JDBCAppender, JMSAppender y Apache Chainsaw
apache-log4j2	Corrige problema de ejecución de código remoto [CVE-2021-44832]
atftp	Corrige problema de fuga de información [CVE-2021-46671]
base-files	Actualizado para la versión 10.12
beads	Recompilado contra cimg actualizado para corregir varios desbordamientos de memoria dinámica («heap») [CVE-2020-25693]
btrbk	Corrige regresión en la actualización para CVE-2021-38173
cargo-mozilla	Nuevo paquete, retroadaptado de Debian 11, para ayudar a compilar nuevas versiones de rust
chrony	Permite leer el fichero de configuración de chronyd que genera timemaster(8)
cimg	Corrige problemas de desbordamiento de memoria dinámica («heap») [CVE-2020-25693]
clamav	Nueva versión «estable» del proyecto original; corrige problema de denegación de servicio [CVE-2022-20698]
cups	Corrige un problema de validación de la entrada podría permitir que una aplicación maliciosa leyera memoria restringida [CVE-2020-10001]
debian-installer	Recompilado contra oldstable-proposed-updates; actualiza la ABI del núcleo a la -20
debian-installer-netboot-images	Recompilado contra oldstable-proposed-updates
detox	Corrige el tratamiento de ficheros grandes en arquitecturas ARM
evolution-data-server	Corrige caída por respuesta del servidor mal construida [CVE-2020-16117]
flac	Corrige problema de lectura fuera de límites [CVE-2020-0499]
gerbv	Corrige problema de ejecución de código [CVE-2021-40391]
glibc	Importa varias correcciones de la rama «estable» del proyecto original; simplifica la comprobación de versiones del núcleo soportadas, puesto que los núcleos 2.x ya no lo están; soporta la instalación con núcleos cuyo número de versión es mayor de 255
gmp	Corrige problemas de desbordamiento de entero y de memoria [CVE-2021-43618]
graphicsmagick	Corrige problema de desbordamiento de memoria [CVE-2020-12672]
htmldoc	Corrige problema de lectura fuera de límites [CVE-2022-0534] y problemas de desbordamiento de memoria [CVE-2021-43579 CVE-2021-40985]
http-parser	Resuelve una rotura inadvertida de la ABI
icu	Corrige la utilidad pkgdata
intel-microcode	Actualiza el microcódigo incluido; mitiga algunos problemas de seguridad [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
jbig2dec	Corrige problema de desbordamiento de memoria [CVE-2020-12268]
jtharness	Nueva versión del proyecto original para soportar compilaciones de versiones de OpenJDK-11 más recientes
jtreg	Nueva versión del proyecto original para soportar compilaciones de versiones de OpenJDK-11 más recientes
lemonldap-ng	Corrige proceso de autorización en extensiones («plugins») de prueba de contraseñas [CVE-2021-20874]; añade «recomienda» gsfonts, corrigiendo captcha
leptonlib	Corrige problema de denegación de servicio [CVE-2020-36277] y problemas de lectura de memoria fuera de límites [CVE-2020-36278 CVE-2020-36279 CVE-2020-36280 CVE-2020-36281]
libdatetime-timezone-perl	Actualiza los datos incluidos
libencode-perl	Corrige una fuga de memoria en Encode.xs
libetpan	Corrige problema de inyección de respuesta a STARTTLS [CVE-2020-15953]
libextractor	Corrige problema de lectura inválida [CVE-2019-15531]
libjackson-json-java	Corrige problemas de ejecución de código [CVE-2017-15095 CVE-2017-7525] y problemas de entidad externa XML [CVE-2019-10172]
libmodbus	Corrige problemas de lectura fuera de límites [CVE-2019-14462 CVE-2019-14463]
libpcap	Comprueba la longitud de la cabecera PHB antes de utilizarla para asignar memoria [CVE-2019-15165]
libsdl1.2	Trata eventos de foco a la entrada correctamente; corrige problemas de desbordamiento de memoria [CVE-2019-13616 CVE-2019-7637] y problemas de lectura de memoria fuera de límites [CVE-2019-7572 CVE-2019-7573 CVE-2019-7574 CVE-2019-7575 CVE-2019-7576 CVE-2019-7577 CVE-2019-7578 CVE-2019-7635 CVE-2019-7636 CVE-2019-7638]
libxml2	Corrige problema de «uso tras liberar» [CVE-2022-23308]
linux	Nueva versión «estable» del proyecto original; [rt] actualiza a la 4.19.233-rt105; incrementa la ABI a la 20
linux-latest	Actualiza a la ABI 4.19.0-20
linux-signed-amd64	Nueva versión «estable» del proyecto original; [rt] actualiza a la 4.19.233-rt105; incrementa la ABI a la 20
linux-signed-arm64	Nueva versión «estable» del proyecto original; [rt] actualiza a la 4.19.233-rt105; incrementa la ABI a la 20
linux-signed-i386	Nueva versión «estable» del proyecto original; [rt] actualiza a la 4.19.233-rt105; incrementa la ABI a la 20
llvm-toolchain-11	Nuevo paquete, retroadaptado de Debian 11, para ayudar a compilar nuevas versiones de rust
lxcfs	Corrige error en la información de uso del espacio de intercambio
mailman	Corrige problema de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-43331]; corrige el moderador de una lista puede descifrar la contraseña del administrador, cifrada en un token CSRF [CVE-2021-43332]; corrige potencial ataque CSRF contra un administrador de lista por parte de un miembro o moderador de la lista [CVE-2021-44227]; corrige regresiones en las correcciones de CVE-2021-42097 y de CVE-2021-44227
mariadb-10.3	Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
node-getobject	Corrige problema de contaminación de prototipo [CVE-2020-28282]
opensc	Corrige problemas de acceso fuera de límites [CVE-2019-15945 CVE-2019-15946], caída debida a lectura de memoria desconocida [CVE-2019-19479], problema de «doble liberación» [CVE-2019-20792] y problemas de desbordamiento de memoria [CVE-2020-26570 CVE-2020-26571 CVE-2020-26572]
openscad	Corrige desbordamientos de memoria en el analizador sintáctico de STL [CVE-2020-28599 CVE-2020-28600]
openssl	Nueva versión del proyecto original
php-illuminate-database	Corrige problema de asociación de consulta («query binding») [CVE-2021-21263] y problema de inyección de SQL cuando se usa con Microsoft SQL Server
phpliteadmin	Corrige problema de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-46709]
plib	Corrige problema de desbordamiento de entero [CVE-2021-38714]
privoxy	Corrige fuga de memoria [CVE-2021-44540] y problema de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-44543]
publicsuffix	Actualiza los datos incluidos
python-virtualenv	Evita intentar la instalación de pkg_resources desde PyPI
raptor2	Corrige problema de acceso a una matriz fuera de límites [CVE-2020-25713]
ros-ros-comm	Corrige problema de denegación de servicio [CVE-2021-37146]
rsyslog	Corrige problemas de desbordamiento de memoria dinámica («heap») [CVE-2019-17041 CVE-2019-17042]
ruby-httpclient	Usa el almacén de certificados del sistema
rust-cbindgen	Nueva versión «estable» del proyecto original para soportar compilaciones de versiones más recientes de firefox-esr y de thunderbird
rustc-mozilla	Nuevo paquete fuente para soportar la compilación de versiones más recientes de firefox-esr y de thunderbird
s390-dasd	Deja de pasar a dasdfmt la opción obsoleta («deprecated») -f
spip	Corrige problema de ejecución de scripts entre sitios («cross-site scripting»)
tzdata	Actualiza datos de Fiyi y de Palestina
vim	Corrige capacidad de ejecución de código en modo restringido [CVE-2019-20807], problemas de desbordamiento de memoria [CVE-2021-3770 CVE-2021-3778 CVE-2021-3875] y problema de «uso tras liberar» [CVE-2021-3796]; elimina parche incluido accidentalmente
wavpack	Corrige uso de valores no inicializados [CVE-2019-1010317 CVE-2019-1010319]
weechat	Corrige varios problemas de denegación de servicio [CVE-2020-8955 CVE-2020-9759 CVE-2020-9760 CVE-2021-40516]
wireshark	Corrige varios problemas de seguridad en disectores [CVE-2021-22207 CVE-2021-22235 CVE-2021-39921 CVE-2021-39922 CVE-2021-39923 CVE-2021-39924 CVE-2021-39928 CVE-2021-39929]
xterm	Corrige problema de desbordamiento de memoria [CVE-2022-24130]
zziplib	Corrige problema de denegación de servicio [CVE-2020-18442]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «antigua estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso	Paquete
DSA-4513	samba
DSA-4982	apache2
DSA-4983	neutron
DSA-4985	wordpress
DSA-4986	tomcat9
DSA-4987	squashfs-tools
DSA-4989	strongswan
DSA-4990	ffmpeg
DSA-4991	mailman
DSA-4993	php7.3
DSA-4994	bind9
DSA-4995	webkit2gtk
DSA-4997	tiff
DSA-5000	openjdk-11
DSA-5001	redis
DSA-5004	libxstream-java
DSA-5005	ruby-kaminari
DSA-5006	postgresql-11
DSA-5010	libxml-security-java
DSA-5011	salt
DSA-5013	roundcube
DSA-5014	icu
DSA-5015	samba
DSA-5016	nss
DSA-5018	python-babel
DSA-5019	wireshark
DSA-5020	apache-log4j2
DSA-5021	mediawiki
DSA-5022	apache-log4j2
DSA-5023	modsecurity-apache
DSA-5024	apache-log4j2
DSA-5027	xorg-server
DSA-5028	spip
DSA-5029	sogo
DSA-5030	webkit2gtk
DSA-5032	djvulibre
DSA-5035	apache2
DSA-5036	sphinxsearch
DSA-5037	roundcube
DSA-5038	ghostscript
DSA-5039	wordpress
DSA-5040	lighttpd
DSA-5043	lxml
DSA-5047	prosody
DSA-5051	aide
DSA-5052	usbview
DSA-5053	pillow
DSA-5056	strongswan
DSA-5057	openjdk-11
DSA-5059	policykit-1
DSA-5060	webkit2gtk
DSA-5062	nss
DSA-5063	uriparser
DSA-5065	ipython
DSA-5066	ruby2.5
DSA-5071	samba
DSA-5072	debian-edu-config
DSA-5073	expat
DSA-5075	minetest
DSA-5076	h2database
DSA-5078	zsh
DSA-5081	redis
DSA-5083	webkit2gtk
DSA-5085	expat
DSA-5087	cyrus-sasl2
DSA-5088	varnish
DSA-5093	spip
DSA-5096	linux-latest
DSA-5096	linux-signed-amd64
DSA-5096	linux-signed-arm64
DSA-5096	linux-signed-i386
DSA-5096	linux
DSA-5098	tryton-server
DSA-5099	tryton-proteus
DSA-5100	nbd
DSA-5101	libphp-adodb
DSA-5103	openssl
DSA-5105	bind9

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete	Motivo
angular-maven-plugin	Ya no es útil
minify-maven-plugin	Ya no es útil

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «antigua estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

https://deb.debian.org/debian/dists/buster/ChangeLog

La distribución «antigua estable» actual:

https://deb.debian.org/debian/dists/oldstable/

Actualizaciones propuestas a la distribución «antigua estable»:

https://deb.debian.org/debian/dists/oldstable-proposed-updates

Información sobre la distribución «antigua estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/oldstable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.