El proyecto Debian se complace en anunciar la tercera actualización de su distribución estable Debian 10 (buster de nombre en clave). Esta versión puntual agrega principalmente correcciones para problemas de seguridad, junto con algunos ajustes para problemas graves. Los avisos de seguridad ya se han publicado por separado y se hace referencia a ellos cuando estén disponibles.
Ten en cuenta que el lanzamiento puntual no constituye una nueva versión de Debian 10 sino que solo actualiza algunos de los paquetes incluidos. No hay ninguna necesidad de tirar los viejos medios de “buster“. Después de la instalación, los paquetes se pueden actualizar a las versiones actuales utilizando un mirror de Debian actualizado.
Aquellos que instalan con frecuencia actualizaciones de security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de estas actualizaciones se incluyen en el lanzamiento puntual.
Las nuevas imágenes de instalación estarán disponibles pronto en las ubicaciones habituales.
Se puede actualizar una instalación existente a esta revisión apuntando el sistema de administración de paquetes a uno de los muchos espejos HTTP de Debian. Una lista completa de espejos está disponible en:
https://www.debian.org/mirror/list
Tabla de contenidos
Errores corregidos
Esta actualización estable agrega algunas correcciones importantes a los siguientes paquetes:
| Paquete | Razón |
|---|---|
| mucho | Elimine el tiempo de caducidad de las claves del conjunto de pruebas, reparando la falla de compilación |
| atril | Corregir segfault cuando no se carga ningún documento; corrección de lectura de memoria no inicializada [CVE-2019-11459] |
| archivos base | Actualización para el lanzamiento puntual |
| beagle | Proporcione script de envoltura en lugar de enlaces simbólicos a los JAR, haciendo que funcionen nuevamente |
| bgpdump | Arreglar falla de segmentación |
| impulso1.67 | Repara el comportamiento indefinido que conduce a la caída de libboost-numpy |
| Brightd | Compare realmente el valor leído de / sys / class / power_supply / AC / online con 0 |
| casacore-data-jplde | Incluir tablas hasta 2040 |
| clamav | Nuevo lanzamiento aguas arriba; solucionar el problema de denegación de servicio [CVE-2019-15961]; eliminar la opción ScanOnAccess, reemplazando con clamonacc |
| compacta | Nuevo lanzamiento ascendente compatible con Thunderbird 68 |
| consola común | Se corrigió la regresión que provocó que los archivos no se incluyeran |
| csh | Corregir segfault en eval |
| tazas | Corregir pérdida de memoria en ppdOpen; corrige la validación del idioma predeterminado en ippSetValuetag [CVE-2019-2228] |
| cyrus-imapd | Agregue el tipo de COPIA DE SEGURIDAD a cyrus-upgrade-db, solucionando problemas de actualización |
| debian-edu-config | Mantenga la configuración del proxy en el cliente si no se puede acceder a WPAD |
| instalador de Debian | Reconstruir contra actualizaciones propuestas; ajustar la generación mini.iso en el brazo para que EFI netboot funcione; actualizar USE_UDEBS_FROM predeterminado de inestable a buster, para ayudar a los usuarios a realizar compilaciones locales |
| debian-installer-netboot-images | Reconstruir contra actualizaciones propuestas |
| soporte de seguridad debian | Actualice el estado de soporte de seguridad de varios paquetes |
| debos | Reconstruir contra golang-github-go-debos-fakemachine actualizado |
| dispmua | Nuevo lanzamiento ascendente compatible con Thunderbird 68 |
| dkimpy | Nueva versión estable aguas arriba |
| dkimpy-milter | Se corrigió la administración de privilegios al inicio para que los sockets de Unix funcionen |
| dpdk | Nueva versión estable aguas arriba |
| e2fsprogs | Se corrigió el posible desbordamiento de pila en e2fsck [CVE-2019-5188]; arreglar el uso después de gratis en e2fsck |
| fig2dev | Permitir cadenas de texto Fig v2 que terminan con múltiples ^ A [CVE-2019-19555]; rechazar tipos de flechas enormes que causan desbordamiento de enteros [CVE-2019-19746]; corregir varios bloqueos [CVE-2019-19797] |
| freerdp2 | Arreglar el manejo de devolución realloc [CVE-2019-17177] |
| Freetds | tds: asegúrese de que UDT tenga varint establecido en 8 [CVE-2019-13508] |
| git-lfs | Solucione problemas de compilación con las nuevas versiones de Go |
| gnubg | Aumente el tamaño de los búferes estáticos utilizados para generar mensajes durante el inicio del programa para que la traducción al español no desborde un búfer |
| gnutls28 | Solucione problemas de interoperabilidad con gnutls 2.x; Corregir el análisis de certificados con ID registrado |
| gtk2-motores-murrine | Repara la coinstalabilidad con otros temas |
| astucia-2.2 | Reparar falla de compilación |
| libburn | Se corrigió la grabación de múltiples pistas de cdrskin lenta y detenida después de la pista 1 |
| libcgns | Arreglar falla de compilación en ppc64el |
| dispositivo libimobile | Manejar adecuadamente las escrituras SSL parciales |
| libmatroska | Aumente la dependencia de la biblioteca compartida a 1.4.7 ya que esa versión introdujo nuevos símbolos |
| libmysofa | Correcciones de seguridad [CVE-2019-16091 CVE-2019-16092 CVE-2019-16093 CVE-2019-16094 CVE-2019-16095] |
| libole-storage-lite-perl | Se corrigió la interpretación de años a partir de 2020 |
| libparse-win32registry-perl | Se corrigió la interpretación de años a partir de 2020 |
| libperl4-corelibs-perl | Se corrigió la interpretación de años a partir de 2020 |
| libsolv | Corregir desbordamiento del búfer de almacenamiento dinámico [CVE-2019-20387] |
| libspreadsheet-wright-perl | Repare las hojas de cálculo de OpenDocument que antes no se podían usar y el paso de las opciones de formato JSON |
| libtimedate-perl | Se corrigió la interpretación de años a partir de 2020 |
| libvirt | Apparmor: permite que uno ejecute pygrub; no renderice osxsave, ospke en la línea de comando QEMU; esto ayuda a las QEMU más nuevas con algunas configuraciones generadas por virt-install |
| libvncserver | RFBserver: no pierda memoria de pila al control remoto [CVE-2019-15681]; resolverá un congelamiento durante el cierre de la conexión y un fallo de segmentación en servidores VNC multiproceso; arregla el problema al conectarse a los servidores VMWare; arregla el bloqueo de x11vnc cuando vncviewer se conecta |
| limnoria | Se corrigió la divulgación de información remota y posiblemente la ejecución remota de código en el complemento matemático [CVE-2019-19010] |
| linux | Nueva versión estable aguas arriba |
| linux-latest | Actualización para 4.19.0-8 Linux kernel ABI |
| linux-firmado-amd64 | Nueva versión estable aguas arriba |
| linux-firmado-arm64 | Nueva versión estable aguas arriba |
| linux-firmado-i386 | Nueva versión estable aguas arriba |
| mariadb-10.3 | Nueva versión estable ascendente [CVE-2019-2938 CVE-2019-2974 CVE-2020-2574] |
| colina baja | Llame a shmget () con permiso 0600 en lugar de 0777 [CVE-2019-5068] |
| mnemosyne | Agregar dependencia faltante en PIL |
| modseguridad | Corregir error de análisis de encabezado de cookie [CVE-2019-19886] |
| manillar de nodo | No permitir llamar a helperMissing y blockHelperMissing directamente [CVE-2019-19919] |
| tipo de nodo de | Se corrigió la vulnerabilidad de comprobación de tipo en ctorName () [CVE-2019-20149] |
| ntpsec | Arreglar reintentos de DNS lentos; arregle ntpdate -s (syslog) para arreglar el enlace if-up; correcciones de documentación |
| numix-gtk-theme | Repara la coinstalabilidad con otros temas |
| nvidia-graphics-drivers-legacy-340xx | Nueva versión estable aguas arriba |
| nyancat | Reconstruir en un entorno limpio para agregar la unidad systemd para nyancat-server |
| openjpeg2 | Corregir desbordamiento de pila [CVE-2018-21010] y desbordamiento de entero [CVE-2018-20847] |
| opensmtpd | Advertir a los usuarios sobre el cambio de sintaxis smtpd.conf (en versiones anteriores); instalar smtpctl setgid opensmtpq; manejar código de salida distinto de cero del nombre de host durante la fase de configuración |
| openssh | Denegar (no fatalmente) ipc en el sandbox de seccomp, reparando fallas con OpenSSL 1.1.1d y Linux <3.19 en algunas arquitecturas |
| php-horde | Solucione el problema de secuencias de comandos entre sitios almacenados en Horde Cloud Block [CVE-2019-12095] |
| php-horde-text-filter | Repara expresiones regulares inválidas |
| sufijo | Nueva versión estable aguas arriba |
| postgresql-11 | Nueva versión estable aguas arriba |
| gerente de impresión | Se corrige el bloqueo si CUPS devuelve la misma ID para múltiples trabajos de impresión |
| proftpd-dfsg | Solucionar problemas de CRL [CVE-2019-19270 CVE-2019-19269] |
| pykaraoke | Corregir ruta a fuentes |
| python-evtx | Se corrigió la importación de hexdump |
| python-internetarchive | Cierre el archivo después de obtener hash, evitando el agotamiento del descriptor de archivo |
| python3.7 | Correcciones de seguridad [CVE-2019-9740 CVE-2019-9947 CVE-2019-9948 CVE-2019-10160 CVE-2019-16056 CVE-2019-16935] |
| qtbase-opensource-src | Agregue soporte para impresoras que no sean PPD y evite el retroceso silencioso a una impresora compatible con PPD; arregla el bloqueo al usar QLabels con texto enriquecido; arreglar eventos de desplazamiento de la tableta gráfica |
| qtwebengine-opensource-src | Repara el análisis de PDF; deshabilitar pila ejecutable |
| quassel | Solucione las negaciones de AppArmor quasselcore cuando se guarda la configuración; canal predeterminado correcto para Debian; eliminar el archivo NEWS innecesario |
| qwinff | Solucione el bloqueo debido a la detección incorrecta de archivos |
| raspi3-firmware | Se corrigió la detección de la consola serie con el kernel 5.x |
| ros-ros-comm | Solucionar problemas de seguridad [CVE-2019-13566 CVE-2019-13465 CVE-2019-13445] |
| cubo redondo | Nueva versión estable aguas arriba; corregir permisos inseguros en el complemento enigma [CVE-2018-1000071] |
| Schleuder | Se corrigió el reconocimiento de palabras clave en correos con encabezados protegidos y asunto vacío; eliminar las firmas que no sean propias al actualizar o recuperar claves; error si el argumento proporcionado a `refresh_keys` no es una lista existente; agregue el encabezado List-Id faltante a los correos de notificación enviados a los administradores; manejar los problemas de descifrado con gracia; predeterminado a la codificación ASCII-8BIT |
| simplesamlphp | Repara la incompatibilidad con PHP 7.3 |
| conector sogo | Nuevo lanzamiento ascendente compatible con Thunderbird 68 |
| motor spf | Se corrigió la administración de privilegios al inicio para que los sockets Unix funcionen; actualizar la documentación de TestOnly |
| sudo | Se corrigió un desbordamiento del búfer (no explotable en buster) cuando pwfeedback está habilitado y la entrada no es un tty [CVE-2019-18634] |
| systemd | Establezca fs.file-max sysctl en LONG_MAX en lugar de ULONG_MAX; cambiar la propiedad / modo de los directorios de ejecución también para usuarios estáticos, asegurando que los directorios de ejecución como CacheDirectory y StateDirectory estén apropiadamente asignados al usuario especificado en Usuario = antes de iniciar el servicio |
| tifffile | Fix wrapper script |
| tigervnc | Correcciones de seguridad [CVE-2019-15691 CVE-2019-15692 CVE-2019-15693 CVE-2019-15694 CVE-2019-15695] |
| tightvnc | Correcciones de seguridad [CVE-2014-6053 CVE-2019-8287 CVE-2018-20021 CVE-2018-20022 CVE-2018-20748 CVE-2018-7225 CVE-2019-15678 CVE-2019-15679 CVE-2019-15680 CVE- 2019-15681] |
| uif | Arreglar rutas a ip (6) tables-restore a la luz de la migración a nftables |
| mostrar | Repara el agotamiento de la pila |
| x2goclient | Extraiga ~ /, ~ usuario {, /}, $ {HOME} {, /} y $ HOME {, /} de las rutas de destino en modo SCP; corrige la regresión con las nuevas versiones de libssh con correcciones para CVE-2019-14889 aplicadas |
| xmltooling | Se corrigió la condición de carrera que podría provocar un choque bajo carga |
Actualizaciones de seguridad
Esta revisión agrega las siguientes actualizaciones de seguridad a la versión estable. El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Los siguientes paquetes se eliminaron debido a circunstancias fuera de nuestro control:
| Paquete | Razón |
|---|---|
| caml-crush | [armel] No se puede construir debido a la falta de compiladores nativos de ocaml |
| bandeja de fuego | Incompatible con las versiones actuales de Thunderbird |
| koji | Temas de seguridad |
| python-lamson | Roto por cambios en python-daemon |
| radare2 | Temas de seguridad; upstream no ofrece soporte estable |
| radare2-cutter | Depende de radare2 a ser eliminado |
Instalador Debian
El instalador se ha actualizado para incluir las correcciones incorporadas en estable por la versión puntual.