Debian 11 actualizado: publicada la versión 11.4
9 de julio de 2022
El proyecto Debian se complace en anunciar la cuarta actualización de su
distribución «estable» Debian 11 (nombre en clave bullseye
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
11, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de bullseye
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
| Paquete | Motivo |
|---|---|
| apache2 | Nueva versión «estable» del proyecto original; corrige problema de «contrabando» de peticiones HTTP («HTTP request smuggling») [CVE-2022-26377], problemas de lectura fuera de límites [CVE-2022-28330 CVE-2022-28614 CVE-2022-28615], problemas de denegación de servicio [CVE-2022-29404 CVE-2022-30522], posible problema de lectura fuera de límites [CVE-2022-30556] y posible problema de elusión de autenticación por IP [CVE-2022-31813] |
| base-files | Actualiza /etc/debian_version para la versión 11.4 |
| bash | Corrige desbordamiento de memoria de un byte en lectura, provocando caracteres multibyte corruptos en sustituciones de órdenes |
| clamav | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796] |
| clementine | Añade dependencia con libqt5sql5-sqlite, que faltaba |
| composer | Corrige problema de inyección de código [CVE-2022-24828]; actualiza patrón de tokens de GitHub |
| cyrus-imapd | Asegura que todos los buzones tienen un campo uniqueid, corrigiendo las actualizaciones a la versión 3.6 |
| dbus-broker | Corrige problema de desbordamiento de memoria [CVE-2022-31212] |
| debian-edu-config | Acepta correo procedente de la red local enviado a root@<mynetwork-names>; crea principales Kerberos de máquina («host») y de servicio solo si no existen todavía; asegura que libsss-sudo está instalado en las estaciones de trabajo itinerantes («Roaming Workstations»); corrige nomenclatura y visibilidad de colas de impresión; soporta krb5i en estaciones de trabajo sin disco («Diskless Workstations»); squid: prefiere búsquedas DNSv4 a las DNSv6 |
| debian-installer | Recompilado contra proposed-updates; incrementa la ABI del núcleo Linux a la 16; restaura algunos dispositivos («targets») armel para netboot (openrd) |
| debian-installer-netboot-images | Recompilado contra proposed-updates; incrementa la ABI del núcleo Linux a la 16; restaura algunos dispositivos («targets») armel para netboot (openrd) |
| distro-info-data | Añade Ubuntu 22.10, Kinetic Kudu |
| docker.io | Configura docker.service para que arranque después de containerd.service y así corregir la parada («shutdown») de contenedores; pasa explícitamente la ruta del socket de containerd a dockerd para garantizar que este no arranque containerd |
| dpkg | dpkg-deb: corrige condiciones de fin de fichero inesperadas al extraer ficheros .deb; libdpkg: no restringe los campos virtuales source:* a paquetes instalados; Dpkg::Source::Package::V2: corrige siempre los permisos de los ficheros distribuidos («tarballs») por el proyecto original (regresión introducida por DSA-5147-1) |
| freetype | Corrige problema de desbordamiento de memoria [CVE-2022-27404]; corrige caídas [CVE-2022-27405 CVE-2022-27406] |
| fribidi | Corrige problemas de desbordamiento de memoria [CVE-2022-25308 CVE-2022-25309]; corrige caída [CVE-2022-25310] |
| ganeti | Nueva versión del proyecto original; corrige varios problemas con actualizaciones; corrige migración en vivo con QEMU 4 y con security_model usero pool |
| geeqie | Corrige Ctrl click en el interior de una selección de bloque |
| gnutls28 | Corrige cálculo erróneo de SHA384 en SSSE3; corrige problema de desreferencia de puntero nulo [CVE-2021-4209] |
| golang-github-russellhaering-goxmldsig | Corrige desreferencia de puntero nulo provocada por firmas XML manipuladas [CVE-2020-7711] |
| grunt | Corrige problema de escalado de directorios [CVE-2022-0436] |
| hdmi2usb-mode-switch | udev: añade un sufijo a ficheros de dispositivo /dev/video para desambiguarlos; mueve reglas de udev a la prioridad 70, para que se apliquen después de las de 60-persistent-v4l.rules |
| hexchat | Añade dependencia con python3-cffi-backend, que faltaba |
| htmldoc | Corrige bucle infinito [CVE-2022-24191], problemas de desbordamiento de entero [CVE-2022-27114] y problema de desbordamiento de memoria dinámica («heap») [CVE-2022-28085] |
| knot-resolver | Corrige posible fallo de aserción en caso extremo de NSEC3 [CVE-2021-40083] |
| libapache2-mod-auth-openidc | Nueva versión «estable» del proyecto original; corrige problema de redirección abierta [CVE-2021-39191]; corrige caída durante reload / restart |
| libintl-perl | Instala efectivamente gettext_xs.pm |
| libsdl2 | Evita lectura fuera de límites al cargar fichero BMP mal construido [CVE-2021-33657] y durante la conversión de YUV a RGB |
| libtgowt | Nueva versión «estable» del proyecto original, para soportar versiones más recientes de telegram-desktop |
| linux | Nueva versión «estable» del proyecto original; incrementa la ABI a la 16 |
| linux-signed-amd64 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 16 |
| linux-signed-arm64 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 16 |
| linux-signed-i386 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 16 |
| logrotate | Omite el bloqueo si el fichero de estado tiene permisos universales de lectura [CVE-2022-1348]; análisis sintáctico de la configuración más estricto para evitar el análisis sintáctico de ficheros ajenos, como volcados de memoria |
| lxc | Actualiza el servidor de claves GPG por omisión, corrigiendo la creación de contenedores cuando se utiliza la plantilla download |
| minidlna | Valida peticiones HTTP para proteger frente a ataques de revinculación de DNS [CVE-2022-26505] |
| mutt | Corrige problema de desbordamiento de memoria en uudecode [CVE-2022-1328] |
| nano | Varias correcciones de fallos, incluyendo algunas para caídas |
| needrestart | Hace que la detección de cgroups para servicios y sesiones de usuario tenga en cuenta la v2 de cgroup |
| network-manager | Nueva versión «estable» del proyecto original |
| nginx | Corrige caída cuando libnginx-mod-http-lua está cargado y se usa un init_worker_by_lua*; mitiga ataque de confusión de contenido de protocolo en la capa de aplicación en el módulo Mail [CVE-2021-3618] |
| node-ejs | Corrige problema de inyección de plantillas en el lado servidor [CVE-2022-29078] |
| node-eventsource | Elimina cabeceras sensibles en redirecciones a sitios con diferente origen [CVE-2022-1650] |
| node-got | No permite redirecciones a sockets Unix [CVE-2022-33987] |
| node-mermaid | Corrige problemas de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-23648 CVE-2021-43861] |
| node-minimist | Corrige problema de contaminación de prototipo [CVE-2021-44906] |
| node-moment | Corrige problema de escalado de directorios [CVE-2022-24785] |
| node-node-forge | Corrige problemas de verificación de firmas [CVE-2022-24771 CVE-2022-24772 CVE-2022-24773] |
| node-raw-body | Corrige potencial problema de denegación de servicio en node-express, mediante el uso de node-iconv-lite en lugar de node-iconv |
| node-sqlite3 | Corrige problema de denegación de servicio [CVE-2022-21227] |
| node-url-parse | Corrige problemas de elusión de autenticación [CVE-2022-0686 CVE-2022-0691] |
| nvidia-cuda-toolkit | Usa snapshots de OpenJDK8 para amd64 y para ppc64el; comprueba que el binario java sea utilizable; nsight-compute: mueve la carpeta 'sections' a una ubicación multiarquitectura; corrige la ordenación de las versiones de nvidia-openjdk-8-jre |
| nvidia-graphics-drivers | Nueva versión del proyecto original; cambia al árbol 470 del proyecto original; corrige problemas de denegación de servicio [CVE-2022-21813 CVE-2022-21814]; corrige problema de escritura fuera de límites [CVE-2022-28181], problema de lectura fuera de límites [CVE-2022-28183] y problemas de denegación de servicio [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-graphics-drivers-legacy-390xx | Nueva versión del proyecto original; corrige problemas de escritura fuera de límites [CVE-2022-28181 CVE-2022-28185] |
| nvidia-graphics-drivers-tesla-418 | Nueva versión «estable» del proyecto original |
| nvidia-graphics-drivers-tesla-450 | Nueva versión «estable» del proyecto original; corrige problemas de escritura fuera de límites [CVE-2022-28181 CVE-2022-28185] y problema de denegación de servicio [CVE-2022-28192] |
| nvidia-graphics-drivers-tesla-460 | Nueva versión «estable» del proyecto original |
| nvidia-graphics-drivers-tesla-470 | Nuevo paquete, cambiando el soporte de Tesla al árbol 470 del proyecto original; corrige problema de escritura fuera de límites [CVE-2022-28181], problema de lectura fuera de límites [CVE-2022-28183] y problemas de denegación de servicio [CVE-2022-28184 CVE-2022-28191 CVE-2022-28192] |
| nvidia-persistenced | Nueva versión del proyecto original; cambia al árbol 470 del proyecto original |
| nvidia-settings | Nueva versión del proyecto original; cambia al árbol 470 del proyecto original |
| nvidia-settings-tesla-470 | Nuevo paquete, cambiando el soporte de Tesla al árbol 470 del proyecto original |
| nvidia-xconfig | Nueva versión del proyecto original |
| openssh | seccomp: añade llamada al sistema pselect6_time64 en arquitecturas de 32 bits |
| orca | Corrige uso con webkitgtk 2.36 |
| php-guzzlehttp-psr7 | Corrige análisis sintáctico de cabeceras incorrecto [CVE-2022-24775] |
| phpmyadmin | Corrige algunas consultas SQL que provocan un error de servidor |
| postfix | Nueva versión «estable» del proyecto original; respeta en postinst el valor de default_transport establecido por el usuario; if-up.d: no emite error si postfix no puede enviar correo todavía |
| procmail | Corrige desreferencia de puntero nulo |
| python-scrapy | No envía datos de autenticación con todas las solicitudes [CVE-2021-41125]; no expone cookies de dominio cruzado al redireccionar [CVE-2022-0577] |
| ruby-net-ssh | Corrige autenticación contra sistemas que usan OpenSSH 8.8 |
| runc | Respeta defaultErrnoRet de seccomp; no establece capacidades heredables [CVE-2022-29162] |
| samba | Corrige fallo en el arranque de winbind cuando se usa allow trusted domains = no; corrige autenticación de MIT Kerberos; corrige problema de escape de recurso compartido por condición de carrera en mkdir [CVE-2021-43566]; corrige posible problema de corrupción grave de datos debida a envenenamiento de caché en clientes Windows; corrige instalación en sistemas no systemd |
| tcpdump | Actualiza perfil de AppArmor para permitir acceso a ficheros *.cap y gestiona sufijos numéricos en nombres de fichero añadidos con -W |
| telegram-desktop | Nueva versión «estable» del proyecto original, que vuelve a hacerlo funcional |
| tigervnc | Corrige arranque del escritorio GNOME cuando se utiliza tigervncserver@.service; corrige visualización del color cuando vncviewer y el servidor X11 usan ordenaciones de bytes («endianness») distintas |
| twisted | Corrige problema de revelación de información con redireccionamientos entre dominios («cross-domain») [CVE-2022-21712], problema de denegación de servicio durante los «handshakes» de SSH [CVE-2022-21716] y problemas de «contrabando» de peticiones HTTP («HTTP request smuggling») [CVE-2022-24801] |
| tzdata | Actualiza datos de zona horaria para Palestina; actualiza lista de segundos intercalares |
| ublock-origin | Nueva versión «estable» del proyecto original |
| unrar-nonfree | Corrige problema de escalado de directorios [CVE-2022-30333] |
| usb.ids | Nueva versión del proyecto original; actualiza los datos incluidos |
| wireless-regdb | Nueva versión del proyecto original; borra desvío («diversion») añadido por el instalador, asegurando que se utilizan los ficheros distribuidos con el paquete |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Paquetes eliminados
Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:
| Paquete | Motivo |
|---|---|
| elog | Sin desarrollo activo; problemas de seguridad |
| python-hbmqtt | Sin desarrollo activo y roto |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.