Debian 11 actualizado: publicada la versión 11.1
9 de octubre de 2021
El proyecto Debian se complace en anunciar la primera actualización de su
distribución «estable» Debian 11 (nombre en clave bullseye
).
Esta versión añade, principalmente, correcciones de problemas de seguridad
junto con unos pocos ajustes para problemas graves. Los avisos de seguridad
se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.
Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian
11, solo actualiza algunos de los paquetes incluidos. No es
necesario deshacerse de los viejos medios de instalación de bullseye
. Tras la instalación de Debian,
los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian
actualizada.
Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.
Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.
Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:
Corrección de fallos varios
Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:
Paquete | Motivo |
---|---|
apr | Evita desreferencia de array fuera de límites |
atftp | Corrige desbordamiento de memoria [CVE-2021-41054] |
automysqlbackup | Corrige caída cuando se utiliza LATEST=yes |
base-files | Actualizado para la versión 11.1 |
clamav | Nueva versión «estable» del proyecto original; corrige violaciones de acceso en clamdscan cuando --fdpass y --multipass se utilizan conjuntamente con ExcludePath |
cloud-init | Evita includedir duplicado en /etc/sudoers |
cyrus-imapd | Corrige problema de denegación de servicio [CVE-2021-33582] |
dazzdb | Corrige un «uso tras liberar» en DBstats |
debian-edu-config | debian-edu-ltsp-install: amplía la lista de exclusiones relativas al servidor principal; añade slapd y xrdp-sesman a la lista de servicios enmascarados |
debian-installer | Recompilado contra proposed-updates; actualiza la ABI de Linux a la 5.10.0-9; usa udebs de proposed-updates |
debian-installer-netboot-images | Recompilado contra proposed-updates; usa udebs de proposed-updates y de «estable»; usa ficheros Packages comprimidos con xz |
detox | Corrige tratamiento de ficheros grandes |
devscripts | Hace que la opción --bpo apunte a bullseye-backports |
dlt-viewer | Añade al paquete dev ficheros cabecera qdlt/qdlt*.h que faltaban |
dpdk | Nueva versión «estable» del proyecto original |
fetchmail | Corrige violación de acceso y regresión de seguridad |
flatpak | Nueva versión «estable» del proyecto original; no hereda un valor inusual de $XDG_RUNTIME_DIR en el entorno aislado («sandbox») |
freeradius | Corrige caída de hilo y configuración de ejemplo |
galera-3 | Nueva versión «estable» del proyecto original |
galera-4 | Nueva versión «estable» del proyecto original; deja de proporcionar un paquete virtual galera, con lo que resuelve «Conflicts» circular con galera-3 |
glewlwyd | Corrige posible desbordamiento de memoria durante validación de firma FIDO2 al registrar webauthn [CVE-2021-40818] |
glibc | Reinicia openssh-server incluso si ha sido desconfigurado durante la actualización; corrige el paso a modo texto cuando no se puede utilizar debconf |
gnome-maps | Nueva versión «estable» del proyecto original; corrige caída al arrancar cuando el tipo del último mapa usado es aerial y no encuentra la definición de ningún teselado aerial; deja de escribir en ocasiones «broken last view position» («posición de la última vista inválida») al salir; corrige cuelgue al arrastrar marcas de rutas |
gnome-shell | Nueva versión «estable» del proyecto original; corrige cuelgue tras cancelar (algunos) diálogos «system-modal»; corrige sugerencias de palabras en el teclado de la pantalla; corrige caídas |
hdf5 | Ajusta dependencias para mejorar las actualizaciones desde versiones anteriores |
iotop-c | Trata correctamente nombres de proceso en UTF-8 |
jailkit | Corrige la creación de jaulas que necesitan usar /dev; corrige comprobación de presencia de bibliotecas |
java-atk-wrapper | Utiliza dbus también para detectar si la accesibilidad está habilitada |
krb5 | Corrige caída del KDC por desreferencia nula en peticiones FAST que no incluyen el campo server [CVE-2021-37750]; corrige fuga de memoria en krb5_gss_inquire_cred |
libavif | Usa el libdir correcto en el fichero pkgconfig de libavif.pc |
libbluray | Cambia a libasm embebida; la versión de libasm-java es demasiado reciente |
libdatetime-timezone-perl | Nueva versión «estable» del proyecto original; actualiza reglas de DST para Samoa y Jordania; confirmación de ausencia de segundo intercalar el 31 de diciembre de 2021 |
libslirp | Corrige varios problemas de desbordamiento de memoria [CVE-2021-3592 CVE-2021-3593 CVE-2021-3594 CVE-2021-3595] |
linux | Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300] |
linux-signed-amd64 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300] |
linux-signed-arm64 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300] |
linux-signed-i386 | Nueva versión «estable» del proyecto original; incrementa la ABI a la 9; [rt] actualizado a la 5.10.65-rt53; [mipsel] bpf, mips: valida los desplazamientos de saltos condicionales [CVE-2021-38300] |
mariadb-10.5 | Nueva versión «estable» del proyecto original; correcciones de seguridad [CVE-2021-2372 CVE-2021-2389] |
mbrola | Corrige detección de fin de fichero |
modsecurity-crs | Corrige problema de elusión de los cuerpos de solicitudes [CVE-2021-35368] |
mtr | Corrige regresión en salida JSON |
mutter | Nueva versión «estable» del proyecto original; kms: mejora el tratamiento de modos de vídeo comunes que podrían exceder el ancho de banda; asegura tamaño de textura de ventana válido tras cambiar la vista |
nautilus | Al solicitar la apertura de varios ficheros evita la apertura de cada fichero en una instancia distinta de la aplicación; no guarda tamaño y posición de ventana al organizar como mosaico; corrige algunas fugas de memoria; actualiza traducciones |
node-ansi-regex | Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3807] |
node-axios | Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3749] |
node-object-path | Corrige problemas de contaminación de prototipo [CVE-2021-23434 CVE-2021-3805] |
node-prismjs | Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3801] |
node-set-value | Corrige contaminación de prototipo [CVE-2021-23440] |
node-tar | Borra rutas que no corresponden a directorios de la caché de directorios [CVE-2021-32803]; elimina rutas absolutas de forma más completa [CVE-2021-32804] |
osmcoastline | Corrige las proyecciones distintas de la WGS84 |
osmpbf | Recompilado contra protobuf 3.12.4 |
pam | Corrige error de sintaxis en libpam0g.postinst cuando falla una unidad systemd |
perl | Actualización de seguridad; corrige una fuga de memoria por expresión regular |
pglogical | Incorpora correcciones para tratar snapshots de PostgreSQL 13.4 |
pmdk | Corrige falta de barreras tras memcpy no temporal |
postgresql-13 | Nueva versión «estable» del proyecto original; corrige error de planificación de la aplicación repetida de un paso de proyección [CVE-2021-3677]; rechaza renegociación de SSL de forma más completa |
proftpd-dfsg | Corrige mod_radius leaks memory contents to radius server(«mod_radius filtra contenido de la memoria a servidor radius») y sftp connection aborts with 'Corrupted MAC on input'(«conexión sftp aborta con 'MAC corrupta en la entrada'»); se salta la codificación para evitar la evaluación («escape») de texto SQL que ya ha pasado por este proceso |
pyx3 | Corrige problema de alineación de tipos de letra con texlive 2020 |
reportbug | Actualiza los nombres de las distribuciones tras la publicación de bullseye |
request-tracker4 | Corrige problema de ataque de canal lateral de sincronización en el acceso al sistema («login») [CVE-2021-38562] |
rhonabwy | Corrige cálculo de etiqueta JWE CBC y verificación de firma JWS alg:none |
rpki-trust-anchors | Añade URL HTTPS al TAL de LACNIC |
rsync | Añade de nuevo --copy-devices; corrige regresión en --delay-updates; corrige caso límite en --mkpath; corrige rsync-ssl; corrige --sparce e --inplace; actualiza opciones disponibles para rrsync; correcciones de documentación |
ruby-rqrcode-rails3 | Corrige compatibilidad con ruby-rqrcode 1.0 |
sabnzbdplus | Evita escape del directorio en función renamer [CVE-2021-29488] |
shellcheck | Corrige la visualización de las opciones largas en la página de manual |
shiro | Corrige problemas de elusión de autenticación [CVE-2020-1957 CVE-2020-11989 CVE-2020-13933 CVE-2020-17510]; actualiza parche de compatibilidad con Spring Framework; soporte para Guice 4 |
speech-dispatcher | Corrige configuración del nombre de voz para el módulo generic |
telegram-desktop | Evita caída con auto-delete habilitado |
termshark | Incluye temas en el paquete |
tmux | Corrige una condición de carrera que da lugar a que no se cargue la configuración si varios clientes están interactuando con el servidor mientras se inicializa |
txt2man | Corrige regresión en el tratamiento de bloques |
tzdata | Actualiza reglas de DST para Samoa y Jordania; confirmación de ausencia de segundo intercalar el 31 de diciembre de 2021 |
ublock-origin | Nueva versión «estable» del proyecto original; corrige problema de denegación de servicio [CVE-2021-36773] |
ulfius | Se asegura de que la memoria está inicializada antes de usarla [CVE-2021-40540] |
Actualizaciones de seguridad
Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:
Durante las etapas finales de la congelación de bullseye algunas actualizaciones se publicaron a través del archivo de seguridad pero sin el correspondiente aviso de seguridad (DSA, por sus siglas en inglés). Detallamos a continuación estas actualizaciones.
Paquete | Motivo |
---|---|
apache2 | Corrige inyección de línea en mod_proxy en peticiones HTTP2 [CVE-2021-33193] |
btrbk | Corrige problema de ejecución de código arbitrario [CVE-2021-38173] |
c-ares | Corrige ausencia de validación de la entrada en nombres de máquina devueltos por servidores DNS [CVE-2021-3672] |
exiv2 | Corrige problemas de desbordamiento [CVE-2021-29457 CVE-2021-31292] |
firefox-esr | Nueva versión «estable» del proyecto original [CVE-2021-29980 CVE-2021-29984 CVE-2021-29985 CVE-2021-29986 CVE-2021-29988 CVE-2021-29989] |
libencode-perl | Encode: mitiga contaminación de @INC al cargar ConfigLocal [CVE-2021-36770] |
libspf2 | spf_compile.c: corrige tamaño de ds_avail [CVE-2021-20314]; corrige modificador de macro reverse |
lynx | Corrige fuga de credenciales si se usa SNI junto a un URL que contenga credenciales [CVE-2021-38165] |
nodejs | Nueva versión «estable» del proyecto original; corrige problema de «uso tras liberar» [CVE-2021-22930] |
tomcat9 | Corrige problema de elusión de autenticación [CVE-2021-30640] y problema de «contrabando» de peticiones («request smuggling») [CVE-2021-33037] |
xmlgraphics-commons | Corrige problema de falsificación de solicitudes en el lado servidor («server side request forgery») [CVE-2020-11988] |
Instalador de Debian
Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».
URL
Las listas completas de paquetes que han cambiado en esta versión:
La distribución «estable» actual:
Actualizaciones propuestas a la distribución «estable»:
Información sobre la distribución «estable» (notas de publicación, erratas, etc.):
Información y anuncios de seguridad:
Acerca de Debian
El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.
Información de contacto
Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.