Debian 11 actualizado: publicada la versión 11.3

26 de marzo de 2022

El proyecto Debian se complace en anunciar la tercera actualización de su distribución «estable» Debian 11 (nombre en clave bullseye). Esta versión añade, principalmente, correcciones de problemas de seguridad junto con unos pocos ajustes para problemas graves. Los avisos de seguridad se han publicado ya de forma independiente, y aquí hacemos referencia a ellos donde corresponde.

Tenga en cuenta que esta actualización no constituye una nueva versión completa de Debian 11, solo actualiza algunos de los paquetes incluidos. No es necesario deshacerse de los viejos medios de instalación de bullseye. Tras la instalación de Debian, los paquetes instalados pueden pasarse a las nuevas versiones utilizando una réplica Debian actualizada.

Quienes instalen frecuentemente actualizaciones desde security.debian.org no tendrán que actualizar muchos paquetes, y la mayoría de dichas actualizaciones están incluidas en esta nueva versión.

Pronto habrá disponibles nuevas imágenes de instalación en los sitios habituales.

Puede actualizar una instalación existente a esta nueva versión haciendo que el sistema de gestión de paquetes apunte a una de las muchas réplicas HTTP de Debian. En la dirección siguiente puede encontrar el listado completo de réplicas:

https://www.debian.org/mirror/list

Corrección de fallos varios

Esta actualización de la distribución «estable» añade unas pocas correcciones importantes a los paquetes siguientes:

Paquete Motivo
apache-log4j1.2 Resuelve problemas de seguridad [CVE-2021-4104 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307] eliminando el soporte de los módulos JMSSink, JDBCAppender, JMSAppender y Apache Chainsaw
apache-log4j2 Corrige problema de ejecución de código remoto [CVE-2021-44832]
apache2 Nueva versión del proyecto original; corrige caída debida a lectura de área aleatoria de memoria [CVE-2022-22719]; corrige problema de «contrabando» de peticiones HTTP («HTTP request smuggling») [CVE-2022-22720]; corrige problemas de escritura fuera de límites [CVE-2022-22721 CVE-2022-23943]
atftp Corrige problema de fuga de información [CVE-2021-46671]
base-files Actualizado para la versión 11.3
bible-kjv Corrige error por uno («off-by-one-error») en búsquedas
chrony Permite leer el fichero de configuración de chronyd que genera timemaster(8)
cinnamon Corrige caída al añadir una cuenta en línea que requiere autenticación («login»)
clamav Nueva versión «estable» del proyecto original; corrige problema de denegación de servicio [CVE-2022-20698]
cups-filters Apparmor: permite leer del fichero de configuración «cups-browsed» en Debian Edu
dask.distributed Corrige situación no deseada: trabajadores escuchando en interfaces públicas [CVE-2021-42343]; corrige compatibilidad con Python 3.9
debian-installer Recompilado contra proposed-updates; actualiza la ABI del núcleo Linux a la 5.10.0-13
debian-installer-netboot-images Recompilado contra proposed-updates
debian-ports-archive-keyring Añade Debian Ports Archive Automatic Signing Key (2023); mueve la clave para firmar de 2021 al anillo de claves eliminadas
django-allauth Corrige el soporte de OpenID
djbdns Incrementa el límite de datos de axfrdns, dnscache y tinydns
dpdk Nueva versión «estable» del proyecto original
e2guardian Corrige problema de falta de validación de certificados SSL [CVE-2021-44273]
epiphany-browser Solución provisional de un fallo en GLib, corrigiendo caída de un proceso de la interfaz de usuario
espeak-ng Elimina espera espuria de 50ms al tratar eventos
espeakup debian/espeakup.service: protege espeakup ante sobrecargas del sistema
fcitx5-chinese-addons fcitx5-table: añade dependencias con fcitx5-module-pinyinhelper y con fcitx5-module-punctuation, que faltaban
flac Corrige problema de escritura fuera de límites [CVE-2021-0561]
freerdp2 Inhabilita escritura de depuración en el log
galera-3 Nueva versión del proyecto original
galera-4 Nueva versión del proyecto original
gbonds Usa la API del Tesoro para obtener los valores de reembolso
glewlwyd Corrige posible elevación de privilegios
glibc Corrige conversión errónea desde ISO-2022-JP-3 con iconv [CVE-2021-43396]; corrige problemas de desbordamiento de memoria [CVE-2022-23218 CVE-2022-23219]; corrige problema de «uso tras liberar» [CVE-2021-33574]; deja de reemplazar versiones más antiguas de /etc/nsswitch.conf; simplifica la comprobación de versiones del núcleo soportadas, puesto que los núcleos 2.x ya no lo están; soporta la instalación con núcleos con número de versión mayor de 255
glx-alternatives Tras la configuración inicial de los desvíos («diversions»), instala una alternativa mínima a los ficheros desviados de forma que no falten librerías hasta que glx-alternative-mesa procese sus disparadores
gnupg2 scd: corrige controlador CCID para SCM SPR332/SPR532; evita que el generador interactúe con la red, lo que podría dar lugar a cuelgues
gnuplot Corrige división por cero [CVE-2021-44917]
golang-1.15 Corrige IsOnCurve para valores big.Int que no son coordenadas válidas [CVE-2022-23806]; math/big: evita gran consumo de memoria en Rat.SetString [CVE-2022-23772]; cmd/go: impide que las ramas se materialicen en versiones [CVE-2022-23773]; corrige agotamiento de pila al compilar expresiones con muchos niveles de anidamiento [CVE-2022-24921]
golang-github-containers-common Actualiza soporte de seccomp para habilitar el uso de versiones más recientes del núcleo
golang-github-opencontainers-specs Actualiza soporte de seccomp para habilitar el uso de versiones más recientes del núcleo
gtk+3.0 Corrige ausencia de resultados de búsqueda con NFS; evita el bloqueo del portapapeles de Wayland en ciertos casos marginales; mejora la impresión en impresoras encontradas por medio de mDNS
heartbeat Corrige la creación de /run/heartbeat en sistemas que usan systemd
htmldoc Corrige problema de lectura fuera de límites [CVE-2022-0534]
installation-guide Actualiza documentación y traducciones
intel-microcode Actualiza el microcódigo incluido; mitiga algunos problemas de seguridad [CVE-2020-8694 CVE-2020-8695 CVE-2021-0127 CVE-2021-0145 CVE-2021-0146 CVE-2021-33120]
ldap2zone Usa mktemp en lugar del obsoleto tempfile, evitando mensajes de aviso
lemonldap-ng Corrige proceso de autorización en extensiones («plugins») de prueba de contraseñas [CVE-2021-40874]
libarchive Corrige la extracción de enlaces duros a enlaces simbólicos; corrige el tratamiento de las ACL de los enlaces simbólicos [CVE-2021-23177]; no sigue nunca enlaces simbólicos al establecer indicadores de ficheros [CVE-2021-31566]
libdatetime-timezone-perl Actualiza los datos incluidos
libgdal-grass Recompilado contra grass 7.8.5-1+deb11u1
libpod Actualiza soporte de seccomp para habilitar el uso de versiones más recientes del núcleo
libxml2 Corrige problema de «uso tras liberar» [CVE-2022-23308]
linux Nueva versión «estable» del proyecto original; [rt] actualiza a la 5.10.106-rt64; incrementa la ABI a la 13
linux-signed-amd64 Nueva versión «estable» del proyecto original; [rt] actualiza a la 5.10.106-rt64; incrementa la ABI a la 13
linux-signed-arm64 Nueva versión «estable» del proyecto original; [rt] actualiza a la 5.10.106-rt64; incrementa la ABI a la 13
linux-signed-i386 Nueva versión «estable» del proyecto original; [rt] actualiza a la 5.10.106-rt64; incrementa la ABI a la 13
mariadb-10.5 Nueva versión del proyecto original; correcciones de seguridad [CVE-2021-35604 CVE-2021-46659 CVE-2021-46661 CVE-2021-46662 CVE-2021-46663 CVE-2021-46664 CVE-2021-46665 CVE-2021-46667 CVE-2021-46668 CVE-2022-24048 CVE-2022-24050 CVE-2022-24051 CVE-2022-24052]
mpich Añade Rompe: sobre versiones más antiguas de libmpich1.0-dev, resolviendo algunos problemas en actualizaciones
mujs Corrige problema de desbordamiento de memoria [CVE-2021-45005]
mutter Retroadapta varias correcciones de la rama «estable» del proyecto original
node-cached-path-relative Corrige problema de contaminación de prototipo [CVE-2021-23518]
node-fetch No reenvía cabeceras seguras a dominios de terceros [CVE-2022-0235]
node-follow-redirects No envía la cabecera Cookie entre dominios [CVE-2022-0155]; no envía cabeceras confidenciales entre esquemas [CVE-2022-0536]
node-markdown-it Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2022-21670]
node-nth-check Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-3803]
node-prismjs Codifica las marcas en la salida de la línea de órdenes para evitar su evaluación («escape») [CVE-2022-23647]; actualiza ficheros minimizados para asegurar que se resuelve un problema de denegación de servicio relacionado con expresiones regurales [CVE-2021-3801]
node-trim-newlines Corrige problema de denegación de servicio relacionado con expresiones regulares [CVE-2021-33623]
nvidia-cuda-toolkit cuda-gdb: inhabilita soporte de python, que no es funcional y causa violaciones de acceso; usa un snapshot de openjdk-8-jre (8u312-b07-1)
nvidia-graphics-drivers-tesla-450 Nueva versión del proyecto original; corrige problemas de denegación de servicio [CVE-2022-21813 CVE-2022-21814]; nvidia-kernel-support: proporciona /etc/modprobe.d/nvidia-options.conf como plantilla
nvidia-modprobe Nueva versión del proyecto original
openboard Corrige el icono de la aplicación
openssl Nueva versión del proyecto original; corrige autenticación de puntero en armv8
openvswitch Corrige problema de «uso tras liberar» [CVE-2021-36980]; corrige instalación de libofproto
ostree Corrige compatibilidad con eCryptFS; evita recursión infinita al recuperarse de ciertos errores; marca commits como parciales antes de descargar; corrige un fallo de aserción al usar una compilación local o retroadaptada («backport») de GLib >= 2.71; corrige la capacidad de leer contenido OSTree desde rutas que contienen caracteres no URI (como contrabarras) o no ASCII
pdb2pqr Corrige compatibilidad de propka con Python 3.8 o superior
php-crypt-gpg Evita el paso de opciones adicionales a GPG [CVE-2022-24953]
php-laravel-framework Corrige problema de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-43808], bloquea la subida de contenido ejecutable [CVE-2021-43617]
phpliteadmin Corrige problema de ejecución de scripts entre sitios («cross-site scripting») [CVE-2021-46709]
prips Corrige ciclo infinito si un rango llega a 255.255.255.255; corrige la salida CIDR con direcciones que se diferencian en el primer bit
pypy3 Corrige fallos de compilación eliminando un #endif superfluo de import.h
python-django Corrige problema de denegación de servicio [CVE-2021-45115], problema de revelación de información [CVE-2021-45116] y problema de escalado de directorios [CVE-2021-45452]; corrige un error cerca del tratamiento de RequestSite/get_current_site() debido a un import circular
python-pip Evita una condición de carrera al usar dependencias zip-importadas
rust-cbindgen Nueva versión «estable» del proyecto original para soportar compilaciones de versiones más recientes de firefox-esr y de thunderbird
s390-dasd Deja de pasar a dasdfmt la opción obsoleta («deprecated») -f
schleuder Restaura la funcionalidad migrando valores booleanos a enteros si se usa el adaptador de conexión a SQLite3 ActiveRecord
sphinx-bootstrap-theme Corrige la funcionalidad de búsqueda
spip Corrige varios problemas de ejecución de scripts entre sitios («cross-site scripting»)
symfony Corrige problema de inyección de CSV [CVE-2021-41270]
systemd Corrige recursión no controlada en systemd-tmpfiles [CVE-2021-3997]; degrada systemd-timesyncd de Depende a Recomienda, eliminando una dependencia cíclica; corrige fallo al hacer un montaje «bind» de un directorio en un contenedor usando machinectl; corrige regresión en udev que da lugar a retrasos largos al procesar particiones con la misma etiqueta; corrige una regresión cuando se usa systemd-networkd en un contenedor LXD sin privilegios
sysvinit Corrige el análisis sintáctico de shutdown +0; aclara que shutdown no devuelve el control cuando es llamado con un tiempo
tasksel Instala CUPS para todas las tareas *-desktop, puesto que ya no existe task-print-service
usb.ids Actualiza los datos incluidos
weechat Corrige problema de denegación de servicio [CVE-2021-40516]
wolfssl Corrige varios problemas relacionados con el tratamiento del OCSP [CVE-2021-3336 CVE-2021-37155 CVE-2021-38597] y el soporte de TLS1.3 [CVE-2021-44718 CVE-2022-25638 CVE-2022-25640]
xserver-xorg-video-intel Corrige caída por SIGILL en las CPU sin SSE2
xterm Corrige problema de desbordamiento de memoria [CVE-2022-24130]
zziplib Corrige problema de denegación de servicio [CVE-2020-18442]

Actualizaciones de seguridad

Esta versión añade las siguientes actualizaciones de seguridad a la distribución «estable». El equipo de seguridad ya ha publicado un aviso para cada una de estas actualizaciones:

ID del aviso Paquete
DSA-5000 openjdk-11
DSA-5001 redis
DSA-5012 openjdk-17
DSA-5021 mediawiki
DSA-5023 modsecurity-apache
DSA-5024 apache-log4j2
DSA-5025 tang
DSA-5027 xorg-server
DSA-5028 spip
DSA-5029 sogo
DSA-5030 webkit2gtk
DSA-5031 wpewebkit
DSA-5033 fort-validator
DSA-5035 apache2
DSA-5037 roundcube
DSA-5038 ghostscript
DSA-5039 wordpress
DSA-5040 lighttpd
DSA-5041 cfrpki
DSA-5042 epiphany-browser
DSA-5043 lxml
DSA-5046 chromium
DSA-5047 prosody
DSA-5048 libreswan
DSA-5049 flatpak-builder
DSA-5049 flatpak
DSA-5050 linux-signed-amd64
DSA-5050 linux-signed-arm64
DSA-5050 linux-signed-i386
DSA-5050 linux
DSA-5051 aide
DSA-5052 usbview
DSA-5053 pillow
DSA-5054 chromium
DSA-5055 util-linux
DSA-5056 strongswan
DSA-5057 openjdk-11
DSA-5058 openjdk-17
DSA-5059 policykit-1
DSA-5060 webkit2gtk
DSA-5061 wpewebkit
DSA-5062 nss
DSA-5063 uriparser
DSA-5064 python-nbxmpp
DSA-5065 ipython
DSA-5067 ruby2.7
DSA-5068 chromium
DSA-5070 cryptsetup
DSA-5071 samba
DSA-5072 debian-edu-config
DSA-5073 expat
DSA-5075 minetest
DSA-5076 h2database
DSA-5077 librecad
DSA-5078 zsh
DSA-5079 chromium
DSA-5080 snapd
DSA-5081 redis
DSA-5082 php7.4
DSA-5083 webkit2gtk
DSA-5084 wpewebkit
DSA-5085 expat
DSA-5087 cyrus-sasl2
DSA-5088 varnish
DSA-5089 chromium
DSA-5091 containerd
DSA-5092 linux-signed-amd64
DSA-5092 linux-signed-arm64
DSA-5092 linux-signed-i386
DSA-5092 linux
DSA-5093 spip
DSA-5095 linux-signed-amd64
DSA-5095 linux-signed-arm64
DSA-5095 linux-signed-i386
DSA-5095 linux
DSA-5098 tryton-server
DSA-5099 tryton-proteus
DSA-5100 nbd
DSA-5101 libphp-adodb
DSA-5102 haproxy
DSA-5103 openssl
DSA-5104 chromium
DSA-5105 bind9

Paquetes eliminados

Se han eliminado los paquetes listados a continuación por circunstancias ajenas a nosotros:

Paquete Motivo
angular-maven-plugin Ya no es útil
minify-maven-plugin Ya no es útil

Instalador de Debian

Se ha actualizado el instalador para incluir las correcciones incorporadas por esta nueva versión en la distribución «estable».

URL

Las listas completas de paquetes que han cambiado en esta versión:

https://deb.debian.org/debian/dists/bullseye/ChangeLog

La distribución «estable» actual:

https://deb.debian.org/debian/dists/stable/

Actualizaciones propuestas a la distribución «estable»:

https://deb.debian.org/debian/dists/proposed-updates

Información sobre la distribución «estable» (notas de publicación, erratas, etc.):

https://www.debian.org/releases/stable/

Información y anuncios de seguridad:

https://www.debian.org/security/

Acerca de Debian

El proyecto Debian es una asociación de desarrolladores de software libre que aportan de forma voluntaria su tiempo y esfuerzo para producir el sistema operativo Debian, un sistema operativo completamente libre.

Información de contacto

Para más información, visite las páginas web de Debian en https://www.debian.org/, envíe un correo electrónico a <press@debian.org> o contacte con el equipo responsable de la publicación en <debian-release@lists.debian.org>.