Actualización mensual de openSUSE Tumbleweed - Abril

 

openSUSE Tumbleweed

Bienvenido a la actualización mensual de openSUSE Tumbleweed de Abril de 2024. Este mes comenzó después de abordar el ataque a la cadena de suministro del mes pasado contra la biblioteca de compresión xz para el lanzamiento continuo. Puede encontrar una explicación de ese XZ Backdoor, cómo se direccionó y qué se aprendió en news.opensuse.org.

Una avalancha de actualizaciones, mejoras y correcciones de seguridad cruciales llegaron al lanzamiento continuo de openSUSE este mes cuando comienza la temporada alta de conferencias. Si los lectores desean recibir una cantidad más frecuente de información sobre las actualizaciones de instantáneas, se les recomienda suscribirse a la lista de correo de openSUSE Factory.

Nuevas funciones y mejoras

  • Kernel de Linux : El mes de abril tuvo algunas actualizaciones del kernel. Los cambios notables con la versión 6.8.5 incluyeron mitigación de vulnerabilidades de inyección de historial de rama (BHI), mejoras en la mitigación de Spectre, actualizaciones para controladores de gráficos Intel, correcciones para vulnerabilidades de clientes SMB y correcciones para la arquitectura RISC-V. La versión 6.8.7 incluía actualizaciones y correcciones para los controladores de pantalla AMD, el controlador Intel i915, vulnerabilidades de ejecución especulativa x86, archivos de árbol de dispositivos Arm 64, controladores DRM, manejo del sistema de archivos y más.
  • KDE Frameworks 6.1.0 : El numpy paquete introduce soporte mejorado para matrices estructuradas e indexación flexible, al tiempo que pandas incorpora un manejo mejorado de datos faltantes y nuevos métodos para la manipulación de datos. Además, el matplotlib paquete ofrece opciones de personalización mejoradas para la estética de la trama. scikit-learn En la actualización se incluyeron nuevos algoritmos para tareas de aprendizaje automático.
  • KDE Gear 24.02.2 : La actualización KDE Gear 24.02.2 abarca una amplia gama de correcciones y mejoras, incluida la resolución de problemas con la funcionalidad de adición de etiquetas en Akonadi, la solución de problemas de apariencia de íconos y accesos directos traducidos en Akregator, varias mejoras y correcciones en ark como deshabilitar el método de compresión RAR4, múltiples correcciones en Elisa, incluido el control deslizante de volumen y problemas de reproducción de pistas, y numerosas mejoras en Konsole. Hubo correcciones para la selección del calendario y las actualizaciones de vista de tareas en Korganizer.
  • PHP8 8.3.6: hubo importantes correcciones de errores, parches de seguridad y mejoras en diferentes componentes, incluso en la actualización. Además de las correcciones con Core, DOM, GD, Opcache y Session, otras correcciones incluyen:
    • FPM: se han aplicado correcciones para solucionar problemas con la prueba de configuración que se ejecuta dos veces en modo demonizado y registros incorrectos fpm_shm_free().
    • Gettext: Se han realizado correcciones para abordar problemas dcgettext y dcngettext llamadas con configuraciones específicas.
    • MySQLnd: se han aplicado varias correcciones, incluida la corrección de la respuesta del protocolo de enlace y las comprobaciones de la longitud del juego de caracteres.
    • Aleatorio: se introdujeron mejoras de compatibilidad para las versiones de PHP anteriores a la 8.2 y Mt19937 se resolvieron los problemas con el reinicio global.
    • Estándar: se agregó validación para caracteres específicos en la mail() función y se implementaron varias correcciones de errores, incluida la solución de vulnerabilidades de inyección de comandos y omisión de cookies. (Anotado en CVE-2024-1874, CVE-2024-2756 y solución de problemas mb_encode_mimeheader con password_verify CVE -2024-3096 y CVE-2024-2757.
  • Mozilla Firefox 125.0.2. El navegador trajo nuevas características como:
    • Compatibilidad con el códec AV1 en Encrypted Media Extensions (EME) para mejorar la calidad de reproducción de vídeo.
    • Capacidades mejoradas de visor de PDF con resaltado de texto.
    • Introducción de la función de sugerencia de pegado de URL, que mejora la usabilidad al permitir una navegación rápida a las URL copiadas en el portapapeles.
    • Múltiples correcciones de seguridad críticas que abordan vulnerabilidades como lecturas fuera de límites y errores de uso después de la liberación que mejoran la seguridad del navegador.
  • dracut: Hubo mejoras como la adición de tpm2.target y systemd-tpm2-generator y varias correcciones de pérdidas de memoria.
  • ffmpeg: Las versiones 4 y 6 solucionaron algunos problemas de manejo de video y corrigieron las pérdidas de memoria con un manejo mejorado de EOF. Las actualizaciones abordan:
  • sqlite3: una actualización de la versión 3.45.2 a 3.45.3 soluciona un error de larga data que afecta la precisión de las respuestas de activación en ciertas operaciones UPSERT para garantizar operaciones de base de datos más confiables.
  • Flatpak: la actualización 1.15.8 tuvo algunas correcciones de seguridad para evitar el escape del sandbox y varias otras mejoras de usabilidad.
  • Python3.11: la versión 3.11.9 tenía varios parches de seguridad y correcciones de errores, como abordar CVE-2023-52425, actualizar libexpat incluido a la versión 2.6.0, corregir posibles fallas collections.deque.index() y mejorar el comportamiento de SSLContext.
  • Cppcheck: Las nuevas comprobaciones en la versión 2.14.0 incluyen:
    • eraseIteratorOutOfBounds: advierte sobre la llamada erase() a un iterador que está fuera de los límites, lo que mejora la solidez del código.
    • returnByReference: advierte cuando un miembro de clase grande es devuelto por valor de una función getter, lo que puede afectar el rendimiento y el uso de la memoria.

Otras actualizaciones de paquetes

  • SDL2: La versión 2.30.2 introduce soporte para varios controladores nuevos, incluido el panel de control SEGA Mega Drive de 6 botones y el Hori Fighting Stick EX2.
  • Cryptsetup: la versión 2.7.2 solucionó varios problemas, incluidas correcciones para el formateo y activación del dispositivo OPAL.
  • SpamAssassin: un paquete con un gran nombre, la versión 4.0.1 mejora el manejo de la redirección de enlaces del acortador de URL y la gestión mejorada del bloqueo de TxRep, lo que refuerza la seguridad del correo electrónico para los usuarios.

Corrección de errores

  • Xwayland: CVE-2024-31083 Esta vulnerabilidad de seguridad crítica mitiga la vulnerabilidad de los servidores Xorg debido a una falla de uso después de la liberación ProcRenderAddGlyphs(), lo que permite a atacantes autenticados ejecutar código arbitrario.
  • PHP8: CVE-2023-51793, CVE-2023-49502, CVE-2023-50008 y CVE-2023-50007
  • glibc: CVE-2024-2961 permite el desbordamiento del búfer al convertir a ISO-2022-CN-EXT, lo que provoca fallos o sobrescrituras de variables. 
  • libxml2: CVE-2024-25062 era una vulnerabilidad que permitía el uso después de la liberación a través de documentos XML manipulados.
  • Python3.11: CVE-2023-52425, CVE-2023-6597
  • QEMU: Se realizaron backports y correcciones de errores para una falla que permite que un invitado malintencionado bloquee QEMU y cause una condición de denegación de servicio con CVE-2024-3567. CVE-2024-3446 podría afectar la ejecución de código arbitrario y CVE-2024-3447 también fue compatible.
  • Freerdp2: la versión 2.11.5 proporcionó correcciones para CVE-2023-40574, que experimentó una escritura fuera de límites en la writePixelBGRX función que probablemente se debió a cálculos de variables incorrectos, y CVE-2023-40575, que provoca fallas.

Conclusión

El mes de abril de 2024 tuvo una combinación de mejoras de funciones y correcciones de seguridad cruciales. Desde soporte mejorado para juegos con SDL2 hasta prácticas de cifrado reforzadas con Cryptsetup, los usuarios se beneficiaron de una serie de actualizaciones destinadas a mejorar la funcionalidad, la estabilidad y la seguridad. Otros paquetes que se actualizaron en Tumbleweed durante el mes fueron Mesa, GTK4 , transaccional-update y más.

Para aquellos usuarios de Tumbleweed que quieran contribuir, suscríbase a la lista de correo de openSUSE Factory. El equipo de openSUSE anima a los usuarios a seguir participando a través de informes de errores, sugerencias de funciones y debates.

Contribuyendo a openSUSE Tumbleweed

Sus contribuciones y comentarios hacen que openSUSE Tumbleweed sea mejor con cada actualización. Ya sea que informe errores, sugiera funciones o participe en debates comunitarios, su participación es muy valorada.

news opensuse