5. Problemi di cui essere al corrente per trixie
A volte i cambiamenti introdotti da un nuovo rilascio comportano effetti collaterali che non si possono ragionevolmente evitare o che espongono errori da altre parti. In questa sezione sono documentati i problemi noti. Si leggano anche le errata corrige, la documentazione dei pacchetti interessati, le segnalazioni di errori e altre informazioni riportate in Ulteriori letture.
5.1. Aspetti specifici dell'aggiornamento a trixie
Questa sezione tratta le voci relative all'aggiornamento da bookworm a trixie.
5.1.1. openssh-server non legge più ~/.pam_environment
Il demone Secure Shell (SSH) fornito nel pacchetto openssh-server, che permette il login da sistemi remoti, non legge più in modo predefinito il file ~/.pam_environment
degli utenti; questa funzionalità ha problemi storici di sicurezza ed è stata deprecata nelle attuali versioni della libreria Pluggable Authentication Modules (PAM) library. Se si usava questa funzionalità, si dovrebbe passare dall'impostare le variabili in ~/.pam_environment
all'impostarle invece nei propri file di inizializzazione della shell (es. ~/.bash_profile
o ~/.bashrc
) o qualche altro meccanismo simile.
La cosa non ha effetto sulle connessioni SSH esistenti, ma le nuove connessioni possono comportarsi in modo diverso dopo l'aggiornamento. Se si sta facendo l'aggiornamento da remoto, è normalmente una buona idea assicurarsi di avere un qualche altro modo per fare il login nel sistema prima di avviare l'aggiornamento; vedere Preparazione per il ripristino.
5.1.2. OpenSSH non supporta più le chiavi DSA
Le chiavi Digital Signature Algorithm (DSA), come specificate nel protocollo Secure Shell (SSH), sono intrinsecamente deboli: sono limitate a chiavi private a 160 bit e a SHA-1 digest. L'implementazione di SSH fornita dai pacchetti openssh-client e openssh-server ha il supporto per le chiavi DSA disabilitato a partire da OpenSSH 7.0p1 nel 2015, rilasciato con Debian 9 ("stretch"), sebbene potesse ancora essere abilitato usando le opzioni di configurazione HostKeyAlgorithms
e PubkeyAcceptedAlgorithms
, rispettivamente per le chiavi dell'host e dell'utente.
A questo punto l'unico uso restante di DSA dovrebbe essere quello di connettersi a un qualche dispositivo molto vecchio. Per tutti gli altri usi, gli altri tipi di chiave supportati da OpenSSH (RSA, ECDSA e Ed25519) sono migliori.
A partire da OpenSSH 9.8p1 in trixie, le chiavi DSA non sono più supportate neanche con le opzioni di configurazione descritte sopra. Se si ha un dispositivo a cui ci si può connettere solo usando DSA, allora per farlo si può usare il comando ssh1
fornito dal pacchetto openssh-client-ssh1.
Nella remota eventualità che si stia ancora usando chiavi DSA per connettersi ad un server Debian (se non si è sicuri si può controllare aggiungendo l'opzione -v
alla riga di comando di ssh
utilizzata per connettersi a quel server e cercare la riga "Server accepts key:"), si devono generare chiavi sostitutive prima di fare l'aggiornamento. Per esempio, per generare una nuova chiave Ed25519 e abilitare il login ad un server usando quella, eseguire quanto segue nel client, sostituendo ad username@server
i nomi appropriati per utente e host:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Cose da fare dopo l'aggiornamento prima di riavviare
Quando apt full-upgrade
ha terminato, l'aggiornamento è "formalmente" completo. Per l'aggiornamento a trixie non ci sono azioni speciali necessarie prima di effettuare un riavvio.
5.2.1. Cosa non limitate al processo di aggiornamento
5.2.2. Limitazione nel supporto per la sicurezza
Ci sono alcuni pacchetti per i quali Debian non può garantire di fornire i backport minimi per ragioni di sicurezza. Questi verranno trattati nelle sottosezioni che seguono.
Nota
Il pacchetto debian-security-support aiuta a tenere traccia dello stato del supporto di sicurezza per i pacchetti installati.
5.2.2.1. Stato della sicurezza dei browser web e dei loro motori di rendering
Debian 13 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser e motori tramite il backport delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende estremamente difficile aggiornare a una nuova versione a monte. Le applicazioni che usano il pacchetto sorgente webkit2gtk (es. epiphany) sono coperte dal supporto di sicurezza, ma le applicazioni che usano qtwebkit (pacchetto sorgente qtwebkit-opensource-src) non lo sono.
Per un browser web di uso generico vengono raccomandati Firefox o Chromium. Verranno mantenuti aggiornati ricompilando gli attuali rilasci ESR per stable. La stessa strategia verrà seguita per Thunderbird.
Una volta che un rilascio diventa oldstable
, i browser ufficialmente supportati possono non continuare a ricevere aggiornamenti per il periodo di copertura ufficiale. Per esempio, Chromium riceverà solo 6 mesi di supporto di sicurezza in oldstable
invece dei tipici 12 mesi.
5.2.2.2. Pacchetti basati su Go e Rust
L'infrastruttura Debian attualmente ha problemi con la ricompilazione di pacchetti del tipo che usa sistematicamente link statici. Con la crescita degli ecosistemi Go e Rust ciò significa che questi pacchetti saranno coperti da un supporto di sicurezza limitato, fino a che l'infrastruttura non sarà migliorata per poter lavorare con essi in modo mantenibile.
Nella maggior parte dei casi, se sono necessari aggiornamenti alle librerie di sviluppo di Go e Rust, questi verranno rilasciati solamente attraverso i regolari rilasci minori.
5.3. Obsolescenze e deprecazioni
5.3.1. Pacchetti obsoleti degni di nota
Quello che segue è un elenco di pacchetti obsoleti noti e degni di nota (vedere Pacchetti obsoleti per una descrizione).
L'elenco dei pacchetti obsoleti comprende:
To be added, as below:
Il pacchetto libnss-ldap è stato rimosso da trixie. Le sue funzionalità sono ora coperte da libnss-ldapd e libnss-sss.
5.3.2. Componenti deprecati per trixie
Con il prossimo rilascio di Debian 14 (nome in codice forky) alcune funzionalità diventeranno deprecate. Gli utenti dovranno migrare ad altre alternative per evitare problemi nell'aggiornamento a Debian 14.
Ciò include le seguenti funzionalità:
To be added, as below:
Lo sviluppo del servizio
gw_name
è terminato nel 2015. Il pacchetto associato libnss-gw-name potrebbe essere rimosso nei rilasci Debian futuri. Lo sviluppatore originale a monte suggerisce di usare invece libnss-myhostname.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPI
in your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Bug importanti conosciuti
Sebbene Debian venga rilasciata quando è pronta, ciò sfortunatamente non significa che non vi siano bug noti. Come parte del processo di rilascio tutti i bug di gravità seria o superiore sono tracciati attivamente dal Team di Rilascio, perciò una panoramica di tali bug che sono stati etichettati come da ignorare nell'ultima parte del rilascio di trixie può essere trovata nel Sistema di tracciamento dei bug di (BTS). Al momento del rilascio, trixie era affetta dai seguenti bug degni di nota:
Numero di bug |
Pacchetto (sorgente o binario) |
Descrizione |
---|---|---|
akonadi-backend-mysql |
L'avvio del server di akonadi fallisce dato che non può connettersi al database mysql |
|
faketime |
faketime non falsifica il tempo (su i386) |
|
src:fuse3 |
fornire percorso di aggiornamento fuse -> fuse3 per bookworm |
|
g++-12 |
tree-vectorize: codice sbagliato a livello O2 (-fno-tree-vectorize funziona) |
|
git-daemon-run |
fallisce il purge: deluser -f: Unknown option: f |
|
git-daemon-run |
fallisce con messaggio "warning: git-daemon: unable to open supervise/ok: file does not exist" |
|
src:gluegen2 |
incorpora header non liberi |