5. Kwesties waarvan u zich bewust moet zijn bij trixie
Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Literatuurverwijzingen.
5.1. Opwaarderingsspecifieke zaken voor trixie
Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van bookworm naar trixie.
5.1.1. openssh-server no longer reads ~/.pam_environment
The Secure Shell (SSH) daemon provided in the openssh-server package,
which allows logins from remote systems, no longer reads the user's
~/.pam_environment file by default; this feature has a history of
security problems and has been
deprecated in current versions of the Pluggable Authentication Modules (PAM)
library. If you used this feature, you should switch from setting variables
in ~/.pam_environment to setting them in your shell initialization files
(e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism
instead.
Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Tref voorbereidingen om een hersteloperatie te kunnen uitvoeren.
5.1.2. OpenSSH no longer supports DSA keys
Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell
(SSH) protocol, are inherently weak: they are limited to 160-bit private
keys and the SHA-1 digest. The SSH implementation provided by the
openssh-client and openssh-server packages has disabled support for
DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9
("stretch"), although it could still be enabled using the
HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options
for host and user keys respectively.
The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.
As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with
the above configuration options. If you have a device that you can only
connect to using DSA, then you can use the ssh1 command provided by the
openssh-client-ssh1 package to do so.
In the unlikely event that you are still using DSA keys to connect to a
Debian server (if you are unsure, you can check by adding the -v option
to the ssh command line you use to connect to that server and looking
for the "Server accepts key:" line), then you must generate replacement keys
before upgrading. For example, to generate a new Ed25519 key and enable
logins to a server using it, run this on the client, replacing
username@server with the appropriate user and host names:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
Wanneer apt full-upgrade beëindigd is, is de opwaardering "formeel" afgerond. Bij de opwaardering naar trixie zijn er geen speciale acties meer nodig voordat u de computer herstart.
5.2.1. Items die niet beperkt zijn tot het opwaarderingsproces
5.2.2. Beperkingen inzake beveiligingsondersteuning
Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.
Notitie
Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.
5.2.2.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen
Debian 13 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. toepassingen die gebruik maken van het broncodepakket webkit2gtk (bijv. epiphany) worden gedekt door de beveiligingsondersteuning, maar toepassingen die gebruik maken van qtwebkit (broncodepakket qtwebkit-opensource-src) worden niet gedekt.
Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.
Zodra een release oldstable wordt, is het mogelijk dat officieel ondersteunde browsers gedurende de standaard dekkingsperiode geen updates meer ontvangen. Chromium krijgt bijvoorbeeld slechts 6 maanden beveiligingsondersteuning in oldstable in plaats van de gebruikelijke 12 maanden.
5.2.2.2. Op Go en Rust gebaseerde pakketten
De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. Met de groei van de Go- en Rust-ecosystemen betekent dit dat deze pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.
Als updates voor ontwikkelingsbibliotheken voor Go of Rust gerechtvaardigd zijn, zullen deze in de meeste gevallen enkel via reguliere tussenreleases gebeuren.
5.3. Verouderde en achterhaalde zaken
5.3.1. Vermeldenswaardige uitgefaseerde pakketten
Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Verouderde pakketten voor een beschrijving).
Tot de uitgefaseerde pakketten behoren:
To be added, as below:
Het pakket libnss-ldap werd verwijderd uit trixie. De functionaliteit ervan wordt nu opgenomen door libnss-ldapd en libnss-sss.
5.3.2. Verouderde componenten van trixie
Met de volgende uitgave van Debian 14 (codenaam forky) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 14.
Daaronder valt de volgende functionaliteit:
To be added, as below:
De ontwikkeling van de NSS-dienst
gw_nameis in 2015 gestopt. Het bijbehorende pakket libnss-gw-name wordt mogelijk verwijderd in toekomstige Debian releases. De bovenstroomse ontwikkelaar stelt voor om in plaats daarvan libnss-myhostname te gebruiken.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPIin your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Bekende ernstige bugs
Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van trixie, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen trixie op het moment van vrijgeven en zijn het vermelden waard in dit document:
Bugnummer |
Pakket (broncode of binair) |
Beschrijving |
|---|---|---|
akonadi-backend-mysql |
de akonadi-server start niet omdat deze geen verbinding kan maken met de mysql-database |
|
faketime |
faketime creëert geen nep-tijd (op i386) |
|
src:fuse3 |
provide upgrade path fuse -> fuse3 for bookworm |
|
g++-12 |
tree-vectorize: verkeerde code op O2-niveau (-fno-tree-vectorize werkt) |
|
git-daemon-run |
wissen (purge) mislukt: deluser -f: Onbekende optie: f |
|
git-daemon-run |
mislukt met 'waarschuwing: git-daemon: kan supervise/ok niet openen: bestand bestaat niet' |
|
src:gluegen2 |
sluit niet-vrije headers in |