5. Problemas a estar atento em trixie
Por vezes, as alterações introduzidas num novo lançamento têm efeitos secundários que não podemos evitar razoavelmente, ou irão pôr a descoberto bugs noutro lado. Esta secção documenta os problemas que conhecemos. Por favor leia a errata, a documentação dos pacotes relevantes, relatórios de bugs e outra informação mencionada na Leitura adicional.
5.1. Itens específicos de atualizações para trixie
Esta secção cobre itens relacionados com a atualização de bookworm para trixie.
5.1.1. openssh-server já não lê ~/.pam_environment
O daemon Secure Shell (SSH) que é disponibilizado pelo pacote openssh-server e que permite logins de sistemas remotos, já não lê, por predefinição, o ficheiro ~/.pam_environment; esta funcionalidade tem um histórico de problemas de segurança e ficou obsoleta nas versões atuais da biblioteca Pluggable Authentication Modules (PAM). Se desejar utilizar esta funcionalidade, deve deixar de definir variáveis em ~/.pam_environment e passar a defini-las nos ficheiros de inicialização da sua shell (e.g. ~/.bash_profile ou ~/.bashrc) ou outro mecanismo idêntico em vez disso.
As ligações de SSH existentes não serão afetadas, mas as novas ligações podem comportar-se de forma diferente após a atualização. Se estiver a atualizar remotamente, normalmente é boa ideia assegurar que tem outra forma de entrar no sistema antes de iniciar a atualização; veja Preparar para recuperação.
5.1.2. OpenSSH já não suporta chaves DSA
As chaves Digital Signature Algorithm (DSA), conforme especificadas no protocolo Secure Shell (SSH), são inerentemente fracas: são limitadas a chaves privadas de 160-bit e a digest SHA-1. A implementação SSH disponibilizada pelos pacotes openssh-client e openssh-server tem o suporte desabilitado para chaves DSA desde OpenSSH 7.0p1 em 2015, lançado com Debian 9 ("stretch"), apesar de poder ser possível habilitar utilizando as opções de configuração HostKeyAlgorithms e PubkeyAcceptedAlgorithms respetivamente para as chaves de host e de utilizador.
Nesta altura as únicas utilizações que restam com DSA será ligar a dispositivos muito antigos. Para todas as outras utilizações, os outros tipos de chaves suportados por OpenSSH (RSA, ECDSA e Ed5519) são superiores.
Na altura de OpenSSH 9.8p1 em trixie, as chaves DSA já não são suportadas mesmo com as opções de configuração acima. Se tiver um dispositivo a que apenas se possa ligar utilizando DSA, então para o fazer pode utilizar o comando ssh1 disponibilizado pelo pacote openssh-client-ssh1.
No evento improvável de ainda necessitar utilizar chaves DSA para ligar a um servidor Debian (se não tiver a certeza, pode verificar acrescentando a opção -v à linha de comandos ssh que utiliza para ligar a esse servidor e ver a linha "Server accepts key:"), então terá de gerar chaves de subsituição antes de atualizar. Por exemplo, para gerar uma nova chave Ed25519 e habilitar logins para um servidor que a utilize, corra isto no cliente, substituindo username@server com os nomes apropriados de user e host:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Coisas a fazer após a atualização e antes de reiniciar
Quando apt full-upgrade tiver terminado, a atualização "formal" estará completa. Para o upgrade para trixie não é necessário tomar ações especiais antes de reiniciar.
5.2.1. Itens não limitados ao processo de atualização
5.2.2. Limitações no suporte de segurança
Existem alguns pacotes onde Debian não pode prometer disponibilizar backports mínimos para problemas de segurança. Estes estão cobertos nas seguintes subsecções.
Nota
O pacote debian-security-support ajuda a seguir o estado do suporte de segurança dos pacotes instalados.
5.2.2.1. Estado da segurança dos navegadores web e seus rendering engines
Debian 13 inclui vários motores de navegador da web que são afectados por um fluxo regular de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a parcial falta de suporte dos autores sob a forma de branches de longo termo torna muito difícil suportar estes navegadores e motores com backports de correções de segurança. Além disso, as interdependências entre bibliotecas tornam extremamente difícil atualizar para novos lançamentos de originais mais recentes. As aplicações que utilizam o pacote fonte webkit2gtk (e.g. epiphany estão cobertas por suporte de segurança, mas as aplicações que utilizam qtwebkit (pacotes fonte qtwebkit-opensource-src não estão.
Como navegador da web recomendamos Firefox ou Chromium. Estes irão manter-se atualizados ao recompilar os atuais lançamentos ESR para a stable. A mesma estratégia pode ser aplicada a Thunderbird.
Assim que um lançamento se tornar oldstable, os browsers suportados oficialmente poderão não continuar a receber atualizações para o período standard de cobertura. Por exemplo, o Chromium apenas irá receber suporte de segurança por 6 meses em oldstable em vez dos típicos 12 meses.
5.2.2.2. Pacotes baseados em Go e em Rust
A infraestrutura Debian atualmente tem problemas com a recompilação de pacotes de tipos que utilizem sistematicamente static linking. Com o crescimento dos ecosistemas Go e Rust isto significa que estes pacotes serão cobertos por um suporte de segurança limitado até a infraestrutura ser melhorada para lidar com eles de forma sustentável.
Na maioria dos casos se forem garantidas as atualizações às bibliotecas de desenvolvimento de Go ou de Rust, estas apenas poderão vir através dos lançamentos pontuais.
5.3. Obsolescência e depreciação
5.3.1. Pacotes relevantes obsoletos
Os seguintes são uma lista de pacotes conhecidos e relevantes que são obsoletos (para uma descrição, veja a Pacotes obsoletos).
A lista de pacotes obsoletos inclui:
To be added, as below:
O pacote libnss-ldap foi removido de trixie. As suas funcionalidades são agora cobertas por libnss-ldapd e libnss-sss.
5.3.2. Componentes depreciados para trixie
Com o próximo lançamento de Debian 14 (nome de código forky) serão depreciadas algumas funcionalidades. Os utilizadores irão necessitar de migrar para outras alternativas para prevenir problemas ao atualizar para 14.
Isto inclui as seguintes funcionalidades:
To be added, as below:
O desenvolvimento do serviço NSS
gw_nameparou em 2015. O pacote associado libnss-gw-name poderá ser removido em futuros lançamentos de Debian. O autor original sugere, em vez disso, utilizar libnss-myhostname.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPIin your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Bugs graves conhecidos
Apesar de Debian lançar quando estiver pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento todos os bugs com severidade séria ou mais elevada são seguidos ativamente pela Release Team, por isso pode ser encontrada uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento trixie no Sistema de Acompanhamento de Bugs de Debian. Os seguintes bugs estavam a afectar trixie na altura do lançamento e é relevante serem mencionados neste documento.
Número do bug |
Pacote (source ou binário) |
Descrição |
|---|---|---|
akonadi-backend-mysql |
servidor akonado falha o arranque já que não consegue ligar a base de dados mysql |
|
faketime |
faketime não finge a hora (em i386) |
|
src:fuse3 |
disponibiliza caminho para atualização fuse -> fuse3 para bookworm |
|
g++-12 |
tree-vectorize: Código errado no nível O2 (-fno-tree-vectorize está a funcionar) |
|
git-daemon-run |
falha purgar: deluser -f: opção desconhecida: f |
|
git-daemon-run |
falha com 'warning: git-daemon: unable to open supervise/ok: file does not exist' |
|
src:gluegen2 |
incorpora non-free headers |