5. Problemas a serem considerados para a trixie
Algumas vezes, mudanças introduzidas em uma nova versão têm efeitos colaterais que não podem ser evitados ou que acabam expondo bugs em outros locais. Esta seção documenta problemas conhecidos. Por favor, leia também a errata, a documentação dos pacotes relevantes, relatórios de bugs e outras informações mencionadas em Leitura complementar.
5.1. Itens específicos da atualização para trixie
Esta seção aborda itens relacionados à atualização da bookworm para a trixie.
5.1.1. openssh-server já não lê ~/.pam_environment
O daemon Secure Shell (SSH) que é disponibilizado pelo pacote openssh-server e que permite logins de sistemas remotos, já não lê, por predefinição, o ficheiro ~/.pam_environment; esta funcionalidade tem um histórico de problemas de segurança e ficou obsoleta nas versões atuais da biblioteca Pluggable Authentication Modules (PAM). Se desejar utilizar esta funcionalidade, deve deixar de definir variáveis em ~/.pam_environment e passar a defini-las nos ficheiros de inicialização da sua shell (e.g. ~/.bash_profile ou ~/.bashrc) ou outro mecanismo idêntico em vez disso.
As ligações de SSH existentes não serão afetadas, mas as novas ligações podem comportar-se de forma diferente após a atualização. Se estiver a atualizar remotamente, normalmente é boa ideia assegurar que tem outra forma de entrar no sistema antes de iniciar a atualização; veja Preparar para recuperação.
5.1.2. OpenSSH já não suporta chaves DSA
As chaves Digital Signature Algorithm (DSA), conforme especificadas no protocolo Secure Shell (SSH), são inerentemente fracas: são limitadas a chaves privadas de 160-bit e a digest SHA-1. A implementação SSH disponibilizada pelos pacotes openssh-client e openssh-server tem o suporte desabilitado para chaves DSA desde OpenSSH 7.0p1 em 2015, lançado com Debian 9 ("stretch"), apesar de poder ser possível habilitar utilizando as opções de configuração HostKeyAlgorithms e PubkeyAcceptedAlgorithms respetivamente para as chaves de host e de utilizador.
Nesta altura as únicas utilizações que restam com DSA será ligar a dispositivos muito antigos. Para todas as outras utilizações, os outros tipos de chaves suportados por OpenSSH (RSA, ECDSA e Ed5519) são superiores.
Na altura de OpenSSH 9.8p1 em trixie, as chaves DSA já não são suportadas mesmo com as opções de configuração acima. Se tiver um dispositivo a que apenas se possa ligar utilizando DSA, então para o fazer pode utilizar o comando ssh1 disponibilizado pelo pacote openssh-client-ssh1.
No evento improvável de ainda necessitar utilizar chaves DSA para ligar a um servidor Debian (se não tiver a certeza, pode verificar acrescentando a opção -v à linha de comandos ssh que utiliza para ligar a esse servidor e ver a linha "Server accepts key:"), então terá de gerar chaves de subsituição antes de atualizar. Por exemplo, para gerar uma nova chave Ed25519 e habilitar logins para um servidor que a utilize, corra isto no cliente, substituindo username@server com os nomes apropriados de user e host:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Coisas para fazer depois da atualização e antes de reinicializar
Quando o apt full-upgrade terminar, a atualização "formal" estará completa. Para a atualização da trixie, não é necessária nenhuma ação especial antes de executar uma reinicialização.
5.2.1. Itens não limitados ao processo de atualização
5.2.2. Limitações no suporte de segurança
Há alguns pacotes onde o Debian não pode prometer fornecer portes retroativos mínimos para problemas de segurança. Esses são abordados nas subseções a seguir.
Nota
O pacote debian-security-support ajuda a acompanhar a situação do suporte de segurança dos pacotes instalados.
5.2.2.1. Situação da segurança dos navegadores web e seus motores de renderização
Debian 13 inclui vários motores de navegador da web que são afectados por um fluxo regular de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a parcial falta de suporte dos autores sob a forma de branches de longo termo torna muito difícil suportar estes navegadores e motores com backports de correções de segurança. Além disso, as interdependências entre bibliotecas tornam extremamente difícil atualizar para novos lançamentos de originais mais recentes. As aplicações que utilizam o pacote fonte webkit2gtk (e.g. epiphany estão cobertas por suporte de segurança, mas as aplicações que utilizam qtwebkit (pacotes fonte qtwebkit-opensource-src não estão.
Como navegador da web recomendamos Firefox ou Chromium. Estes irão manter-se atualizados ao recompilar os atuais lançamentos ESR para a stable. A mesma estratégia pode ser aplicada a Thunderbird.
Assim que um lançamento se tornar oldstable, os browsers suportados oficialmente poderão não continuar a receber atualizações para o período standard de cobertura. Por exemplo, o Chromium apenas irá receber suporte de segurança por 6 meses em oldstable em vez dos típicos 12 meses.
5.2.2.2. Pacotes baseados em Go e em Rust
Atualmente, a infraestrutura do Debian apresenta problemas para reconstruir pacotes de tipos que sistematicamente usam ligação estática. Antes da buster, isso não era um problema na prática, mas com o crescimento do ecossistema Go, isso significa que os pacotes baseados em Go serão cobertos por suporte de segurança limitado até que a infraestrutura seja aprimorada para lidar com eles de forma a facilitar a sua manutenção.
Na maioria dos casos se forem garantidas as atualizações às bibliotecas de desenvolvimento de Go ou de Rust, estas apenas poderão vir através dos lançamentos pontuais.
5.3. Obsolescência e depreciação
5.3.1. Pacotes obsoletos dignos de nota
A seguinte lista é de pacotes conhecidos e obsoletos dignos de nota (veja Pacotes obsoletos para uma descrição).
A lista de pacotes obsoletos inclui:
To be added, as below:
O pacote libnss-ldap foi removido de trixie. As suas funcionalidades são agora cobertas por libnss-ldapd e libnss-sss.
5.3.2. Componentes obsoletos para a trixie
Com a próxima versão do Debian 14 (codinome forky), alguns recursos ficarão obsoletos. Os usuários precisarão migrar para outras alternativas para evitar problemas quando atualizarem para o Debian 14.
Isso inclui os seguintes recursos:
To be added, as below:
O desenvolvimento do serviço NSS
gw_nameparou em 2015. O pacote associado libnss-gw-name poderá ser removido em futuros lançamentos de Debian. O autor original sugere, em vez disso, utilizar libnss-myhostname.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPIin your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Bugs severos conhecidos
Apesar de o Debian ser lançado quando está pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento, todos os bugs com severidade séria ou mais alta são ativamente acompanhados pela Equipe de Lançamento, assim uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento da trixie podem ser encontrados no Sistema de Acompanhamento de Bugs do Debian. Os seguintes bugs afetavam a trixie no momento do lançamento e merecem menção neste documento:
Número do bug |
Pacote (fonte ou binário) |
Descrição |
|---|---|---|
akonadi-backend-mysql |
servidor akonado falha o arranque já que não consegue ligar a base de dados mysql |
|
faketime |
faketime não finge a hora (em i386) |
|
src:fuse3 |
disponibiliza caminho para atualização fuse -> fuse3 para bookworm |
|
g++-12 |
tree-vectorize: Código errado no nível O2 (-fno-tree-vectorize está a funcionar) |
|
git-daemon-run |
falha purgar: deluser -f: opção desconhecida: f |
|
git-daemon-run |
falha com 'warning: git-daemon: unable to open supervise/ok: file does not exist' |
|
src:gluegen2 |
incorpora non-free headers |