5. Problemområden att känna till för trixie
Ibland innebär förändringar i en ny utgåva att sidoeffekter vi inte kunnat undvika uppstår, i vissa fall skapas nya fel någon annanstans. Här dokumenterar vi problem som vi känner till. Vänligen läs även erratan, dokumentationen för aktuella paket, felrapporter och annan information som nämns i Ytterligare läsning.
5.1. Specifik uppgraderingsinformation för trixie
Detta kapitel beskriver detaljer runt uppgradering från bookworm till trixie.
5.1.1. openssh-server no longer reads ~/.pam_environment
The Secure Shell (SSH) daemon provided in the openssh-server package,
which allows logins from remote systems, no longer reads the user's
~/.pam_environment file by default; this feature has a history of
security problems and has been
deprecated in current versions of the Pluggable Authentication Modules (PAM)
library. If you used this feature, you should switch from setting variables
in ~/.pam_environment to setting them in your shell initialization files
(e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism
instead.
Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Förbered för återställning.
5.1.2. OpenSSH no longer supports DSA keys
Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell
(SSH) protocol, are inherently weak: they are limited to 160-bit private
keys and the SHA-1 digest. The SSH implementation provided by the
openssh-client and openssh-server packages has disabled support for
DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9
("stretch"), although it could still be enabled using the
HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options
for host and user keys respectively.
The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.
As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with
the above configuration options. If you have a device that you can only
connect to using DSA, then you can use the ssh1 command provided by the
openssh-client-ssh1 package to do so.
In the unlikely event that you are still using DSA keys to connect to a
Debian server (if you are unsure, you can check by adding the -v option
to the ssh command line you use to connect to that server and looking
for the "Server accepts key:" line), then you must generate replacement keys
before upgrading. For example, to generate a new Ed25519 key and enable
logins to a server using it, run this on the client, replacing
username@server with the appropriate user and host names:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Att göra efter uppgradering före omstart
När apt full-upgrade är klar innebär detta att den "formella" uppgraderingen är klar . För uppgraderingen till trixie finns inga speciella åtgärder som måste genomföras före nästa omstart.
5.2.1. Delar som inte är helt bundna till uppgraderingsprocessen
5.2.2. Begränsningar i säkerhetsstödet
Det finns ett antal paket där Debian inte kan lova minimala bakåtporteringar för säkerhetsproblem. Dessa beskrivs närmare i underavsnitten.
Observera
Paketet debian-security-support håller reda på säkerhetsstatus för installerade paket.
5.2.2.1. Säkerhetsläget för webbläsare och deras renderingsmotorer
Debian 13 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd från utgivare i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare och motorer med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det extremt svårt att uppdatera dessa till nyare versioner. Program som använder källkodspaketet webkit2gtk (t.ex. epiphany) inkluderas i säkerhetsstödet medan program som använder qtwebkit (källkodspaketet qtwebkit-opensource-src) inte inkluderas.
För vanlig webbsurf rekommenderar vi Firefox eller Chromium. De kommer att hållas uppdaterade och byggs från aktuell ESR-utgåva för Debian stable. Samma strategi gäller Thunderbird.
Once a release becomes oldstable, officially supported browsers may
not continue to receive updates for the standard period of coverage. For
example, Chromium will only receive 6 months of security support in
oldstable rather than the typical 12 months.
5.2.2.2. Go- och Rust-baserade paket
Debians infrastruktur har besvär med att bygga om paket som använder statisk länkning. I och med den ökande populariteten för systemmiljöerna Go och Rust betyder detta att dessa paket enbart kan sägas ha begränsat säkerhetsstöd tills infrastrukturen har förbättrats för att paketen ska kunna hanteras smart.
I de flesta fall kan nödvändiga uppdateringar av utvecklingsbibliotek för Go eller Rust enbart levereras via punktutgåvor.
5.3. Föråldring och utfasning
5.3.1. Föråldrade paket
Detta är en lista med kända föråldrade paket (läs mer i Föråldrade paket för en beskrivning).
Listan med föråldrade paket inkluderar:
To be added, as below:
Paketet libnss-ldap har tagits bort från trixie. Funktionerna som tillhandahölls genom paketet täcks av libnss-ldapd och libnss-sss.
5.3.2. Utfasning av komponenter för trixie
Med nästa utgåva av Debian 14 (kodnamn forky) kommer några funktioner fasas ut. Användare behöver byta till alternativ för att förhindra besvär vid uppgradering till 14.
Inklusive följande:
To be added, as below:
Development of the NSS service
gw_namestopped in 2015. The associated package libnss-gw-name may be removed in future Debian releases. The upstream developer suggests using libnss-myhostname instead.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPIin your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Kända allvarliga fel
Även om Debian görs tillgänglig när det är klart så betyder inte detta att det inte finns kända fel. En del av själva processen för att göra en ny utgåva tillgänglig innefattar att aktivt övervaka alla felrapporter som är satta på allvarlighetsgrad serious eller högre. På detta sätt skapas en översikt över de felrapporter som markerats som ignorerade i de avslutande delarna av processen för att göra trixie tillgänglig. Dessa felrapporrter finns i Debians felrapporteringssystem. Följande felrapporter påverkade trixie och är värda att nämna i detta dokument.
Felrapport |
Paket (källkod eller binär) |
Beskrivning |
|---|---|---|
akonadi-backend-mysql |
akonadi server fails to start since it cannot connect to mysql database |
|
faketime |
faketime doesn't fake time (on i386) |
|
src:fuse3 |
provide upgrade path fuse -> fuse3 for bookworm |
|
g++-12 |
tree-vectorize: Wrong code at O2 level (-fno-tree-vectorize is working) |
|
git-daemon-run |
fails to purge: deluser -f: Unknown option: f |
|
git-daemon-run |
fails with 'warning: git-daemon: unable to open supervise/ok: file does not exist' |
|
src:gluegen2 |
embeds non-free headers |