5. Problèmes à connaître pour trixie
Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter sans nous exposer à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire l'errata, la documentation des paquets concernés, les rapports de bogues et les autres sources d'informations mentionnées dans la Lectures pour aller plus loin.
5.1. Mise à niveau d'éléments spécifiques pour trixie
Cette section concerne les éléments liés à la mise à niveau de bookworm vers trixie
5.1.1. openssh-server no longer reads ~/.pam_environment
The Secure Shell (SSH) daemon provided in the openssh-server package,
which allows logins from remote systems, no longer reads the user's
~/.pam_environment
file by default; this feature has a history of
security problems and has been
deprecated in current versions of the Pluggable Authentication Modules (PAM)
library. If you used this feature, you should switch from setting variables
in ~/.pam_environment
to setting them in your shell initialization files
(e.g. ~/.bash_profile
or ~/.bashrc
) or some other similar mechanism
instead.
Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Soyez prêts à récupérer le système.
5.1.2. OpenSSH no longer supports DSA keys
Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell
(SSH) protocol, are inherently weak: they are limited to 160-bit private
keys and the SHA-1 digest. The SSH implementation provided by the
openssh-client and openssh-server packages has disabled support for
DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9
("stretch"), although it could still be enabled using the
HostKeyAlgorithms
and PubkeyAcceptedAlgorithms
configuration options
for host and user keys respectively.
The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.
As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with
the above configuration options. If you have a device that you can only
connect to using DSA, then you can use the ssh1
command provided by the
openssh-client-ssh1 package to do so.
In the unlikely event that you are still using DSA keys to connect to a
Debian server (if you are unsure, you can check by adding the -v
option
to the ssh
command line you use to connect to that server and looking
for the "Server accepts key:" line), then you must generate replacement keys
before upgrading. For example, to generate a new Ed25519 key and enable
logins to a server using it, run this on the client, replacing
username@server
with the appropriate user and host names:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Choses à faire avant de redémarrer après la mise à niveau
Lorsque apt full-upgrade
a terminé, la mise à niveau "formelle" est terminée. Pour la mise à niveau vers trixie il n'y a rien de particulier à faire avant de redémarrer.
5.2.1. Éléments non limités au processus de mise à niveau
5.2.2. Limitations de la prise en charge de sécurité
Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour les problèmes de sécurité. Cela est développé dans les sous-sections suivantes.
Note
Le paquet debian-security-support aide à suivre l’état de la prise en charge du suivi de sécurité des paquets installés.
5.2.2.1. État de sécurité des navigateurs web et de leurs moteurs de rendu
Debian 13 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches maintenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent extrêmement difficile la mise à niveau vers une nouvelle version. Les applications utilisant le paquet source webkit2gtk (par exemple, epiphany) sont couvertes par la prise en charge de sécurité, mais les applications utilisant qtwebkit (paquet source qtwebkit-opensource-src) ne les sont pas.
Pour une utilisation classique, nous recommandons les navigateurs Firefox ou Chromium. Ceux-ci seront maintenus à jour en recompilant les versions ESR actuelles pour stable. La même stratégie sera appliquée pour Thunderbird.
Une fois qu'une version devient oldstable
, les navigateurs pris en charge officiellement ne continuent pas à recevoir des mises à jour durant la période normale de couverture. Par exemple, Chromium ne recevra que pendant six mois une prise en charge de sécurité dans Oldstable
au lieu des douze mois habituels.
5.2.2.2. Paquets basés sur Go et Rust
L’infrastructure de Debian a actuellement des problèmes pour recompiler correctement les types de paquets qui ont systématiquement recours aux liens statiques. Avec la croissance de l’écosystème de Go et de Rust cela signifie que ces paquets seront couverts par une prise en charge de sécurité limitée jusqu’à ce que l’infrastructure soit améliorée pour pouvoir les gérer durablement.
Dans la plupart des cas, si les mises à jour sont justifiées pour les bibliothèques de développement de Go ou de Rust, elles ne viendront que des mises à jour intermédiaires normales.
5.3. Obsolescence et dépréciation
5.3.1. Paquets obsolètes
La liste suivante contient des paquets connus et obsolètes (voir Paquets obsolètes pour une description).
La liste des paquets obsolètes contient :
To be added, as below:
Le paquet libnss-ldap a été supprimé de trixie. Ses fonctionnalités sont maintenant couvertes par libnss-ldapd et libnss-sss.
5.3.2. Composants dépréciés pour trixie
Avec la prochaine publication de Debian 14 (nom de code forky), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des alternatives pour éviter les problèmes lors de la mise à jour vers Debian 14.
Cela comprend les fonctionnalités suivantes :
To be added, as below:
Le développement du service NSS
gw_name
s'est arrêté en 2015. Le paquet associé libnss-gw-name est susceptible d'être supprimé dans une prochaine version de Debian. Le développeur amont suggère d'utiliser libnss-myhostname à la place.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPI
in your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Bogues sévères connus
Bien que Debian ne publie que quand elle est prête, cela ne signifie pas malheureusement qu'il n'y a pas de bogues connus. Dans le cadre du processus de publication, tous les bogues de sévérité sérieuse ou plus élevée sont activement suivis par l'équipe de publication, aussi une vue d'ensemble de ces bogues qui ont été marqués comme devant être ignorés dans la partie finale du processus de publication de trixie est disponible dans le système de suivi de bogues de Debian. Les bogues suivants affectent trixie au moment de la publication et méritent d'être mentionnés dans ce document :
Numéro de bogue |
Paquet (source ou binaire) |
Description |
---|---|---|
akonadi-backend-mysql |
le serveur akonadi échoue à démarrer puisqu'il ne peut pas se connecter à la base de données mysql |
|
faketime |
faketime ne produit pas de fausses dates (sur i386) |
|
src:fuse3 |
provide upgrade path fuse -> fuse3 for bookworm |
|
g++-12 |
tree-vectorize : code erroné au niveau 02 (-fno-tree-vectorize fonctionne) |
|
git-daemon-run |
échoue à purger : deluser -f : Unknown option: f |
|
git-daemon-run |
échoue avec l'avertissement : 'warning: git-daemon: unable to open supervise/ok: file does not exist' |
|
src:gluegen2 |
intègre des en-têtes non-libres |