5. Problemas a ter en conta con trixie
As veces os cambios introducidos nunha nova versión teñen efectos secundarios imposibles de prever ou amosan fallos en algures. Esta sección documenta os problemas que coñecemos. Consulte tamén a lista de erratas, a documentación do paquete axeitada, informes de fallo e outra información mencionada en Lecturas recomendadas.
5.1. Actualizar elementos específicos para trixie
Esta sección trata da actualización de bookworm a trixie.
5.1.1. openssh-server no longer reads ~/.pam_environment
The Secure Shell (SSH) daemon provided in the openssh-server package,
which allows logins from remote systems, no longer reads the user's
~/.pam_environment file by default; this feature has a history of
security problems and has been
deprecated in current versions of the Pluggable Authentication Modules (PAM)
library. If you used this feature, you should switch from setting variables
in ~/.pam_environment to setting them in your shell initialization files
(e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism
instead.
Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Preparase para a recuperación.
5.1.2. OpenSSH no longer supports DSA keys
Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell
(SSH) protocol, are inherently weak: they are limited to 160-bit private
keys and the SHA-1 digest. The SSH implementation provided by the
openssh-client and openssh-server packages has disabled support for
DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9
("stretch"), although it could still be enabled using the
HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options
for host and user keys respectively.
The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.
As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with
the above configuration options. If you have a device that you can only
connect to using DSA, then you can use the ssh1 command provided by the
openssh-client-ssh1 package to do so.
In the unlikely event that you are still using DSA keys to connect to a
Debian server (if you are unsure, you can check by adding the -v option
to the ssh command line you use to connect to that server and looking
for the "Server accepts key:" line), then you must generate replacement keys
before upgrading. For example, to generate a new Ed25519 key and enable
logins to a server using it, run this on the client, replacing
username@server with the appropriate user and host names:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. Cousas que facer despois da actualización antes de reiniciar
Cando remate apt full-upgrade, a actualización "en sí" rematou. Para actualizar a trixie non é necesario facer máis cousas antes de reiniciar.
5.2.1. Cousas non exclusivas do proceso de actualización
5.2.2. Limitacións na asistencia técnica sobre seguridade
Hai algúns paquetes onde Debian non pode prometer manter unha modernización mínima por razóns de seguridade. Estes paquetes trátanse nas seguintes subseccións.
Note
O paquete debian-security-support axuda a manterse ao día sobre a asistencia técnica de seguridade dos paquetes.
5.2.2.1. O estado da seguridade dos navegadores de internet e os seus motores de renderizado
Debian 13 inclúe varios motores de navegador da rede que están afectados polo fluxo constante de vulnerabilidades de seguridade. A gran cantidade de vulnerabilidades, e a falta parcial de soporte técnico da fonte orixinal na forma de pólas de desenvolvemento a longo prazo, fan moi difícil manter a compatibilidade con estes navegadores e motores con arranxos de mantemento de seguridade. Ademais, as dependencias entre bibliotecas fan moi difícil actualizar a versións máis novas da fonte orixinal. As aplicacións que usen o paquete fonte webkit2gtk (como pode ser epiphany) teñen cobertura de seguridade, pero as aplicacións que usen qtwebkit (paquete fonte qtwebkit-opensource-src) non teñen.
Como navegador de uso diario recomendamos Firefox ou Chromium. Estes navegadores mantéñense ao día recompilando as versións ESR actuais para Debian estable. A mesma estratexia usarase para Thunderbird.
Despois de que unha versión pase a oldstable os navegadores con actualizacións oficiais non as recibirán fora do período de cobertura normal. Por exemplo, Chromium só recibirá 6 meses de actualizacións de seguridade en oldstable, en comparación cos 12 meses normais.
5.2.2.2. Paquetes baseados en Go e Rust
A infraestrutura de Debian inda ten problemas ao recompilar os tipos de paquetes que abusan do ligado estático. O crecemento do ecosistema de Go e Rust fai que os paquetes baseados neses ecosistemas terán unha asistencia técnica de seguridade limitada ata que a infraestrutura mellore o suficiente como para xestionalos sen problemas.
As actualizacións das bibliotecas de desenvolvemento de Go, se se precisaren, só poderían vir nas versións regulares principais.
5.3. Obsolescencia e deprecación
5.3.1. Paquetes obsoletos importantes
Esta é unha lista dos paquetes obsoletos que se consideran importantes (véxase Paquetes obsoletos para a definición).
A lista de paquetes obsoletos inclúe:
To be added, as below:
O paquete libnss-ldap foi eliminado de trixie. As súas funcionalidades atoparanse nos paquetes libnss-ldapd e libnss-sss.
5.3.2. Compoñentes deprecados para trixie
Na seguinte versión de Debian 14 (alcumada forky) quitáronse algunhas características. Os usuarios terán que migrar a outras alternativas para evitar problemas ao actualizaren a Debian 14.
Isto inclúe as seguintes características:
To be added, as below:
O desenvolvemento do servizo NSS
gw_namerematou en 2015. Por mor diso pode que o paquete asociado, libnss-gw-name, sexa eliminado nunha versión de Debian futura. Os desenvolvedores orixinais suxiren como alternativa libnss-myhostname.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPIin your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Fallos graves coñecidos
Que Debian saque as novas versións cando estean listas non significa que non teña fallos coñecidos. Parte do proceso de edición consiste en que o Equipo de Edición (ou equipo «Release») seguir os fallos de gravidade seria («serious») ou superior. Pódese atopar no Sistema de Seguimento de Fallos de Debian un resumo dos fallos que foran clasificados para ser ignorados no remate do lanzamento de trixie. Os seguintes fallos suficientemente notables afectaban a trixie no momento de sacar esa versión:
Nº do fallo |
Paquete (fonte ou binario) |
Descrición |
|---|---|---|
akonadi-backend-mysql |
o servidor akonadi non se inicia por que non se pode conectar á base de datos mysql |
|
faketime |
faketime non falsifica a data (en i386) |
|
src:fuse3 |
provide upgrade path fuse -> fuse3 for bookworm |
|
g++-12 |
tree-vectorize: Código incorrecto no nivel O2 (-fno-tree-vectorize funciona) |
|
git-daemon-run |
non se puido purgar: deluser -f: Opción descoñecida: f |
|
git-daemon-run |
falla con "alerta: git-daemon: non se puido abrir "supervise/ok": o ficheiro non existe" |
|
src:gluegen2 |
inclúe as cabeceiras non libres |