5. Problemas a estar atento em trixie

Por vezes, as alterações introduzidas num novo lançamento têm efeitos secundários que não podemos evitar razoavelmente, ou irão pôr a descoberto bugs noutro lado. Esta secção documenta os problemas que conhecemos. Por favor leia a errata, a documentação dos pacotes relevantes, relatórios de bugs e outra informação mencionada na Leitura adicional.

5.1. Itens específicos de actualizações para trixie

Esta secção cobre itens relacionados com a actualização de bookworm para trixie.

5.1.1. openssh-server no longer reads ~/.pam_environment

The Secure Shell (SSH) daemon provided in the openssh-server package, which allows logins from remote systems, no longer reads the user's ~/.pam_environment file by default; this feature has a history of security problems and has been deprecated in current versions of the Pluggable Authentication Modules (PAM) library. If you used this feature, you should switch from setting variables in ~/.pam_environment to setting them in your shell initialization files (e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism instead.

Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Preparar para recuperação.

5.1.2. OpenSSH no longer supports DSA keys

Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell (SSH) protocol, are inherently weak: they are limited to 160-bit private keys and the SHA-1 digest. The SSH implementation provided by the openssh-client and openssh-server packages has disabled support for DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9 ("stretch"), although it could still be enabled using the HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options for host and user keys respectively.

The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.

As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with the above configuration options. If you have a device that you can only connect to using DSA, then you can use the ssh1 command provided by the openssh-client-ssh1 package to do so.

In the unlikely event that you are still using DSA keys to connect to a Debian server (if you are unsure, you can check by adding the -v option to the ssh command line you use to connect to that server and looking for the "Server accepts key:" line), then you must generate replacement keys before upgrading. For example, to generate a new Ed25519 key and enable logins to a server using it, run this on the client, replacing username@server with the appropriate user and host names:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Coisas a fazer após a actualização e antes de reiniciar

Quando apt full-upgrade tiver terminado, a actualização "formal" estará completa. Para o upgrade para trixie não é necessário tomar ações especiais antes de reiniciar.

5.2.1. Itens não limitados ao processo de atualização

5.2.2. Limitações no suporte de segurança

Existem alguns pacotes onde Debian não pode prometer disponibilizar backports mínimos para problemas de segurança. Estes estão cobertos nas seguintes subsecções.

Nota

O pacote debian-security-support ajuda a seguir o estado do suporte de segurança dos pacotes instalados.

5.2.2.1. Estado da segurança dos navegadores web e seus rendering engines

Debian 13 inclui vários motores de navegador da internet que são afectados por um fluxo regular de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a falta parcial de suporte dos autores sob a forma de branches de longo termo torna muito difícil suportar estes navegadores e motores com backports de correções de segurança. Além disso, as interdependências entre bibliotecas tornam extremamente difícil actualizar para novos lançamentos de originais mais recentes. As aplicações que utilizam o pacote fonte webkit2gtk (e.g. epiphany estão cobertos por suporte de segurança, mas as aplicações que utilizam qtwebkit (pacotes fonte qtwebkit-opensource-src não estão.

Como navegador da web recomendamos Firefox ou Chromium. Estes irão manter-se atualizados ao recompilar os atuais lançamentos ESR para a stable. A mesma estratégia pode ser aplicada para o Thunderbird.

Assim que um lançamento se tornar oldstable, os browsers suportados oficialmente poderão não continuar a receber atualizações para o período standard de cobertura. Por exemplo, o Chromium apenas irá receber suporte de segurança por 6 meses em oldstable em vez dos típicos 12 meses.

5.2.2.2. Pacotes baseados em Go e em Rust

A infraestrutura Debian atualmente tem problemas com a recompilação de pacotes de tipos que utilizem sistematicamente static linking. Com o crescimento dos ecosistemas Go e Rust isto significa que estes pacotes serão cobertos por um suporte de segurança limitado até a infraestrutura ser melhorada para lidar com eles de forma sustentável.

Na maioria dos casos se forem garantidas as atualizações às bibliotecas de desenvolvimento de Go ou de Rust, estas apenas poderão vir através dos lançamentos pontuais.

5.2.3. Interpretadores de Python maracados como geridos externamente

Os pacotes do interpretador Python disponibilizados por Debian (python3.11 e pypy3) são agora marcados como sendo geridos externamente, de acordo com PEP-668. A versão de python3-pip disponibilizada por Debian segue isto, e recusar-se-á a instalar manualmente pacotes dos interpretadores de python em Debian, a menos que seja especificada a opção --break-system-packages.

Se necessitar instalar uma aplicação (ou versão) de Python que não esteja empacotada em Debian, recomendamos que a instale com pipx (no pacote Debian pipx). pipx irá criar um ambiente isolado das outras aplicações e módulos Python do sistema e instalar lá a aplicação e as suas dependências.

Se necessitar instalar um módulo de biblioteca de Python (ou versão) que não esteja empacotada em Debian, recomendamos que seja instalado num virtualenv, onde for possível. Pode criar virtualenvs com o módulo venv stdlib de Python (no pacote python3-venv) ou a ferramenta Python de terceiros virtualenv (no pacote virtualenv de Debian). Por exemplo, em vez de correr pip install --user foo, corra: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo para o instalar num virtualenv dedicado.

Para mais detalhes veja /usr/share/doc/python3.11/README.venv.

5.2.4. Suporte limitado de des/codificação de vídeo acelerada por hardware no VLC

O reprodutor de vídeo VLC suporta descodificação de vídeo acelerada por hardware e codificação via VA-API e VDPAU. No entanto, o suporte para VA-API do VLC é relacionado com a versão de FFmpeg. Por o FFmpeg ter sido atualizado para o branch 5.x, o suporte a VA-API do VLC foi desabilitado. Os utilizadores de GPUs com suporte nativo de VA-API (e.g., GPUs Intel e AMD) podem experimentar uma utilização alta de CPU durante a reprodução de vídeo e codificação.

Os utilizadores de GPUs que oferecem suporte VDPAU (e.g. NVIDIA com controladores não-livres) não são afectados por este problema.

O suporte a VA-API e VDPAU pode ser verificado com vainfo e vdpauinfo (cada um disponibilizado num pacote com o mesmo nome).

5.2.5. systemd-resolved foi dividido para um pacote separado

O novo pacote systemd-resolved não irá ser instalado automaticamente na atualização. Se estava a utilizar o serviço de sistema systemd-resolved, por favor instale manualmente o pacote após a atualização, e note que até que seja instalado, a resolução de DNS poderá já não funcionar já que o serviço já não estará presente no sistema. Instalar este pacote irá dar automaticamente dar o controlo a systemd-resolved sobre /etc/resolv.cond. Para mais informação acerca de systemd-resolved, consulte a documentação oficial. Note que systemd-resolved não foi, e ainda não é, o resolvedor de DNS predefinido em Debian. Se não configurou a sua máquina para utilizar systemd-resolved como o resolvedor de DNS, não é necessária qualquer ação.

5.2.6. systemd-boot foi dividido para um pacote separado

O novo pacote systemd-boot não será instalado automaticamente nos upgrades. Se estava a utilizar o systemd-boot, por favor instale o pacote manualmente, e note que até o fazer, será utilizada a versão mais antiga de systemd-boot como carregador de arranque. Instalar este pacote irá configurar automaticamente o systemd-boot como o carregador de arranque da máquina. O carregador de arranque predefinido em Debian ainda é o GRUB. Se não configurou a máquina para utilizar systemd-boot como carregador de arranque, não é necessária qualquer ação.

5.2.7. systemd-journal-remote já não utiliza GnuTLS

Os serviços opcionais systemd-journal-gatewayd e systemd-journal-remote agora são compilados sem suporte para GnuTLS, que significa que a opção --trust já não é disponibilizada por qualquer dos programas, e será lançado um erro se for especificado.

5.2.8. Mudanças extensas em adduser para bookworm

Ocorreram várias alterações em adduser. A alteração mais proeminente é que --disabled-password e --disabled-login agora são funcionalmente idênticos. Para mais detalhes, por favor leia o /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Nome previsível para interfaces de rede Xen

O lógica de nomes previsíveis em systemd para interfaces de rede foi estendida para gerar nomes estáveis para de informação de dispositivo Xen netfront. Isto significa que em vez dos antigos nomes atribuidos pelo kernel, agora os interfaces têm nomes estáveis na forma enX#. Por favor adapte o seu sistema antes de reiniciar após a atualização. Pode ser encontrada mais alguma informação na página wiki NetworkInterfaceNames.

5.2.10. Alterações em como dash lida com circumflexo

dash, que por predefinição disponibiliza a shell de sistema /bin/sh em Debian, foi alterada para tratar o circunflexo (^) como um caracter literal, tal como sempre foi pretendido no comportamento compatível com POSIX. Isto significa que em bookworm [^0-9] já não significa "não 0 até 9" mas sim "0 a 9 e ^".

5.2.11. netcat-openbsd suporta abstract sockets

O utilitário netcat para ler e escrever dados em ligações de rede suporta unix.7.html#Abstract_sockets, e usa-as por predefinição em algumas circunstências.

Por predefinição, netcat é disponibilizado por netcat-traditional. No entanto, se netcat for disponibilizado pelo pacote netcat-openbsd e estiver a utilizar um socket AF_UNIX, então esta nova predefinição aplica-se. Neste caso a opção -U para nc irá agora interpretar um argumento que começe por um @ como pedindo um abstract socket em vez de um nome de ficheiro que começe por um @ no directório atual. Isto pode ter implicações de segurança porque as permissões dos sistemas de ficheiros já não podem ser utilizadas para controlar o acesso a um abstract socket. Pode continuar a utilizar um nome de ficheiro que começe por um @ colocando um prefixo no nome com ./ ou ao especificar um caminho absoluto.

5.3. Obsolescência e depreciação

5.3.1. Pacotes relevantes obsoletos

Os seguintes são uma lista de pacotes conhecidos e relevantes que são obsoletos (para uma descrição, veja a Pacotes obsoletos).

A lista de pacotes obsoletos inclui:

  • O pacote libnss-ldap foi removido de trixie. As suas funcionalidades são agora cobertas por libnss-ldapd e libnss-sss.

  • O pacote libpam-ldap foi removido de trixie. O seu sucessor é libpam-ldapd.

  • O pacote fdflush foi removido de trixie. Em seu lugar, por favor utilize blockdev --flushbufs de util-linux.

  • O pacote libgdal-perl foi removido de trixie devido ao Perl binding para GDAL já não ser suportado pelos autores originais. Se necessitar de suporte Perl para GDAL, pode migrar para o interface FFI disponibilizado pelo pacote Geo::GDAL::FFI, disponível em CPAN. Terá de compilar os seus próprios binários conforme está documentado na página Wiki BookwormGdalPerl.

5.3.2. Componentes depreciados para trixie

Com o próximo lançamento de Debian 14 (nome de código forky) serão depreciadas algumas funcionalidades. Os utilizadores irão necessitar de migrar para outras alternativas para prevenir problemas ao actualizar para 14.

Isto inclui as seguintes funcionalidades:

  • O desenvolvimento do serviço NSS gw_name parou em 2015. O pacote associado libnss-gw-name poderá ser removido em futuros lançamentos de Debian. O autor original sugere, em vez disso, utilizar libnss-myhostname.

  • dmraid não vê atividade dos autores originais desde 2010 e tem estado em suporte de vida em Debian. bookworm será o último lançamento a inclui-lo, por isso planeie de acordo caso ainda esteja a utilizar dmraid.

  • request-tracker4 foi substituido por request-tracker5 neste lançamento, e irá ser removido em futuros lançamentos. Nós recomendamos que planeie migrar de request-tracker4 para request-tracker5 durante este lançamento.

  • O conjunto isc-dhcp foi descontinuado pelo ISC. O Debian Wiki tem uma lista de implementações alternativas, para as últimas veja as páginas DHCP Client e DHCP Server. Se estiver a utilizar NetworkManager ou systemd-networkd, pode remover o pacote isc-dhcp-client em segurança já que ambos fornecem a mesma implementação. Se estiver a utilizar o pacote ifupdown, pode experimentar udhcpc como substituição. O ISC recomenda o pacote Kea como substituição para os servidores de DHCP.

    A equipa de segurança irá suportar o pacote isc-dhcp durante o tempo de vida de bookwork, mas provavelmente o pacote irá deixar de ter suporte no próximo lançamento estável, para mais detalhes veja bug #1025972 (isc.dhcp EOL).

5.4. Bugs graves conhecidos

Apesar de Debian lançar quando estiver pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento todos os bugs com severidade séria ou mais elevada são seguidos ativamente pela Release Team, por isso pode ser encontrada uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento trixie no Sistema de Acompanhamento de Bugs de Debian. Os seguintes bugs estavam a afectar trixie na altura do lançamento e é relevante serem mencionados neste documento.

Número do bug

Pacote (source ou binário)

Descrição

1032240

akonadi-backend-mysql

servidor akonado falha o arranque já que não consegue ligar a base de dados mysql

1032177

faketime

faketime não finge a hora (em i386)

918984

src:fuse3

provide upgrade path fuse -> fuse3 for bookworm

1016903

g++-12

tree-vectorize: Código errado no nível O2 (-fno-tree-vectorize está a funcionar)

1020284

git-daemon-run

falha purgar: deluser -f: opção desconhecida: f

919296

git-daemon-run

falha com 'warning: git-daemon: unable to open supervise/ok: file does not exist'

1034752

src:gluegen2

incorpora non-free headers