5. Problemi di cui essere al corrente per trixie

A volte i cambiamenti introdotti da un nuovo rilascio comportano effetti collaterali che non si possono ragionevolmente evitare o che espongono errori da altre parti. In questa sezione sono documentati i problemi noti. Si leggano anche le errata corrige, la documentazione dei pacchetti interessati, le segnalazioni di errori e altre informazioni riportate in Ulteriori letture.

5.1. Aspetti specifici dell'aggiornamento a trixie

Questa sezione tratta le voci relative all'aggiornamento da bookworm a trixie.

5.1.1. Reduced support for i386

A partire da trixie, i386 non è più supportata come architettura regolare; non c'è alcun kernel ufficiale o installatore Debian per i sistemi i386. Meno pacchetti sono disponibili per i386 perché molti progetti non la supportano più. L'unico scopo restante dell'architettura è quello di supportare l'esecuzione di codice obsoleto, per esempio utilizzando il multiarch o una chroot.

Gli utenti che eseguono sistemi i386 non dovrebbero aggiornare a trixie. Debian raccomanda invece di reinstallarli come amd64, dove possibile, o di mettere in disuso l'hardware. Il Cross-grading senza una reinstallazione è un'alternativa tecnicamente possibile, ma rischiosa.

5.1.2. openssh-server non legge più ~/.pam_environment

Il demone Secure Shell (SSH) fornito nel pacchetto openssh-server, che permette il login da sistemi remoti, non legge più in modo predefinito il file ~/.pam_environment degli utenti; questa funzionalità ha problemi storici di sicurezza ed è stata deprecata nelle attuali versioni della libreria Pluggable Authentication Modules (PAM) library. Se si usava questa funzionalità, si dovrebbe passare dall'impostare le variabili in ~/.pam_environment all'impostarle invece nei propri file di inizializzazione della shell (es. ~/.bash_profile o ~/.bashrc) o qualche altro meccanismo simile.

La cosa non ha effetto sulle connessioni SSH esistenti, ma le nuove connessioni possono comportarsi in modo diverso dopo l'aggiornamento. Se si sta facendo l'aggiornamento da remoto, è normalmente una buona idea assicurarsi di avere un qualche altro modo per fare il login nel sistema prima di avviare l'aggiornamento; vedere Preparazione per il ripristino.

5.1.3. OpenSSH non supporta più le chiavi DSA

Le chiavi Digital Signature Algorithm (DSA), come specificate nel protocollo Secure Shell (SSH), sono intrinsecamente deboli: sono limitate a chiavi private a 160 bit e a SHA-1 digest. L'implementazione di SSH fornita dai pacchetti openssh-client e openssh-server ha il supporto per le chiavi DSA disabilitato a partire da OpenSSH 7.0p1 nel 2015, rilasciato con Debian 9 ("stretch"), sebbene potesse ancora essere abilitato usando le opzioni di configurazione HostKeyAlgorithms e PubkeyAcceptedAlgorithms, rispettivamente per le chiavi dell'host e dell'utente.

A questo punto l'unico uso restante di DSA dovrebbe essere quello di connettersi a un qualche dispositivo molto vecchio. Per tutti gli altri usi, gli altri tipi di chiave supportati da OpenSSH (RSA, ECDSA e Ed25519) sono migliori.

A partire da OpenSSH 9.8p1 in trixie, le chiavi DSA non sono più supportate neanche con le opzioni di configurazione descritte sopra. Se si ha un dispositivo a cui ci si può connettere solo usando DSA, allora per farlo si può usare il comando ssh1 fornito dal pacchetto openssh-client-ssh1.

Nella remota eventualità che si stia ancora usando chiavi DSA per connettersi ad un server Debian (se non si è sicuri si può controllare aggiungendo l'opzione -v alla riga di comando di ssh utilizzata per connettersi a quel server e cercare la riga "Server accepts key:"), si devono generare chiavi sostitutive prima di fare l'aggiornamento. Per esempio, per generare una nuova chiave Ed25519 e abilitare il login ad un server usando quella, eseguire quanto segue nel client, sostituendo ad username@server i nomi appropriati per utente e host:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.1.4. The last, lastb and lastlog commands have been replaced

The util-linux package no longer provides the last or lastb commands, and the login package no longer provides lastlog. These commands provided information about previous login attempts using /var/log/wtmp, /var/log/btmp, /var/run/utmp and /var/log/lastlog, but these files will not be usable after 2038 because they do not allocate enough space to store the login time (the Year 2038 Problem), and the upstream developers do not want to change the file formats. Most users will not need to replace these commands with anything, but the util-linux package provides a lslogins command which can tell you when accounts were last used.

There are two direct replacements available: last can be replaced by wtmpdb from the wtmpdb package (the libpam-wtmpdb package also needs to be installed) and lastlog can be replaced by lastlog2 from the lastlog2 package (libpam-lastlog2 also needs to be installed). If you want to use these, you will need to install the new packages after the upgrade, see the util-linux NEWS.Debian for further information. The command lslogins --failed provides similar information to lastb.

If you do not install wtmpdb then we recommend you remove old log files /var/log/wtmp*. If you do install wtmpdb it will upgrade /var/log/wtmp and you can read older wtmp files with wtmpdb import -f <dest>. There is no tool to read /var/log/lastlog* or /var/log/btmp* files: they can be deleted after the upgrade.

5.1.5. RabbitMQ non supporta più le code HA

A partire da trixie le code High-availability (HA) non sono più supportate da rabbitmq-server. Per continuare ad usare una configurazione HA, queste code devono essere convertite in "code quorum".

Se si ha una installazione OpenStack, cambiare le code a quorum prima dell'aggiornamento. Notare anche che a partire dal rilascio "Caracal" di OpenStack in trixie, OpenStack supporta solo code quorum.

5.1.6. RabbitMQ non può essere aggiornato direttamente da bookworm

Non esiste un percorso di aggiornamento facile e diretto per RabbitMQ da bookworm a trixie. I dettagli relativi a questo problema possono essere trovati nel bug 1100165.

Il percorso di aggiornamento raccomandato è quello di eliminare completamente il database di rabbitmq database e riavviare il servizio (dopo l'aggiornamento a trixie). Ciò può essere fatto eliminando /var/lib/rabbitmq/mnesia e tutto il suo contenuto.

5.1.7. MariaDB major version upgrades only work reliably after a clean shutdown

MariaDB does not support error recovery across major versions. For example if a MariaDB 10.11 server experienced an abrupt shutdown due to power loss or software defect, the database needs to be restarted with the same MariaDB 10.11 binaries so it can do successful error recovery and reconcile the data files and log files to roll-forward or revert transactions that got interrupted.

If you attempt to do crash recovery with MariaDB 11.8 using the data directory from a crashed MariaDB 10.11 instance, the newer MariaDB server will refuse to start.

To ensure a MariaDB Server is shut down cleanly before going into major version upgrade, stop the service with

# service mariadb stop

followed by checking server logs for Shutdown complete to confirm that flushing all data and buffers to disk completed successfully.

If it didn't shut down cleanly, restart it to trigger crash recovery, wait, stop again and verify that second stop was clean.

For additional information about how to make backups and other relevant information for system administrators, please see /usr/share/doc/mariadb-server/README.Debian.gz.

5.1.8. Ping non viene più eseguito con privilegi elevati

The default version of ping (provided by iputils-ping) is no longer installed with access to the CAP_NET_RAW linux capability, but instead uses ICMP_PROTO datagram sockets for network communication. Access to these sockets is controlled based on the user's Unix group membership using the net.ipv4.ping_group_range sysctl. In normal installations, the linux-sysctl-defaults package will set this value to a broadly permissive value, allowing unprivileged users to use ping as expected, but some upgrade scenarios may not automatically install this package. See /usr/lib/sysctl.d/50-default.conf and the kernel documentation for more information on the semantics of this variable.

5.1.9. Significant changes to libvirt packaging

The libvirt-daemon package, which provides an API and toolkit for managing virtualization platforms, has been overhauled in trixie. Each driver and storage backend now comes in a separate binary package, which enables much greater flexibility.

Care is taken during upgrades from bookworm to retain the existing set of components, but in some cases functionality might end up being temporarily lost. We recommend that you carefully review the list of installed binary packages after upgrading to ensure that all the expected ones are present; this is also a great time to consider uninstalling unwanted components.

In addition, some conffiles might end up marked as "obsolete" after the upgrade. The /usr/share/doc/libvirt-common/NEWS.Debian.gz file contains additional information on how to verify whether your system is affected by this issue and how to address it.

5.1.10. Cose da fare dopo l'aggiornamento prima di riavviare

Quando apt full-upgrade ha terminato, l'aggiornamento è "formalmente" completo. Per l'aggiornamento a trixie non ci sono azioni speciali necessarie prima di effettuare un riavvio.

5.2. Cosa non limitate al processo di aggiornamento

5.2.1. Limitazione nel supporto per la sicurezza

Ci sono alcuni pacchetti per i quali Debian non può garantire di fornire i backport minimi per ragioni di sicurezza. Questi verranno trattati nelle sottosezioni che seguono.

Nota

Il pacchetto debian-security-support aiuta a tenere traccia dello stato del supporto di sicurezza per i pacchetti installati.

5.2.1.1. Stato della sicurezza dei browser web e dei loro motori di rendering

Debian 13 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser e motori tramite il backport delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende estremamente difficile aggiornare a una nuova versione a monte. Le applicazioni che usano il pacchetto sorgente webkit2gtk (es. epiphany) sono coperte dal supporto di sicurezza, ma le applicazioni che usano qtwebkit (pacchetto sorgente qtwebkit-opensource-src) non lo sono.

Per un browser web di uso generico vengono raccomandati Firefox o Chromium. Verranno mantenuti aggiornati ricompilando gli attuali rilasci ESR per stable. La stessa strategia verrà seguita per Thunderbird.

Una volta che un rilascio diventa oldstable, i browser ufficialmente supportati possono non continuare a ricevere aggiornamenti per il periodo di copertura ufficiale. Per esempio, Chromium riceverà solo 6 mesi di supporto di sicurezza in oldstable invece dei tipici 12 mesi.

5.2.1.2. Pacchetti basati su Go e Rust

L'infrastruttura Debian attualmente ha problemi con la ricompilazione di pacchetti del tipo che usa sistematicamente link statici. Con la crescita degli ecosistemi Go e Rust ciò significa che questi pacchetti saranno coperti da un supporto di sicurezza limitato, fino a che l'infrastruttura non sarà migliorata per poter lavorare con essi in modo mantenibile.

Nella maggior parte dei casi, se sono necessari aggiornamenti alle librerie di sviluppo di Go e Rust, questi verranno rilasciati solamente attraverso i regolari rilasci minori.

5.3. Obsolescenze e deprecazioni

5.3.1. Pacchetti obsoleti degni di nota

Quello che segue è un elenco di pacchetti obsoleti noti e degni di nota (vedere Pacchetti obsoleti per una descrizione).

L'elenco dei pacchetti obsoleti comprende:

  • Il pacchetto libnss-gw-name è stato rimosso da trixie. Lo sviluppatore originale a monte suggerisce di usare invece libnss-myhostname.

  • Il pacchetto pcregrep è stato rimosso da trixie. Può essere sostituito con grep -P (--perl-regexp) o pcre2grep (da pcre2-utils).

5.3.2. Componenti deprecati per trixie

Con il prossimo rilascio di Debian 14 (nome in codice forky) alcune funzionalità diventeranno deprecate. Gli utenti dovranno migrare ad altre alternative per evitare problemi nell'aggiornamento a Debian 14.

Ciò include le seguenti funzionalità:

  • The sudo-ldap package will be removed in forky. The Debian sudo team has decided to discontinue it due to maintenance difficulties and limited use. New and existing systems should use libsss-sudo instead.

    Upgrading Debian trixie to forky without completing this migration may result in the loss of intended privilege escalation.

    For further details, please refer to bug 1033728 and to the NEWS file in the sudo package.

  • The sudo_logsrvd feature, used for sudo input/output logging, may be removed in Debian forky unless a maintainer steps forward. This component is of limited use within the Debian context, and maintaining it adds unnecessary complexity to the basic sudo package.

    For ongoing discussions, see bug 1101451 and the NEWS file in the sudo package.

  • Il pacchetto libnss-docker non è più sviluppato a monte e richiede la versione 1.21 dell'API Docker. Quella versione deprecata dell'API è ancora supportata da Docker Engine v26 (fornito con Debian trixie), ma verrà rimossas in Docker Engine v27+ (fornito da Debian forky). A meno che lo sviluppo a monte non riprenda attività, il pacchetto verrà rimosso in Debian forky.

  • I pacchetti openssh-client e openssh-server attualmente supportano l'autenticazione e lo scambio di chiavi GSS-API, che sono solitamente utilizzati per l'autenticazione su servizi Kerberos . Ciò ha causato alcuni problemi, specialmente sul lato server dove aggiunge nuove superfici per attacchi di pre-autenticazione e i pacchetti principali per OpenSSH in Debian smetteranno perciò di supportarlo a partire da forky.

    Se si sta usando l'autenticazione o lo scambio di chiavi GSS-API (cercare opzioni che iniziano con GSSAPI nei propri file di configurazione di OpenSSH) allora si dovrebbe installare subito il pacchetto openssh-client-gssapi (nei client) o openssh-server-gssapi (nei server). In trixie, questi sono pacchetti vuoti che dipendono da openssh-client e openssh-server rispettivamente; in forky, saranno creati separatamente.

  • sbuild-debian-developer-setup è stato reso deprecato in favore di sbuild+unshare

    sbuild, lo strumento per compilare i pacchetti Debian in un ambiente minimale, ha ricevuto un aggiornamento importante e dovrebbe ora funzionare non appena installato. Per questo il pacchetto sbuild-debian-developer-setup non è più necessario ed è stato reso deprecato. Si può provare la nuova versione con:

    $ sbuild --chroot-mode=unshare --dist=unstable hello

  • The fcitx packages have been deprecated in favor of fcitx5

    The fcitx input method framework, also known as fcitx4 or fcitx 4.x, is no longer maintained upstream. As a result, all related input method packages are now deprecated. The package fcitx and packages with names beginning with fcitx- will be removed in Debian forky.

    Existing fcitx users are encouraged to switch to fcitx5 following the fcitx upstream migration guide and Debian Wiki page.

5.4. Bug importanti conosciuti

Sebbene Debian venga rilasciata quando è pronta, ciò sfortunatamente non significa che non vi siano bug noti. Come parte del processo di rilascio tutti i bug di gravità seria o superiore sono tracciati attivamente dal Team di Rilascio, perciò una panoramica di tali bug che sono stati etichettati come da ignorare nell'ultima parte del rilascio di trixie può essere trovata nel Sistema di tracciamento dei bug di (BTS). Al momento del rilascio, trixie era affetta dai seguenti bug degni di nota:

Numero di bug

Pacchetto (sorgente o binario)

Descrizione

1032240

akonadi-backend-mysql

L'avvio del server di akonadi fallisce dato che non può connettersi al database mysql

1032177

faketime

faketime non falsifica il tempo (su i386)

918984

src:fuse3

fornire percorso di aggiornamento fuse -> fuse3 per bookworm

1016903

g++-12

tree-vectorize: codice sbagliato a livello O2 (-fno-tree-vectorize funziona)

1034752

src:gluegen2

incorpora header non liberi