5. Problemi di cui essere al corrente per trixie

A volte i cambiamenti introdotti da un nuovo rilascio comportano effetti collaterali che non si possono ragionevolmente evitare o che espongono errori da altre parti. In questa sezione sono documentati i problemi noti. Si leggano anche le errata corrige, la documentazione dei pacchetti interessati, le segnalazioni di errori e altre informazioni riportate in Ulteriori letture.

5.1. Aspetti specifici dell'aggiornamento a trixie

Questa sezione tratta le voci relative all'aggiornamento da bookworm a trixie.

5.1.1. openssh-server non legge più ~/.pam_environment

Il demone Secure Shell (SSH) fornito nel pacchetto openssh-server, che permette il login da sistemi remoti, non legge più in modo predefinito il file ~/.pam_environment degli utenti; questa funzionalità ha problemi storici di sicurezza ed è stata deprecata nelle attuali versioni della libreria Pluggable Authentication Modules (PAM) library. Se si usava questa funzionalità, si dovrebbe passare dall'impostare le variabili in ~/.pam_environment all'impostarle invece nei propri file di inizializzazione della shell (es. ~/.bash_profile o ~/.bashrc) o qualche altro meccanismo simile.

La cosa non ha effetto sulle connessioni SSH esistenti, ma le nuove connessioni possono comportarsi in modo diverso dopo l'aggiornamento. Se si sta facendo l'aggiornamento da remoto, è normalmente una buona idea assicurarsi di avere un qualche altro modo per fare il login nel sistema prima di avviare l'aggiornamento; vedere Preparazione per il ripristino.

5.1.2. OpenSSH non supporta più le chiavi DSA

Le chiavi Digital Signature Algorithm (DSA), come specificate nel protocollo Secure Shell (SSH), sono intrinsecamente deboli: sono limitate a chiavi private a 160 bit e a SHA-1 digest. L'implementazione di SSH fornita dai pacchetti openssh-client e openssh-server ha il supporto per le chiavi DSA disabilitato a partire da OpenSSH 7.0p1 nel 2015, rilasciato con Debian 9 ("stretch"), sebbene potesse ancora essere abilitato usando le opzioni di configurazione HostKeyAlgorithms e PubkeyAcceptedAlgorithms, rispettivamente per le chiavi dell'host e dell'utente.

A questo punto l'unico uso restante di DSA dovrebbe essere quello di connettersi a un qualche dispositivo molto vecchio. Per tutti gli altri usi, gli altri tipi di chiave supportati da OpenSSH (RSA, ECDSA e Ed25519) sono migliori.

A partire da OpenSSH 9.8p1 in trixie, le chiavi DSA non sono più supportate neanche con le opzioni di configurazione descritte sopra. Se si ha un dispositivo a cui ci si può connettere solo usando DSA, allora per farlo si può usare il comando ssh1 fornito dal pacchetto openssh-client-ssh1.

Nella remota eventualità che si stia ancora usando chiavi DSA per connettersi ad un server Debian (se non si è sicuri si può controllare aggiungendo l'opzione -v alla riga di comando di ssh utilizzata per connettersi a quel server e cercare la riga "Server accepts key:"), si devono generare chiavi sostitutive prima di fare l'aggiornamento. Per esempio, per generare una nuova chiave Ed25519 e abilitare il login ad un server usando quella, eseguire quanto segue nel client, sostituendo ad username@server i nomi appropriati per utente e host:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Cose da fare dopo l'aggiornamento prima di riavviare

Quando apt full-upgrade ha terminato, l'aggiornamento è "formalmente" completo. Per l'aggiornamento a trixie non ci sono azioni speciali necessarie prima di effettuare un riavvio.

5.2.1. Cosa non limitate al processo di aggiornamento

5.2.2. Limitazione nel supporto per la sicurezza

Ci sono alcuni pacchetti per i quali Debian non può garantire di fornire i backport minimi per ragioni di sicurezza. Questi verranno trattati nelle sottosezioni che seguono.

Nota

Il pacchetto debian-security-support aiuta a tenere traccia dello stato del supporto di sicurezza per i pacchetti installati.

5.2.2.1. Stato della sicurezza dei browser web e dei loro motori di rendering

Debian 13 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser e motori tramite il backport delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende estremamente difficile aggiornare a una nuova versione a monte. Le applicazioni che usano il pacchetto sorgente webkit2gtk (es. epiphany) sono coperte dal supporto di sicurezza, ma le applicazioni che usano qtwebkit (pacchetto sorgente qtwebkit-opensource-src) non lo sono.

Per un browser web di uso generico vengono raccomandati Firefox o Chromium. Verranno mantenuti aggiornati ricompilando gli attuali rilasci ESR per stable. La stessa strategia verrà seguita per Thunderbird.

Una volta che un rilascio diventa oldstable, i browser ufficialmente supportati possono non continuare a ricevere aggiornamenti per il periodo di copertura ufficiale. Per esempio, Chromium riceverà solo 6 mesi di supporto di sicurezza in oldstable invece dei tipici 12 mesi.

5.2.2.2. Pacchetti basati su Go e Rust

L'infrastruttura Debian attualmente ha problemi con la ricompilazione di pacchetti del tipo che usa sistematicamente link statici. Con la crescita degli ecosistemi Go e Rust ciò significa che questi pacchetti saranno coperti da un supporto di sicurezza limitato, fino a che l'infrastruttura non sarà migliorata per poter lavorare con essi in modo mantenibile.

Nella maggior parte dei casi, se sono necessari aggiornamenti alle librerie di sviluppo di Go e Rust, questi verranno rilasciati solamente attraverso i regolari rilasci minori.

5.2.3. Gli interpreti Python sono contrassegnati come gestiti esternamente

I pacchetti per gli interpreti python3 forniti da Debian (python3.11 e pypy3) sono ora contrassegnati come gestiti esternamente, seguendo PEP-668. La versione di <systemitem role="package">python3-pip</systemitem> fornita in Debian segue questo fatto e si rifiuta di installare manualmente pacchetti sugli interpreti Python di Debian a meno che non venga specificata l'opzione --break-system-packages.

Se si ha necessità di installare un'applicazione (o una versione) Python che non è pacchettizzata in Debian, è raccomandata l'installazione con pipx (nel pacchetto Debian pipx). pipx imposterà un ambiente isolato dalle altre applicazioni e moduli Python di sistema e vi installerà l'applicazione e le sue dipendenze.

Se si ha la necessità di installare un modulo di libreria (o una versione) Python che non è pacchettizzata in Debian, è raccomandata l'installazione in un ambiente virtuale, quando possibile. Si possono creare ambienti virtuali con il modulo stdlib Python venv (nel pacchetto Debian python3-venv) o lo strumento Python di terze parti virtualenv (nel pacchetto Debian virtualenv). Per esempio, invece di eseguire pip install --user pippo, eseguire: `` mkdir -p ~/.venvs && python3 -m venv ~/.venvs/pippo && ~/.venvs/pippo/bin/python -m pip install pippo`` per installarlo in un ambiente virtuale dedicato.

Per maggiori dettagli vedere /usr/share/doc/python3.11/README.venv.

5.2.4. Supporto limitato per codifica/decodifica video con accelerazione hardware in VLC

Il riproduttore di video VLC gestisce la codifica e decodifica di video con accelerazione hardware attraverso VA-API e VDPAU. Tuttavia il supporto di VLC per VA-API è strettamente correlato alla versione di FFmpeg. Dato che FFmpeg è stato aggiornato al ramo 5.x, il supporto per VA-API di VLC è stato disabilitato. Gli utenti con GPU con supporto nativo per VA-API (es. GPU Intel e AMD) possono riscontrare un elevato uso della CPU durante la riproduzione e la codifica di video.

Gli utenti di GPU che offrono un supporto nativo per VDPAU (es. NVIDIA con i driver non liberi) non sono affetti da questo problema.

Il supporto per VA-API e VDPAU può essere controllato con vainfo e vdpauinfo (ciascuno fornito in un pacchetto Debian con lo stesso nome).

5.2.5. systemd-resolved è stato separato in un pacchetto distinto

Il nuovo pacchetto systemd-resolved non viene installato automaticamente con l'aggiornamento. Se si usava il servizio di sistema systemd-resolved, installare manualmente il nuovo pacchetto dopo l'aggiornamento e notare che, fino a che non è stato installato, la risoluzione di DNS può non funzionare più, dato che il servizio non sarà presente nel sistema. Installare questo pacchetto darà automaticamente a systemd-resolved il controllo di /etc/resolv.conf. Per maggiori informazioni su systemd-resolved, consultare la documentazione ufficiale. Notare che systemd-resolved non era, e continua a non essere, il risolutore DNS predefinito in Debian. Se non si è configurata la propria macchina per usare systemd-resolved come risolutore per DNS, non è necessaria alcuna azione.

5.2.6. systemd-boot è stato separato in un pacchetto distinto

Il nuovo pacchetto systemd-boot non viene installato automaticamente con l'aggiornamento. Se si usava systemd-boot, installare questo nuovo pacchetto manualmente e notare che, fino a che non è stato fatto, la vecchia versione di systemd-boot verrà usata come bootloader. L'installazione di questo pacchetto configura automaticamente systemd-boot come bootloader per la macchina. Il bootloader predefinito in Debian continua ad essere GRUB. Se non si è ancora configurata la macchina per usare systemd-boot come bootloader, non è richiesta alcuna azione.

5.2.7. systemd-journal-remote no usa più GnuTLS

I servizi opzionali systemd-journal-gatewayd e systemd-journal-remote sono ora compilati senza il supporto per GnuTLS, il che significa che l'opzione --trust non è più fornita da nessuno dei due programmi, e verrà generato un errore se viene specificata.

5.2.8. Grandi modifiche in adduser per bookworm

Ci sono state diverse modifiche in adduser. La modifica più evidente è che --disabled-password e --disabled-login sono ora funzionalmente identiche. Per ulteriori dettagli leggere /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Assegnazione di nomi prevedibili per le interfacce di rete Xen

La logica di assegnazione di nomi prevedibili in systemd per le interfacce di rete è stata estesa per generare nomi stabili dalle informazioni sui dispositivi netfront di Xen. Ciò significa che, invece del sistema precedente di nomi assegnati dal kernel, le interfacce hanno ora nomi stabili nella forma enX#. Adattare il proprio sistema prima di riavviare dopo l'aggiornamento. Alcune informazioni in più possono essere trovate nella pagina NetworkInterfaceNames del wiki.

5.2.10. Modifiche nella gestione di dash dell'accento circonflesso

dash, che fornisce in modo predefinito la shell di sistema /bin/sh in Debian, è passata a trattare l'accento circonflesso (^) come carattere letterale, che è sempre stato il comportamento conforme a POSIX previsto. Ciò significa che in bookworm [^0-9] non significa più "non da 0 a 9" ma "da 0 a 9 e ^".

5.2.11. netcat-openbsd supporta socket astratti

L'utilità netcat per leggere e scrivere dati attraverso connessioni di rete supporta unix.7.html#Abstract_sockets e li usa in modo predefinito in alcune circostanze.

In modo predefinito netcat viene fornito da netcat-traditional. Tuttavia, se netcat è fornito dal pacchetto netcat-openbsd e si sta usando un socket AF_UNIX, allora ha effetto questo nuovo comportamento predefinito ha effetto. In questo caso l'opzione -U per nc interpreta ora un argomento che inizia con un @ come una richiesta di un socket astratto invece che come un nome di file che inizia con @ nella directory corrente. Questo può avere implicazioni di sicurezza poiché i permessi del file system non possono più essere utilizzati per controllare l'accesso ad un socket astratto. Si può continuare ad usare un nome di file che inizia con @ facendo precedere il nome da ./ o specificando un percorso assoluto.

5.3. Obsolescenze e deprecazioni

5.3.1. Pacchetti obsoleti degni di nota

Quello che segue è un elenco di pacchetti obsoleti noti e degni di nota (vedere Pacchetti obsoleti per una descrizione).

L'elenco dei pacchetti obsoleti comprende:

  • Il pacchetto libnss-ldap è stato rimosso da trixie. Le sue funzionalità sono ora coperte da libnss-ldapd e libnss-sss.

  • Il pacchetto libpam-ldap è stato rimosso da trixie. Il suo sostituto è libpam-ldapd.

  • Il pacchetto fdflush è stato rimosso da trixie. Al suo posto usare blockdev --flushbufs da util-linux.

  • Il pacchetto libgdal-perl è stato rimosso da trixie, perché il collegamento Perl per GDAL non è più supportato a monte. Se si ha necessità del supporto Perl per GDAL, si può migrare all'interfaccia FFI fornita dal pacchetto Geo::GDAL::FFI disponibile su CPAN. Si dovranno compilare binari propri, come documentato nella pagina BookwormGdalPerl del Wiki.

5.3.2. Componenti deprecati per trixie

Con il prossimo rilascio di Debian 14 (nome in codice forky) alcune funzionalità diventeranno deprecate. Gli utenti dovranno migrare ad altre alternative per evitare problemi nell'aggiornamento a Debian 14.

Ciò include le seguenti funzionalità:

  • Lo sviluppo del servizio gw_name è terminato nel 2015. Il pacchetto associato libnss-gw-name potrebbe essere rimosso nei rilasci Debian futuri. Lo sviluppatore originale a monte suggerisce di usare invece libnss-myhostname.

  • dmraid non ha ricevuto alcun lavoro dagli autori originali sin dalla fine del 2010 ed è stato mantenuto in vita in Debian. bookworm sarà l'ultimo rilascio a fornirlo, perciò pianificare di conseguenza per il futuro, se si usa dmraid.

  • request-tracker4 è stato sorpassato da request-tracker5 in questo rilascio e verrà rimosso dai rilasci futuri. È raccomandato pianificare la migrazione da request-tracker4 a request-tracker5 durante il tempo di vita di questo rilascio.

  • La suite isc-dhcp è stata deprecata da ISC. Il Wiki Debian ha una lista di implementazioni alternative, vedere le pagine DHCP Client e DHCP Server per esse. Se si sta usando NetworkManager o systemd-networkd, si può rimuovereil pacchetto isc-dhcp-client senza problemi, dato che entrambi forniscono la propria implementazione. Se si sta usando il pacchetto ifupdown, si può sperimentare con udhcpc come rimpiazzo. ISC raccomanda il pacchetto Kea come rimpiazzo per i server DHCP.

    Il Team della sicurezza supporterà il pacchetto isc-dhcp durante il ciclo di vita di bookworm, ma il pacchetto diventerà probabilmente non supportato nel prossimo rilascio stabile, vedere bug n.1035972 (isc-dhcp EOL'ed) per maggiori dettagli.

5.4. Bug importanti conosciuti

Sebbene Debian venga rilasciata quando è pronta, ciò sfortunatamente non significa che non vi siano bug noti. Come parte del processo di rilascio tutti i bug di gravità seria o superiore sono tracciati attivamente dal Team di Rilascio, perciò una panoramica di tali bug che sono stati etichettati come da ignorare nell'ultima parte del rilascio di trixie può essere trovata nel Sistema di tracciamento dei bug di (BTS). Al momento del rilascio, trixie era affetta dai seguenti bug degni di nota:

Numero di bug

Pacchetto (sorgente o binario)

Descrizione

1032240

akonadi-backend-mysql

L'avvio del server di akonadi fallisce dato che non può connettersi al database mysql

1032177

faketime

faketime non falsifica il tempo (su i386)

918984

src:fuse3

fornire percorso di aggiornamento fuse -> fuse3 per bookworm

1016903

g++-12

tree-vectorize: codice sbagliato a livello O2 (-fno-tree-vectorize funziona)

1020284

git-daemon-run

fallisce il purge: deluser -f: Unknown option: f

919296

git-daemon-run

fallisce con messaggio "warning: git-daemon: unable to open supervise/ok: file does not exist"

1034752

src:gluegen2

incorpora header non liberi