5. Kwesties waarvan u zich bewust moet zijn bij trixie

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Literatuurverwijzingen.

5.1. Opwaarderingsspecifieke zaken voor trixie

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van bookworm naar trixie.

5.1.1. Niet-vrije firmware verplaatst naar zijn eigen component in het archief

Zoals beschreven wordt in Archiefgebieden, worden niet-vrije firmwarepakketten nu geleverd vanuit een speciale archiefcomponent, genaamd non-free-firmware. Om ervoor te zorgen dat geïnstalleerde niet-vrije firmwarepakketten de juiste upgrades krijgen, zijn wijzigingen in de APT-configuratie nodig. Ervan uitgaande dat de non-free component alleen is toegevoegd aan de bronnenlijst van APT om firmware te installeren, zou de bijgewerkte vermelding in de bronnenlijst van APT er als volgt uit kunnen zien:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Als u door apt naar dit hoofdstuk bent verwezen, kunt u voorkomen dat het u continu op de hoogte stelt van deze wijziging door een apt.conf(5)-bestand aan te maken met de naam /etc/apt/apt.conf.d/no-bookworm-firmware.conf en met de volgende inhoud:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

5.1.2. Wijzigingen aan pakketten die de systeemklok instellen

Het pakket ntp, dat vroeger de standaardmanier was om de systeemklok in te stellen vanaf een NTP-server (Network Time Protocol), is vervangen door ntpsec.

De meeste gebruikers zullen geen specifieke actie moeten ondernemen om over te stappen van ntp naar ntpsec.

In bookworm zijn er ook verschillende andere pakketten die een soortgelijke dienst leveren. De Debian standaard is nu systemd-timesyncd, wat voldoende kan zijn voor gebruikers die alleen een ntp-client nodig hebben om hun klok in te stellen. Bookworm bevat ook chrony en openntpd die meer geavanceerde functies ondersteunen, zoals het laten functioneren van een eigen NTP-server.

5.1.3. Puppet configuratiebeheersysteem opgewaardeerd naar 7

Puppet is opgewaardeerd van 5 naar 7, waarbij de Puppet 6-serie helemaal wordt overgeslagen. Dit introduceert grote veranderingen in het Puppet-ecosysteem.

De klassieke op Ruby gebaseerde toepassing Puppet Master 5.5.x werd door de bovenstroomse ontwikkelaars verouderd verklaard en is niet langer beschikbaar in Debian. Ze wordt vervangen door Puppet Server 7.x, geleverd door het pakket puppetserver. Het pakket wordt automatisch geïnstalleerd als een vereiste van het overgangspakket puppet-master.

In sommige gevallen is Puppet Server een eenvoudige vervanging voor Puppet Master, maar u dient de configuratiebestanden te bekijken die beschikbaar zijn onder /etc/puppet/puppetserver om er zeker van te zijn dat de nieuwe standaardinstellingen geschikt zijn voor uw implementatie. Met name de vroegere indeling voor het bestand auth.conf is verouderd, zie de auth.conf-documentatie voor details.

De aanbevolen aanpak is om de server vóór de clients op te waarderen. De Puppet 7 Server is achterwaarts compatibel met oudere clients; een Puppet 5 Server kan nog steeds omgaan met opgewaardeerde clients (agents), maar kan geen nieuwe Puppet 7 agents registreren. Dus als u nieuwe Puppet 7 agents inzet voordat u de server hebt opgewaardeerd, kunt u ze niet aan de vloot toevoegen.

Het pakket puppet werd vervangen door het pakket puppet-agent en is nu een overgangspakket om een vlotte opwaardering te garanderen.

Tenslotte werd het pakket puppetdb verwijderd uit bullseye maar opnieuw geïntroduceerd in bookworm.

5.1.4. youtube-dl vervangen door yt-dlp

Het populaire hulpmiddel youtube-dl, dat video's van een grote verscheidenheid aan websites kan downloaden (inclusief, maar niet beperkt tot YouTube), is niet langer opgenomen in Debian. Het is vervangen door een leeg overgangspakket dat in de plaats ervan het pakket yt-dlp binnenhaalt. yt-dlp is een afsplitsing van youtube-dl waar momenteel nieuwe ontwikkeling plaatsvindt.

Er zijn geen compatibiliteitsomkaderingen voorzien, dus u zult uw scripts en persoonlijk gedrag moeten aanpassen om yt-dlp aan te roepen in plaats van youtube-dl. De functionaliteit zou grotendeels hetzelfde moeten zijn, hoewel sommige opties en gedragsdetails zijn veranderd. Zorg ervoor dat u de man-pagina yt-dlp.1 raadpleegt voor details, en in het bijzonder de sectie over yt-dlp.1.html#Differences_in_default_behavior.

5.1.5. Verschillende versies van Fcitx kunnen niet langer samen worden geïnstalleerd

De pakketten fcitx en fcitx5 bieden versie 4 en versie 5 van het populaire Fcitx Input Method Framework (invoermethoderaamwerk). In opvolging van de aanbeveling van de bovenstroomse auteur kunnen ze niet langer samen worden geïnstalleerd op hetzelfde besturingssysteem. Gebruikers moeten bepalen welke versie van Fcitx behouden moet blijven als ze eerder fcitx en fcitx5 samen hadden geïnstalleerd.

Gebruikers worden sterk aangeraden om vóór de upgrade alle pakketten die verband houden met de ongewenste Fcitx-versie, te verwijderen (fcitx-* voor Fcitx 4, en fcitx5-* voor Fcitx 5). Als de upgrade is voltooid, kunt u overwegen het im-config opnieuw uit te voeren om het voor het systeem gewenste invoermethoderaamwerk te selecteren.

U kunt meer achtergrondinformatie lezen in de aankondiging in de mailinglijst (tekst geschreven in Vereenvoudigd Chinees).

5.1.6. De naam van MariaDB-pakketten bevatten geen versienummers meer

In tegenstelling tot bullseye waar de MariaDB-versie in de pakketnaam stond (bijv. mariadb-server-10.5 en mariadb-client-10.5), zijn in bookworm de equivalente pakketnamen van MariaDB 10.11 volledig versieloos (bijv. mariadb-server of mariadb-client). De MariaDB-versie is nog steeds zichtbaar in de metagegevens van de pakketversie.

Er is ten minste één opwaarderingsscenario bekend (Bug #1035949) waarbij de overgang naar pakketnamen zonder versie mislukt: het uitvoeren van

# apt-get install default-mysql-server

kan mislukken wanneer mariadb-client-10.5 en het bestand /usr/bin/mariadb-admin daarin wordt verwijderd voordat de SysV init-service van MariaDB-server een shutdown heeft uitgevoerd, waarvoor mariadb-admin gebruikt wordt. De oplossing hiervoor is het uitvoeren van

# apt upgrade

voorafgaand aan het uitvoeren van

# apt full-upgrade

.

raadpleeg voor meer informatie over de wijzigingen van de pakketnamen van MariaDB /usr/share/doc/mariadb-server/NEWS.Debian.gz.

5.1.7. Wijzigingen in verband met systeemregistratie

Het pakket rsyslog is op de meeste systemen niet meer nodig en u kunt het misschien verwijderen.

Veel programma's produceren logberichten om de gebruiker te informeren over wat ze doen. Deze berichten kunnen worden beheerd door het "journal" van systemd of door een "syslog achtergronddienst" zoals rsyslog.

In bookworm was rsyslog standaard geïnstalleerd en was het systemd journal geconfigureerd om logberichten door te sturen naar rsyslog, dat berichten opschrijft in verschillende tekstbestanden, zoals /var/log/syslog.

Vanaf trixie wordt rsyslog niet meer standaard geïnstalleerd. Als u rsyslog niet wilt blijven gebruiken, kunt u het na de upgrade markeren als automatisch geïnstalleerd met

# apt-mark auto rsyslog

en daarna zal een

# apt autoremove

het indien mogelijk verwijderen. Als u een upgrade hebt uitgevoerd vanaf oudere releases van Debian, en de standaard configuratie-instellingen niet hebt geaccepteerd, is het journaal misschien niet geconfigureerd om berichten op te slaan in een permanente opslag: instructies om dit in te schakelen staan in journald.conf(5).

Als u besluit om af te stappen van rsyslog kunt u het commando journalctl gebruiken om logboekberichten te lezen, die in een binair formaat worden opgeslagen onder /var/log/journal. Bijvoorbeeld,

# journalctl -e

toont de meest recente logboekberichten in het journaal en

# journalctl -ef

toont nieuwe berichten terwijl ze worden geschreven (vergelijkbaar met het uitvoeren van

# tail -f /var/log/syslog

).

5.1.8. wijzigingen in verband met rsyslog die van invloed zijn op programma's voor het analyseren van logboekberichten zoals logcheck

rsyslog gebruikt nu standaard "high precision timestamps" (zeer nauwkeurige tijdstempels) die van invloed kunnen zijn op andere programma's die de systeemlogboeken analyseren. Er is meer informatie over het aanpassen van deze instelling in rsyslog.conf(5).

De wijziging in tijdstempels kan vereisen dat lokaal gemaakte regels voor logcheck worden bijgewerkt. logcheck controleert berichten in het systeemlogboek (geproduceerd door systemd-journald of rsyslog) aan de hand van een aanpasbare database met reguliere expressies, ook wel regels genoemd. Regels die getoetst worden aan het tijdstip waarop het bericht is geproduceerd, moeten worden bijgewerkt zodat ze overeenkomen met de nieuwe door rsyslog gebruikte indeling. De standaardregels, die worden geleverd door het pakket logcheck-database, zijn bijgewerkt, maar andere regels, waaronder regels die lokaal zijn gemaakt, moeten mogelijk worden bijgewerkt om de nieuwe indeling te herkennen. Zie /usr/share/doc/logcheck-database/NEWS.Debian.gz voor een script om lokale logcheck-regels te helpen updaten.

5.1.9. rsyslog maakt minder logbestanden aan

Er zijn wijzigingen in verband met de logbestanden die door rsyslog worden aangemaakt, en sommige bestanden in /var/log kunnen worden verwijderd.

If you are continuing to use rsyslog (see Changes to system logging), some log files in /var/log will no longer be created by default. The messages that were written to these files are also in /var/log/syslog but are no longer created by default. Everything that used to be written to these files will still be available in /var/log/syslog.

De bestanden die niet meer worden aangemaakt zijn:

  • /var/log/mail.{info,warn,err}

    Deze bestanden bevatten berichten van de lokale mail transport agent (MTA), opgesplitst naar prioriteit.

    Aangezien /var/log/mail.log alle mail-gerelateerde berichten bevat, kunnen deze bestanden (en hun geroteerde tegenhangers) veilig worden verwijderd. Als u deze bestanden gebruikte om anomalieën te controleren, zou een geschikt alternatief iets als logcheck kunnen zijn.

  • /var/log/lpr.log

    Di bestand bevatte logboekberichten met betrekking tot afdrukken. Het standaard afdruksysteem in debian is cups dat dit bestand niet gebruikt. Dus tenzij u een ander afdruksysteem hebt geïnstalleerd, kan dit bestand (en zijn geroteerde tegenhangers) worden verwijderd.

  • /var/log/{messages,debug,daemon.log}

    Deze bestanden (en hun geroteerde tegenhangers) kunnen worden verwijderd. Alles wat vroeger in deze bestanden werd opgeschreven, staat nog steeds in /var/log/syslog.

5.1.10. opwaarderen van slapd kan handmatige interventie vereisen

OpenLDAP 2.5 is een belangrijke nieuwe release en bevat verschillende incompatibele wijzigingen zoals beschreven wordt in de bovenstroomse release-aankondiging. Afhankelijk van de configuratie kan de dienst slapd na de upgrade gestopt blijven, totdat de noodzakelijke configuratie-updates zijn voltooid.

Hieronder volgen enkele van de bekende incompatibele wijzigingen:

  • De databasebackends slapd-bdb(5) en slapd-hdb(5) zijn verwijderd. Als u een van deze backends gebruikt onder bookworm, is het sterk aanbevolen om over te schakelen op de backend slapd-mdb(5) voordat u de opwaardering naar trixie uitvoert.

  • De databasebackend slapd-shell(5) is verwijderd.

  • Bij de overlay slapo-ppolicy(5) is het schema nu in de module zelf gecompileerd. Het oude externe schema, als dat aanwezig is, is in strijd met het nieuwe ingebouwde schema.

  • De wachtwoordmodule slapd-pw-argon2.5 uit contrib werd hernoemd naar argon2.

Instructies voor het voltooien van de upgrade en het hervatten van de dienst slapd zijn te vinden in /usr/share/doc/slapd/README.Debian.gz. Raadpleeg ook de bovenstroomse opwaarderingsnotities.

5.1.11. GRUB voert niet langer standaard os-prober uit

Lange tijd heeft grub het pakket os-prober gebruikt om andere besturingssystemen die op een computer zijn geïnstalleerd te detecteren, zodat het deze kan toevoegen aan het opstartmenu. Helaas kan dat in bepaalde gevallen problematisch zijn (bijv. als er virtuele gastmachines actief zijn), dus dit is nu standaard uitgeschakeld in de laatste bovenstroomse release.

Als u GRUB gebruikt om uw systeem op te starten en andere besturingssystemen in het opstartmenu wilt blijven zien, kunt u dit aanpassen. Ofwel kun u het bestand /etc/default/grub bewerken, ervoor zorgen dat u er als instelling GRUB_DISABLE_OS_PROBER=false staan hebt en het commando update-grub opnieuw uitvoeren, ofwel kunt u

# dpkg-reconfigure <GRUB_PACKAGE>

om deze en andere GRUB-instellingen op een meer gebruikersvriendelijke manier te wijzigen.

5.1.12. In GNOME is de toegankelijkheidsondersteuning voor schermlezers verminderd

Veel GNOME-apps zijn overgestapt van de grafische gereedschapskist GTK3 naar GTK4. Helaas heeft dit veel apps veel minder bruikbaar gemaakt met schermlezers zoals orca.

Als u afhankelijk bent van een schermlezer, kunt u overwegen om over te stappen naar een andere grafische werkomgeving, zoals Mate, die een betere toegankelijkheidsondersteuning heeft. U kunt dit doen door het pakket mate-desktop-environment te installeren. Informatie over het gebruik van Orca onder Mate is hier beschikbaar.

5.1.13. Baseline for 32-bit PC is now i686

Debian's support for 32-bit PC (known as the Debian architecture i386) now no longer covers any i586 processor. The new minimum requirement is i686. This means that the i386 architecture now requires the "long NOP" (NOPL) instruction, while bullseye still supported some i586 processors without that instruction (e.g. the "AMD Geode").

Als uw machine niet aan deze eis voldoet, is het raadzaam om voor de rest van zijn ondersteuningscyclus bij bullseye te blijven.

5.1.14. Wijzigingen in de polkit-configuratie

Met het oog op consistentie met de bovenstroomse ontwikkeling en met andere distributies werd voor de dienst polkit (voorheen PolicyKit), die onbevoegde programma's toegang geeft tot geprivilegieerde systeemdiensten, de syntaxis en de locatie van lokale beleidsregels gewijzigd. Lokale regels voor het aanpassen van het beveiligingsbeleid moet u nu schrijven in JavaScript en deze plaatsen in /etc/polkit-1/rules.d/*.rules. Voorbeeldregels die de nieuwe indeling gebruiken, zijn te vinden in /usr/share/doc/polkitd/examples/ en polkit.8.html#AUTHORIZATION_RULES bevat meer informatie.

Voorheen konden regels worden geschreven in de indeling pkla en in submappen van /etc/polkit-1/localauthority of /var/lib/polkit-1/localauthority worden geplaatst. .pkla-bestanden zouden nu echter als verouderd moeten worden beschouwd en zullen alleen blijven werken als het pakket polkitd-pkla is geïnstalleerd. Dit pakket zal normaal gesproken automatisch worden geïnstalleerd wanneer u opwaardeert naar bookworm, maar het zal waarschijnlijk niet worden opgenomen in toekomstige releases van Debian, dus alle lokale beleidsaanpassingen zullen moeten worden overgezet naar de JavaScript-indeling.

5.1.15. A "merged-/usr" is now required

Debian heeft een indeling van het bestandssysteem aangenomen, aangeduid als "samengevoegde /usr", welke niet langer de oude mappen /bin, / sbin, /lib, of facultatieve varianten zoals /lib64 bevat. In de nieuwe indeling zijn de verouderde mappen vervangen door symbolische koppelingen naar de corresponderende locaties /usr/bin, /usr/sbin, /usr/lib en /usr/lib64. Dit betekent dat bijvoorbeeld zowel /bin/bash als /usr/bin/bash het commando bash zullen starten.

Voor systemen die zijn geïnstalleerd als buster of bullseye verandert er niets, aangezien de nieuwe indeling van het bestandssysteem al de standaard was in deze releases. De oudere indeling wordt echter niet langer ondersteund en systemen die deze gebruiken, worden geconverteerd naar de nieuwe indeling wanneer ze worden opgewaardeerd naar bookworm.

De conversie naar de nieuwe indeling zou voor de meeste gebruikers geen gevolgen moeten hebben. Alle bestanden worden automatisch naar hun nieuwe locatie verplaatst, zelfs als ze lokaal zijn geïnstalleerd of afkomstig zijn uit pakketten die niet door Debian worden geleverd, en hardgecodeerde paden zoals /bin/sh blijven werken. Er zijn echter enkele mogelijke problemen:

  • # dpkg --search
    

    zal verkeerde antwoorden geven voor bestanden die naar de nieuwe locaties zijn verplaatst:

    # dpkg --search /usr/bin/bash
    

    zal niet vaststellen dat bash uit een pakket kwam. (Maar

    # dpkg --search /bin/bash
    

    werkt nog steeds zoals verwacht.)

  • Lokale software die niet door Debian wordt geleverd, ondersteunt mogelijk de nieuwe indeling niet en kan er bijvoorbeeld op vertrouwen dat /usr/bin/name en /bin/name twee verschillende bestanden zijn. Dit wordt niet ondersteund op samengevoegde systemen (waaronder nieuwe installaties sinds buster), dus dergelijke software moet hersteld of verwijderd worden voor de upgrade.

  • Systemen die afhankelijk zijn van een "basislaag" die niet direct beschrijfbaar is (zoals WSL1-images of containersystemen die gebruik maken van uit meerdere lagen bestaande overlayfs-bestandssystemen) kunnen niet veilig worden geconverteerd en moeten ofwel worden vervangen (bijv. door een nieuw WSL1-image uit de store te installeren) ofwel moet elke individuele laag worden opgewaardeerd (bijv. door de basale Debian-laag van het overlayfs onafhankelijk op te waarderen) in plaats van dist-upgrade te gebruiken.

Zie voor meer informatie Pleidooi voor het samenvoegen van /usr en de resolutie van het technisch comité van Debian.

5.1.16. Niet-ondersteunde opwaarderingen vanuit buster mislukken bij libcrypt1

Debian ondersteunt officieel alleen opwaarderingen van de ene stabiele release naar de volgende, bijv. van bullseye naar bookworm. Opwaarderingen van buster naar bookworm worden niet ondersteund en mislukken vanwege Bug #993755 met de volgende fout:

Setting up libc6:ARCH (2.36-9) ...
/usr/bin/perl: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
dpkg: error processing package libc6:ARCH (--configure):
installed libc6:ARCH package post-installation script subprocess returned error exit status 127

Het is echter mogelijk om deze situatie handmatig te herstellen door het nieuwe libcrypt1 geforceerd te installeren:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install

5.1.17. openssh-server no longer reads ~/.pam_environment

The Secure Shell (SSH) daemon provided in the openssh-server package, which allows logins from remote systems, no longer reads the user's ~/.pam_environment file by default; this feature has a history of security problems and has been deprecated in current versions of the Pluggable Authentication Modules (PAM) library. If you used this feature, you should switch from setting variables in ~/.pam_environment to setting them in your shell initialization files (e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism instead.

Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Tref voorbereidingen om een hersteloperatie te kunnen uitvoeren.

5.1.18. OpenSSH no longer supports DSA keys

Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell (SSH) protocol, are inherently weak: they are limited to 160-bit private keys and the SHA-1 digest. The SSH implementation provided by the openssh-client and openssh-server packages has disabled support for DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9 ("stretch"), although it could still be enabled using the HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options for host and user keys respectively.

The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.

As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with the above configuration options. If you have a device that you can only connect to using DSA, then you can use the ssh1 command provided by the openssh-client-ssh1 package to do so.

In the unlikely event that you are still using DSA keys to connect to a Debian server (if you are unsure, you can check by adding the -v option to the ssh command line you use to connect to that server and looking for the "Server accepts key:" line), then you must generate replacement keys before upgrading. For example, to generate a new Ed25519 key and enable logins to a server using it, run this on the client, replacing username@server with the appropriate user and host names:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering "formeel" afgerond. Bij de opwaardering naar trixie zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2.1. Items die niet beperkt zijn tot het opwaarderingsproces

5.2.2. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

Notitie

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.2.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen

Debian 13 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. toepassingen die gebruik maken van het broncodepakket webkit2gtk (bijv. epiphany) worden gedekt door de beveiligingsondersteuning, maar toepassingen die gebruik maken van qtwebkit (broncodepakket qtwebkit-opensource-src) worden niet gedekt.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

Zodra een release oldstable wordt, is het mogelijk dat officieel ondersteunde browsers gedurende de standaard dekkingsperiode geen updates meer ontvangen. Chromium krijgt bijvoorbeeld slechts 6 maanden beveiligingsondersteuning in oldstable in plaats van de gebruikelijke 12 maanden.

5.2.2.2. Op Go en Rust gebaseerde pakketten

De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. Met de groei van de Go- en Rust-ecosystemen betekent dit dat deze pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.

Als updates voor ontwikkelingsbibliotheken voor Go of Rust gerechtvaardigd zijn, zullen deze in de meeste gevallen enkel via reguliere tussenreleases gebeuren.

5.2.3. Python-interpreters als extern beheerd gemarkeerd

De door Debian geleverde python3-interpreterpakketten (python3.11 en pypy3) zijn nu gemarkeerd als extern beheerd, in navolging van PEP-668. De versie van python3-pip in Debian gedraagt zich hiernaar en zal weigeren pakketten handmatig te installeren op de python-interpreters van Debian, tenzij de optie --break-system-packages is opgegeven.

Als u een Python-toepassing (of versie) moet installeren die niet wordt verpakt in Debian, raden we u aan die te installeren met pipx (in het Debian-pakket pipx). pipx zal een omgeving opzetten die geïsoleerd is van andere toepassingen en Python-modules op het systeem, en de toepassing en zijn vereisten daarin installeren.

Als u een Python-bibliotheekmodule (of -versie) moet installeren die niet in Debian wordt verpakt, raden we u aan die waar mogelijk in een virtuele omgeving (virtualenv) te installeren. U kunt virtuele omgevingen (virtualenvs) maken met de Python stdlib-module venv (in het Debian-pakket python3-venv) of met het van derden afkomstige Python-hulpmiddel virtualenv (in het Debian-pakket virtualenv). Bijvoorbeeld, in plaats van het commando pip install --user blabla uit te voeren, voert u het volgende commando uit om de bibliotheek in een speciale virtuele omgeving te installeren: `` mkdir -p ~/.venvs && python3 -m venv ~/.venvs/blabla && ~/.venvs/blabla/bin/python -m pip install blabla``.

Zie /usr/share/doc/python3.11/README.venv voor meer details.

5.2.4. Beperkte ondersteuning voor hardwareversnelde videocodering/decodering in VLC

De VLC-videospeler ondersteunt hardwareversnelde videodecodering en -codering via VA-API en VDPAU. VLC's ondersteuning voor VA-API is echter nauw verbonden met de versie van FFmpeg. Omdat FFmpeg is opgewaardeerd naar de 5.x-tak, is de VA-API-ondersteuning van VLC uitgeschakeld. Gebruikers van GPU's met eigen VA-API-ondersteuning (bijv. de GPU's van Intel en AMD) kunnen een hoog CPU-gebruik ervaren tijdens het afspelen en coderen van video.

Gebruikers van GPU's met eigen VDPAU-ondersteuning (bijv. NVIDIA met niet-vrije stuurprogramma's) hebben geen last van dit probleem.

Ondersteuning voor VA-API en VDPAU kan worden nagegaan met vainfo en vdpauinfo (beide beschikbaar in een Debian-pakket met dezelfde naam).

5.2.5. systemd-resolved werd afgesplitst in een apart pakket

Het nieuwe pakket systemd-resolved wordt niet automatisch geïnstalleerd bij upgrades. Als u de systeemdienst systemd-resolved gebruikte, installeer dan het nieuwe pakket handmatig na de upgrade, en houd er rekening mee dat totdat het geïnstalleerd is, DNS-resolutie mogelijk niet meer werkt, omdat de dienst niet aanwezig zal zijn op het systeem. Door dit pakket te installeren krijgt systemd-resolved automatisch controle over /etc/resolv.conf. Voor meer informatie over systemd-resolved kunt u de officiële documentatie raadplegen. Merk op dat systemd-resolved niet de standaard DNS-resolver was, en nog steeds niet is, in Debian. Als u uw machine niet hebt geconfigureerd om systemd-resolved als DNS-resolver te gebruiken, is er geen actie nodig.

5.2.6. systemd-boot werd afgesplitst in een apart pakket

Het nieuwe pakket systemd-boot wordt niet automatisch geïnstalleerd bij upgrades. Als u systemd-boot gebruikte, installeer dit nieuwe pakket dan handmatig, en merk op dat totdat u dit doet, de oudere versie van systemd-boot zal worden gebruikt als bootloader. De installatie van dit pakket zal systemd-boot automatisch configureren als de bootloader van de machine. De standaard bootloader in Debian is nog steeds GRUB. Als u de machine niet hebt geconfigureerd om systemd-boot als bootloader te gebruiken, hoeft u niets te doen.

5.2.7. systemd-journal-remote maakt geen gebruik meer van GnuTLS

De facultatieve diensten systemd-journal-gatewayd en systemd-journal-remote worden nu gebouwd zonder ondersteuning voor GnuTLS, wat betekent dat de optie --trust door geen van beide programma's meer wordt aangeboden, en dat er een foutmelding verschijnt als deze wordt opgegeven.

5.2.8. Adduser voor bookworm is aanzienlijk gewijzigd

Er zijn verschillende wijzigingen aangebracht aan adduser. De meest opvallende verandering is dat --disabled-password en --disabled-login nu functioneel identiek zijn. Lees voor meer details /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Voorspelbare naamgeving voor Xen-netwerkinterfaces

De voorspelbare naamgevingslogica in systemd voor netwerkinterfaces is uitgebreid om stabiele namen te genereren uit Xen netfront apparaatinformatie. Dit betekent dat in plaats van het vroegere systeem van door de kernel toegewezen namen, interfaces nu stabiele namen hebben van de vorm enX#. Pas uw systeem aan voordat u opnieuw opstart na de upgrade. Meer informatie is te vinden op de wiki-pagina NetworkInterfaceNames.

5.2.10. Verandering in de wijze waarop dash de circumflex verwerkt

dash, dat standaard de systeemshell /bin/sh levert in Debian, is overgestapt op het behandelen van de circumflex (^) als een letterlijk letterteken, zoals altijd het beoogde POSIX-conforme gedrag was. Dit betekent dat in bookworm [^0-9] niet langer betekent "niet 0 tot 9" maar "0 tot 9 en ^".

5.2.11. netcat-openbsd ondersteunt abstracte sockets

Het hulpprogramma netcat voor het lezen en schrijven van gegevens over netwerkverbindingen ondersteunt unix.7.html#Abstract_sockets, en gebruikt ze standaard in sommige omstandigheden.

Standaard wodt netcat geleverd door netcat-traditional. Als netcat echter geleverd wordt door het pakket netcat-openbsd en u een AF_UNIX-socket gebruikt, dan is deze nieuwe standaard van toepassing. In dit geval zal de optie -U voor het commando nc nu een argument dat begint met een @, interpreteren als een vraag naar een abstracte socket in plaats van als een bestandsnaam in de huidige map die begint met een @. Dit kan beveiligingsimplicaties hebben omdat bestandssysteemtoegangsrechten niet langer kunnen worden gebruikt om de toegang tot een abstracte socket te controleren. U kunt een bestandsnaam blijven gebruiken die begint met een @ door de naam vooraf te laten gaan door ./ of door een absoluut pad op te geven.

5.3. Verouderde en achterhaalde zaken

5.3.1. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Verouderde pakketten voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket libnss-ldap werd verwijderd uit trixie. De functionaliteit ervan wordt nu opgenomen door libnss-ldapd en libnss-sss.

  • Het pakket libpam-ldap werd verwijderd uit trixie. Zijn vervanger is libpam-ldapd.

  • Het pakket fdflush werd verwijderd uit trixie. Gebruik ter vervanging ervan blockdev --flushbufs uit util-linux.

  • Het pakket libgdal-perl is verwijderd uit trixie, omdat de Perl-binding voor GDAL stroomopwaarts niet langer wordt ondersteund. Als u Perl-ondersteuning voor GDAL nodig hebt, kunt u migreren naar de FFI-interface die wordt geleverd door het pakket Geo::GDAL::FFI dat beschikbaar is op CPAN. U zult uw eigen binaire bestanden moeten bouwen, zoals uitgelegd op de wiki-pagina BookwormGdalPerl.

5.3.2. Verouderde componenten van trixie

Met de volgende uitgave van Debian 14 (codenaam forky) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 14.

Daaronder valt de volgende functionaliteit:

  • De ontwikkeling van de NSS-dienst gw_name is in 2015 gestopt. Het bijbehorende pakket libnss-gw-name wordt mogelijk verwijderd in toekomstige Debian releases. De bovenstroomse ontwikkelaar stelt voor om in plaats daarvan libnss-myhostname te gebruiken.

  • dmraid heeft sinds eind 2010 geen bovenstroomse activiteit meer gekend en werd in Debian in leven gehouden. bookworm zal de laatste release zijn die het uitbrengt, dus maak dienovereenkomstig uw planning als u dmraid gebruikt.

  • request-tracker4 is in deze release vervangen door request-tracker5 en zal in toekomstige releases worden verwijderd. Wij raden u aan de overstap van request-tracker4 naar request-tracker5 te plannen tijdens de levensduur van deze release.

  • The isc-dhcp suite has been deprecated by the ISC. The Debian Wiki has a list of alternative implementations, see the DHCP Client and DHCP Server pages for the latest. If you are using NetworkManager or systemd-networkd, you can safely remove the isc-dhcp-client package as they both ship their own implementation. If you are using the ifupdown package, you can experiment with udhcpc as a replacement. The ISC recommends the Kea package as a replacement for DHCP servers.

    Het beveiligingsteam zal het pakket isc-dhcp ondersteunen tijdens de levensduur van bookworm, maar het pakket zal waarschijnlijk niet meer ondersteund worden in de volgende stabiele release, zie bug #1035972 (isc-dhcp EOL'ed (afgedankt)) voor meer details.

5.4. Bekende ernstige bugs

Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van trixie, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen trixie op het moment van vrijgeven en zijn het vermelden waard in dit document:

Bugnummer

Pakket (broncode of binair)

Beschrijving

1032240

akonadi-backend-mysql

de akonadi-server start niet omdat deze geen verbinding kan maken met de mysql-database

1032177

faketime

faketime creëert geen nep-tijd (op i386)

918984

src:fuse3

provide upgrade path fuse -> fuse3 for bookworm

1016903

g++-12

tree-vectorize: verkeerde code op O2-niveau (-fno-tree-vectorize werkt)

1020284

git-daemon-run

wissen (purge) mislukt: deluser -f: Onbekende optie: f

919296

git-daemon-run

mislukt met 'waarschuwing: git-daemon: kan supervise/ok niet openen: bestand bestaat niet'

1034752

src:gluegen2

sluit niet-vrije headers in