5. Problèmes à connaître pour trixie
Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter ou qui exposent à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire les errata, la documentation des paquets concernés, les rapports de bogue et les autres sources d’informations mentionnées dans Lectures pour aller plus loin.
5.1. Éléments à prendre en compte lors de la mise à niveau vers trixie
Cette section concerne les éléments liés à la mise à niveau de bookworm vers trixie
5.1.1. Prise en charge réduite de l’architecture i386
À partir de Trixie, i386 n’est plus pris en charge comme une architecture normale : il n’y a pas de noyau officiel ni d’installateur Debian pour les systèmes i386. Moins de paquets sont disponibles pour i386, car de nombreux projets ont cessé de le prendre en charge. Le seul objectif restant de cette architecture est de prendre en charge l’exécution de code ancien, par exemple au moyen de multiarch ou d’un chroot sur un système 64 bits (amd64).
L’architecture i386 est désormais destinée uniquement à être utilisée sur les processeurs 64 bits (amd64). La prise en charge de SSE2 fait partie des exigences de son jeu d’instructions, donc il ne fonctionnera pas correctement sur la plupart des types de processeurs 32 bits qui sont pris en charge par Debian 12.
Les utilisateurs de systèmes i386 ne doivent pas mettre à niveau vers Trixie. Debian recommande plutôt soit de réinstaller ces systèmes en amd64, quand cela est possible, soit de réformer le matériel. La mise à niveau croisée (« Cross Grading ») sans réinstallation est une alternative techniquement possible, mais risquée.
5.1.2. MIPS architectures removed
From trixie, the architectures mipsel and mips64el are no longer supported by Debian. Users of these architectures are advised to switch to different hardware.
5.1.3. The temporary-files directory /tmp is now stored in a tmpfs
From trixie, the default is for the /tmp/ directory to be stored in memory
using a tmpfs(5) filesystem. This should make applications
using temporary files faster, but if you put large files there, you may run out
of memory.
For systems upgraded from bookworm, the new behavior only starts
after a reboot. Files left in /tmp will be hidden after
the new tmpfs is mounted which will lead to warnings in the
system journal or syslog. Such files can
be accessed using a bind-mount (see mount(1)):
running mount --bind / /mnt will make the underlying directory
accessible at /mnt/tmp (run umount /mnt once you have cleaned
up the old files).
The default is to allocate up to 50% of memory to /tmp (this is a
maximum: memory is only used when files are actually created in
/tmp). You can change the size by running systemctl edit
tmp.mount as root and setting, for example:
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
(see systemd.mount(5)).
You can return to /tmp being a regular directory by running
systemctl mask tmp.mount as root and rebooting.
The new filesystem defaults can also be overridden in /etc/fstab, so
systems that already define a separate /tmp partition will be unaffected.
5.1.4. openssh-server ne lit plus ~/.pam_environment
Le démon Secure Shell (SSH) fourni par le paquet openssh-server qui permet de se connecter à un système distant ne lit plus le fichier ~/.pam_environment par défaut ; cette fonctionnalité a des antécédents de problèmes de sécurité et elle est devenue obsolète dans les versions actuelles de la bibliothèque Pluggable Authentication Modules (PAM). Si vous utilisez cette fonctionnalité, vous devez passer de la configuration des variables dans ~/.pam_environment à une configuration dans vos fichiers d’initialisation de l’interpréteur de commande (par exemple, ~/.bash_profile ou ~/.bashrc) ou à un autre mécanisme similaire.
Les connexions SSH existantes ne seront pas affectées, mais les nouvelles connexions peuvent se comporter différemment après la mise à niveau. Si vous effectuez une mise à niveau à distance, il est en général judicieux de vous assurer que vous avez un autre moyen de vous connecter au système avant de démarrer la mise à niveau ; consultez Soyez prêts à récupérer le système.
5.1.5. OpenSSH ne gère plus les clés DSA
Les clés DSA (Digital Signature Algorithm), telles que spécifiées dans le protocole Secure Shell (SSH) sont intrinsèquement faibles : elles sont limitées à des clés privées de 160 bits et au condensé SHA-1. L’implémentation SSH fournie par les paquets openssh-client et openssh-server a désactivé la prise en charge par défaut des clés DSA depuis OpenSSH 7.0p1 en 2015, publié avec Debian 9 (« Stretch »), bien qu’elle puisse encore être activée au moyen des options de configuration HostKeyAlgorithms et PubkeyAcceptedAlgorithms pour les clés d’hôte et utilisateur respectivement.
Le seul usage restant de DSA, à ce stade, devrait être la connexion à des appareils très anciens. Pour tout autre usage, les autres types de clé pris en charge par OpenSSH (RSA, EDSA et Ed25519) sont supérieurs.
À partir d’OpenSSH 9.8.p1 dans Trixie, les clés DSA ne sont plus prises en charge même avec les options de configuration citées plus haut. Si vous avez un appareil auquel vous ne pouvez vous connecter qu’avec DSA, vous pouvez utiliser la commande ssh1 fournie par le paquet openssh-client-ssh1 pour le faire.
Dans le cas peu probable où vous utiliseriez encore des clés DSA pour vous connecter à un serveur Debian (si vous avez un doute, vous pouvez vérifier en ajoutant l’option -v à la ligne de commande ssh que vous utilisez pour vous connecter à ce serveur et en cherchant la ligne « Server accepts key: ») vous devrez générer des clés de remplacement avant la mise à niveau. Par exemple, pour générer une nouvelle clé ED25519 et activer les connexions à un serveur avec elle, exécutez les commandes suivantes sur le client, en remplaçant nom_utilisateur@serveur par les noms d’utilisateur et d’hôte appropriés :
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.6. Les commandes last, lastb et lastlog ont été remplacées
Le paquet util-linux ne fournit plus les commandes last ou lastb et le paquet login ne fournit plus lastlog. Ces commandes fournissaient des informations sur les tentatives de connexion précédentes en se servant des fichiers /var/log/wtmp, /var/log/btmp, /var/run/utmp et /var/log/lastlog, mais ces fichiers ne seront plus utilisables après 2038 parce qu’ils n’allouent pas suffisamment d’espace pour stocker l’heure de connexion (le problème de l’année 2038 <https://theyear2038problem.com/>`__) et les développeurs amont ne veulent pas modifier le format des fichiers. La plupart des utilisateurs n’auront pas besoin de remplacer ces commandes par autre chose, mais le paquet util-linux fournit une commande lslogins qui peut vous indiquer quand les comptes ont été utilisés pour la dernière fois.
Il existe deux remplacements directs disponibles : last peut être remplacé par wtmpdb du paquet wtmpdb (le paquet libpam-wtmpdb doit aussi être installé) et lastlog peut être remplacé par lastlog2 du paquet lastlog2 (libpam-lastlog2 doit aussi être installé). Si vous voulez les utiliser, vous devrez installer ces nouveaux paquets après la mise à niveau. Consultez le fichier NEWS.Debian d’util-linux pour davantage d’informations. La commande lslogins --failed fournit des informations similaires à celles de lastb.
Si vous n’installez pas wtmpdb, nous vous recommandons de supprimer les anciens fichiers de journal /var/log/wtmp*. Si vous installez wtmpdb, cela mettra à niveau /var/log/wtmp et vous pourrez lire les anciens fichiers wtmp avec la commande wtmpdb import -f <dest>. Il n’existe pas d’outil pour lire les fichiers /var/log/lastlog* ou /var/log/btmp* : ils peuvent être supprimés après la mise à niveau.
5.1.7. Encrypted filesystems need systemd-cryptsetup package
Support for automatically discovering and mounting encrypted filesystems has been moved into the new systemd-cryptsetup package. This new package is recommended by systemd so should be installed automatically on upgrades.
Please make sure the systemd-cryptsetup package is installed before rebooting, if you use encrypted filesystems.
5.1.8. Default encryption settings for plain-mode dm-crypt devices changed
The default settings for dm-crypt devices created using
plain-mode encryption (see crypttab(5)) have
changed to improve security. This will cause problems if you did not
record the settings used in /etc/crypttab. The recommended way
to configure plain-mode devices is to record the options cipher,
size, and hash in /etc/crypttab; otherwise cryptsetup
will use default values, and the defaults for cipher and hash
algorithm have changed in trixie, which will cause such devices to
appear as random data until they are properly configured.
This does not apply to LUKS devices because LUKS records the settings in the device itself.
To properly configure your plain-mode devices, assuming they were
created with the bookworm defaults, you should add
cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 to
/etc/crypttab.
To access such devices with cryptsetup on the command line you can
use --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160.
Debian recommends that you configure permanent devices with LUKS, or
if you do use plain mode, that you explicitly record all the required
encryption settings in /etc/crypttab. The new defaults are
cipher=aes-xts-plain64 and hash=sha256.
5.1.9. RabbitMQ ne prend plus en charge les files d’attente HA
Les files d’attente HA (High-availability – haute disponibilité) ne sont plus prises en charge par rabbitmq-server dans Trixie. Pour continuer avec une configuration HA, ces files d’attentes doivent être converties en « files d’attente quorum ».
Si vous disposez d’un déploiement OpenStack, veuillez basculer les files d’attente vers quorum avant la mise à niveau. Veuillez noter également qu’à partir de la version « Caracal » d’OpenStack dans Trixie, OpenStack ne prend en charge que les files d’attente quorum.
5.1.10. RabbitMQ ne peut pas être mis à niveau directement à partir de Bookworm
Il n’existe pas de façon directe et facile pour mettre à niveau RabbitMQ de Bookworm à Trixie. Vous trouverez des détails sur ce problème dans le bogue 1100165.
Le processus de mise à niveau recommandé est de supprimer complètement la base de données rabbitmq et de redémarrer le service (après la mise à niveau de Trixie). Cela peut être réalisé en supprimant /var/lib/rabbitmq/mnesia et tout son contenu.
5.1.11. Les mises à niveau de version majeure de MariaDB ne fonctionnent de manière fiable qu’après un arrêt propre.
MariaDB ne prend pas en charge la récupération d’erreur entre les versions majeures. Par exemple, si un serveur MariaDB 10.11 subit un arrêt brutal dû à une coupure de courant ou d’un défaut logiciel, la base de données doit être redémarrée avec les mêmes binaires MariaDB 10.11 afin de pouvoir réaliser avec succès une récupération d’erreur et de concilier les fichiers de données et les fichiers journaux pour rejouer les transactions qui ont été interrompues ou les annuler.
Si vous tentez d’effectuer une récupération de plantage avec MariaDB 11.8 en utilisant le répertoire de données provenant d’une instance MariaDB 10.11 plantée, le nouveau serveur MariaDB refusera de démarrer.
Pour vous assurer qu’un serveur MariaDB s’est arrêté correctement, avant de procéder à une mise à niveau de version majeure, arrêtez le service avec :
# service mariadb stop
puis vérifiez la présence de Shutdown complete pour confirmer que le vidage de toutes les données et de tous les tampons sur le disque s’est achevé avec succès.
Si le serveur ne s’est pas arrêté correctement, redémarrez-le pour déclencher la récupération du plantage, attendez puis arrêtez-le à nouveau et vérifiez que le deuxième arrêt est correct.
Pour plus d’informations sur la création de sauvegardes et d’autres informations pertinentes pour les administrateurs système, consultez /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.12. Ping ne s’exécute plus avec des privilèges élevés
La version de ping par défaut (fournie par iputils-ping) n’est plus installée avec l’accès à la capacité CAP_NET_RAW de Linux, mais utilise plutôt les sockets de datagramme ICMP_PROTO pour la communication réseau. L’accès à ces sockets est contrôlé en s’appuyant sur l’appartenance des utilisateurs aux groupes Unix en utilisant le contrôle système net.ipv4.ping_group_range. Dans les installations normales, le paquet linux-sysctl-defaults définira cette valeur à une valeur largement permissive, permettant à des utilisateurs non privilégiés d’utiliser ping comme prévu, mais certains scénarios de mise à niveau peuvent ne pas installer ce paquet. Consultez /usr/lib/sysctl.d/50-default.conf et la documentation du noyau pour plus d’informations sur la sémantique de cette variable.
5.1.13. Network interface names may change
Users of systems without easy out-of-band managment are advised to proceed with caution as we’re aware of two circumstances where network interface names assigned by trixie systems may be different from bookworm. This can cause broken network connectivity when rebooting to complete the upgrade.
It is difficult to determine if a given system is affected ahead of time without a detailed technical analysis. Configurations known to be problematic are as follows:
Systems using the Linux i40e NIC driver, see bug #1107187.
Systems where firmware exposes the
_SUNACPI table object which was previously ignored by default in bookworm (systemd.net-naming-scheme v252), but is now used by systemd v257 in trixie. See bug #1092176.You can use the
$ udevadm test-builtin net_setup_linkcommand to see whether the systemd change alone would yield a different name. This needs to be done just before rebooting to finish the upgrade. For example:
# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1 #< Notice the final ID_NET_NAME name is not "enp1s0"!
Users that need names to stay stable across the upgrade are advised to create systemd.link files to « pin » the current name before the upgrade.
5.1.14. Modification de la configuration de Dovecot
La suite de serveur de messagerie dovecot utilise dans Trixie un format de configuration incompatible avec les versions précédentes. Des détails sur ces changements de configuration sont disponibles sur docs.dovecot.org.
Afin d’éviter de potentiels temps d’arrêt prolongés, il est fortement recommandé de porter votre configuration dans un environnement de test avant de débuter la mise à niveau d’un système de messagerie en production.
Please also note that some features were removed upstream in v2.4. In particular, the replicator is gone. If you depend on that feature, it is advisable not to upgrade to trixie until you have found an alternative.
5.1.15. Modifications importantes apportés à l’empaquetage de libvirt
Le paquet libvirt-daemon, qui fournit une API et une boîte à outils pour la gestion des plateformes de virtualisation, a été remanié dans Trixie. Chaque pilote et chaque dorsal de stockage sont fournis désormais dans des paquets binaires distincts, ce qui offre une plus grande flexibilité.
Des précautions sont prises durant les mises à jour à partir de Bookworm pour conserver l’ensemble de composants existants, mais dans certains cas, des fonctionnalités peuvent être temporairement perdues. Nous vous recommandons de vérifier soigneusement la liste des paquets binaires installés après la mise à niveau pour vous assurer que tous ceux qui sont attendus sont présents ; c’est aussi le moment de penser à désinstaller des composants indésirables.
De plus, certains fichiers de configuration peuvent finir marqués comme « obsolètes » après la mise à niveau. Le fichier /usr/share/doc/libvirt-common/NEWS.Debian.gz contient des informations supplémentaires pour vérifier si votre système est affecté par ce problème et comment le corriger.
5.1.16. Samba: Active Directory Domain Controller packaging changes
The Active Directory Domain Controller (AD-DC) functionality was split out of samba. If you are using this feature, you need to install the samba-ad-dc package.
5.1.17. Samba: VFS modules
The samba-vfs-modules package was reorganized. Most VFS modules are now included in the samba package. However the modules for ceph and glusterfs have been split off into samba-vfs-ceph and samba-vfs-glusterfs.
5.1.18. OpenLDAP TLS now provided by OpenSSL
The TLS support in the OpenLDAP client libldap2 and server slapd is now provided by OpenSSL instead of GnuTLS. This affects the available configuration options, as well as the behavior of them.
Details about the changed options can be found in /usr/share/doc/libldap2/NEWS.Debian.gz.
If no TLS CA certificates are specified, the system default trust store will now be loaded automatically. If you do not want the default CAs to be used, you must configure the trusted CAs explicitly.
For more information about LDAP client configuration, see the
ldap.conf.5 man page. For the LDAP server (slapd),
see /usr/share/doc/slapd/README.Debian.gz and the
slapd-config.5 man page.
5.1.19. bacula-director: Database schema update needs large amounts of disk space and time
The Bacula database will undergo a substantial schema change while upgrading to trixie.
Upgrading the database can take many hours or even days, depending on the size of the database and the performance of your database server.
The upgrade temporarily needs around double the currently used disk
space on the database server, plus enough space to hold a backup dump of the
Bacula database in /var/cache/dbconfig-common/backups.
Running out of disk space during the upgrade might corrupt your database and will prevent your Bacula installation from functioning correctly.
5.1.20. dpkg: warning: unable to delete old directory: …
During the upgrade, dpkg will print warnings like the following, for various
packages. This is due to the finalization of the usrmerge project, and the
warnings can be safely ignored.
Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty
5.1.21. Skip-upgrades are not supported
As with any other Debian release, upgrades must be performed from the previous release. Also all point release updates should be installed. See Démarrer depuis une Debian « pure ».
Skipping releases when upgrading is explicitly not supported.
For trixie, the finalization of the usrmerge project requires the
upgrade to bookworm be completed before starting the trixie
upgrade.
5.1.22. WirePlumber has a new configuration system
WirePlumber has a new configuration system. For the default configuration
you don’t have to do anything; for custom setups see
/usr/share/doc/wireplumber/NEWS.Debian.gz.
5.1.23. strongSwan migration to a new charon daemon
The strongSwan IKE/IPsec suite is migrating from the legacy charon-daemon
(using the ipsec(8) command and configured in
/etc/ipsec.conf) to charon-systemd (managed with the
swanctl(8) tools and configured in /etc/swanctl/conf.d).
The trixie version of the strongswan metapackage will pull in the new
dependencies, but existing installations are unaffected as long as
charon-daemon is kept installed. Users are advised to migrate their
installation to the new configuration following the upstream migration page.
5.1.24. udev properties from sg3-utils missing
Due to bug 1109923 in sg3-utils SCSI devices do not receive all properties in the « udev » database. If your installation relies on properties injected by the sg3-utils-udev package, either migrate away from them or be prepared to debug failures after rebooting into trixie.
5.1.25. Choses à faire avant de redémarrer
Lorsque apt full-upgrade a terminé, la mise à niveau « proprement dite » est terminée. Pour la mise à niveau vers trixie il n’y a rien de particulier à faire avant de redémarrer.
5.2. Éléments non limités au processus de mise à niveau
5.2.1. Les répertoires /tmp et /var/tmp sont désormais régulièrement nettoyés
Dans les nouvelles installations, systemd-tmpfiles supprimera désormais régulièrement les fichiers anciens dans /tmp et /var/tmp pendant l’exécution du système. Cette modification rend Debian cohérente avec les autres distributions. Parce qu’il y a un faible risque de perte de données, un choix vous sera offert : la mise à niveau vers Trixie créera un fichier /etc/tmpfiles.d/tmp.conf rétablissant l’ancien comportement. Ce fichier peut être supprimé pour adopter la nouvelle valeur par défaut ou modifié pour définir des règles personnalisées. La suite de cette section explique le nouveau comportement par défaut et comment le personnaliser.
Le nouveau comportement par défaut de ces fichiers dans /tmp est d’être automatiquement supprimés 10 jours après leur dernière utilisation (et après un redémarrage). Les fichiers dans /var/tmp sont supprimés après 30 jours (mais pas après un redémarrage).
Avant d’adopter le nouveau comportement par défaut, vous pouvez soit adapter les programmes locaux qui stockent des données dans /tmp ou /var/tmp pendant de longues périodes afin qu’ils utilisent des emplacements différents tels que ~/tmp/, ou indiquer à systemd-tmpfiles d’exclure la suppression de leurs fichiers de données en créant un fichier local-tmp-files.conf dans /etc/tmpfiles.d contenant des lignes telles que :
x /var/tmp/my-precious-file.pdf
x /tmp/foo
Veuillez consulter systemd-tmpfiles(8) et tmpfiles.d(5) pour plus d’informations.
5.2.2. systemd message: System is tainted: unmerged-bin
systemd upstream, since version 256, considers systems having separate
/usr/bin and /usr/sbin directories noteworthy. At startup systemd
emits a message to record this fact: System is tainted: unmerged-bin.
It is recommended to ignore this message. Merging these directories manually is unsupported and will break future upgrades. Further details can be found in bug #1085370.
5.2.3. Limitations de la prise en charge de sécurité
Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour des problèmes de sécurité. Cela est développé dans les sous-sections suivantes.
Note
Le paquet debian-security-support aide à suivre l’état de la prise en charge du suivi de sécurité des paquets installés.
5.2.3.1. État de sécurité des navigateurs web et de leurs moteurs de rendu
Debian 13 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches entretenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent extrêmement difficile la mise à niveau vers une nouvelle version. Les applications utilisant le paquet source webkit2gtk (par exemple, epiphany) sont couvertes par la prise en charge de sécurité, mais les applications utilisant qtwebkit (paquet source qtwebkit-opensource-src) ne les sont pas.
Pour une utilisation classique, nous recommandons les navigateurs Firefox ou Chromium. Ceux-ci seront maintenus à jour en recompilant les versions ESR actuelles pour stable. La même stratégie sera appliquée pour Thunderbird.
Une fois qu’une version devient oldstable, les navigateurs pris en charge officiellement ne peuvent pas continuer à recevoir des mises à jour durant la période normale de couverture. Par exemple, Chromium ne recevra que pendant six mois une prise en charge de sécurité dans Oldstable au lieu des douze mois habituels.
5.2.3.2. Paquets basés sur Go et Rust
L’infrastructure de Debian a actuellement des problèmes pour recompiler correctement les types de paquet qui ont systématiquement recours aux liensstatiques. Avec la croissance de l’écosystème de Go et de Rust cela signifie que ces paquets seront couverts par une prise en charge de sécurité limitée jusqu’à ce que l’infrastructure soit améliorée pour pouvoir les gérer durablement.
Dans la plupart des cas, si des mises à jour sont justifiées pour les bibliothèques de développement de Go ou de Rust, elles ne seront publiées que lors des mises à jour intermédiaires normales.
5.2.4. Problems with VMs on 64-bit little-endian PowerPC (ppc64el)
Currently QEMU always tries to configure PowerPC virtual machines to support 64 kiB memory pages. This does not work for KVM-accelerated virtual machines when using the default kernel package.
If the guest OS can use a page size of 4 kiB, you should set the machine property
cap-hpt-max-page-size=4096. For example:$ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
If the guest OS requires a page size of 64 kiB, you should install the linux-image-powerpc64le-64k package; see 64-bit little-endian PowerPC (ppc64el) page size.
5.3. Obsolescence et dépréciation
5.3.1. Paquets notablement obsolètes
La liste suivante contient des paquets connus et notablement obsolètes (voir Paquets obsolètes pour une description).
La liste des paquets obsolètes contient :
Le paquet libnss-gw-name a été retiré de trixie. Le développeur amont suggère d’utiliser libnss-myhostname à la place.
Le paquet pcregrep a été retiré de trixie. Il peut être remplacé par
grep -P(--perl-regexp) oupcre2grep(fourni par pcre2-utils).Le paquet request-tracker4 a été retiré de Trixie. Il a été remplacé par request-tracker5 qui contient des instructions sur la manière de migrer vos données : vous pouvez conserver le paquet request-tracker4 désormais obsolète installé à partir de Bookworm pendant la migration.
The git-daemon-run and git-daemon-sysvinit packages have been removed from trixie due to security reasons.
The nvidia-graphics-drivers-tesla-470 packages are no longer supported upstream and have been removed from trixie.
The deborphan package has been removed from trixie. To remove unnecessary packages,
apt autoremoveshould be used, afterapt-mark minimize-manual. debfoster can also be a useful tool.
5.3.2. Composants dépréciés pour trixie
Avec la prochaine publication de Debian 14 (nom de code forky), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des remplaçants pour éviter les problèmes lors de la mise à jour vers Debian 14.
Cela comprend les fonctionnalités suivantes :
Le paquet sudo-ldap sera retiré de Forky. L’équipe sudo de Debian a décidé de l’abandonner en raison de difficultés d’entretien et d’une utilité limitée. Les systèmes nouveaux et existants doivent utiliser libss-sudo à la place.
La mise à niveau de Debian Trixie à Forky sans avoir achevé cette migration peut avoir pour conséquence la perte de l’élévation de privilèges voulue.
Pour plus de détails, veuillez vous référer au bogue 1033728 et au fichier NEWS du paquet sudo.
La fonctionnalité sudo_logsrvd, utilisée pour la journalisation des entrées/sorties de sudo, pourrait être supprimée dans Debian Forky à moins qu’un responsable ne se propose. Ce composant est d’utilité limitée dans le contexte de Debian et son entretien ajoute une complexité inutile au paquet sudo de base.
Pour les discussions en cours, voir le bogue 1101451 et le fichier NEWS du paquet sudo.
Le paquet libnss-docker n’est plus développé en amont et requiert la version 1.21 de l’API Docker. Cette version obsolète de l’API est encore prise en charge par Docker Engine v26 (fourni par Debian Trixie), mais sera retirée de Docker Engine v27+ (fourni par Trixie). À moins que le développement amont ne reprenne, le paquet sera supprimé dans Debian Forky.
Les paquets openssh-client et openssh-server prennent en charge actuellement l’authentification et l’échange de clés GSS-API habituellement utilisés pour s’authentifier aux services Kerberos. Cela a causé certains problèmes, particulièrement du côté serveur où ils ajoutent une nouvelle surface d’attaque avant l’authentification, et les principaux paquets OpenSSH de Debian cesseront donc de les prendre en charge à partir de forky.
Si vous utilisez l’authentification ou l’échange de clés GSS-API (recherchez les options commençant par
GSSAPIdans vos fichiers de configuration de OpenSSH), vous devez installer maintenant le paquet openssh-client-gssapi* (sur les clients) ou le paquet openssh-server-gssapi (sur les serveurs). Dans trixie, ce sont des paquets vides dépendant de openssh-client et openssh-server respectivement ; dans forky, ils seront construits séparément.sbuild-debian-developer-setup a été abandonné au profit de sbuild+unshare
sbuild, l’outil pour construire des paquets Debian dans un environnement minimal, a bénéficié d’une mise à niveau majeure et devrait désormais être directement prêt à l’emploi. Par conséquent, le paquet sbuild-debian-developer-setup n’est plus nécessaire et est devenu obsolète. Vous pouvez essayer la nouvelle version avec :
$ sbuild --chroot-mode=unshare --dist=unstable hello
Les paquets fcitx ont été abandonnés au profit de fcitx5
Le cadriciel de méthode de saisie fcitx, connu aussi sous le nom de fcitx4 ou fcitx 4.x, n’est plus entretenu en amont. Par conséquent, tous les paquets de méthode de saisie connexe sont maintenant obsolètes. Le paquet fcitx et les paquets dont le nom commence par fcitx- seront retirés de Debian forky.
Les utilisateurs actuels de fcitx sont invités à migrer vers fcitx5 en suivant le guide de migration amont de fcitx et la page du Wiki Debian.
The lxd virtual machine management package is no longer being updated and users should move to incus.
After Canonical Ltd changed the license used by LXD and introduced a new copyright assignment requirement, the Incus project was started as a community-maintained fork (see bug 1058592). Debian recommends that you switch from LXD to Incus. The incus-extra package includes tools to migrate containers and virtual machines from LXD.
The isc-dhcp suite is deprecated upstream.
If you are using NetworkManager or systemd-networkd, you can safely remove the isc-dhcp-client package as they both ship their own implementation. If you are using the ifupdown package, dhcpcd-base provides a replacement. The ISC recommends the Kea package as a replacement for DHCP servers.
5.4. Bogues sévères connus
Bien que Debian ne publie de version que lorsqu’elle est prête, cela ne signifie malheureusement pas qu’il n’y a pas de bogues connus. Dans le cadre du processus de publication, tous les bogues de sévérité sérieuse ou plus élevée sont activement suivis par l’équipe de publication, aussi une vue d’ensemble de ces bogues qui ont été marqués comme devant être ignorés dans la partie finale du processus de publication de trixie est disponible dans le système de suivi de bogues de Debian. Les bogues suivants affectent trixie au moment de la publication et méritent d’être mentionnés dans ce document :
Numéro de bogue |
Paquet (source ou binaire) |
Description |
|---|---|---|
akonadi-backend-mysql |
le serveur akonadi ne parvient pas à démarrer puisqu’il ne peut pas se connecter à la base de données mysql |
|
flash-kernel |
available kernels not always updated in u-boot configuration |