5. Problèmes à connaître pour trixie
Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter ou qui exposent à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire les errata, la documentation des paquets concernés, les rapports de bogue et les autres sources d’informations mentionnées dans Lectures pour aller plus loin.
5.1. Éléments à prendre en compte lors de la mise à niveau vers trixie
Cette section concerne les éléments liés à la mise à niveau de bookworm vers trixie
5.1.1. Interrupted remote upgrades
An issue in OpenSSH in bookworm can lead to inaccessible remote systems if an upgrade being supervised over an SSH connection is interrupted. Users may be unable to re-connect to the remote system to resume the upgrade.
Updated packages for bookworm will resolve this issue in Debian 12.12, but this release was still in preparation at the time of releasing trixie. Instead, users planning upgrades to remote systems over an SSH connection are advised to first update OpenSSH to version 1:9.2p1-2+deb12u7 or greater through the stable-updates mechanism.
5.1.2. Prise en charge réduite de l’architecture i386
À partir de Trixie, i386 n’est plus pris en charge comme une architecture normale : il n’y a pas de noyau officiel ni d’installateur Debian pour les systèmes i386. Moins de paquets sont disponibles pour i386, car de nombreux projets ont cessé de le prendre en charge. Le seul objectif restant de cette architecture est de prendre en charge l’exécution de code ancien, par exemple au moyen de multiarch ou d’un chroot sur un système 64 bits (amd64).
L’architecture i386 est désormais destinée uniquement à être utilisée sur les processeurs 64 bits (amd64). La prise en charge de SSE2 fait partie des exigences de son jeu d’instructions, donc il ne fonctionnera pas correctement sur la plupart des types de processeurs 32 bits qui sont pris en charge par Debian 12.
Les utilisateurs de systèmes i386 ne doivent pas mettre à niveau vers Trixie. Debian recommande plutôt soit de réinstaller ces systèmes en amd64, quand cela est possible, soit de réformer le matériel. La mise à niveau croisée (« Cross Grading ») sans réinstallation est une alternative techniquement possible, mais risquée.
5.1.3. Last release for armel
From trixie, armel is no longer supported as a regular architecture: there is no Debian installer for armel systems, and only Raspberry Pi 1, Zero, and Zero W are supported by the kernel packages.
Users running armel systems can upgrade to trixie, provided their hardware is supported by the kernel packages, or they use a third-party kernel.
trixie will be the last release for the armel architecture. Debian recommends, where possible, reinstalling armel systems as armhf or arm64, or retiring the hardware.
5.1.4. Architectures MIPS retirées
À partir de Trixie, les architectures mipsel et mips64el ne sont plus prises en charge par Debian. Il est conseillé aux utilisateurs de ces architectures de passer à un autre matériel.
5.1.5. Ensure /boot has enough free space
The Linux kernel and firmware packages have increased considerably in size in
previous Debian releases and in trixie. As a result your /boot
partition might be too small, causing the upgrade to fail. If your system was
installed with Debian 10 (buster) or earlier, your system is very likely to be
affected.
Before starting the upgrade, make sure your /boot partition is at least 768
MB in size, and has about 300 MB free. If your system does not have a separate
/boot partition, there should be nothing to do.
If /boot is in LVM and too small, you can use lvextend to
increase the size of an LVM partition.
if /boot is a separate partition it is likely easier to reinstall the system.
5.1.6. Le répertoire de fichiers temporaires /tmp est désormais stocké dans un système de fichiers tmpfs
À partir de Trixie, le répertoire /tmp/ est par défaut stocké en mémoire en utilisant un système de fichiers tmpfs(5). Cela devrait rendre les applications qui utilisent des fichiers temporaires plus rapides, mais si vous y mettez de gros fichiers, vous pouvez vous trouver à court de mémoire.
Sur les systèmes mis à niveau à partir de Bookworm, le nouveau comportement ne commence qu’après un redémarrage. Les fichiers demeurés dans /tmp seront cachés après le montage du nouveau tmpfs ce qui entraînera des avertissements dans le journal système ou syslog. Ces fichiers sont accessibles au moyen d’un montage bind (voir mount(1)): l’exécution de mount --bind / /mnt rendra le répertoire sous-jacent accessible dans /mnt/tmp (exécutez umount /mnt une fois les anciens fichiers nettoyés).
Par défaut, 50 % de la mémoire est allouée à /tmp (c’est un maximum : la mémoire n’est utilisée que lorsque les fichiers sont réellement créés dans /tmp). Vous pouvez changer la taille en exécutant systemctl edit tmp.mount en tant que superutilisateur et en définissant par exemple :
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
(voir systemd.mount(5)).
Vous pouvez revenir à /tmp en tant que répertoire normal en exécutant systemctl mask tmp.mount en tant que superutilisateur et en redémarrant.
Les nouvelles valeurs par défaut du système de fichiers peuvent également être remplacées dans « /etc/fstab », de sorte que les systèmes qui définissent déjà une partition /tmp distincte ne soient pas affectés.
5.1.7. openssh-server ne lit plus ~/.pam_environment
Le démon Secure Shell (SSH) fourni par le paquet openssh-server qui permet de se connecter à un système distant ne lit plus le fichier ~/.pam_environment par défaut ; cette fonctionnalité a des antécédents de problèmes de sécurité et elle est devenue obsolète dans les versions actuelles de la bibliothèque Pluggable Authentication Modules (PAM). Si vous utilisez cette fonctionnalité, vous devez passer de la configuration des variables dans ~/.pam_environment à une configuration dans vos fichiers d’initialisation de l’interpréteur de commande (par exemple, ~/.bash_profile ou ~/.bashrc) ou à un autre mécanisme similaire.
Les connexions SSH existantes ne seront pas affectées, mais les nouvelles connexions peuvent se comporter différemment après la mise à niveau. Si vous effectuez une mise à niveau à distance, il est en général judicieux de vous assurer que vous avez un autre moyen de vous connecter au système avant de démarrer la mise à niveau ; consultez Soyez prêts à récupérer le système.
5.1.8. OpenSSH ne gère plus les clés DSA
Les clés DSA (Digital Signature Algorithm), telles que spécifiées dans le protocole Secure Shell (SSH) sont intrinsèquement faibles : elles sont limitées à des clés privées de 160 bits et au condensé SHA-1. L’implémentation SSH fournie par les paquets openssh-client et openssh-server a désactivé la prise en charge par défaut des clés DSA depuis OpenSSH 7.0p1 en 2015, publié avec Debian 9 (« Stretch »), bien qu’elle puisse encore être activée au moyen des options de configuration HostKeyAlgorithms et PubkeyAcceptedAlgorithms pour les clés d’hôte et utilisateur respectivement.
Le seul usage restant de DSA, à ce stade, devrait être la connexion à des appareils très anciens. Pour tout autre usage, les autres types de clé pris en charge par OpenSSH (RSA, EDSA et Ed25519) sont supérieurs.
À partir d’OpenSSH 9.8.p1 dans Trixie, les clés DSA ne sont plus prises en charge même avec les options de configuration citées plus haut. Si vous avez un appareil auquel vous ne pouvez vous connecter qu’avec DSA, vous pouvez utiliser la commande ssh1 fournie par le paquet openssh-client-ssh1 pour le faire.
Dans le cas peu probable où vous utiliseriez encore des clés DSA pour vous connecter à un serveur Debian (si vous avez un doute, vous pouvez vérifier en ajoutant l’option -v à la ligne de commande ssh que vous utilisez pour vous connecter à ce serveur et en cherchant la ligne « Server accepts key: ») vous devrez générer des clés de remplacement avant la mise à niveau. Par exemple, pour générer une nouvelle clé ED25519 et activer les connexions à un serveur avec elle, exécutez les commandes suivantes sur le client, en remplaçant nom_utilisateur@serveur par les noms d’utilisateur et d’hôte appropriés :
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.9. Les commandes last, lastb et lastlog ont été remplacées
Le paquet util-linux ne fournit plus les commandes last ou lastb et le paquet login ne fournit plus lastlog. Ces commandes fournissaient des informations sur les tentatives de connexion précédentes en se servant des fichiers /var/log/wtmp, /var/log/btmp, /var/run/utmp et /var/log/lastlog, mais ces fichiers ne seront plus utilisables après 2038 parce qu’ils n’allouent pas suffisamment d’espace pour stocker l’heure de connexion (le problème de l’année 2038 <https://theyear2038problem.com/>`__) et les développeurs amont ne veulent pas modifier le format des fichiers. La plupart des utilisateurs n’auront pas besoin de remplacer ces commandes par autre chose, mais le paquet util-linux fournit une commande lslogins qui peut vous indiquer quand les comptes ont été utilisés pour la dernière fois.
Il existe deux remplacements directs disponibles : last peut être remplacé par wtmpdb du paquet wtmpdb (le paquet libpam-wtmpdb doit aussi être installé) et lastlog peut être remplacé par lastlog2 du paquet lastlog2 (libpam-lastlog2 doit aussi être installé). Si vous voulez les utiliser, vous devrez installer ces nouveaux paquets après la mise à niveau. Consultez le fichier NEWS.Debian d’util-linux pour davantage d’informations. La commande lslogins --failed fournit des informations similaires à celles de lastb.
Si vous n’installez pas wtmpdb, nous vous recommandons de supprimer les anciens fichiers de journal /var/log/wtmp*. Si vous installez wtmpdb, cela mettra à niveau /var/log/wtmp et vous pourrez lire les anciens fichiers wtmp avec la commande wtmpdb import -f <dest>. Il n’existe pas d’outil pour lire les fichiers /var/log/lastlog* ou /var/log/btmp* : ils peuvent être supprimés après la mise à niveau.
5.1.10. Les systèmes de fichiers chiffrés ont besoin du paquet systemd-cryptsetup
Le prise en charge de la découverte et du montage automatiques des systèmes de fichiers chiffrés a été déplacée dans le nouveau paquet systemd-cryptsetup. Ce nouveau paquet est recommandé par systemd et devrait donc être installé automatiquement lors des mises à niveau;
Assurez-vous que le paquet systemd-cryptsetup est installé avant le redémarrage si vous utilisez des systèmes de fichiers chiffrés.
5.1.11. Les réglages de chiffrement par défaut pour les périphériques dm-crypt en mode simple (plain) ont été modifiés
Les réglages par défaut des périphériques dm-crypt créés en utilisant le chiffrement en mode plain (voir crypttab(5)) ont été modifiés pour améliorer la sécurité. Cela créera des problèmes si vous n’avez pas enregistré les réglages utilisés dans /etc/crypttab. La manière recommandée de configurer les périphériques dm-crypt en mode simple consiste à enregistrer les options cipher, size et hash dans /etc/crypttab ; sinon cryptsetup utilisera les valeurs par défaut et les valeurs par défaut pour les algorithmes de chiffrement et de hachage ont changé dans Trixie, ce qui fera apparaître ces périphériques comme des données aléatoires jusqu’à ce qu’ils soient correctement configurés.
Cela ne s’applique pas aux périphériques LUKS, parce que LUKS enregistre les réglages dans le périphérique lui-même.
Pour configurer correctement les périphériques en mode simple, en supposant qu’ils ont été créés avec les valeurs par défaut pour Bookworm, vous devez ajouter cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 à /etc/crypttab.
Pour accéder à ces périphériques avec cryptsetup en ligne de commande vous pouvez utiliser --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160. Debian vous recommande de configurer les périphériques permanents avec LUKS, ou si vous utilisez le mode simple, d’enregistrer explicitement tous les paramètres de chiffrement requis dans /etc/crypttab. Les nouvelles valeurs par défaut sont cipher=aes-xts-plain64 et hash=sha256.
5.1.12. RabbitMQ ne prend plus en charge les files d’attente HA
Les files d’attente HA (High-availability – haute disponibilité) ne sont plus prises en charge par rabbitmq-server dans Trixie. Pour continuer avec une configuration HA, ces files d’attentes doivent être converties en « files d’attente quorum ».
Si vous disposez d’un déploiement OpenStack, veuillez basculer les files d’attente vers quorum avant la mise à niveau. Veuillez noter également qu’à partir de la version « Caracal » d’OpenStack dans Trixie, OpenStack ne prend en charge que les files d’attente quorum.
5.1.13. RabbitMQ ne peut pas être mis à niveau directement à partir de Bookworm
Il n’existe pas de façon directe et facile pour mettre à niveau RabbitMQ de Bookworm à Trixie. Vous trouverez des détails sur ce problème dans le bogue 1100165.
Le processus de mise à niveau recommandé est de supprimer complètement la base de données rabbitmq et de redémarrer le service (après la mise à niveau de Trixie). Cela peut être réalisé en supprimant /var/lib/rabbitmq/mnesia et tout son contenu.
5.1.14. Les mises à niveau de version majeure de MariaDB ne fonctionnent de manière fiable qu’après un arrêt propre.
MariaDB ne prend pas en charge la récupération d’erreur entre les versions majeures. Par exemple, si un serveur MariaDB 10.11 subit un arrêt brutal dû à une coupure de courant ou d’un défaut logiciel, la base de données doit être redémarrée avec les mêmes binaires MariaDB 10.11 afin de pouvoir réaliser avec succès une récupération d’erreur et de concilier les fichiers de données et les fichiers journaux pour rejouer les transactions qui ont été interrompues ou les annuler.
Si vous tentez d’effectuer une récupération de plantage avec MariaDB 11.8 en utilisant le répertoire de données provenant d’une instance MariaDB 10.11 plantée, le nouveau serveur MariaDB refusera de démarrer.
Pour vous assurer qu’un serveur MariaDB s’est arrêté correctement, avant de procéder à une mise à niveau de version majeure, arrêtez le service avec :
# service mariadb stop
puis vérifiez la présence de Shutdown complete pour confirmer que le vidage de toutes les données et de tous les tampons sur le disque s’est achevé avec succès.
Si le serveur ne s’est pas arrêté correctement, redémarrez-le pour déclencher la récupération du plantage, attendez puis arrêtez-le à nouveau et vérifiez que le deuxième arrêt est correct.
Pour plus d’informations sur la création de sauvegardes et d’autres informations pertinentes pour les administrateurs système, consultez /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.15. Ping ne s’exécute plus avec des privilèges élevés
La version de ping par défaut (fournie par iputils-ping) n’est plus installée avec l’accès à la capacité CAP_NET_RAW de Linux, mais utilise plutôt les sockets de datagramme ICMP_PROTO pour la communication réseau. L’accès à ces sockets est contrôlé en s’appuyant sur l’appartenance des utilisateurs aux groupes Unix en utilisant le contrôle système net.ipv4.ping_group_range. Dans les installations normales, le paquet linux-sysctl-defaults définira cette valeur à une valeur largement permissive, permettant à des utilisateurs non privilégiés d’utiliser ping comme prévu, mais certains scénarios de mise à niveau peuvent ne pas installer ce paquet. Consultez /usr/lib/sysctl.d/50-default.conf et la documentation du noyau pour plus d’informations sur la sémantique de cette variable.
5.1.16. Network interface names may change
Users of systems without easy out-of-band managment are advised to proceed with caution as we’re aware of two circumstances where network interface names assigned by trixie systems may be different from bookworm. This can cause broken network connectivity when rebooting to complete the upgrade.
It is difficult to determine if a given system is affected ahead of time without a detailed technical analysis. Configurations known to be problematic are as follows:
Systems using the Linux i40e NIC driver, see bug #1107187.
Systems where firmware exposes the
_SUNACPI table object which was previously ignored by default in bookworm (systemd.net-naming-scheme v252), but is now used by systemd v257 in trixie. See bug #1092176.You can use the
$ udevadm test-builtin net_setup_linkcommand to see whether the systemd change alone would yield a different name. This needs to be done just before rebooting to finish the upgrade. For example:
# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1 #< Notice the final ID_NET_NAME name is not "enp1s0"!
Users that need names to stay stable across the upgrade are advised to create systemd.link files to « pin » the current name before the upgrade.
5.1.17. Modification de la configuration de Dovecot
La suite de serveur de messagerie dovecot utilise dans Trixie un format de configuration incompatible avec les versions précédentes. Des détails sur ces changements de configuration sont disponibles sur docs.dovecot.org.
Afin d’éviter de potentiels temps d’arrêt prolongés, il est fortement recommandé de porter votre configuration dans un environnement de test avant de débuter la mise à niveau d’un système de messagerie en production.
Veuillez noter également que certaines fonctionnalités ont été retirées par l’amont dans la version 2.4. En particulier, le replicator a disparu. Si vous dépendez de cette fonctionnalité, il est conseillé de ne pas passer à Trixie avant d’avoir trouvé une alternative.
5.1.18. Modifications importantes apportés à l’empaquetage de libvirt
Le paquet libvirt-daemon, qui fournit une API et une boîte à outils pour la gestion des plateformes de virtualisation, a été remanié dans Trixie. Chaque pilote et chaque dorsal de stockage sont fournis désormais dans des paquets binaires distincts, ce qui offre une plus grande flexibilité.
Des précautions sont prises durant les mises à jour à partir de Bookworm pour conserver l’ensemble de composants existants, mais dans certains cas, des fonctionnalités peuvent être temporairement perdues. Nous vous recommandons de vérifier soigneusement la liste des paquets binaires installés après la mise à niveau pour vous assurer que tous ceux qui sont attendus sont présents ; c’est aussi le moment de penser à désinstaller des composants indésirables.
De plus, certains fichiers de configuration peuvent finir marqués comme « obsolètes » après la mise à niveau. Le fichier /usr/share/doc/libvirt-common/NEWS.Debian.gz contient des informations supplémentaires pour vérifier si votre système est affecté par ce problème et comment le corriger.
5.1.19. Samba : l’empaquetage du contrôleur de domaine Active Directory change
La fonctionnalité de contrôleur de domaine Active Directory (AD-DC) a été séparée de samba. Si vous utilisez cette fonctionnalité, vous devez installer le paquet samba-ad-dc.
5.1.20. Samba : modules VFS
Le paquet samba-vfs-modules a été réorganisé. Les plupart des modules VFS sont maintenant inclus dans le paquet samba. Cependant les modules pour ceph et glusterfs ont été individualisés dans samba-vfs-ceph et samba-vfs-glusterfs.
5.1.21. OpenSSL fournit maintenant TLS OpenLDAP
La prise en charge de TLS dans le client libldap2 et le serveur slapd OpenLDAP est fournie désormais par OpenSSL au lieu de GnuTLS. Cela affecte les options de configuration disponibles ainsi que leur comportement.
Vous trouverez des détails sur les options modifiées dans /usr/share/doc/libldap2/NEWS.Debian.gz.
Si aucun certificat d’autorité de certification n’est spécifié, le magasin de certificats de confiance par défaut du système sera chargé automatiquement. Si vous ne voulez pas des autorités de certification par défaut, vous devez configurer explicitement les autorités de certification de confiance.
Pour d’avantage d’informations sur la configuration du client LDAP, consultez la page de manuel ldap.conf.5. Pour le serveur LDAP (slapd), voir /usr/share/doc/slapd/README.Debian.gz et la page de manuel slapd-config.5.
5.1.22. bacula-director : la mise à jour du schéma de la base de données nécessite beaucoup d’espace disque et de temps
La base de données de Bacula subira une modification substantielle de son schéma lors de la mise à niveau vers trixie.
La mise à niveau de la base de données peut prendre plusieurs heures voire plusieurs jours selon sa taille et les performances de votre serveur de base de données.
La mise à niveau aura besoin temporairement du double à peu près de l’espace disque occupé actuellement sur le serveur de base de données, et en plus de suffisamment de place pour conserver un vidage de sauvegarde de la base de données de Bacula dans /var/cache/dbconfig-common/backups.
Un manque d’espace disque pendant la mise à niveau peut corrompre la base de données et empêcher l’installation de Bacula de fonctionner correctement.
5.1.23. dpkg : avertissement : impossible de supprimer l’ancien répertoire : …
Durant la mise à niveau, dpkg affichera des avertissements comme celui-ci pour divers paquets. Cela est dû à la finalisation du projet usrmerge, et les avertissements peuvent être ignorés sans problème.
Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty
5.1.24. L’omission de mises à niveau n’est pas prise en charge”
Comme pour toute autre version de Debian, les mises à niveau doivent être effectuées à partir de la version précédente. De plus, toutes les mises à jour intermédiaires doivent être installées. Voir Démarrer depuis une Debian « pure ».
L’omission de versions lors de la mise à niveau n’est explicitement pas prise en charge.
Pour trixie, la finalisation du projet usrmerge exige que la mise à niveau vers bookworm soit achevée avant de démarrer la mise à niveau vers trixie.
5.1.25. WirePlumber dispose d’un nouveau système de configuration
WirePlumber dispose d’un nouveau système de configuration. Pour la configuration par défaut, vous n’avez rien à faire ; pour des réglages personnalisés voir /usr/share/doc/wireplumber/NEWS.Debian.gz.
5.1.26. Migration de strongSwan vers un nouveau démon charon
La suite IKE/IPsec strongSwan migre de l’ancien charon-daemon (utilisant la commande ipsec(8) et configuré dans /etc/ipsec.conf) vers charon-systemd (géré avec les outils :url-man- de stable:swanctl(8) et configuré dans /etc/swanctl/conf.d). La version de Trixie du métapaquet strongswan intégrera les nouvelles dépendances, mais les installations existantes ne seront pas affectées tant que charon-daemon sera gardé installé. Il est conseillé aux utilisateurs de migrer leur installation vers la nouvelle configuration en suivant la page migration amont.
5.1.27. propriétés udev de sg3-utils manquantes
À cause du bogue n° 1109923 <https://bugs.debian.org/1109923>`__ dans sg3-utils, les périphériques SCSI ne reçoivent pas toutes les propriétés dans la base de données « udev ». Si votre installation repose sur des propriétés injectées par le paquet sg3-utils-udev, vous pouvez soit migrer sans ces périphériques, soit vous préparer à déboguer les échecs après le redémarrage dans trixie.
5.1.28. Choses à faire avant de redémarrer
Lorsque apt full-upgrade a terminé, la mise à niveau « proprement dite » est terminée. Pour la mise à niveau vers trixie il n’y a rien de particulier à faire avant de redémarrer.
5.2. Éléments non limités au processus de mise à niveau
5.2.1. Les répertoires /tmp et /var/tmp sont désormais régulièrement nettoyés
Dans les nouvelles installations, systemd-tmpfiles supprimera désormais régulièrement les fichiers anciens dans /tmp et /var/tmp pendant l’exécution du système. Cette modification rend Debian cohérente avec les autres distributions. Parce qu’il y a un faible risque de perte de données, un choix vous sera offert : la mise à niveau vers Trixie créera un fichier /etc/tmpfiles.d/tmp.conf rétablissant l’ancien comportement. Ce fichier peut être supprimé pour adopter la nouvelle valeur par défaut ou modifié pour définir des règles personnalisées. La suite de cette section explique le nouveau comportement par défaut et comment le personnaliser.
Le nouveau comportement par défaut de ces fichiers dans /tmp est d’être automatiquement supprimés 10 jours après leur dernière utilisation (et après un redémarrage). Les fichiers dans /var/tmp sont supprimés après 30 jours (mais pas après un redémarrage).
Avant d’adopter le nouveau comportement par défaut, vous pouvez soit adapter les programmes locaux qui stockent des données dans /tmp ou /var/tmp pendant de longues périodes afin qu’ils utilisent des emplacements différents tels que ~/tmp/, ou indiquer à systemd-tmpfiles d’exclure la suppression de leurs fichiers de données en créant un fichier local-tmp-files.conf dans /etc/tmpfiles.d contenant des lignes telles que :
x /var/tmp/my-precious-file.pdf
x /tmp/foo
Veuillez consulter systemd-tmpfiles(8) et tmpfiles.d(5) pour plus d’informations.
5.2.2. Message de systemd : System is tainted: unmerged-bin
La version amont de systemd, depuis la version 256, considère les systèmes qui possèdent des répertoires /usr/bin et /usr/sbin distincts comme devant être signalés. Au démarrage systemd émet un message pour enregistrer ce fait : System is tainted: unmerged-bin.
Il est recommandé d’ignorer ce message. La fusion manuelle de ces répertoires n’est pas prise en charge et cassera les mises à niveau ultérieures. Pour plus de détails consultez le bogue nº1085370.
5.2.3. Limitations de la prise en charge de sécurité
Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour des problèmes de sécurité. Cela est développé dans les sous-sections suivantes.
Note
Le paquet debian-security-support aide à suivre l’état de la prise en charge du suivi de sécurité des paquets installés.
5.2.3.1. État de sécurité des navigateurs web et de leurs moteurs de rendu
Debian 13 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches entretenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent extrêmement difficile la mise à niveau vers une nouvelle version. Les applications utilisant le paquet source webkit2gtk (par exemple, epiphany) sont couvertes par la prise en charge de sécurité, mais les applications utilisant qtwebkit (paquet source qtwebkit-opensource-src) ne les sont pas.
Pour une utilisation classique, nous recommandons les navigateurs Firefox ou Chromium. Ceux-ci seront maintenus à jour en recompilant les versions ESR actuelles pour stable. La même stratégie sera appliquée pour Thunderbird.
Une fois qu’une version devient oldstable, les navigateurs pris en charge officiellement ne peuvent pas continuer à recevoir des mises à jour durant la période normale de couverture. Par exemple, Chromium ne recevra que pendant six mois une prise en charge de sécurité dans Oldstable au lieu des douze mois habituels.
5.2.3.2. Paquets basés sur Go et Rust
L’infrastructure de Debian a actuellement des problèmes pour recompiler correctement les types de paquet qui ont systématiquement recours aux liensstatiques. Avec la croissance de l’écosystème de Go et de Rust cela signifie que ces paquets seront couverts par une prise en charge de sécurité limitée jusqu’à ce que l’infrastructure soit améliorée pour pouvoir les gérer durablement.
Dans la plupart des cas, si des mises à jour sont justifiées pour les bibliothèques de développement de Go ou de Rust, elles ne seront publiées que lors des mises à jour intermédiaires normales.
5.2.4. Problèmes affectant les VM sur PowerPC petit boutiste 64 bits (ppc64el)
Actuellement QEMU essaye toujours de configurer les machines virtuelles PowerPC pour qu’elles prennent en charge les pages mémoire de 64 Kio. Cela ne fonctionne pas sur les machines virtuelles accélérées par KVM utilisant le paquet du noyau par défaut.
Si le système d’exploitation invité peut utiliser une taille de page de 4 Kio, vous devez définir la propriété de la machine
cap-hpt-max-page-size=4096. Par exemple :$ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
Si le système d’exploitation invité requiert une taille de page de 64 Kib, vous devez installer le paquet linux-image-powerpc64le-64k ; voir Taille de page sur PowerPC petit-boutiste 64 bits (ppc64el).
5.3. Obsolescence et dépréciation
5.3.1. Paquets notablement obsolètes
La liste suivante contient des paquets connus et notablement obsolètes (voir Paquets obsolètes pour une description).
La liste des paquets obsolètes contient :
Le paquet libnss-gw-name a été retiré de trixie. Le développeur amont suggère d’utiliser libnss-myhostname à la place.
Le paquet pcregrep a été retiré de trixie. Il peut être remplacé par
grep -P(--perl-regexp) oupcre2grep(fourni par pcre2-utils).Le paquet request-tracker4 a été retiré de Trixie. Il a été remplacé par request-tracker5 qui contient des instructions sur la manière de migrer vos données : vous pouvez conserver le paquet request-tracker4 désormais obsolète installé à partir de Bookworm pendant la migration.
Les paquets git-daemon-run et git-daemon-sysvinit ont été retirés de Trixie pour des raisons de sécurité.
Les paquets nvidia-graphics-drivers-tesla-470 ne sont plus pris en charge en amont et ont été retirés de Trixie.
Le paquet deborphan a été retiré de Trixie. Pour supprimer des paquets inutiles,
apt autoremovedoit être utilisé aprèsapt-mark minimize-manual. debfoster peut également être un outil utile.The tldr package has been removed from trixie. It can be replaced with tealdeer or tldr-py packages.
The tpp (Text Presentation Program) package has been removed from trixie. It can be replaced with lookatme or patat packages.
5.3.2. Composants dépréciés pour trixie
Avec la prochaine publication de Debian 14 (nom de code forky), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des remplaçants pour éviter les problèmes lors de la mise à jour vers Debian 14.
Cela comprend les fonctionnalités suivantes :
Le paquet sudo-ldap sera retiré de Forky. L’équipe sudo de Debian a décidé de l’abandonner en raison de difficultés d’entretien et d’une utilité limitée. Les systèmes nouveaux et existants doivent utiliser libss-sudo à la place.
La mise à niveau de Debian Trixie à Forky sans avoir achevé cette migration peut avoir pour conséquence la perte de l’élévation de privilèges voulue.
Pour plus de détails, veuillez vous référer au bogue 1033728 et au fichier NEWS du paquet sudo.
La fonctionnalité sudo_logsrvd, utilisée pour la journalisation des entrées/sorties de sudo, pourrait être supprimée dans Debian Forky à moins qu’un responsable ne se propose. Ce composant est d’utilité limitée dans le contexte de Debian et son entretien ajoute une complexité inutile au paquet sudo de base.
Pour les discussions en cours, voir le bogue 1101451 et le fichier NEWS du paquet sudo.
Le paquet libnss-docker n’est plus développé en amont et requiert la version 1.21 de l’API Docker. Cette version obsolète de l’API est encore prise en charge par Docker Engine v26 (fourni par Debian Trixie), mais sera retirée de Docker Engine v27+ (fourni par Trixie). À moins que le développement amont ne reprenne, le paquet sera supprimé dans Debian Forky.
Les paquets openssh-client et openssh-server prennent en charge actuellement l’authentification et l’échange de clés GSS-API habituellement utilisés pour s’authentifier aux services Kerberos. Cela a causé certains problèmes, particulièrement du côté serveur où ils ajoutent une nouvelle surface d’attaque avant l’authentification, et les principaux paquets OpenSSH de Debian cesseront donc de les prendre en charge à partir de forky.
Si vous utilisez l’authentification ou l’échange de clés GSS-API (recherchez les options commençant par
GSSAPIdans vos fichiers de configuration de OpenSSH), vous devez installer maintenant le paquet openssh-client-gssapi* (sur les clients) ou le paquet openssh-server-gssapi (sur les serveurs). Dans trixie, ce sont des paquets vides dépendant de openssh-client et openssh-server respectivement ; dans forky, ils seront construits séparément.sbuild-debian-developer-setup a été abandonné au profit de sbuild+unshare
sbuild, l’outil pour construire des paquets Debian dans un environnement minimal, a bénéficié d’une mise à niveau majeure et devrait désormais être directement prêt à l’emploi. Par conséquent, le paquet sbuild-debian-developer-setup n’est plus nécessaire et est devenu obsolète. Vous pouvez essayer la nouvelle version avec :
$ sbuild --chroot-mode=unshare --dist=unstable hello
Les paquets fcitx ont été abandonnés au profit de fcitx5
Le cadriciel de méthode de saisie fcitx, connu aussi sous le nom de fcitx4 ou fcitx 4.x, n’est plus entretenu en amont. Par conséquent, tous les paquets de méthode de saisie connexe sont maintenant obsolètes. Le paquet fcitx et les paquets dont le nom commence par fcitx- seront retirés de Debian forky.
Les utilisateurs actuels de fcitx sont invités à migrer vers fcitx5 en suivant le guide de migration amont de fcitx et la page du Wiki Debian.
Le paquet de gestion de machine virtuelle lxd n’est plus mis à jour et les utilisateurs doivent migrer vers incus.
Après que Canonical Ltd a changé la licence utilisée par LXD et introduit une nouvelle exigence de cession de copyright, le projet Incus a été lancé comme un « fork » géré par la communauté (voir le bug 1058592<https://bugs.debian.org/1058592>). Debian recommande de migrer de LXD vers Incus. Le paquet incus-extra inclut des outils pour migrer les conteneurs et les machines virtuelles depuis LXD.
La suite isc-dhcp est obsolète en amont.
Si vous utilisez NetworkManager ou systemd-networkd, vous pouvez sans risque retirer le paquet isc-dhcp-client, car tous les deux fournissent leur propre implémentation. Si vous utilisez le paquet ifupdown, dhcpcd-base fournit une alternative. ISC recommande le paquet Kea comme remplacement des serveurs DHCP.
KDE Frameworks 5 development has stopped.
The upstream KDE projects have shifted ther development efforts to the Qt 6-based KDE Frameworks 6 libraries, and the Qt 5-based KDE Frameworks 5 are not being maintained anymore.
The Debian Qt / KDE team plans to remove KDE Frameworks 5 from Debian during the forky development cycle.
5.4. Bogues sévères connus
Bien que Debian ne publie de version que lorsqu’elle est prête, cela ne signifie malheureusement pas qu’il n’y a pas de bogues connus. Dans le cadre du processus de publication, tous les bogues de sévérité sérieuse ou plus élevée sont activement suivis par l’équipe de publication, aussi une vue d’ensemble de ces bogues qui ont été marqués comme devant être ignorés dans la partie finale du processus de publication de trixie est disponible dans le système de suivi de bogues de Debian. Les bogues suivants affectent trixie au moment de la publication et méritent d’être mentionnés dans ce document :
Numéro de bogue |
Paquet (source ou binaire) |
Description |
|---|---|---|
akonadi-backend-mysql |
akonadi server not robust against mysql upgrades |
|
apt |
apt update silently leaves old index data |
|
artha |
Segmentation fault |
|
bacula-director-sqlite3 |
bacula-common: preinst intentionally aborts unattended upgrade of bacula-director |
|
src:e2fsprogs |
mc: error while loading shared libraries: libcom_err.so.2: cannot open shared object file |
|
flash-kernel |
A higher version (…) is still installed, no reflashing required |
|
gcc-offload-amdgcn |
fails to dist-upgrade from bookworm to trixie |
|
git-merge-changelog |
git-merge-changelog loses or corrupts ChangeLog entries |
|
src:grub2 |
upgrade-reports: Dell XPS 9550 fails to boot after bullseye to bookworm upgrade - grub/bios interaction bug? |
|
grub-efi-amd64 |
upgrade-reports: Bookworm to Trixie [amd64][EFI] initramfs unpacking failed invalid magic at start of compressed archive |
|
grub-efi-amd64 |
UEFI boot option removed after update to grub2 2.02~beta3-5+deb9u1 |
|
grub-efi-amd64 |
upgrade works, boot fails (error: symbol grub_is_lockdown not found) |
|
kmod |
initramfs-tools 146 generates incorrect initramfs : does not boot, does not find root fs |
|
libreoffice-core |
Concurrent file open on the same host results file deletion |
|
src:librsvg |
Contains generated files whose source is not necessarily the same version that’s in main |
|
src:linux |
linux-image-6.12.35+deb13-amd64: hangs during boot, before dmcrypt passphrase prompt |
|
liblldb-dev |
fails to dist-upgrade from bookworm to trixie |
|
libmlir-17t64 |
libmlir-17t64 is couninstallable |
|
src:llvm-toolchain-18 |
llvm-toolchain-*: assembly code seems to depend on build cpu capabilities |
|
libc++-18-dev,libunwind-18-dev,libc++abi1-18,libc++abi-18-dev,libunwind-18 |
libc++-18-dev fails to coinstall |
|
libmlir-18 |
libmlir-18 is Multi-Arch: same but fails to coinstall |
|
src:llvm-toolchain-19 |
llvm-toolchain-*: assembly code seems to depend on build cpu capabilities |
|
llvm-19 |
llvm-toolchain-19: unsoundness/miscompilations on i386 |
|
libmlir-19 |
libmlir-19 fails to coinstall |
|
mbox-importer |
fails to dist-upgrade from bookworm to trixie (removed during dist-upgrade) |
|
openshot-qt |
does not start at all – AttributeError: type object “GreenSocket” has no attribute “sendmsg” |
|
python3.13 |
An object referenced only through it’s own __dict__ can get collected too early |
|
src:shim |
Supporting rootless builds by default |
|
snapd |
core18-based snap apps don’t work with fonts-cantarell containing variable font |
|
python3-tqdm |
segmentation fault in destructor method |
|
src:vala |
Ships autogenerated files that can’t be renegerated with the code in Debian main |
|
voctomix-gui |
cannot import SafeConfigParser |
|
src:xen |
xen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device |