5. Problemas a tener en cuenta para trixie
Algunas veces los cambios tienen efectos colaterales que no podemos evitar, o aparecen fallos en otro lugar. A continuación se documentan los problemas que conocemos. Puede leer también la fe de erratas, la documentación de los paquetes relevantes, los informes de fallos y otra información mencionada en Para leer más.
5.1. Actualizar elementos específicos para trixie
Esta sección cubre los elementos relacionados con la actualización de bookworm a trixie.
5.1.1. Reduced support for i386
A partir de trixie, i386 ya no está soportada como una arquitectura regular: no hay un núcleo oficial ni un instalador de Debian para sistemas i386. Hay menos paquetes disponibles para i386 porque muchos proyectos ya no la soportan. El único propósito restante de esta arquitectura es dar soporte a la ejecución de código heredado, por ejemplo, mediante multiarch o un chroot.
Los usuarios que ejecuten sistemas i386 no deberían actualizar a trixie. En su lugar, Debian recomienda reinstalarlos como amd64, donde sea posible, o retirar el hardware. El Cross-grading sin reinstalar es una alternativa técnicamente posible, pero arriesgada.
5.1.2. openssh-server ya no lee ~/.pam_environment
El daemon de Secure Shell (SSH) proporcionado en el paquete openssh-server, que permite inicios de sesión desde sistemas remotos, ya no lee el archivo ~/.pam_environment del usuario por defecto; esta característica tiene un historial de problemas de seguridad y ha sido obsoleta en las versiones actuales de la biblioteca Pluggable Authentication Modules (PAM). Si usaba esta característica, debería cambiar de establecer variables en ~/.pam_environment a establecerlas en sus archivos de inicialización del shell (p. ej. ~/.bash_profile o ~/.bashrc) o algún otro mecanismo similar en su lugar.
Las conexiones SSH existentes no se verán afectadas, pero las nuevas conexiones pueden comportarse de manera diferente después de la actualización. Si está actualizando remotamente, normalmente es una buena idea asegurarse de que tiene alguna otra forma de iniciar sesión en el sistema antes de iniciar la actualización; vea Prepararse para la recuperación.
5.1.3. OpenSSH ya no soporta claves DSA
Las claves del Algoritmo de Firma Digital (DSA), como se especifica en el protocolo de Secure Shell (SSH), son inherentemente débiles: están limitadas a claves privadas de 160 bits y el resumen SHA-1. La implementación SSH proporcionada por los paquetes openssh-client y openssh-server ha deshabilitado el soporte para claves DSA por defecto desde OpenSSH 7.0p1 en 2015, liberado con Debian 9 ("stretch"), aunque aún podía habilitarse usando las opciones de configuración HostKeyAlgorithms y PubkeyAcceptedAlgorithms para claves de host y de usuario respectivamente.
Los únicos usos restantes de DSA en este punto deberían ser conectarse a algunos dispositivos muy antiguos. Para todos los demás propósitos, los otros tipos de claves soportados por OpenSSH (RSA, ECDSA y Ed25519) son superiores.
A partir de OpenSSH 9.8p1 en trixie, las claves DSA ya no están soportadas ni siquiera con las opciones de configuración mencionadas anteriormente. Si tiene un dispositivo al que solo puede conectarse usando DSA, entonces puede usar el comando ssh1 proporcionado por el paquete openssh-client-ssh1 para hacerlo.
En el caso improbable de que aún esté usando claves DSA para conectarse a un servidor Debian (si no está seguro, puede verificarlo agregando la opción -v a la línea de comandos ssh que usa para conectarse a ese servidor y buscar la línea "Server accepts key:"), entonces debe generar claves de reemplazo antes de actualizar. Por ejemplo, para generar una nueva clave Ed25519 y habilitar inicios de sesión a un servidor usándola, ejecute esto en el cliente, reemplazando username@server con los nombres de usuario y host apropiados:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.4. The last, lastb and lastlog commands have been replaced
The util-linux package no longer provides the last or lastb commands,
and the login package no longer provides lastlog.
These commands provided information about previous login
attempts using /var/log/wtmp, /var/log/btmp, /var/run/utmp and
/var/log/lastlog, but these files will not be usable after 2038
because they do not allocate enough space to store the login time (the
Year 2038 Problem), and the
upstream developers do not want to change the file formats. Most
users will not need to replace these commands with anything, but the
util-linux package provides a lslogins command which can tell you
when accounts were last used.
There are two direct replacements available:
last can be replaced by wtmpdb from the wtmpdb package (the
libpam-wtmpdb package also needs to be installed) and lastlog can
be replaced by lastlog2 from the lastlog2 package
(libpam-lastlog2 also needs to be installed). If you want to use
these, you will need to install the new packages after the upgrade,
see the util-linux NEWS.Debian
for further information. The command lslogins --failed provides
similar information to lastb.
If you do not install wtmpdb then we recommend you remove old log
files /var/log/wtmp*. If you do install wtmpdb it will upgrade
/var/log/wtmp and you can read older wtmp files with wtmpdb
import -f <dest>. There is no tool to read /var/log/lastlog*
or /var/log/btmp* files: they can be deleted after the upgrade.
5.1.5. RabbitMQ ya no soporta colas (queues) HA
Las colas de alta disponibilidad (HA) ya no están soportadas por rabbitmq-server a partir de trixie. Para continuar con una configuración HA, estas colas necesitan cambiarse a "quorum queues".
Si tiene un despliegue de OpenStack, por favor cambie las colas a quorum antes de actualizar. Tenga en cuenta también que comenzando con la versión "Caracal" de OpenStack en trixie, OpenStack soporta solo quorum queues.
5.1.6. RabbitMQ no puede ser actualizado directamente desde bookworm
No hay una ruta de actualización directa y fácil para RabbitMQ desde bookworm a trixie. Los detalles sobre este problema se pueden encontrar en el bug 1100165.
La ruta de actualización recomendada es limpiar completamente la base de datos de rabbitmq y reiniciar el servicio (después de la actualización a trixie). Esto puede hacerse eliminando /var/lib/rabbitmq/mnesia y todo su contenido.
5.1.7. MariaDB major version upgrades only work reliably after a clean shutdown
MariaDB does not support error recovery across major versions. For example if a MariaDB 10.11 server experienced an abrupt shutdown due to power loss or software defect, the database needs to be restarted with the same MariaDB 10.11 binaries so it can do successful error recovery and reconcile the data files and log files to roll-forward or revert transactions that got interrupted.
If you attempt to do crash recovery with MariaDB 11.8 using the data directory from a crashed MariaDB 10.11 instance, the newer MariaDB server will refuse to start.
To ensure a MariaDB Server is shut down cleanly before going into major version upgrade, stop the service with
# service mariadb stop
followed by checking server logs for Shutdown complete to confirm that
flushing all data and buffers to disk completed successfully.
If it didn't shut down cleanly, restart it to trigger crash recovery, wait, stop again and verify that second stop was clean.
For additional information about how to make backups and other relevant information for system administrators, please see /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.8. Ping ya no se ejecuta con privilegios elevados
The default version of ping (provided by iputils-ping) is no longer
installed with access to the CAP_NET_RAW linux
capability, but instead uses ICMP_PROTO datagram sockets for
network communication. Access to these sockets is controlled based on
the user's Unix group membership using the
net.ipv4.ping_group_range sysctl. In normal installations, the
linux-sysctl-defaults package will set this value to a broadly
permissive value, allowing unprivileged users to use ping as expected,
but some upgrade scenarios may not automatically install this package.
See /usr/lib/sysctl.d/50-default.conf and the kernel
documentation for
more information on the semantics of this variable.
5.1.9. Significant changes to libvirt packaging
The libvirt-daemon package, which provides an API and toolkit for managing virtualization platforms, has been overhauled in trixie. Each driver and storage backend now comes in a separate binary package, which enables much greater flexibility.
Care is taken during upgrades from bookworm to retain the existing set of components, but in some cases functionality might end up being temporarily lost. We recommend that you carefully review the list of installed binary packages after upgrading to ensure that all the expected ones are present; this is also a great time to consider uninstalling unwanted components.
In addition, some conffiles might end up marked as "obsolete" after
the upgrade. The /usr/share/doc/libvirt-common/NEWS.Debian.gz
file contains additional information on how to verify whether your
system is affected by this issue and how to address it.
5.1.10. Cosas a hacer después de la actualización y antes de reiniciar
Cuando haya terminado apt full-upgrade la actualización "formal" se habrá completado. No hay que hacer ninguna acción especial antes del siguiente reinicio del sistema tras la actualización a trixie.
5.2. Elementos no limitados durante el proceso de actualización
5.2.1. Limitaciones en el soporte de seguridad
Hay algunos paquetes para los que Debian no puede comprometerse a proporcionar versiones actualizadas resolviendo problemas de seguridad. La información de estos paquetes se cubre en las siguientes subsecciones.
Nota
El paquete debian-security-support ayuda a supervisar el estado de soporte de seguridad de los paquetes instalados en el sistema.
5.2.1.1. Estado de seguridad en los navegadores web y sus motores de render
Debian 13 incluye varios motores de navegador que están afectados por un flujo constante de vulnerabilidades de seguridad. La alta tasa de vulnerabilidades y la falta parcial de soporte upstream en forma de ramas de largo plazo hace muy difícil soportar estos navegadores y motores con correcciones de seguridad portadas hacia atrás. Adicionalmente, las interdependencias de bibliotecas hacen extremadamente difícil actualizar a versiones upstream más nuevas. Las aplicaciones que usan el paquete fuente webkit2gtk (p. ej. epiphany) están cubiertas por soporte de seguridad, pero las aplicaciones que usan qtwebkit (paquete fuente qtwebkit-opensource-src) no lo están.
Para la navegación web general se recomienda utilizar Firefox o Chromium. Se mantendrán actualizados mediante la reconstrucción de las versiones ESR actuales para stable. La misma estrategia se aplicará para Thunderbird.
Una vez que una versión se convierte en oldstable, los navegadores con soporte oficial pueden no continuar recibiendo actualizaciones durante el período estándar de cobertura. Por ejemplo, Chromium solo recibirá 6 meses de soporte de seguridad en oldstable en lugar de los típicos 12 meses.
5.2.1.2. Paquetes basados en Go y Rust
La infraestructura de Debian actualmente tiene problemas con la reconstrucción de paquetes de tipos que sistemáticamente usan enlazado estático. Con el crecimiento de los ecosistemas de Go y Rust significa que estos paquetes tendrán cobertura limitada de soporte de seguridad hasta que la infraestructura sea mejorada para manejarlos de manera sostenible.
En la mayoría de los casos si las actualizaciones están justificadas para las bibliotecas de desarrollo de Go o Rust, solo se publicarán a través de versiones menores regulares.
5.3. Obsolescencia y deprecación
5.3.1. Paquetes obsoletos notables
A continuación se muestra una lista de los paquetes conocidos y notables que ahora están obsoletos (consulte Paquetes obsoletos para obtener una descripción).
La lista de paquetes obsoletos incluye:
El paquete libnss-gw-name ha sido eliminado de trixie. El desarrollador upstream sugiere usar libnss-myhostname en su lugar.
El paquete pcregrep ha sido eliminado de trixie. Se puede reemplazar con
grep -P(--perl-regexp) opcre2grep(de pcre2-utils).
5.3.2. Componentes obsoletos de trixie
Con la publicación de Debian 14 (nombre en clave forky) algunas funcionalidades estarán obsoletas. Los usuarios deben migrar a otras alternativas para evitar problemas al actualizar a Debian 14.
Esto incluye las siguientes funcionalidades:
The sudo-ldap package will be removed in forky. The Debian sudo team has decided to discontinue it due to maintenance difficulties and limited use. New and existing systems should use libsss-sudo instead.
Upgrading Debian trixie to forky without completing this migration may result in the loss of intended privilege escalation.
For further details, please refer to bug 1033728 and to the NEWS file in the sudo package.
The sudo_logsrvd feature, used for sudo input/output logging, may be removed in Debian forky unless a maintainer steps forward. This component is of limited use within the Debian context, and maintaining it adds unnecessary complexity to the basic sudo package.
For ongoing discussions, see bug 1101451 and the NEWS file in the sudo package.
El paquete libnss-docker ya no se desarrolla upstream y requiere la versión 1.21 de la API de Docker. Esa versión de API obsoleta aún es compatible con Docker Engine v26 (incluido en Debian trixie) pero será eliminada en Docker Engine v27+ (incluido en Debian forky). A menos que se reanude el desarrollo upstream, el paquete será eliminado en Debian forky.
Los paquetes openssh-client y openssh-server actualmente soportan autenticación e intercambio de claves GSS-API, que usualmente se usa para autenticar a servicios Kerberos. Esto ha causado algunos problemas, especialmente en el lado del servidor donde añade nueva superficie de ataque de preautenticación, y los paquetes principales de OpenSSH de Debian, por tanto dejarán de soportarlo a partir de forky.
Si está usando autenticación GSS-API o intercambio de claves (busque opciones que empiecen con
GSSAPIen sus archivos de configuración de OpenSSH) entonces debería instalar el paquete openssh-client-gssapi (en clientes) o openssh-server-gssapi (en servidores) ahora. En trixie, estos son paquetes vacíos que dependen de openssh-client y openssh-server respectivamente; en forky, se construirán por separado.sbuild-debian-developer-setup ha quedado obsoleto en favor de sbuild+unshare
sbuild, la herramienta para construir paquetes de Debian en un entorno mínimo, ha tenido una actualización mayor y debería funcionar sin configuración adicional ahora. Como resultado, el paquete sbuild-debian-developer-setup ya no es necesario y ha quedado obsoleto. Puede probar la nueva versión con:
$ sbuild --chroot-mode=unshare --dist=unstable hello
The fcitx packages have been deprecated in favor of fcitx5
The fcitx input method framework, also known as fcitx4 or fcitx 4.x, is no longer maintained upstream. As a result, all related input method packages are now deprecated. The package fcitx and packages with names beginning with fcitx- will be removed in Debian forky.
Existing fcitx users are encouraged to switch to fcitx5 following the fcitx upstream migration guide and Debian Wiki page.
5.4. Bugs graves conocidos
Aunque Debian publica versiones cuando están listas, eso desafortunadamente no significa que no haya bugs conocidos. Como parte del proceso de publicación todos los bugs de severidad grave o superior son rastreados activamente por el Release Team, así que un resumen de esos bugs que fueron etiquetados para ser ignorados en la última parte de la publicación de trixie se puede encontrar en el Debian Bug Tracking System. Los siguientes bugs estaban afectando a trixie al momento de la publicación y vale la pena mencionarlos en este documento:
Número de bug |
Paquete (fuente o binario) |
Descripción |
|---|---|---|
akonadi-backend-mysql |
el servidor akonadi falla al iniciar ya que no puede conectarse a la base de datos mysql |
|
faketime |
faketime no simula el tiempo (en i386) |
|
src:fuse3 |
proporcionar ruta de actualización fuse -> fuse3 para bookworm |
|
g++-12 |
tree-vectorize: Código incorrecto en nivel O2 (-fno-tree-vectorize funciona) |
|
src:gluegen2 |
incluye cabeceras non-free |