Uma característica das bibliotecas de criptografia usadas nas bibliotecas LDAP faz com que programas que usem LDAP e tentem mudar seus privilégios efetivos falhem quando conectam a um servidor LDAP usando TLS ou SSL. Isso pode causar problemas para programas setuid nos sistemas que usam libnss-ldap, como o sudo, su ou schroot e para programas setuid que realizam buscas LDAP, como o sudo-ldap.

É recomendado substituir o pacote libnss-ldap pelo libnss-ldapd, uma biblioteca mais nova que usa um daemon separado (nslcd) para todas as buscas LDAP. O substituto para o libpam-ldap é o libpam-ldapd.

Note que o libnss-ldapd recomenda o daemon de cache NSS (nscd) que você deve avaliar se é adequado para seu ambiente antes da instalação. Como uma alternativa ao nscd, você pode considerar o unscd.

Informações adicionais estão disponíveis nos bugs #566351 e #545414.

O Debian 7.0 inclui diversos motores de navegadores que são afetados por um fluxo constante de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a ausência parcial de suporte do upstream na forma de ramos de longo prazo tornam muito difícil o suporte a esses navegadores com correções de segurança adaptadas. Por isso, as interdependências das bibliotecas tornam impossível atualizar para uma versão upstream mais nova. Como tal, navegadores feitos sobre os motores webkit, qtwebkit e khtml foram incluídos no Wheezy, mas não estão cobertos pelo suporte de segurança. Esses navegadores não devem ser usados em sites web não confiáveis.

Para uso geral de navegador web nós recomendamos navegadores com base no motor Mozilla xulrunner (Iceweasel e Iceape) ou Chromium.

O Xulrunner tem tido um histórico de boa adaptabilidade para versões mais antigas ao longo dos ciclos de lançamento anteriores. O Chromium - enquanto construído sob a base de código da Webkit - é um pacote sem dependência, que será mantido atualizado pela reconstrução das atuais versões do Chromium para a “stable”.

O ConsoleKit no Debian 7.0 não considera sessões iniciadas usando startx ou gerenciadores de tela sem integração com o consolekit (por exemplo, xdm ou slim) de modo local, o que pode impedir o acesso a alguns dispositivos.

Nós recomendamos o uso do gdm3, kdm ou lightdm ao invés disso.

Por padrão, algumas ferramentas de acessibilidade não são habilitadas no gerenciador de tela do GNOME (gdm3). A forma mais simples de habilitar a ampliação ou um teclado visual é ativar o recepcionista (“greeter”) do “shell”.

Para fazer isso, edite o arquivo /etc/gdm3/greeter.gsettings e descomente o seguinte:

session-name='gdm-shell'

enquanto comenta

session-name='gdm-fallback'

Note que isso requer uma placa gráfica 3D compatível — que é a razão pela qual isso não é habilitado por padrão.

O pacote knetworkmanager tornou-se obsoleto, e foi substituído pelo plasma-widget-networkmanagement no novo espaço de trabalho KDE Plasma.

Caso você esteja usando o aplicativo independente knetworkmanager que é obsoleto, você deve estar preparado para fazer algumas configurações manuais após a atualização. Você pode precisar adicionar manualmente o plasma-widget-networkmanagement ao seu painel ou área de trabalho.

Além disso, se a conexão de rede não depender de ter um widget do network-manager em execução, você pode querer defini-la como uma “conexão de sistema”.

O NetworkManager pode detectar se uma interface de rede é gerenciada pelo ifupdown a fim de evitar conflitos, mas não é capaz de fazer isso com outros programas de gerenciamento de rede tais como wicd-daemon. Problemas e comportamento inesperado podem ocorrer se dois desses daemons estiverem gerenciando a mesma interface ao tentar fazer uma conexão de rede.

Por exemplo, se o wicd-daemon e o NetworkManager estiverem ambos em execução, ao tentar usar um cliente wicd para fazer uma conexão, falhará com a mensagem de erro:

Falha na conexão: senha incorreta

Ao tentar usar um cliente NetworkManager pode igualmente falhar com a mensagem:

O NetworkManager não está sendo executado. Por favor, inicie-o.

É recomendado que os usuários do GNOME considerem instalar e experimentar o NetworkManager mas, se desejado, o deamon do NetworkManager pode ser permanentemente desabilitado usado o seguinte comando:

# update-rc.d network-manager disable

Após desabilitar o daemon, é recomendado examinar o conteúdo do /etc/resolv.conf. Esse arquivo é usado para especificar os servidores de DNS para resolução de nomes e o conteúdo desse arquivo pode ter sido substituído pelo NetworkManager.

O suidperl foi removido do upstream com a versão 5.12, então o pacote perl-suid que costumava ser distribuído no Debian também foi removido. As possíveis alternativas incluem o uso de um invólucro ("wrapper") simples setuid em linguagem C para executar um script em Perl a partir de uma localização definida no código, ou usar uma ferramenta mais genérica, como o sudo.

Se você tiver o request-tracker3.8 instalado no seu sistema squeeze, note que esse pacote foi removido do wheezy, para ser substituído pelo request-tracker4. Algumas etapas manuais são necessárias para atualizar entre o request-tracker3.8 e request-tracker4: por favor, instale o request-tracker4 juntamente com a sua instalação existente do request-tracker3.8 e consulte as notas de instalação/atualização em /usr/share/doc/request-tracker4/README.Debian.gz (seção: “Atualizando do request-tracker3.8 para request-tracker4”).

O mesmo aviso se aplica se você tiver o request-tracker3.6 ou pacotes mais antigos de versões anteriores do Debian ainda em uso; se esse for o caso, é recomendado atualizar passo a passo, seguindo os documentos apropriados de atualização.

O bootlogd foi movido do sysvinit-utils para um pacote separado bootlogd. Se você deseja continuar usando bootlogd, você precisa instalar o pacote bootlogd. Note que o arquivo de configuração /etc/default/bootlogd e sua opção BOOTLOGD_ENABLE não existem mais; se você não deseja executar o bootlogd, remova o pacote bootlogd.

O arquivo /etc/mtab, usado para armazenar a lista de sistemas de arquivos montados atualmente, foi alterado para ser um link simbólico para /proc/mounts. Para quase todos os casos, essa mudança resultará em um sistema mais robusto uma vez que a lista nunca pode se tornar inconsistente com a realidade. Entretanto, caso você use a opção _netdev no /etc/fstab para indicar que o sistema de arquivos é um sistema de arquivos de rede exigindo um tratamento especial, isso não será mais definido no /proc/mounts após a reinicialização. Isso não causará problemas para sistemas de arquivos de redes padrão tais como NFS, que não precisa da opção _netdev. Os sistemas de arquivos que não são afetados por esse problema são ceph, cifs, coda, gfs, ncp, ncpfs, nfs, nfs4, ocfs2 e smbfs. Para sistemas de arquivos que precisam de _netdev para desmontagem correta ao desligar, por exemplo, ao utilizar um NBD, um mtab estático será a única forma de usar _netdev no wheezy. Caso você tenha tal configuração, então, após concluir a atualização para wheezy restaure um /etc/mtab estático fazendo o seguinte:

O pacote pdksh (“Public Domain Korn Shell”) está sendo aposentado para a versão após o wheezy, pois o pdksh não é mais mantido (ele foi visto em desenvolvimento ativo pela última vez em 1999).

O pacote mksh (“MirBSD Korn Shell”) contém o seu sucessor; ele tem evoluído a partir do “Public Domain Korn Shell” e tem sido mantido atualizado com o padrão POSIX no shell. No Debian wheezy, o pdksh é um pacote de transição utilizando o pdksh, uma variante do mksh construído com opções especiais de compatibilidade para fornecer um link simbólico para o executável. Esse executável de compatibilidade se comporta um pouco mais como o tradicional “Public Domain Korn Shell” do que o mksh atual. Porém, uma vez que ele contém correções que mudam o seu comportamento, ele não é uma simples substituição por outro. Então, você é aconselhado a mudar os seus scripts

#!/bin/pdksh

para

#!/bin/mksh

e testá-los. Se o teste falhar, você é aconselhado a corrigir os seus scripts. Se, por alguma razão, isso não for possível, você pode modificá-los para scripts

#!/bin/lksh

e testá-los novamente. Esse teste tem maiores chances de sucesso sem mudar muito o seu código. Entretanto, esteja ciente que em algum momento no futuro o pacote de transição será removido do Debian.

O executável de compatibilidade não é adequado para uso interativo, então, como administrador de sistema, ajuste o shell de login dos seus usuários do Korn Shell. Para interrupção mínima do serviço, faça isso antes da atualização do SO: instale manualmente o pacote mksh e mude o login e/ou shells interativos dos usuários que utilizem pdksh para mksh. Além disso, encorajamos que você copie o /etc/skel/.mkshrc em seus diretórios pessoais: isso proporciona algumas funções do shell como pushd, popd e dirs e um agradável

PS1

(prompt do shell).

Quando atualizar um sistema de gerenciamento Puppet do squeeze para o wheezy, você deve garantir que o puppetmaster correspondente funcione, pelo menos, na versão 2.7 do Puppet. Caso o mestre esteja executando o puppetmaster do squeeze, o sistema gerenciado do wheezy não será capaz de conectar ao mesmo.

Tal combinação levará à seguinte mensagem de erro durante uma execução do agente puppet:

Não foi possível recuperar o catálogo do servidor remoto: Erro 400 no SERVIDOR: Não há suporte para o método POST do http

Para resolver esse problema o puppetmaster deve ser atualizado. Um mestre 2.7 é capaz de gerenciar um sistema cliente 2.6.

A introdução da multiarquitetura (como descrito na Seção 2.2.2, “Multiarquitetura (“multiarch”)”) muda os caminhos de alguns arquivos, que podem quebrar suposições feitas pelos componentes do “toolchain”. O “toolchain” do Debian foi atualizado, mas os usuários que tentam construir ou usar compiladores externos podem precisar estar cientes disso.

Algumas dicas de como contornar esses problemas podem ser encontradas em /usr/share/doc/libc6/NEWS.Debian.gz e no relatório de bug #637232.

A configuração dos backends do motor do SQL para o Cyrus SASL, como fornecida no pacote libsasl2-modules-sql, mudou de configuração específica de banco de dados (por exemplo, mysql) para o plugin auxprop sql genérico.

Os arquivos de configuração para aplicativos usando SASL têm que ser atualizados, por exemplo:

auxprop_plugin: mysql

deve ser substituído por:

auxprop_plugin: sql
sql_engine: mysql

Além disso, a consulta SQL (se utilizada) precisa ter o %u substituído por %u@%r, porque o usuário de o realm agora são fornecidos separadamente.

Alguns controladores de hardware, incluindo controladores para placas de rede (com ou sem fio), assim como o controlador para chipsets gráficos ATI/AMD, exigem firmware carregável para funcionar corretamente.

Esse firmware muitas vezes não é software livre e, como tal, só está disponível a partir do repositório non-free, nos pacotes firmware-linux e outros.