Chapitre 5. Problèmes à connaître pour Jessie

Table des matières

5.1. État de sécurité des navigateurs web
5.2. OpenSSH server defaults to "PermitRootLogin without-password"
5.3. Compatibilité de Puppet 2.7 et 3.7
5.4. La mise à niveau vers PHP 5.6 produit des modifications de son comportement
5.5. Mettre à niveau installe le nouveau système d'initialisation par défaut de Jessie
5.5.1. Gestion plus stricte des échecs de montage lors du démarrage sous systemd
5.6. Udev dans Jessie nécessite un noyau avec CONFIG_DEVTMPFS=y (configurations non standard)
5.7. Migration manuelle de disques chiffrés avec LUKS whirlpool (configurations non standard)
5.8. Le bureau GNOME nécessite des graphismes 3D de base
5.9. Le bureau GNOME ne fonctionne pas avec le pilote AMD propriétaire FGLRX
5.10. Modifications des raccourcis clavier par défaut de GNOME

Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter sans nous exposer à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire l'errata, la documentation des paquets concernés, les rapports de bogues et les autres sources d'informations mentionnées en Section 6.1, « Lectures pour aller plus loin ».

5.1. État de sécurité des navigateurs web

Debian 8 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches maintenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent impossible la mise à niveau vers une nouvelle version. Par conséquent les navigateurs basés sur les moteurs webkit, qtwebkit et khtml sont inclus dans Jessie mais ne sont pas couverts par une prise en charge complète de la sécurité. Ces navigateurs ne devraient pas être utilisés sur des sites web non fiables.

Pour un usage général de navigation web, nous recommandons Iceweasel et Chromium.

Chromium − bien qu'il soit construit sur Webkit − est un paquet sans dépendance, qui sera maintenu à jour en reconstruisant les versions actuelles de Chromium pour stable. Iceweasel et Icedove seront également maintenus à jour en reconstruisant les versions ESR actuelles pour stable.

Note that the package debian-security-support, introduced in Jessie, helps to track security support status of installed packages.

5.2. OpenSSH server defaults to "PermitRootLogin without-password"

In an attempt to harden the default setup, the openssh-server configuration will now default to "PermitRootLogin without-password". If you rely on password authentication for the root user, you may be affected by this change.

The openssh-server will attempt to detect such cases and increase the priority of its debconf prompt.

If you want to keep password authentication for the root user, you can also preseed this question by using:

$ echo 'openssh-server openssh-server/permit-root-login boolean true' | debconf-set-selections
    

5.3. Compatibilité de Puppet 2.7 et 3.7

Si vous utilisez Puppet, soyez conscient que Puppet 3.7 n'est pas rétrocompatible avec Puppet 2.7. Entre autres choses, les règles de portée (« scoping ») ont changé et beaucoup de constructions dépréciées ont été supprimées. Veillez consulter les notes de publication de Puppet 3.x pour quelques-unes des modifications, mais gardez à l'esprit qu'il y en a plus dans la version 3.7.

Vérifier les fichiers de journaux de votre puppetmaster actuel à la recherche d'avertissements de dépréciation et résoudre tous ces avertissements avant de procéder à la mise à niveau simplifiera grandement les choses. Autrement ou en complément, tester les manifestes avec un outil comme le test de catalogue de Puppet pourrait également trouver des problèmes potentiels avant la mise à niveau.

Lors de la mise à niveau de Wheezy vers Jessie d'un système géré par Puppet, assurez-vous que le puppetmaster correspondant utilise au moins la version 3.7. Si le maître fonctionne avec le puppetmaster de Wheezy, le système géré sous Jessie ne sera pas capable de s'y connecter.

Pour davantage d'informations sur les changements d'incompatibilité, veuillez consulter les problèmes de mise à niveau Telly et "The Angry Guide to Puppet 3".

5.4. La mise à niveau vers PHP 5.6 produit des modifications de son comportement

La mise à niveau vers Jessie comprend une mise à niveau de PHP de la version 5.4 vers la version 5.6. Cela pourrait affecter tous les scripts PHP locaux et il vous est recommandé de vérifier ces scripts avant de mettre à niveau. Un sous-ensemble de ces problèmes est présenté ci-dessous :

  • Pour prévenir les attaques de type « homme du milieu » sur les transferts chiffrés, les flux clients vérifient dorénavant les certificats des pairs par défaut.

    En résultat de ces changements, un code existant utilisant des enveloppes de flux ssl:// ou tls:// (par exemple file_get_contents(), fsockopen() et stream_socket_client()) pourraient ne plus réussir à se connecter sans désactiver manuellement la vérification des pairs grâce au réglage "verify_peer" du contexte de flux.

    Pour davantage d'informations sur ces problèmes particuliers, veuillez lire ce document

  • PHP modifie la gestion de l'insensibilité à la casse dans de nombreux cas :

    • Toute gestion de l'insensibilité à la casse pour les noms de classes, fonctions et constantes se fait d'après les règles ASCII. Les réglages de la locale actuelle sont ignorés.

    • Les mots-clés "self", "parent" et "static" sont dorénavant toujours insensibles à la casse.

    • La fonction json_decode() n'accepte plus les variantes non minuscules des valeurs booléennes.

  • Les fonctions de GUID logo (comme php_logo_guid()) ont été supprimées.

  • Il n'est plus possible d'écraser les clés dans les tableaux scalaires statiques. Veuillez consulter le bogue 66015 de PHP pour un exemple et plus d'informations sur ce problème.

  • Les fonctions mcrypt_encrypt(), mcrypt_decrypt() et mcrypt_{MODE}() n'acceptent plus les clés ou vecteurs d'initialisation de taille incorrecte. De plus, un vecteur d'initialisation est maintenant nécessaire si l'algorithme de bloc utilisé le nécessite.

Pour plus d'informations ou la liste complète des problèmes potentiels, veuillez consulter la liste amont des modifications qui ne sont pas rétrocompatibles pour PHP pour les versions 5.5 et 5.6.

5.5. Mettre à niveau installe le nouveau système d'initialisation par défaut de Jessie

Jessie est livrée avec systemd-sysv en tant que système d'initialisation par défaut. Si vous avez une préférence pour un autre système comme sysvinit-core ou upstart, il est recommandé de régler le pinning d'APT avant la mise à niveau. Par exemple, pour empêcher systemd d'être installé lors de la mise à niveau, vous pouvez créer un fichier nommé /etc/apt/preferences.d/local-pin-init ayant le contenu suivant :

Package: systemd-sysv
Pin: release o=Debian
Pin-Priority: -1
  
[Attention]Attention

Soyez averti que certains paquets pourraient avoir un comportement affecté ou pourraient ne pas avoir toutes leurs fonctionnalités sous un autre système d'initialisation que celui par défaut.

Veuillez noter que la mise à niveau pourrait installer des paquets contenant "systemd" dans leur nom malgré le pinning APT. Ces paquets seuls ne peuvent pas changer votre système d'initialisation. Pour utiliser systemd comme système d'initialisation, le paquet systemd-sysv doit d'abord être installé.

5.5.1. Gestion plus stricte des échecs de montage lors du démarrage sous systemd

Le nouveau système d'initialisation par défaut, systemd-sysv, gère les échecs de montages "auto" de façon plus stricte que ne le fait sysvinit. S'il échoue à monter un montage "auto" (sans l'option "nofail"), systemd lancera un shell d'urgence au lieu de continuer le démarrage.

Nous recommandons que tous les points de montage démontables ou optionnels ("optional") listés dans /etc/fstab, tels que les disques réseau non critiques, aient l'option "noauto" ou "nofail".

5.6. Udev dans Jessie nécessite un noyau avec CONFIG_DEVTMPFS=y (configurations non standard)

[Note]Note

Cette section est dédiée aux personnes qui compilent leur propre noyau. Si vous utilisez les noyaux compilés par Debian, vous pouvez ignorer cette section.

Le paquet udev dans Jessie nécessite un noyau compilé avec "CONFIG_DEVTMPFS=y". Veuillez vous assurer que votre noyau soit compilé avec cette option avant de mettre à niveau. Pour plus d'informations, veuillez consulter /usr/share/doc/systemd/README.gz.

5.7. Migration manuelle de disques chiffrés avec LUKS whirlpool (configurations non standard)

[Note]Note

Cette section est dédiée aux personnes ayant installé elles-mêmes des disques chiffrés avec LUKS en utilisant le hachage whirlpool. L'installateur Debian n'a jamais géré la création de tels disques.

Si vous avez manuellement configuré un disque chiffré avec LUKS whirlpool, vous aurez besoin de le migrer manuellement vers un hachage plus fort. Vous pouvez vérifier si votre disque utilise whirlpool avec la commande suivante :

    # /sbin/cryptsetup luksDump <disk-device> | grep -i whirlpool
  

Pour davantage d'information sur la migration, veuillez consulter l'élément "8.3 Gcrypt 1.6.x and later break Whirlpool" de la FAQ cryptsetup.

[Attention]Attention

Si vous avez un tel disque, cryptsetup refusera de le déchiffrer par défaut. Si votre disque racine ou d'autres disques système (par exemple /usr) sont chiffrés avec whirlpool, vous devriez les migrer avant le premier redémarrage suivant la mise à niveau de cryptsetup.

5.8. Le bureau GNOME nécessite des graphismes 3D de base

Le bureau GNOME 3.14 de Jessie ne propose plus de prise en charge de secours pour les machines ne disposant pas de graphismes 3D de base. Pour fonctionner correctement, il nécessite soit un PC suffisamment récent (toute machine fabriquée ces 10 dernières années devrait avoir la prise en charge requise de SSE2) ou, pour les architectures autres qu'i386 et amd64, un adaptateur graphique 3D accéléré avec les pilotes EGL.

5.9. Le bureau GNOME ne fonctionne pas avec le pilote AMD propriétaire FGLRX

Contrairement aux autres pilotes OpenGL, le pilote AMD FGLRX pour les adaptateurs Radeon ne prend pas en charge l'interface EGL. Ainsi, plusieurs applications GNOME, dont le cœur du bureau GNOME, ne démarreront pas du tout quand ce driver sera utilisé.

Il est recommandé d'utiliser à la place le pilote libre radeon, qui est le pilote par défaut de Jessie.

5.10. Modifications des raccourcis clavier par défaut de GNOME

Les raccourcis clavier par défaut du bureau GNOME ont changé afin de mieux correspondre à ceux utilisés sur d'autres systèmes d'exploitation.

Les réglages de raccourcis clavier précédemment modifiés par l'utilisateur seront préservés lors de la mise à niveau. Ces réglages peuvent encore être configurés depuis le centre de contrôle de GNOME, accessible dans le menu en haut à droite en cliquant sur l'icône « configuration ».