Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bookworm

Inhoudsopgave

5.1. Opwaarderingsspecifieke zaken voor bookworm
5.1.1. Niet-vrije firmware verplaatst naar zijn eigen component in het archief
5.1.2. Wijzigingen aan pakketten die de systeemklok instellen
5.1.3. Puppet configuratiebeheersysteem opgewaardeerd naar 7
5.1.4. youtube-dl vervangen door yt-dlp
5.1.5. Verschillende versies van Fcitx kunnen niet langer samen worden geïnstalleerd
5.1.6. De naam van MariaDB-pakketten bevatten geen versienummers meer
5.1.7. Wijzigingen in verband met systeemregistratie
5.1.8. wijzigingen in verband met rsyslog die van invloed zijn op programma's voor het analyseren van logboekberichten zoals logcheck
5.1.9. rsyslog maakt minder logbestanden aan
5.1.10. opwaarderen van slapd kan handmatige interventie vereisen
5.1.11. GRUB voert niet langer standaard os-prober uit
5.1.12. In GNOME is de toegankelijkheidsondersteuning voor schermlezers verminderd
5.1.13. Wijzigingen in de polkit-configuratie
5.1.14. Een samengevoegde /usr is nu vereist
5.1.15. Niet-ondersteunde opwaarderingen vanuit buster mislukken bij libcrypt1
5.1.16. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
5.2. Items die niet beperkt zijn tot het opwaarderingsproces
5.2.1. Beperkingen inzake beveiligingsondersteuning
5.2.2. Python-interpreters als extern beheerd gemarkeerd
5.2.3. Beperkte ondersteuning voor hardwareversnelde videocodering/decodering in VLC
5.2.4. systemd-resolved werd afgesplitst in een apart pakket
5.2.5. systemd-boot werd afgesplitst in een apart pakket
5.2.6. systemd-journal-remote maakt geen gebruik meer van GnuTLS
5.2.7. Adduser voor bookworm is aanzienlijk gewijzigd
5.2.8. Voorspelbare naamgeving voor Xen-netwerkinterfaces
5.2.9. Verandering in de wijze waarop dash de circumflex verwerkt
5.2.10. netcat-openbsd ondersteunt abstracte sockets
5.3. Verouderde en achterhaalde zaken
5.3.1. Vermeldenswaardige uitgefaseerde pakketten
5.3.2. Verouderde componenten van bookworm
5.4. Bekende ernstige bugs

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.

5.1. Opwaarderingsspecifieke zaken voor bookworm

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van bullseye naar bookworm.

5.1.1. Niet-vrije firmware verplaatst naar zijn eigen component in het archief

Zoals beschreven wordt in Paragraaf 2.2, “Archiefgebieden”, worden niet-vrije firmwarepakketten nu geleverd vanuit een speciale archiefcomponent, genaamd non-free-firmware. Om ervoor te zorgen dat geïnstalleerde niet-vrije firmwarepakketten de juiste upgrades krijgen, zijn wijzigingen in de APT-configuratie nodig. Ervan uitgaande dat de non-free component alleen is toegevoegd aan de bronnenlijst van APT om firmware te installeren, zou de bijgewerkte vermelding in de bronnenlijst van APT er als volgt uit kunnen zien:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Als u door apt naar dit hoofdstuk bent verwezen, kunt u voorkomen dat het u continu op de hoogte stelt van deze wijziging door een apt.conf(5)-bestand aan te maken met de naam /etc/apt/apt.conf.d/no-bookworm-firmware.conf en met de volgende inhoud:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

5.1.2. Wijzigingen aan pakketten die de systeemklok instellen

Het pakket ntp, dat vroeger de standaardmanier was om de systeemklok in te stellen vanaf een NTP-server (Network Time Protocol), is vervangen door ntpsec.

De meeste gebruikers zullen geen specifieke actie moeten ondernemen om over te stappen van ntp naar ntpsec.

In bookworm zijn er ook verschillende andere pakketten die een soortgelijke dienst leveren. De Debian standaard is nu systemd-timesyncd, wat voldoende kan zijn voor gebruikers die alleen een ntp-client nodig hebben om hun klok in te stellen. Bookworm bevat ook chrony en openntpd die meer geavanceerde functies ondersteunen, zoals het laten functioneren van een eigen NTP-server.

5.1.3. Puppet configuratiebeheersysteem opgewaardeerd naar 7

Puppet is opgewaardeerd van 5 naar 7, waarbij de Puppet 6-serie helemaal wordt overgeslagen. Dit introduceert grote veranderingen in het Puppet-ecosysteem.

De klassieke op Ruby gebaseerde toepassing Puppet Master 5.5.x werd door de bovenstroomse ontwikkelaars verouderd verklaard en is niet langer beschikbaar in Debian. Ze wordt vervangen door Puppet Server 7.x, geleverd door het pakket puppetserver. Het pakket wordt automatisch geïnstalleerd als een vereiste van het overgangspakket puppet-master.

In sommige gevallen is Puppet Server een eenvoudige vervanging voor Puppet Master, maar u dient de configuratiebestanden te bekijken die beschikbaar zijn onder /etc/puppet/puppetserver om er zeker van te zijn dat de nieuwe standaardinstellingen geschikt zijn voor uw implementatie. Met name de vroegere indeling voor het bestand auth.conf is verouderd, zie de auth.conf-documentatie voor details.

De aanbevolen aanpak is om de server vóór de clients op te waarderen. De Puppet 7 Server is achterwaarts compatibel met oudere clients; een Puppet 5 Server kan nog steeds omgaan met opgewaardeerde clients (agents), maar kan geen nieuwe Puppet 7 agents registreren. Dus als u nieuwe Puppet 7 agents inzet voordat u de server hebt opgewaardeerd, kunt u ze niet aan de vloot toevoegen.

Het pakket puppet werd vervangen door het pakket puppet-agent en is nu een overgangspakket om een vlotte opwaardering te garanderen.

Tenslotte werd het pakket puppetdb verwijderd uit bullseye maar opnieuw geïntroduceerd in bookworm.

5.1.4. youtube-dl vervangen door yt-dlp

Het populaire hulpmiddel youtube-dl, dat video's van een grote verscheidenheid aan websites kan downloaden (inclusief, maar niet beperkt tot YouTube), is niet langer opgenomen in Debian. Het is vervangen door een leeg overgangspakket dat in de plaats ervan het pakket yt-dlp binnenhaalt. yt-dlp is een afsplitsing van youtube-dl waar momenteel nieuwe ontwikkeling plaatsvindt.

Er zijn geen compatibiliteitsomkaderingen voorzien, dus u zult uw scripts en persoonlijk gedrag moeten aanpassen om yt-dlp aan te roepen in plaats van youtube-dl. De functionaliteit zou grotendeels hetzelfde moeten zijn, hoewel sommige opties en gedragsdetails zijn veranderd. Zorg ervoor dat u de man-pagina raadpleegt voor details, en in het bijzonder de sectie over Verschillen in standaardgedrag.

5.1.5. Verschillende versies van Fcitx kunnen niet langer samen worden geïnstalleerd

De pakketten fcitx en fcitx5 bieden versie 4 en versie 5 van het populaire Fcitx Input Method Framework (invoermethoderaamwerk). In opvolging van de aanbeveling van de bovenstroomse auteur kunnen ze niet langer samen worden geïnstalleerd op hetzelfde besturingssysteem. Gebruikers moeten bepalen welke versie van Fcitx behouden moet blijven als ze eerder fcitx en fcitx5 samen hadden geïnstalleerd.

Gebruikers worden sterk aangeraden om vóór de upgrade alle pakketten die verband houden met de ongewenste Fcitx-versie, te verwijderen (fcitx-* voor Fcitx 4, en fcitx5-* voor Fcitx 5). Als de upgrade is voltooid, kunt u overwegen het im-config opnieuw uit te voeren om het voor het systeem gewenste invoermethoderaamwerk te selecteren.

U kunt meer achtergrondinformatie lezen in de aankondiging in de mailinglijst (tekst geschreven in Vereenvoudigd Chinees).

5.1.6. De naam van MariaDB-pakketten bevatten geen versienummers meer

In tegenstelling tot bullseye waar de MariaDB-versie in de pakketnaam stond (bijv. mariadb-server-10.5 en mariadb-client-10.5), zijn in bookworm de equivalente pakketnamen van MariaDB 10.11 volledig versieloos (bijv. mariadb-server of mariadb-client). De MariaDB-versie is nog steeds zichtbaar in de metagegevens van de pakketversie.

Er is ten minste één opwaarderingsscenario bekend (Bug #1035949) waarbij de overgang naar pakketnamen zonder versie mislukt: het uitvoeren van

apt-get install default-mysql-server

kan mislukken wanneer mariadb-client-10.5 en het bestand /usr/bin/mariadb-admin daarin wordt verwijderd voordat de SysV init-service van MariaDB-server een shutdown heeft uitgevoerd, waarvoor mariadb-admin gebruikt wordt. De oplossing hiervoor is het uitvoeren van

apt upgrade

voorafgaand aan het uitvoeren van

apt full-upgrade

.

raadpleeg voor meer informatie over de wijzigingen van de pakketnamen van MariaDB /usr/share/doc/mariadb-server/NEWS.Debian.gz.

5.1.7. Wijzigingen in verband met systeemregistratie

Het pakket rsyslog is op de meeste systemen niet meer nodig en u kunt het misschien verwijderen.

Veel programma's produceren logberichten om de gebruiker te informeren over wat ze doen. Deze berichten kunnen worden beheerd door het journal van systemd of door een syslog achtergronddienst zoals rsyslog.

In bullseye was rsyslog standaard geïnstalleerd en was het systemd journal geconfigureerd om logberichten door te sturen naar rsyslog, dat berichten opschrijft in verschillende tekstbestanden, zoals /var/log/syslog.

Vanaf bookworm wordt rsyslog niet meer standaard geïnstalleerd. Als u rsyslog niet wilt blijven gebruiken, kunt u het na de upgrade markeren als automatisch geïnstalleerd met

apt-mark auto rsyslog

en daarna zal een

apt autoremove

het indien mogelijk verwijderen. Als u een upgrade hebt uitgevoerd vanaf oudere releases van Debian, en de standaard configuratie-instellingen niet hebt geaccepteerd, is het journaal misschien niet geconfigureerd om berichten op te slaan in een permanente opslag: instructies om dit in te schakelen staan in journald.conf(5).

Als u besluit om af te stappen van rsyslog kunt u het commando journalctl gebruiken om logboekberichten te lezen, die in een binair formaat worden opgeslagen onder /var/log/journal. Bijvoorbeeld,

journalctl -e

toont de meest recente logboekberichten in het journaal en

journalctl -ef

toont nieuwe berichten terwijl ze worden geschreven (vergelijkbaar met het uitvoeren van

tail -f /var/log/syslog

).

5.1.8. wijzigingen in verband met rsyslog die van invloed zijn op programma's voor het analyseren van logboekberichten zoals logcheck

rsyslog gebruikt nu standaard high precision timestamps (zeer nauwkeurige tijdstempels) die van invloed kunnen zijn op andere programma's die de systeemlogboeken analyseren. Er is meer informatie over het aanpassen van deze instelling in rsyslog.conf(5).

De wijziging in tijdstempels kan vereisen dat lokaal gemaakte regels voor logcheck worden bijgewerkt. logcheck controleert berichten in het systeemlogboek (geproduceerd door systemd-journald of rsyslog) aan de hand van een aanpasbare database met reguliere expressies, ook wel regels genoemd. Regels die getoetst worden aan het tijdstip waarop het bericht is geproduceerd, moeten worden bijgewerkt zodat ze overeenkomen met de nieuwe door rsyslog gebruikte indeling. De standaardregels, die worden geleverd door het pakket logcheck-database, zijn bijgewerkt, maar andere regels, waaronder regels die lokaal zijn gemaakt, moeten mogelijk worden bijgewerkt om de nieuwe indeling te herkennen. Zie /usr/share/doc/logcheck-database/NEWS.Debian.gz voor een script om lokale logcheck-regels te helpen updaten.

5.1.9. rsyslog maakt minder logbestanden aan

Er zijn wijzigingen in verband met de logbestanden die door rsyslog worden aangemaakt, en sommige bestanden in /var/log kunnen worden verwijderd.

Als u rsyslog blijft gebruiken (zie Paragraaf 5.1.7, “Wijzigingen in verband met systeemregistratie”), worden sommige logboekbestanden in /var/log niet langer standaard aangemaakt. De berichten die naar deze bestanden werden geschreven staan ook in /var/log/syslog maar de betrokken bestanden worden niet langer standaard aangemaakt. Alles wat vroeger naar deze bestanden werd geschreven zal nog steeds beschikbaar zijn in /var/log/syslog.

De bestanden die niet meer worden aangemaakt zijn:

  • /var/log/mail.{info,warn,err}

    Deze bestanden bevatten berichten van de lokale mail transport agent (MTA), opgesplitst naar prioriteit.

    Aangezien /var/log/mail.log alle mail-gerelateerde berichten bevat, kunnen deze bestanden (en hun geroteerde tegenhangers) veilig worden verwijderd. Als u deze bestanden gebruikte om anomalieën te controleren, zou een geschikt alternatief iets als logcheck kunnen zijn.

  • /var/log/lpr.log

    Di bestand bevatte logboekberichten met betrekking tot afdrukken. Het standaard afdruksysteem in debian is cups dat dit bestand niet gebruikt. Dus tenzij u een ander afdruksysteem hebt geïnstalleerd, kan dit bestand (en zijn geroteerde tegenhangers) worden verwijderd.

  • /var/log/{messages,debug,daemon.log}

    Deze bestanden (en hun geroteerde tegenhangers) kunnen worden verwijderd. Alles wat vroeger in deze bestanden werd opgeschreven, staat nog steeds in /var/log/syslog.

5.1.10. opwaarderen van slapd kan handmatige interventie vereisen

OpenLDAP 2.5 is een belangrijke nieuwe release en bevat verschillende incompatibele wijzigingen zoals beschreven wordt in de bovenstroomse release-aankondiging. Afhankelijk van de configuratie kan de dienst slapd na de upgrade gestopt blijven, totdat de noodzakelijke configuratie-updates zijn voltooid.

Hieronder volgen enkele van de bekende incompatibele wijzigingen:

  • De databasebackends slapd-bdb(5) en slapd-hdb(5) zijn verwijderd. Als u een van deze backends gebruikt onder bullseye, is het sterk aanbevolen om over te schakelen op de backend slapd-mdb(5) voordat u de opwaardering naar bookworm uitvoert.

  • De databasebackend slapd-shell(5) is verwijderd.

  • Bij de overlay slapo-ppolicy(5) is het schema nu in de module zelf gecompileerd. Het oude externe schema, als dat aanwezig is, is in strijd met het nieuwe ingebouwde schema.

  • De wachtwoordmodule pw-argon2 uit contrib werd hernoemd naar argon2.

Instructies voor het voltooien van de upgrade en het hervatten van de dienst slapd zijn te vinden in /usr/share/doc/slapd/README.Debian.gz. Raadpleeg ook de bovenstroomse opwaarderingsnotities.

5.1.11. GRUB voert niet langer standaard os-prober uit

Lange tijd heeft grub het pakket os-prober gebruikt om andere besturingssystemen die op een computer zijn geïnstalleerd te detecteren, zodat het deze kan toevoegen aan het opstartmenu. Helaas kan dat in bepaalde gevallen problematisch zijn (bijv. als er virtuele gastmachines actief zijn), dus dit is nu standaard uitgeschakeld in de laatste bovenstroomse release.

Als u GRUB gebruikt om uw systeem op te starten en andere besturingssystemen in het opstartmenu wilt blijven zien, kunt u dit aanpassen. Ofwel kun u het bestand /etc/default/grub bewerken, ervoor zorgen dat u er als instelling GRUB_DISABLE_OS_PROBER=false staan hebt en het commando update-grub opnieuw uitvoeren, ofwel kunt u

dpkg-reconfigure <GRUB_PACKAGE> uitvoeren

om deze en andere GRUB-instellingen op een meer gebruikersvriendelijke manier te wijzigen.

5.1.12. In GNOME is de toegankelijkheidsondersteuning voor schermlezers verminderd

Veel GNOME-apps zijn overgestapt van de grafische gereedschapskist GTK3 naar GTK4. Helaas heeft dit veel apps veel minder bruikbaar gemaakt met schermlezers zoals orca.

Als u afhankelijk bent van een schermlezer, kunt u overwegen om over te stappen naar een andere grafische werkomgeving, zoals Mate, die een betere toegankelijkheidsondersteuning heeft. U kunt dit doen door het pakket mate-desktop-environment te installeren. Informatie over het gebruik van Orca onder Mate is hier beschikbaar.

5.1.13. Wijzigingen in de polkit-configuratie

Met het oog op consistentie met de bovenstroomse ontwikkeling en met andere distributies werd voor de dienst polkit (voorheen PolicyKit), die onbevoegde programma's toegang geeft tot geprivilegieerde systeemdiensten, de syntaxis en de locatie van lokale beleidsregels gewijzigd. Lokale regels voor het aanpassen van het beveiligingsbeleid moet u nu schrijven in JavaScript en deze plaatsen in /etc/polkit-1/rules.d/*.rules. Voorbeeldregels die de nieuwe indeling gebruiken, zijn te vinden in /usr/share/doc/polkitd/examples/ en polkit(8) bevat meer informatie.

Voorheen konden regels worden geschreven in de indeling pkla en in submappen van /etc/polkit-1/localauthority of /var/lib/polkit-1/localauthority worden geplaatst. .pkla-bestanden zouden nu echter als verouderd moeten worden beschouwd en zullen alleen blijven werken als het pakket polkitd-pkla is geïnstalleerd. Dit pakket zal normaal gesproken automatisch worden geïnstalleerd wanneer u opwaardeert naar bookworm, maar het zal waarschijnlijk niet worden opgenomen in toekomstige releases van Debian, dus alle lokale beleidsaanpassingen zullen moeten worden overgezet naar de JavaScript-indeling.

5.1.14. Een samengevoegde /usr is nu vereist

Debian heeft een indeling van het bestandssysteem aangenomen, aangeduid als samengevoegde /usr, welke niet langer de oude mappen /bin, / sbin, /lib, of facultatieve varianten zoals /lib64 bevat. In de nieuwe indeling zijn de verouderde mappen vervangen door symbolische koppelingen naar de corresponderende locaties /usr/bin, /usr/sbin, /usr/lib en <bestandsnaam>/usr/lib64</bestandsnaam>. Dit betekent dat bijvoorbeeld zowel /bin/bash als /usr/bin/bash het commando bash zullen starten.

Voor systemen die zijn geïnstalleerd als buster of bullseye verandert er niets, aangezien de nieuwe indeling van het bestandssysteem al de standaard was in deze releases. De oudere indeling wordt echter niet langer ondersteund en systemen die deze gebruiken, worden geconverteerd naar de nieuwe indeling wanneer ze worden opgewaardeerd naar bookworm.

De conversie naar de nieuwe indeling zou voor de meeste gebruikers geen gevolgen moeten hebben. Alle bestanden worden automatisch naar hun nieuwe locatie verplaatst, zelfs als ze lokaal zijn geïnstalleerd of afkomstig zijn uit pakketten die niet door Debian worden geleverd, en hardgecodeerde paden zoals /bin/sh blijven werken. Er zijn echter enkele mogelijke problemen:

  • dpkg --search

    zal verkeerde antwoorden geven voor bestanden die naar de nieuwe locaties zijn verplaatst:

    dpkg --search /usr/bin/bash

    zal niet vaststellen dat bash uit een pakket kwam. (Maar

    dpkg --search /bin/bash

    werkt nog steeds zoals verwacht.)

  • Lokale software die niet door Debian wordt geleverd, ondersteunt mogelijk de nieuwe indeling niet en kan er bijvoorbeeld op vertrouwen dat /usr/bin/name en /bin/name twee verschillende bestanden zijn. Dit wordt niet ondersteund op samengevoegde systemen (waaronder nieuwe installaties sinds buster), dus dergelijke software moet hersteld of verwijderd worden voor de upgrade.

  • Systemen die afhankelijk zijn van een basislaag die niet direct beschrijfbaar is (zoals WSL1-images of containersystemen die gebruik maken van uit meerdere lagen bestaande overlayfs-bestandssystemen) kunnen niet veilig worden geconverteerd en moeten ofwel worden vervangen (bijv. door een nieuw WSL1-image uit de store te installeren) ofwel moet elke individuele laag worden opgewaardeerd (bijv. door de basale Debian-laag van het overlayfs onafhankelijk op te waarderen) in plaats van dist-upgrade te gebruiken.

Zie voor meer informatie Pleidooi voor het samenvoegen van /usr en de resolutie van het technisch comité van Debian.

5.1.15. Niet-ondersteunde opwaarderingen vanuit buster mislukken bij libcrypt1

Debian ondersteunt officieel alleen opwaarderingen van de ene stabiele release naar de volgende, bijv. van bullseye naar bookworm. Opwaarderingen van buster naar bookworm worden niet ondersteund en mislukken vanwege Bug #993755 met de volgende fout:

Instellen van libc6:ppc64el (2.36-9) ...
/usr/bin/perl: fout bij het laden van gedeelde bibliotheken:
libcrypt.so.1: kan het gedeelde objectbestand niet openen: geen dergelijk bestand of map
dpkg: fout bij het verwerken van pakket libc6:ppc64el (--configure):
subproces van post-installatiescript van geïnstalleerd pakket libc6:ppc64el gaf als teruggegeven fout afsluitstatus 127

        

Het is echter mogelijk om deze situatie handmatig te herstellen door het nieuwe libcrypt1 geforceerd te installeren:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

5.1.16. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering formeel afgerond. Bij de opwaardering naar bookworm zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2. Items die niet beperkt zijn tot het opwaarderingsproces

5.2.1. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

[Opmerking]Opmerking

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.1.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen

Debian 12 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. toepassingen die gebruik maken van het broncodepakket webkit2gtk (bijv. epiphany ) worden gedekt door de beveiligingsondersteuning, maar toepassingen die gebruik maken van qtwebkit (broncodepakket qtwebkit-opensource-src ) worden niet gedekt.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

Zodra een release oldstable wordt, is het mogelijk dat officieel ondersteunde browsers gedurende de standaard dekkingsperiode geen updates meer ontvangen. Chromium krijgt bijvoorbeeld slechts 6 maanden beveiligingsondersteuning in oldstable in plaats van de gebruikelijke 12 maanden.

5.2.1.2. Op Go en Rust gebaseerde pakketten

De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. Met de groei van de Go- en Rust-ecosystemen betekent dit dat deze pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.

Als updates voor ontwikkelingsbibliotheken voor Go of Rust gerechtvaardigd zijn, zullen deze in de meeste gevallen enkel via reguliere tussenreleases gebeuren.

5.2.2. Python-interpreters als extern beheerd gemarkeerd

De door Debian geleverde python3-interpreterpakketten (python3.11 en pypy3) zijn nu gemarkeerd als extern beheerd, in navolging van PEP-668. De versie van python3-pip in Debian gedraagt zich hiernaar en zal weigeren pakketten handmatig te installeren op de python-interpreters van Debian, tenzij de optie --break-system-packages is opgegeven.

Als u een Python-toepassing (of versie) moet installeren die niet wordt verpakt in Debian, raden we u aan die te installeren met pipx (in het Debian-pakket pipx). pipx zal een omgeving opzetten die geïsoleerd is van andere toepassingen en Python-modules op het systeem, en de toepassing en zijn vereisten daarin installeren.

Als u een Python-bibliotheekmodule (of -versie) moet installeren die niet in Debian wordt verpakt, raden we u aan die waar mogelijk in een virtuele omgeving (virtualenv) te installeren. U kunt virtuele omgevingen (virtualenvs) maken met de Python stdlib-module venv (in het Debian-pakket python3-venv) of met het van derden afkomstige Python-hulpmiddel virtualenv (in het Debian-pakket virtualenv). Bijvoorbeeld, in plaats van het commando pip install --user blabla uit te voeren, voert u het volgende commando uit om de bibliotheek in een speciale virtuele omgeving te installeren: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/blabla && ~/.venvs/blabla/bin/python -m pip install blabla .

Zie /usr/share/doc/python3.11/README.venv voor meer details.

5.2.3. Beperkte ondersteuning voor hardwareversnelde videocodering/decodering in VLC

De VLC-videospeler ondersteunt hardwareversnelde videodecodering en -codering via VA-API en VDPAU. VLC's ondersteuning voor VA-API is echter nauw verbonden met de versie van FFmpeg. Omdat FFmpeg is opgewaardeerd naar de 5.x-tak, is de VA-API-ondersteuning van VLC uitgeschakeld. Gebruikers van GPU's met eigen VA-API-ondersteuning (bijv. de GPU's van Intel en AMD) kunnen een hoog CPU-gebruik ervaren tijdens het afspelen en coderen van video.

Gebruikers van GPU's met eigen VDPAU-ondersteuning (bijv. NVIDIA met niet-vrije stuurprogramma's) hebben geen last van dit probleem.

Ondersteuning voor VA-API en VDPAU kan worden nagegaan met vainfo en vdpauinfo (beide beschikbaar in een Debian-pakket met dezelfde naam).

5.2.4. systemd-resolved werd afgesplitst in een apart pakket

Het nieuwe pakket system-resolved wordt niet automatisch geïnstalleerd bij upgrades. Als u de systeemdienst systemd-resolved gebruikte, installeer dan het nieuwe pakket handmatig na de upgrade, en houd er rekening mee dat totdat het geïnstalleerd is, DNS-resolutie mogelijk niet meer werkt, omdat de dienst niet aanwezig zal zijn op het systeem. Door dit pakket te installeren krijgt systemd-resolved automatisch controle over /etc/resolv.conf. Voor meer informatie over systemd-resolved kunt u de officiële documentatie raadplegen. Merk op dat systemd-resolved niet de standaard DNS-resolver was, en nog steeds niet is, in Debian. Als u uw machine niet hebt geconfigureerd om systemd-resolved als DNS-resolver te gebruiken, is er geen actie nodig.

5.2.5. systemd-boot werd afgesplitst in een apart pakket

Het nieuwe pakket systemd-boot wordt niet automatisch geïnstalleerd bij upgrades. Als u systemd-boot gebruikte, installeer dit nieuwe pakket dan handmatig, en merk op dat totdat u dit doet, de oudere versie van systemd-boot zal worden gebruikt als bootloader. De installatie van dit pakket zal systemd-boot automatisch configureren als de bootloader van de machine. De standaard bootloader in Debian is nog steeds GRUB. Als u de machine niet hebt geconfigureerd om systemd-boot als bootloader te gebruiken, hoeft u niets te doen.

5.2.6. systemd-journal-remote maakt geen gebruik meer van GnuTLS

De facultatieve diensten systemd-journal-gatewayd en systemd-journal-remote worden nu gebouwd zonder ondersteuning voor GnuTLS, wat betekent dat de optie --trust door geen van beide programma's meer wordt aangeboden, en dat er een foutmelding verschijnt als deze wordt opgegeven.

5.2.7. Adduser voor bookworm is aanzienlijk gewijzigd

Er zijn verschillende wijzigingen aangebracht aan adduser. De meest opvallende verandering is dat --disabled-password en --disabled-login nu functioneel identiek zijn. Lees voor meer details /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.8. Voorspelbare naamgeving voor Xen-netwerkinterfaces

De voorspelbare naamgevingslogica in systemd voor netwerkinterfaces is uitgebreid om stabiele namen te genereren uit Xen netfront apparaatinformatie. Dit betekent dat in plaats van het vroegere systeem van door de kernel toegewezen namen, interfaces nu stabiele namen hebben van de vorm enX#. Pas uw systeem aan voordat u opnieuw opstart na de upgrade. Meer informatie is te vinden op de wiki-pagina NetworkInterfaceNames.

5.2.9. Verandering in de wijze waarop dash de circumflex verwerkt

dash, dat standaard de systeemshell /bin/sh levert in Debian, is overgestapt op het behandelen van de circumflex (^) als een letterlijk letterteken, zoals altijd het beoogde POSIX-conforme gedrag was. Dit betekent dat in bookworm [^0-9] niet langer betekent niet 0 tot 9 maar 0 tot 9 en ^.

5.2.10. netcat-openbsd ondersteunt abstracte sockets

Het hulpprogramma netcat voor het lezen en schrijven van gegevens over netwerkverbindingen ondersteunt abstracte sockets, en gebruikt ze standaard in sommige omstandigheden.

Standaard wodtnetcat geleverd door netcat-traditional. Als netcat echter geleverd wordt door het pakket netcat-openbsd en u een AF_UNIX-socket gebruikt, dan is deze nieuwe standaard van toepassing. In dit geval zal de optie -U voor het commando nc nu een argument dat begint met een @, interpreteren als een vraag naar een abstracte socket in plaats van als een bestandsnaam in de huidige map die begint met een @. Dit kan beveiligingsimplicaties hebben omdat bestandssysteemtoegangsrechten niet langer kunnen worden gebruikt om de toegang tot een abstracte socket te controleren. U kunt een bestandsnaam blijven gebruiken die begint met een @ door de naam vooraf te laten gaan door ./ of door een absoluut pad op te geven.

5.3. Verouderde en achterhaalde zaken

5.3.1. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket libnss-ldap werd verwijderd uit bookworm. De functionaliteit ervan wordt nu opgenomen door libnss-ldapd en libnss-sss.

  • Het pakket libpam-ldap werd verwijderd uit bookworm. Zijn vervanger is libpam-ldapd.

  • Het pakket fdflush werd verwijderd uit bookworm. Gebruik ter vervanging ervan blockdev --flushbufs uit util-linux.

  • Het pakket libgdal-perl is verwijderd uit bookworm, omdat de Perl-binding voor GDAL stroomopwaarts niet langer wordt ondersteund. Als u Perl-ondersteuning voor GDAL nodig hebt, kunt u migreren naar de FFI-interface die wordt geleverd door het pakket Geo::GDAL::FFI dat beschikbaar is op CPAN. U zult uw eigen binaire bestanden moeten bouwen, zoals uitgelegd op de wiki-pagina BookwormGdalPerl.

5.3.2. Verouderde componenten van bookworm

Met de volgende uitgave van Debian 13 (codenaam trixie) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 13.

Daaronder valt de volgende functionaliteit:

  • De ontwikkeling van de NSS-dienst gw_name is in 2015 gestopt. Het bijbehorende pakket libnss-gw-name wordt mogelijk verwijderd in toekomstige Debian releases. De bovenstroomse ontwikkelaar stelt voor om in plaats daarvan libnss-myhostname te gebruiken.

  • dmraid heeft sinds eind 2010 geen bovenstroomse activiteit meer gekend en werd in Debian in leven gehouden. bookworm zal de laatste release zijn die het uitbrengt, dus maak dienovereenkomstig uw planning als u dmraid gebruikt.

  • request-tracker4 is in deze release vervangen door request-tracker5 en zal in toekomstige releases worden verwijderd. Wij raden u aan de overstap van request-tracker4 naar request-tracker5 te plannen tijdens de levensduur van deze release.

  • De suite isc-dhcp werd uitgefaseerd door het ISC. The Wiki van Debian bevat een lijst met alternatieve implementaties, zie de pagina's DHCP Client en DHCP Server voor de allernieuwste. Als u NetworkManager of systemd-networkd, kunt u gerust het pakket isc-dhcp-client verwijderen omdat ze allebei hun eigen implementatie hebben. Als u het pakket ifupdown gebruikt, kunt u experimenteren met udhcpc als vervanging. Het ISC beveelt het pakket Kea aan als vervanging voor DHCP-servers.

    Het beveiligingsteam zal het pakket isc-dhcp ondersteunen tijdens de levensduur van bookworm, maar het pakket zal waarschijnlijk niet meer ondersteund worden in de volgende stabiele release, zie bug #1035972 (isc-dhcp EOL'ed (afgedankt)) voor meer details.

5.4. Bekende ernstige bugs

Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van bookworm, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen bookworm op het moment van vrijgeven en zijn het vermelden waard in dit document:

BugnummerPakket (broncode of binair)Beschrijving
1032240akonadi-backend-mysqlde akonadi-server start niet omdat deze geen verbinding kan maken met de mysql-database
918984src:fuse3zorgen voor een opwaarderingstraject fuse -> fuse3 voor bookworm
1016903g++-12tree-vectorize: verkeerde code op O2-niveau (-fno-tree-vectorize werkt)
1020284git-daemon-runwissen (purge) mislukt: deluser -f: Onbekende optie: f
919296git-daemon-runmislukt met 'waarschuwing: git-daemon: kan supervise/ok niet openen: bestand bestaat niet'
1034752src:gluegen2sluit niet-vrije headers in
1036256src:golang-github-pin-tftpFTBFS bij testen: dh_auto_test: fout: cd _build && go test -vet=off -v -p 8 github.com/pin/tftp github.com/pin/tftp/netascii retourneerde exitcode 1
1036575groonga-binontbrekende Depends: libjs-jquery-flot, libjs-jquery-ui
1036041src:grub2upgrade-reports: Dell XPS 9550 start niet op na opwaardering van bullseye naar bookworm - grub/bios-interactiefout?
558422grub-pcopwaardering loopt vast
913916grub-efi-amd64UEFI-opstartoptie verwijderd na update naar grub2 2.02~beta3-5+deb9u1
924151grub2-commonverkeerde grub.cfg voor efi-opstart en volledig geëncrypteerde schijf
925134grub-efi-amd64grub-efi-amd64-signed: koppelt cryptoschijf niet aan
945001grub-efi-amd64GRUB-EFI verknoeit opstartvariabelen
965026grub-emugrub-emu laat linux-console vastlopen wanneer het als root wordt uitgevoerd
984760grub-efi-amd64opwaardering werkt, opstarten mislukt (fout: symbool `grub_is_lockdown` niet gevonden)
990017grub-ieee1275[REGRESSIE] cd-installatie-images voor bullseye kunnen GRUB niet installeren op OpenPOWER-machines
1036263src:guestfs-toolsFTBFS bij testen: make[6]: *** [Makefile:1716: test-suite.log] Fout 1
916596iptablesiptables.postinst mislukt bij het maken van een koppeling
919058itstoolits-tools: crasht bij het vrijgeven van xmlDocs
1028416kexec-toolssystemctl kexec sluit het systeem niet correct af en beschadigt aangekoppelde bestandssystemen
935182libreoffice-coreGelijktijdig openen van bestanden op dezelfde computer resulteert in het verwijderen van bestanden
1036755src:linux6.1.26 <= x < 6.1.30 maakt toepassingen onklaar die mmap(MAP_32BIT) gebruiken [heeft invloed op ganeti].
1036580src:llvm-defaultsBreaks toevoegen voor vlottere opwaardering vanaf bullseye
1036359elpa-markdown-toccrasht met (wrong-type-argument consp nil)
1032647nvidia-driverSporadisch zwart scherm na updaten naar 525.89.02-1
1029342openjdk-17-jre-headlessjexec: kan java niet vinden: geen bestand of map van deze aard
1035798libphp8.2-embeder wordt geen SONAME-link geleverd /usr/lib/libphp.so -> libphp8.2.so
1034993software-properties-qtontbrekende Breaks+Replaces voor software-properties-kde bij het opwaarderen vanaf bullseye
1036388sylpheedaccount wordt gereset wanneer mail wordt gecontroleerd
1036424sylpheedhet beantwoorden van een e-mail die u hebt verzonden, stelt het account niet dienovereenkomstig in
994274src:syslinuxFTBFS met gnu-efi 3.0.13
1031152system-config-printerontgrendelknop in systeem-config-printer biedt geen dialoogvenster met verhoogde rechten
975490u-boot-sunxiA64-Olinuxino-eMMC opstart blijft hangen bij "Kernel starten ..."
1034995python-is-python3ontbrekende Breaks+Replaces voor python-dev-is-python2 bij het opwaarderen vanaf bullseye
1036881whitedunegeeft segmentatie fout
1036601xenstore-utilsontbrekende Depends: xen-utils-common
1036578python3-yadelevert geen python-module