Kapitel 5. Dinge, die Sie über Bullseye wissen sollten

Inhaltsverzeichnis

5.1. Upgrade-spezifische Themen für Bullseye
5.1.1. Neue API für Hardwarebeschleunigung auf Intel-GPUs
5.1.2. Das XFS-Dateisystem unterstützt nicht mehr die Optionen barrier/nobarrier
5.1.3. Geändertes Layout im Security-Archiv
5.1.4. Passwort-Hash verwendet standardmäßig yescrypt
5.1.5. NSS-, NIS- und NIS+-Unterstützung benötigt neue Pakete
5.1.6. Behandlung von Konfigurationsdatei-Fragmenten in unbound
5.1.7. Missbilligung einiger rsync-Parameter
5.1.8. Behandlung von Addons in vim
5.1.9. OpenStack und cgroups v1
5.1.10. OpenStack API: Regel-Dateien
5.1.11. sendmail nicht verfügbar während des Upgrades
5.1.12. FUSE 3
5.1.13. GnuPG options-Datei
5.1.14. Linux aktiviert standardmäßig User Namespaces
5.1.15. Linux deaktiviert standardmäßig unpriviligierte Aufrufe von bpf()
5.1.16. redmine fehlt in Bullseye
5.1.17. Exim 4.94
5.1.18. SCSI-Geräteerkennung nicht mehr sicher vorhersagbar
5.1.19. rdiff-backup erfordert lockstep-Upgrade auf Server und Client
5.1.20. Probleme mit Intel CPU Microcode
5.1.21. Upgrades, die libgc1c2 beinhalten, benötigen zwei Durchläufe
5.1.22. fail2ban kann mittels mail aus bsd-mailx keine E-Mails versenden
5.1.23. Keine neuen SSH-Verbindungen möglich während des Upgrades
5.1.24. Open vSwitch upgrade requires interfaces(5) change
5.1.25. Dinge, die vor dem Neustart erledigt werden sollten
5.2. Dinge, die nicht auf den Upgrade-Prozess beschränkt sind
5.2.1. Einschränkungen bei der Sicherheitsunterstützung
5.2.2. Zugriff auf die GNOME-Einstellungen ohne Maus
5.2.3. Die rescue-Boot-Option ist nicht ohne root-Passwort nutzbar
5.2.4. 32-bit Xen PV guests are not supported
5.3. Überalterungen und Missbilligungen
5.3.1. Nennenswerte veraltete Pakete
5.3.2. Missbilligte Komponenten für Bullseye
5.4. Bekannte gravierende Fehler

Manchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Abschnitt 6.1, „Weitere Lektüre“.

5.1. Upgrade-spezifische Themen für Bullseye

Dieser Abschnitt behandelt Themen, die für ein Upgrade von Buster auf Bullseye relevant sind.

5.1.1. Neue API für Hardwarebeschleunigung auf Intel-GPUs

Für Intel-GPUs auf Broadwell-Chips oder neuer wird die API für Hardwarebeschleunigung (VA-API) jetzt standardmäßig über intel-media-va-driver abgewickelt, um hardware-beschleunigte Videos zu dekodieren. Systeme, auf denen va-driver-all installiert ist, werden automatisch auf den neuen Treiber hochgerüstet.

Das ursprüngliche Treiberpaket i965-va-driver ist ebenfalls noch verfügbar und bietet Support bis zur Cannon Lake Mikroarchitektur. Um diesen alten Treiber gegenüber dem neuen zu bevorzugen, setzen Sie die Umgebungsvariable LIBVA_DRIVER_NAME auf i965, z.B. indem Sie die Variable in /etc/environment definieren. Weitere Informationen finden Sie im Wiki unter Hardware Video Acceleration.

5.1.2. Das XFS-Dateisystem unterstützt nicht mehr die Optionen barrier/nobarrier

Die Unterstützung für die mount-Optionen barrier und nobarrier wurde aus dem XFS-Dateisystem entfernt. Es wird empfohlen, zu überprüfen, ob diese Optionen in /etc/fstab enthalten sind, und sie in diesem Fall zu entfernen. Bei Partitionen, für die diese Optionen verwendet werden, wird das Einbinden (mount) fehlschlagen.

5.1.3. Geändertes Layout im Security-Archiv

Für Bullseye ist die Security-Suite des Archivs jetzt mit bullseye-security benannt (statt dem früheren codename/updates; Benutzer sollten ihre APT source-list-Dateien beim Upgrade entsprechend anpassen.

Die Security-Zeile in Ihrer APT-Konfiguration könnte für Bullseye so aussehen:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Falls Ihr APT-Konfiguration auch Pinning oder APT::Default-Release enthält, sind dabei wahrscheinlich Anpassungen erforderlich, da der Codename im Security-Archiv nicht mehr mit dem im regulären Archiv übereinstimmt. Ein Beispiel für eine funktionierende APT::Default-Release-Zeile für Bullseye sieht aus wie folgt:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

5.1.4. Passwort-Hash verwendet standardmäßig yescrypt

Der Passwort-Hash für lokale Systemkonten wurde geändert und nutzt standardmäßig statt SHA-512 jetzt yescrypt (nähere Infos unter crypt(5)). Wir erwarten, dass dies die Sicherheit gegen wörterbuchbasierte Angriffe zum Erraten von Passwörter erhöht (sowohl was den benötigten Speicher wie auch die für solch einen Angriff nötige Zeit anbetrifft).

Um von diesem Sicherheitsvorteil zu profitieren, sollten Sie Ihre lokalen Passwörter ändern, z.B. mit dem passwd-Befehl.

Alte Passwörter werden weiter funktionieren, unabhängig davon, welcher Passwort-Hash zu deren Erstellung verwendet wurde.

Yescrypt wird nicht von Debian 10 (Buster) unterstützt. Aufgrunddessen können shadow-Passwortdateien (/etc/shadow) nicht von einem Bullseye-System zurück auf ein Buster-System kopiert werden. In einem solchen Fall würden Passwörter, die unter Bullseye erstellt wurden, unter Buster nicht funktionieren. Vergleichbar dazu können Passwörter auch nicht via Kopieren&Einfügen von einem Bullseye- auf ein Buster-System übertragen werden.

Falls solch eine Kompatibilität zwischen Bullseye und Buster benötigt wird, müssen Sie /etc/pam.d/common-password anpassen. Suchen Sie die folgende Zeile:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

und ersetzen Sie yescrypt durch sha512.

5.1.5. NSS-, NIS- und NIS+-Unterstützung benötigt neue Pakete

Die Unterstützung für NSS, NIS und NIS+ wurde in separate Pakete namens libnss-nis bzw. libnss-nisplus verschoben. Unglücklicherweise kann bei glibc keine Abhängigkeit auf diese neuen Pakete festgelegt werden, sie werden jetzt von glibc lediglich empfohlen.

Auf Systemen, die NIS oder NIS+ verwenden, sollte daher nach dem Upgrade kontrolliert werden, ob diese Pakete korrekt installiert sind.

5.1.6. Behandlung von Konfigurationsdatei-Fragmenten in unbound

Der DNS-Resolver unbound hat die Art geändert, wie mit Konfigurationsdatei-Fragmenten umgegangen wird. Falls Sie include:-Regeln verwenden, um einzelne Fragmente in eine gültige Konfiguration zusammenzuführen, sollten Sie die NEWS-Datei lesen.

5.1.7. Missbilligung einiger rsync-Parameter

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.8. Behandlung von Addons in vim

Die Addons für vim, bereitgestellt vom Paket vim-scripts, werden jetzt von vim's nativer package-Funktionalität verwaltet, statt von vim-addon-manager. Vim-Benutzer sollten sich vor dem Upgrade darauf vorbereiten, Instruktionen dazu sind in der NEWS-Datei zu finden.

5.1.9. OpenStack und cgroups v1

OpenStack Victoria (enthalten in Bullseye) erfordert cgroup v1 für die Block-Device QoS-Funktionalität. Da seit Bullseye die Verwendung von cgroupv2 das Standardverhalten ist (Näheres in Abschnitt 2.2.4, „Control groups v2“), enthält der sysfs-Verzeichnisbaum in /sys/fs/cgroup keine cgroupv1-Funktionen wie /sys/fs/cgroup/blkio, und aufgrunddessen wird cgcreate -g blkio:foo fehlschlagen. Für OpenStack-Nodes, auf denen nova-compute oder cinder-volume läuft, wird dringend empfohlen, die Parameter systemd.unified_cgroup_hierarchy=false und systemd.legacy_systemd_cgroup_controller=false zur Kernel-Befehlszeile hinzuzufügen, um die Standardeinstellungen zu überschreiben und die alte cgroup-Hierarchie weiter zu verwenden.

5.1.10. OpenStack API: Regel-Dateien

Gemäß den Empfehlungen von Upstream wurde die OpenStack API von OpenStack Victoria (die in Bullseye enthaltene Version) dahingehend geändert, dass jetzt für Regel-Dateien das neue YAML-Format verwendet wird. Aufgrunddessen scheinen die meisten OpenStack-Dienste (inklusive Nova, Glance und Keystone) beschädigt zu sein, wenn die API-Regeln explizit in policy.json-Dateien definiert sind. Daher enthalten die Pakete jetzt ein Verzeichnis /etc/PROJEKTNAME/policy.d mit einer Datei namens 00_default_policy.yaml, die alle Regeln als (standardmäßig) auskommentierte Zeilen enthält.

Um zu vermeiden, dass die alten policy.json-Dateien aktiv bleiben, benennen Debian's OpenStack-Pakete diese Datei jetzt um in disabled.policy.json.old. In einigen Fällen, für die zeitnah keine bessere Lösung gefunden werden konnte, wird die policy.json sogar einfach gelöscht. Es wird daher dringend empfohlen, dass Sie vor dem Upgrade Sicherungen der policy.json-Dateien auf Ihrem System erstellen.

Weitere Details finden Sie in der Upstream-Dokumentation.

5.1.11. sendmail nicht verfügbar während des Upgrades

Anders als bei normalen Aktualisierungen von sendmail wird während des Upgrades von Buster auf Bullseye der sendmail-Dienst für eine längere Zeit als gewöhnlich gestoppt. Grundsätzliche Informationen, wie Sie diese Downtime reduzieren können, finden Sie in Abschnitt 4.1.3, „Vorbereitung auf die Deaktivierung von Diensten“.

5.1.12. FUSE 3

Einige Pakete wie gvfs-fuse, kio-fuse und sshfs haben auf FUSE 3 umgestellt. Das führt dazu, dass bei diesem Upgrade fuse3 installiert und fuse vom System entfernt wird.

Unter besonderen Umständen, z.B. wenn Sie das Upgrade einfach nur durch Ausführen von apt-get dist-upgrade durchführen, statt durch die in Kapitel 4, Upgrade von Debian 10 (Buster) dokumentierte Vorgehensweise, könnten Pakete, die von fuse3 abhängen, zurückgehalten werden. Sie können dies Problem beheben, indem Sie die Schritte in Abschnitt 4.4.5, „Upgrade des Systems“ mit der apt-Version aus Bullseye erneut ausführen oder indem Sie die Pakete händisch aktualisieren.

5.1.13. GnuPG options-Datei

Beginnend mit Version 2.2.27-1 wurde die benutzerspezifische Konfiguration der GnuPG-Suite vollständig auf ~/.gnupg/gpg.conf umgestellt; die Datei ~/.gnupg/options wird nicht mehr verwendet. Bitte benennen Sie die Datei - falls notwendig - um, oder verschieben Sie deren Inhalt an den neuen Ort.

5.1.14. Linux aktiviert standardmäßig User Namespaces

Ab Linux 5.10 sind alle Benutzer standardmäßig berechtigt, nutzerspezifische Namensräume (User Namespaces) anzulegen. Dies erlaubt es Programmen wie Webbrowsern oder Container-Managern, restriktivere Sandbox-Umgebungen für nicht oder weniger vertrauenswürdigen Code zu erzeugen, ohne dass sie dabei als root laufen oder ein setuid-root-Hilfsskript verwenden müssen.

Früher war Debians Standardeinstellung hierbei, diese Funktionalität nur Prozessen zu erlauben, die als root laufen, weil sie weitere Sicherheitsprobleme im Linux-Kernel freigelegt hat. Da die Implementierung dieser Funktion in der Zwischenzeit aber ausgereift ist, sind wir jetzt zuversichtlich, dass das Risiko der allgemeinen Freigabe aufgewogen wird durch den Sicherheitsgewinn, den diese Funktionalität bietet.

Falls Sie es vorziehen, diese Funktion nur auf root beschränkt zu halten, setzen Sie dieses sysctl:

user.max_user_namespaces = 0
      

Beachten Sie aber, dass verschiedene Desktop- und Containerfunktionalitäten nicht funktionieren werden, wenn diese Einschränkung in Kraft ist, unter anderem bei Webbrowsern, WebKitGTK, Flatpak und der Erstellung von Vorschaubildern in GNOME.

Das Debian-spezifische sysctl kernel.unprivileged_userns_clone=0 hat einen ähnlichen Effekt, ist aber überholt.

5.1.15. Linux deaktiviert standardmäßig unpriviligierte Aufrufe von bpf()

Ab Linux 5.10 unterbindet Debian standardmäßig unpriviligierte Aufrufe von bpf(). Allerdings kann ein Admin dies - falls erforderlich - später anpassen, indem der Sysctl kernel.unprivileged_bpf_disabled auf 0 oder 1 gesetzt wird.

Falls Sie unpriviligierte Aufrufe von bpf() weiter erlauben möchten, setzen Sie diesen Sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Hintergrundinformationen zur dieser Änderung der Standardeinstellung finden Sie im Fehlerbericht #990411, in dem diese Änderung angefordert wurde.

5.1.16. redmine fehlt in Bullseye

Das Paket redmine wird in Bullseye nicht angeboten, da es zu spät war, um von der alten rails-Version (die das Ende der Unterstützung durch die Upstream-Autoren erreicht hat und nur noch begrenzt Korrekturen für Sicherheitsprobleme erhält) auf die neue, in Bullseye enthaltene Version zu migrieren. Die Betreuer von Ruby Extras sind dicht an den Upstream-Autoren dran und werden eine neue Version über backports veröffentlichen, sobald sie freigegeben ist und die Pakete funktionieren. Falls Sie mit einem Upgrade darauf nicht warten möchten, können Sie eine VM (virtuelle Maschine) oder einen Container nutzen, in dem Buster läuft, um diese spezielle Anwendung zu isolieren.

5.1.17. Exim 4.94

Bitte sehen Sie die Bullseye-Version von Exim als großes Exim-Upgrade an. Sie führt ein Konzept ein, das von nicht-vertrauenswürden Quellen empfangene Daten als unrein ansieht, wie z.B. Nachrichtenabsender oder Empfänger. Solche unreinen Daten (z.B. $local_part oder $domain) können nicht als Teil von Datei- oder Verzeichnisname oder Befehlsnamen genutzt werden.

Dies wird Konfigurationen unbrauchbar machen, die nicht entsprechend angepasst werden. Alte Exim-Konfigurationsdateien werden unverändert auch nicht mehr funktionieren; die neue Konfiguration muss installiert und lokale Änderungen dann erneut eingepflegt werden.

Typische Beispiele, die nicht mehr funktionieren werden:

  • Auslieferung an /var/mail/$local_part. Verwenden Sie stattdessen $local_part_data in Kombination mit check_local_user.

  • die Verwendung von

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    statt

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    für die Alias-Datei einer virtuellen Domain.

Die zugrunde liegende Strategie, mit dieser Änderung umzugehen ist, das Ergebnis einer zusätzlicher Abfrage zu verwenden, statt dem (von extern empfangenen) Originalwert.

Um das Upgrade zu erleichtern, gibt es eine neue Haupt-Konfigurationsoption, die solche Unreine-Daten-Fehler auf Warnungen herabstuft, und die es somit ermöglicht, die alte Konfiguration mit der neuen Exim-Version laufen zu lassen. Um diese Funktion zu nutzen, fügen Sie

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

zu Ihrer Exim-Konfiguration (z.B. zu /etc/exim4/exim4.conf.localmacros) hinzu, bevor Sie das Upgrade starten, und schauen Sie in der Logdatei nach solchen Warnungen. Dies ist nur ein vorübergehender Workaround, der bereits wieder zur Löschung vorgesehen ist.

5.1.18. SCSI-Geräteerkennung nicht mehr sicher vorhersagbar

Aufgrund von Änderungen im Linux-Kernel ist das Ergebnis der Erkennung von SCSI-Geräten nicht mehr deterministisch (sicher vorhersagbar). Dies könnte ein Problem sein für Installationen, die sich auf die Reihenfolge der erkannten Geräte verlassen. Zwei mögliche Alternativen sind die Verwendung von Links in /dev/disk/by-path oder einer udev-Regel, wie in diesem Mailinglisten-Beitrag empfohlen.

5.1.19. rdiff-backup erfordert lockstep-Upgrade auf Server und Client

Die Netzwerk-Protokolle der Versionen 1 und 2 von rdiff-backup sind inkompatibel. Das bedeutet, dass Sie lokal und fern die gleiche Version (entweder 1 oder 2) von rdiff-backup verwenden müssen. Da Buster die Version 1.2.8 enthält und Bullseye die Version 2.0.5, werden rdiff-backup-Läufe nicht mehr funktionieren, wenn Sie nur das lokale System oder nur das ferne System von Buster auf Bullseye hochrüsten.

Die Version 2.0.5 von rdiff-backup ist im buster-backports-Archiv verfügbar, siehe backports. Dies gibt Ihnen die Möglichkeit, zuerst nur das rdiff-backup-Paket auf Ihren Buster-Systemen hochzurüsten, und dann unabhängig voneinander die Systeme auf Bullseye hochzuziehen.

5.1.20. Probleme mit Intel CPU Microcode

Das aktuell in bullseye und buster-security enthaltene intel-microcode-Paket (schauen Sie unter DSA-4934-1) hat bekanntermaßen zwei gravierende Fehler. Für einige CoffeeLake-CPUs könnte dieses Update Netzwerkschnittstellen außer Funktion setzen , die firmware-iwlwifi verwenden, und bei einigen Skylake-R0/D0-CPUs auf Systemen mit stark veralteter Firmware (BIOS) könnte das System beim Booten hängen bleiben.

Wenn Sie das Update von DSA-4934-1 wegen eines dieser Probleme zurückgehalten haben, oder das Security-Archiv nicht aktiviert haben, seien Sie gewarnt, dass beim Upgrade des intel-microcode-Pakets auf die Bullseye-Version Ihr System beim Booten hängen könnte oder iwlwifi-Schnittstellen nicht mehr funktionieren könnten. In diesem Fall können Sie das System wiederherstellen, indem Sie das Laden von Microcode beim Booten deaktivieren; schauen Sie in die Anweisungen in der DSA (oder in die README.Debian-Datei im intel-microcode-Paket).

5.1.21. Upgrades, die libgc1c2 beinhalten, benötigen zwei Durchläufe

Pakete, die in Buster von libgc1c2 abhängen (z.B. guile-2.2-libs), könnten beim ersten vollständigen Upgrade-Durchlauf auf Bullseye zurückgehalten werden. Das Upgrade ein weiteres Mal zu starten, sollte das Problem beheben. Hintergrundinfos zu diesem Problem finden Sie im Fehlerbericht #988963.

5.1.22. fail2ban kann mittels mail aus bsd-mailx keine E-Mails versenden

Das fail2ban-Paket kann konfiguriert werden, E-Mail-Benachrichtigungen zu versenden. Es verwendet dazu mail, das von verschiedenen Paketen in Debian bereitgestellt wird. Eine Sicherheitsaktualisierung direkt vor der Veröffentlichung von Bullseye (erforderlich auf Systemen, die mail aus dem Paket mailutils nutzen) hat diese Funktionalität für Systeme beschädigt, die mail aus dem bsd-mailx-Paket verwenden. Nutzer von fail2ban in Kombination mit bsd-mailx, die möchten, dass fail2ban E-Mails versendet, sollten entweder auf ein anderes Paket wechseln, das mail bereitstellt, oder den Upstream commit rückgängig machen, der die Zeichenfolge "-E 'set escape'" an mehreren Stellen in /etc/fail2ban/action.d/ hinzugefügt hat.

5.1.23. Keine neuen SSH-Verbindungen möglich während des Upgrades

Obwohl bereits vorhandene Secure-Shell- (SSH) Verbindungen während des Upgrades wie gewohnt weiter funktionieren sollten, ist aufgrund unglücklicher Umstände die Zeitspanne, während derer keine neuen SSH-Verbindungen aufgebaut werden können, länger wie sonst. Falls das Upgrade über eine SSH-Verbindung ausgeführt wird, die währenddessen unter Umständen unterbrochen werden könnte, wird empfohlen, das Paket openssh-server separat zu aktualisieren, bevor das vollständige System-Upgrade gestartet wird.

5.1.24. Open vSwitch upgrade requires interfaces(5) change

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

5.1.25. Dinge, die vor dem Neustart erledigt werden sollten

Wenn apt full-upgrade beendet ist, sollte das formale Upgrade abgeschlossen sein. Nach dem Upgrade auf Bullseye gibt es keine besonderen Aktionen, die vor dem nächsten Neustart erledigt werden müssen.

5.2. Dinge, die nicht auf den Upgrade-Prozess beschränkt sind

5.2.1. Einschränkungen bei der Sicherheitsunterstützung

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass minimale Rückportierungen zur Behebung von Sicherheitslücken in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

[Anmerkung]Anmerkung

Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

5.2.1.1. Sicherheitsstatus von Webbrowsern und deren Rendering-Engines

Debian 11 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf Engines wie webkit, qtwebkit und khtml[6] aufbauen, sind daher in Bullseye zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen. Die webkit2gtk- und wpewebkit-Engines sind jedoch von der Sicherheitsunterstützung abgedeckt.

Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.

5.2.1.2. OpenJDK 17

Debian Bullseye enthält eine Vorabversion von OpenJDK 17 (die nächste zu erwartende LTS-Version nach OpenJDK 11), um den ziemlich lästigen Bootstrap-Prozess zu vermeiden. Der Plan für Debian Bullseye ist, für OpenJDK 17 eine Aktualisierung auf die finale Upstream-Version zu bekommen, die für Oktober 2021 angekündigt ist. Anschließend beabsichtigen wir, soweit möglich Sicherheitsaktualisierungen hierfür bereitzustellen, aber Benutzer sollten keine regelmäßigen quartalsmäßigen Updates erwarten.

5.2.1.3. Go-basierte Pakete

Debian's Infrastruktur hat derzeit Probleme beim Neubau von Paketentypen, die systematischen Gebrauch von statischer Verlinkung machen. Vor Buster war dies in der Praxis noch kein Thema, aber das Anwachsen des Go-Ecosystems bedeutet, dass Go-basierte Pakete jetzt nur noch eingeschränkt von Debians Sicherheitsunterstützung abgedeckt sein werden, bis die Infrastruktur dahingehend entsprechend verbessert wurde.

Falls Aktualisierungen für Go-Development-Bibliotheken zugesichert werden, können diese nur im Rahmen von Zwischenveröffentlichungen ausgeliefert werden, was solche Updates zeitlich verzögern können.

5.2.2. Zugriff auf die GNOME-Einstellungen ohne Maus

Ohne Zeigegerät/Maus gibt es keinen direkten Weg, um Einstellungen im GNOME-Einstellungen-Programm (aus dem gnome-control-center-Paket) durchzuführen. Um dieses Problem zu umgehen, können Sie von der Seitenleiste (links) zum Hauptfenster navigieren, indem Sie zweimal die Taste Pfeil rechts drücken. Um zurück zur Seitenleiste zu gelangen, öffnen Sie eine Suche mittels Strg+F, tippen irgendetwas ein, und drücken dann Esc, um die Suche abzubrechen. Jetzt können Sie die Tasten Pfeil hoch und Pfeil runter benutzen, um in der Seitenleiste zu navigieren. Es ist leider nicht möglich, Suchergebnisse über die Tastatur auszuwählen.

5.2.3. Die rescue-Boot-Option ist nicht ohne root-Passwort nutzbar

Mit der Implementation von sulogin, die seit Buster genutzt wird, erfordert das Booten mit der rescue-Option immer ein root-Passwort. Falls keins festgelegt wurde, führt dies dazu, dass der Rescue-Modus letztlich nicht nutzbar ist. Allerdings ist es trotzdem möglich, mit dem Kernel-Parameter init=/sbin/sulogin --force zu booten.

Um etwas vergleichbares zu erreichen, wann immer systemd im Rescue-Modus bootet, (auch bekannt als Single-Mode; siehe systemd(1)), führen Sie sudo systemctl edit rescue.service aus und erstellen eine Datei, die folgendes enthält:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Es könnte aber auch (oder stattdessen) nützlich sein, dies für die emergency.service-Unit durchzuführen, die im Falle bestimmter Fehler (siehe systemd.special(7)) automatisch gestartet wird, oder falls emergency zur Kernel-Befehlszeile hinzugefügt wird (also z.B. in Fällen, wenn das System nicht über den Rescue-Modus wiederbelebt werden kann).

Hintergrundinformationen und eine Diskussion über diesbezügliche Sicherheitsaspekte finden Sie unter #802211.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Überalterungen und Missbilligungen

5.3.1. Nennenswerte veraltete Pakete

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

  • Das lilo-Paket wurde aus Bullseye entfernt. Sein Nachfolger als Bootloader ist grub2.

  • Die Version 3 des Mailinglisten-Managers Mailman ist die einzige verfügbare in dieser Veröffentlichung. Mailman wurde in mehrere Komponenten aufgesplittet; der Kern ist im mailman3-Paket enthalten, während über das Metapaket mailman3-full die komplette Suite installiert werden kann.

    Die alte Mailman-Version 2.1 ist nicht mehr verfügbar (dies war das Paket mailman). Diese Version hat eine Abhängigkeit von Python 2, welches nicht mehr in Debian enthalten ist.

    Für Instruktionen zur Aktualisierung lesen Sie Mailman's Migrationsdokumentation.

  • Der Linux-Kernel bietet keine Unterstützung mehr für isdn4linux (i4l). Daher wurden auch die Userland-Pakete isdnutils, isdnactivecards, drdsl und ibod aus den Archiven entfernt.

  • Die veralteten libappindicator-Bibliotheken werden nicht länger angeboten. Als Ergebnis sind die zugehörigen Pakete libappindicator1, libappindicator3-1 und libappindicator-dev ebenfalls nicht mehr verfügbar. Dies wird vermutlich zu Paketabhängigkeits-Problemen bei Fremdsoftware führen, die noch von libappindicator abhängen, um Benachrichtigungen oder Systemanzeigen (system tray) zu unterstützen.

    Debian verwendet libayatana-appindicator als Nachfolger für libappindicator. Für weitere technische Hintergrundinformationen lesen Sie diese Ankündigung.

  • Debian bietet das Paket chef nicht mehr an. Wenn Sie chef für Ihr Konfigurations-Management verwenden, ist die beste Variante für ein Upgrade vermutlich die, auf Pakete von Chef Inc hochzurüsten.

    Hintergrundinformationen zur Entfernung finden Sie im Removal request.

  • Python 2 hat das Ende seiner Lebenszeit bereits überschritten, und wird keine Sicherheitsaktualisierungen mehr erhalten. Es wird nicht mehr unterstützt, um Anwendungen laufen zu lassen und Pakete, die darauf aufbauen, sind entweder auf Python 3 konvertiert oder entfernt worden. Allerdings enthält Debian Bullseye noch die Version Python 2.7, sowie eine kleinere Anzahl von Bauwerkzeugen für Python 2, wie z.B. python-setuptools. Diese sind jedoch nur vorhanden, da sie noch benötigt werden, um einige wenige Anwendungen zu bauen, die noch nicht auf Python 3 konvertiert wurden.

  • Das aufs-dkms-Paket ist nicht Teil von Bullseye. Die meisten aufs-dkms-Nutzer sollten nach overlayfs wechseln können, das eine ähnliche Funktionalität mit Kernel-Unterstützung bietet. Allerdings kann es Debian-Installationen geben, die auf einem Dateisystem liegen, welches nicht mit overlayfs kompatibel ist, z.B. xfs ohne d_type. Nutzer von aufs-dkms werden daher aufgefordert, vor dem Upgrade auf Bullseye von aufs-dkms zu einer Alternative zu migrieren.

  • The network connection manager wicd will no longer be available after the upgrade, so to avoid the danger of losing connectivity users are recommended to switch before the upgrade to an alternative such as network-manager or connman.

5.3.2. Missbilligte Komponenten für Bullseye

Mit der nächsten Veröffentlichung von Debian 12 (Codename Bookworm) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 12 zu vermeiden.

Dazu gehören folgende Funktionalitäten:

  • Die alten Rechtfertigungen für das Dateisystem-Layout mit den Verzeichnissen /bin, /sbin und /lib getrennt von ihren Äquivalenten in /usr gelten heutzutage nicht mehr; lesen Sie dazu Freedesktop.org summary. Debian Bullseye wird die letzte Debian-Veröffentlichung sein, die das alte Layout unterstützt, in dem oben erwähnte Verzeichnisse nicht unter /usr zusammengeführt sind (non-merged-usr layout). Für Systeme, die dieses alte Layout verwenden, und die ohne Neuinstallation auf Bullseye hochgerüstet werden, gibt es das usrmerge-Paket, das - falls gewünscht - die Umstellung durchgeführt.

  • Bullseye ist die letzte Debian-Version, die apt-key enthält. Die Schlüsselverwaltung sollte stattdessen über Dateien erfolgen, die in /etc/apt/trusted.gpg.d abgelegt werden (in binärer Form, wie sie von gpg --export mit einer .gpg-Dateierweiterung erzeugt werden, oder in verschlüsseltem ASCII mit .asc-Erweiterung.

    Ein Ersatz für apt-key list, um den Schlüsselring händisch untersuchen zu können, ist in Planung, aber die Arbeit dafür hat noch nicht begonnen.

  • Die slapd Datenbank-Backends slapd-bdb(5), slapd-hdb(5) und slapd-shell(5) sind zurückgezogen worden und werden nicht in Debian 12 enthalten sein. LDAP-Datenbanken, die das bdb- oder das hdb-Backend verwenden, sollten nach slapd-mdb(5) migriert werden.

    Desweiteren sind die slapd-perl(5)- und slapd-sql(5)-Backends veraltet und könnten in zukünftigen Veröffentlichungen entfernt werden.

    Das OpenLDAP-Projekt unterstützt keine zurückgezogenen oder veralteten Backends. Die Unterstützung für diese Backends in Debian 11 erfolgt lediglich auf Best-Effort-Basis (wir tun, was wir können).

5.4. Bekannte gravierende Fehler

Obwohl Debian-Veröffentlichungen nur freigegeben werden, wenn sie fertig sind, heißt dies unglücklicherweise nicht, dass keine bekannten Fehler existieren. Als Teil des Release-Prozesses werden alle Fehler mit Schweregrad serious oder höher aktiv vom Release-Team verfolgt, daher gibt es in Debians Fehlerdatenbank einen Überblick all der Fehler, die im letzten Schritt der Freigabe von bullseye als "zu ignorieren" gekennzeichnet wurden. Folgende Fehler betreffen bullseye zum Zeitpunkt der Veröffentlichung und sollten hier erwähnt werden:

FehlernummerQuell- oder BinärpaketBeschreibung
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts
990026croncron: Reduced charset in MAILTO causes breakage
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 lacks dependencies
990318python-pkg-resourcespython-pkg-resources: please add Breaks against the unversioned python packages
991449fail2banfix for CVE-2021-32749 breaks systems with mail from bsd-mailx
990708mariadb-server-10.5,galera-4mariadb-server-10.5: upgrade problems due to galera-3 -> galera-4 switch
980429src:gcc-10g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10missing i386-cpuinfo.h
984574gcc-10-basegcc-10-base: please add Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: fails to install with xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 has empty Depends
948739gpartedgparted should not mask .mount units
984714gpartedgparted should suggest exfatprogs and backport the commit that rejects exfat-utils
968368ifenslaveifenslave: Option bond-master fails to add interface to bond
990428ifenslaveifenslave: Bonding not working on bullseye (using bond-slaves config)
991113libpam-chrootlibpam-chroot installs pam_chroot.so into the wrong directory
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy
982459mdadmmdadm --examine in chroot without /proc,/dev,/sys mounted corrupts host's filesystem
981054openipmiopenipmi: Missing dependency on kmod
948318openssh-serveropenssh-server: Unable to restart sshd restart after upgrade to version 8.1p1-2
991151procpsprocps: dropped the reload option from the init script, breaking corekeeper
989103pulseaudiopulseaudio regressed on control=Wave configuration
984580libpython3.9-devlibpython3.9-dev: missing dependency on zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: running java in qemu s390 gives a SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherbreaks with pulse-audio as output when spawned by speechd-up from init system
932501src:squid-deb-proxysquid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor
991588tpm2-abrmdtpm2-abrmd should not use Requires=systemd-udev-settle.service in its unit
991939libjs-bootstrap4libjs-bootstrap4: broken symlinks: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean deletes unrelated files outside of package source
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: black screen after suspend when laptop lid is closed and re-opened


[6] Diese Engines sind in einer ganzen Reihe von Quellpaketen enthalten und die aufgeführten Bedenken gelten für all diese Pakete. Sie gelten auch für solche Pakete, die die Engine enthalten, aber hier nicht explizit aufgeführt sind, mit Ausnahme von webkit2gtk und dem neuen wpewebkit.