Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bullseye

Inhoudsopgave

5.1. Opwaarderingsspecifieke zaken voor bullseye
5.1.1. Nieuw VA-API-standaardstuurprogramma voor Intel GPU's
5.1.2. Het XFS-bestandssysteem ondersteunt niet langer de optie barrier/nobarrier
5.1.3. Gewijzigde indeling van het beveiligingsarchief
5.1.4. Wachtwoordfrommels gebruiken standaard yescript
5.1.5. Nieuwe pakketten zijn vereist voor de ondersteuning van NSS NIS en NIS+
5.1.6. Verwerking van configuratiebestandsfragmenten door unbound
5.1.7. Verouderde rsync-parameters
5.1.8. Afhandeling van vim-uitbreidingen
5.1.9. OpenStack en cgroups v1
5.1.10. OpenStack API-beleidsbestanden
5.1.11. onbeschikbaarheid van sendmail tijdens de opwaardering
5.1.12. FUSE 3
5.1.13. Het GnuPG options-bestand
5.1.14. In Linux worden gebruikersnaamruimten standaard geactiveerd
5.1.15. In Linux worden standaard niet-geprivilegieerde aanroepen naar bpf() uitgeschakeld
5.1.16. redmine ontbreekt in bullseye
5.1.17. Exim 4.94
5.1.18. Het onderzoek van SCSI-apparaten is niet sluitend
5.1.19. rdiff-backup vereist een lockstep-upgrade van server en client
5.1.20. Problemen met microcode voor Intel CPU's
5.1.21. Opwaarderingen waarbij libgc1c2 betrokken is, hebben twee doorlopen nodig
5.1.22. fail2ban kan met mail van bsd-mailx geen e-mail verzenden
5.1.23. Tijdens de opwaardering zijn geen nieuwe SSH-verbindingen mogelijk
5.1.24. De opwaardering van Open vSwitch vereist een aanpassing van interfaces(5)
5.1.25. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
5.2. Items die niet beperkt zijn tot het opwaarderingsproces
5.2.1. Beperkingen inzake beveiligingsondersteuning
5.2.2. Toegang tot de app GNOME-Instellingen zonder muis
5.2.3. De rescue-opstartoptie (noodopstart) is zonder een systeembeheerderswachtwoord niet bruikbaar
5.2.4. 32-bit Xen PV guests are not supported
5.3. Verouderde en achterhaalde zaken
5.3.1. Vermeldenswaardige uitgefaseerde pakketten
5.3.2. Verouderde componenten van bullseye
5.4. Bekende ernstige bugs

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.

5.1. Opwaarderingsspecifieke zaken voor bullseye

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van buster naar bullseye.

5.1.1. Nieuw VA-API-standaardstuurprogramma voor Intel GPU's

Voor Intel GPU's die beschikbaar zijn vanaf Broadwell en recenter, is de implementatie van de API voor Video-Acceleratie (VA-API) nu standaard ingesteld op intel-media-va-driver voor hardwareversnelde videodecodering. Systemen waarop va-driver-all geïnstalleerd is zullen automatisch naar het nieuwe stuurprogramma opgewaardeerd worden.

Het oudere stuurprogrammapakket i965-va-driver is nog steeds beschikbaar en biedt ondersteuning tot aan de Cannon Lake-microarchitectuur. Om het oude stuurprogramma te verkiezen boven het nieuwe standaard stuurprogramma, stelt u de omgevingsvariabele LIBVA_DRIVER_NAME in op i965, door bijvoorbeeld deze variabele in te stellen in /etc/environment. Raadpleeg voor meer informatie de Wiki-pagina's over hardware video acceleration.

5.1.2. Het XFS-bestandssysteem ondersteunt niet langer de optie barrier/nobarrier

Bij het XFS-bestandssysteem werd ondersteuning voor de aankoppelopties barrier en nobarrier verwijderd. Het wordt aanbevolen om /etc/fstab te controleren op de aanwezigheid van een van beide sleutelwoorden en deze te verwijderen. Partities die deze opties gebruiken zullen niet aangekoppeld worden.

5.1.3. Gewijzigde indeling van het beveiligingsarchief

In bullseye heet de beveiligingssuite nu bullseye-security in plaats van codename/updates en gebruikers moeten hun sources.list-bestanden voor APT dienovereenkomstig aanpassen bij het upgraden.

De beveiligingsregel in uw APT-configuratie kan er zo uitzien:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Als uw APT-configuratie ook pinning of APT::Default-Release omvat, zijn er waarschijnlijk aanpassingen nodig omdat de codenaam van het beveiligingsarchief niet langer overeenkomt met die van het reguliere archief. Een voorbeeld van een werkende APT::Default-Release-regel voor bullseye ziet er als volgt uit:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

Deze regel maakt gebruik van het feit dat APT reguliere expressies ondersteunt (binnen /).

5.1.4. Wachtwoordfrommels gebruiken standaard yescript

De standaard wachtwoordhash voor lokale systeemaccounts is veranderd van SHA-512 naar yescrypt (zie crypt(5)). Dit zal naar verwachting een verbeterde beveiliging bieden tegen op woordenboek gebaseerde aanvallen om wachtwoorden te raden, zowel wat betreft de ruimte- als de tijdcomplexiteit van de aanval.

Wijzig lokale wachtwoorden om van deze verbeterde beveiliging te profiteren; gebruik bijvoorbeeld heet commando passwd.

Oude wachtwoorden blijven werken, ongeacht de wachtwoord-hash die is gebruikt om ze te maken.

Yescrypt wordt niet ondersteund in Debian 10 (buster). Als gevolg hiervan kunnen shadow-wachtwoordbestanden (/etc/shadow) niet van een bullseye-systeem terug naar een buster-systeem worden gekopieerd. Als deze bestanden worden gekopieerd, zullen wachtwoorden die zijn gewijzigd op het bullseye-systeem niet werken op het buster-systeem. Evenzo kunnen wachtwoord-hashes niet worden geknipt en geplakt van een bullseye- naar een buster-systeem.

Als compatibiliteit vereist is voor wachtwoord-hashes tussen bullseye en buster, pas dan /etc/pam.d/common-password aan. Zoek de regel die er als volgt uitziet:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

en vervang yescrypt door sha512.

5.1.5. Nieuwe pakketten zijn vereist voor de ondersteuning van NSS NIS en NIS+

De ondersteuning voor NSS NIS en NIS+ werd verplaatst naar aparte pakketten, genaamd libnss-nis en libnss-nisplus. Helaas kan glibc deze pakketten niet vereisen en daarom worden deze nu slechts aanbevolen.

Op systemen die NIS of NIS+ gebruiken, is het daarom aangeraden om te controleren of die pakketten correct geïnstalleerd zijn na de upgrade.

5.1.6. Verwerking van configuratiebestandsfragmenten door unbound

De DNS-resolver unbound heeft de manier veranderd waarop het configuratiebestandsfragmenten verwerkt. Als u vertrouwt op een include:-richtlijn om verschillende fragmenten samen te voegen tot een geldige configuratie, moet u het NEWS-bestand lezen.

5.1.7. Verouderde rsync-parameters

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.8. Afhandeling van vim-uitbreidingen

De uitbreidingen voor vim welke voorheen werden geleverd door vim-scripts, worden nu beheerd door vim's eigen pakket-functionaliteit in plaats van door vim-addon-manager. Gebruikers van vim moeten zich voor de opwaardering hierop voorbereiden door de instructies uit het bestand NEWS te volgen.

5.1.9. OpenStack en cgroups v1

OpenStack Victoria (uitgebracht in bullseye) vereist cgroup v1 voor blokapparaat QoS. Omdat in bullseye ook overgeschakeld wordt op het gebruik van cgroup v2 als standaard (zie Paragraaf 2.2.4, “Control groups v2”), zal de sysfs-boom in /sys/fs/cgroup geen cgroup-functies voor v1 bevatten zoals /sys/fs/cgroup/blkio, met als gevolg dat cgcreate -g blkio:foo zal mislukken. Voor OpenStack-nodes die nova-compute of cinder-volume gebruiken, wordt sterk aanbevolen om de standaardinstelling te overschrijven en de oude cgroup-hiërarchie te herstellen door aan de kernel-commandoregel de parameters systemd.unified_cgroup_hierarchy=false en systemd.legacy_systemd_cgroup_controller=false toe te voegen.

5.1.10. OpenStack API-beleidsbestanden

In navolging van de bovenstroomse aanbevelingen, schakelt OpenStack Victoria, zoals het in bullseye uitgebracht wordt, voor de OpenStack API over op het gebruik van het nieuwe YAML-formaat. Als gevolg hiervan blijken de meeste OpenStack-diensten, waaronder Nova, Glance en Keystone, defect te zijn met al de API-beleidsregels die expliciet in de bestanden policy.json beschreven zijn. Daarom worden pakketten nu standaard geleverd met een map /etc/PROJECT/policy.d met daarin het bestand 00_default_policy.yaml waarin alle beleidsregels zijn uitgecommentarieerd.

Om te vermijden dat het oude bestand policy.json actief blijft, hernoemen de OpenStack-pakketten in Debian dat bestand nu naar disabled.policy.json.old. In sommige gevallen, waarin voor de release tijdig niets beters kon worden gedaan, wordt het bestand policy.json zelfs gewoon verwijderd. Dus voordat u een opwaardering uitvoert, wordt het ten zeerste aangeraden om een back-up te maken van de bestanden policy.json uit uw implementaties.

Meer details zijn te vinden in de bovenstroomse documentatie.

5.1.11. onbeschikbaarheid van sendmail tijdens de opwaardering

In tegenstelling tot normale opwaarderingen van sendmail, zal de dienst sendmail gestopt worden tijdens de opwaardering van buster naar bullseye, met een langere onderbreking dan gewoonlijk tot gevolg. Voor algemeen advies over het beperken van de onbeschikbaarheid kunt u Paragraaf 4.1.3, “Bereid u voor op het feit dat diensten een tijd onbeschikbaar zullen zijn” raadplegen.

5.1.12. FUSE 3

Sommige pakketten, waaronder gvfs-fuse, kio-fuse en sshfs zijn overgeschakeld op FUSE 3. Daardoor zal tijdens opwaarderingen fuse3 geïnstalleerd worden en zal fuse verwijderd worden.

In sommige uitzonderlijke omstandigheden, bijvoorbeeld wanneer men de opwaardering enkel met het commando apt-get dist-upgrade uitvoert in plaats van met de in Hoofdstuk 4, Opwaarderen vanuit Debian 10 (buster) aanbevolen opwaarderingsstappen, kunnen pakketten die fuse3 vereisen, achtergehouden worden tijdens de opwaardering. De in Paragraaf 4.4.5, “Het systeem opwaarderen” besproken opwaarderingsstappen opnieuw uitvoeren met apt uit bullseye of de betrokken pakketten handmatig opwaarderen zal het probleem oplossen.

5.1.13. Het GnuPG options-bestand

Vanaf versie 2.2.27-1 is de per-gebruiker-configuratie van de GnuPG-suite volledig verplaatst naar ~/.gnupg/gpg.conf en is ~/.gnupg/options niet langer in gebruik. Hernoem het bestand indien nodig, of verplaats de inhoud naar de nieuwe locatie.

5.1.14. In Linux worden gebruikersnaamruimten standaard geactiveerd

Vanaf Linux 5.10 is het standaard alle gebruikers toegestaan om gebruikersnaamruimten te creëren. Hierdoor kunnen programma's zoals webbrowsers en containerbeheerders sandboxen met meer beperkingen maken voor niet-vertrouwde of minder vertrouwde code, zonder dat deze als root moeten worden uitgevoerd of dat er een setuid-root-hulpmiddel moet gebruikt worden.

De vorige standaard in Debian was om deze functie te beperken tot processen die als root werden uitgevoerd, omdat dit een grotere blootstelling aan beveiligingsproblemen in de kernel opleverde. Naarmate de implementatie van deze functie meer voldragen werd, zijn wij nu echter de overtuiging toegedaan dat het risico van het inschakelen ervan niet opweegt tegen de veiligheidsvoordelen ervan.

Als u deze functie liever beperkt houdt, stel dan de volgende sysctl in:

user.max_user_namespaces = 0
      

Merk op dat verschillende desktop- en containerfuncties niet zullen werken met deze beperking, inclusief webbrowsers, WebKitGTK, Flatpak en miniatuurvoorbeelden in GNOME.

Het Debian-specifieke sysctl kernel.unprivileged_userns_clone=0 heeft een gelijkaardig effect, maar is verouderd.

5.1.15. In Linux worden standaard niet-geprivilegieerde aanroepen naar bpf() uitgeschakeld

Vanaf Linux 5.10 worden in Debian standaard niet-geprivilegieerde aanroepen naar bpf() uitgeschakeld. Zo nodig kan een beheerder deze instelling echter later nog wijzigen door 0 of 1 naar de sysctl kernel.unprivileged_bpf_disabled te schrijven.

Als u liever niet-geprivilegieerde aanroepen naar bpf() ingeschakeld wilt houden, stel dan de volgende sysctl in:

kernel.unprivileged_bpf_disabled = 0
      

Zie bug 990411 waarin om de wijziging verzocht wordt, voor achtergrondinformatie over deze wijziging van de standaardinstelling in Debian.

5.1.16. redmine ontbreekt in bullseye

Het pakket redmine wordt niet aangeboden in bullseye, omdat het te laat was met de overschakeling van de oude versie van rails, die aan het einde is van de bovenstroomse ondersteuning (en alleen reparaties voor ernstige beveiligingsfouten ontvangt), naar de versie die in bullseye zit. De onderhouders van Ruby Extras volgen van nabij de bovenstroomse ontwikkelingen en zullen via backports een versie uitbrengen van zodra deze uitgebracht werd en ze over werkende pakketten beschikken. Indien u niet kunt wachten met opwaarderen totdat dit gebeurd is, kunt u gebruik maken van een VM of een container waarin buster draait, om deze specifieke toepassing af te zonderen.

5.1.17. Exim 4.94

Beschouw de versie van Exim in bullseye als een belangrijke opwaardering van Exim. Ze introduceert het concept van besmette gegevens die worden gelezen uit niet-vertrouwde bronnen, zoals bijv. de afzender of de ontvanger van het bericht. Deze besmette gegevens (bijv. $local_part of $domain) kunnen onder andere niet worden gebruikt als bestands- of mapnaam of als commandonaam.

Dit zal configuraties welke niet dienovereenkomstig worden bijgewerkt onbruikbaar maken. Ongewijzigde oude Debian configuratiebestanden van Exim zullen in ongewijzigde toestand ook niet werken. Men moet de nieuwe configuratie installeren en de lokale aanpassingen daarin invoegen.

Typische voorbeelden van zaken welke niet werken zijn:

  • Afleveren aan /var/mail/$local_part. Gebruik $local_part_data in combinatie met check_local_user.

  • Het gebruik van

    data = ${lookup{$local_part}lsearch{/bepaald/pad/$domain/aliases}}
    

    in plaats van

    data = ${lookup{$local_part}lsearch{/bepaald/pad/$domain_data/aliases}}
    

    voor een virtueel domeinaliasbestand.

De basisstrategie om met deze verandering om te gaan is om bij verdere verwerking het resultaat van een opzoekingsactie te gebruiken in plaats van de oorspronkelijke (extern verstrekte) waarde.

Om het opwaarderen te vergemakkelijken, bestaat er een nieuwe hoofdconfiguratieoptie om fouten gemaakt tegen dit concept van besmetting tijdelijk af te waarderen naar waarschuwingen, waardoor de oude configuratie kan blijven werken met de nieuwere Exim. Om van deze functionaliteit gebruik te maken, voegt u

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

toe aan de configuratie van Exim (bijv. in /etc/exim4/exim4.conf.localmacros) voor u opwaardeert. Dan kunt u het logbestand nakijken op waarschuwingen in verband met besmettingen. Dit is een tijdelijke oplossing die bij introductie al gemarkeerd staat om verwijderd te worden.

5.1.18. Het onderzoek van SCSI-apparaten is niet sluitend

Door veranderingen in de Linux-kernel is het aftasten van SCSI-apparaten niet langer sluitend. Dit kan een probleem zijn voor installaties die afhankelijk zijn van de volgorde waarin de schijven onderzocht worden. In dit bericht in de mailinglijst. worden twee alternatieve mogelijkheden gesuggereerd om hiermee om te gaan: links gebruiken in /dev/disk/by-path of een udev-regel gebruiken.

5.1.19. rdiff-backup vereist een lockstep-upgrade van server en client

Het netwerkprotocol van versie 1 en 2 van rdiff-backup is niet compatibel. Dit betekent dat u lokaal en op het externe systeem dezelfde versie (ofwel 1 ofwel 2) van rdiff-backup moet gebruiken. Aangezien buster versie 1.2.8 bevat en bullseye versie 2.0.5, zal het upgraden van buster naar bullseye van alleen het lokale systeem of alleen het externe systeem de rdiff-backup-doorloop tussen de twee verbreken.

Versie 2.0.5 van rdiff-backup is beschikbaar in het archief buster-backports; zie backports. Dit stelt gebruikers in staat om eerst alleen het pakket rdiff-backup op hun buster-systemen op te waarderen, en vervolgens onafhankelijk daarvan de systemen te upgraden naar bullseye wanneer het hen best past.

5.1.20. Problemen met microcode voor Intel CPU's

Van het momenteel in bullseye en buster-security (zie DSA-4934-1) aanwezige pakket intel-microcode is bekend dat het twee significante bugs bevat. Ernaartoe updaten kan bij sommige CoffeeLake CPU's die gebruik maken van firmware-iwlwifi, de netwerkinterfaces onklaar maken en kan bij sommige Skylake R0/D0 CPU's op systemen met een zeer verouderde firmware/BIOS, het systeem bij het opstarten doen vastlopen.

Als u de update van DSA-4934-1 hebt tegengehouden vanwege een van deze problemen, of als u het beveiligingsarchief niet hebt ingeschakeld, moet u er rekening mee houden dat opwaarderen naar het pakket intel-microcode in bullseye ervoor kan zorgen dat uw systeem vastloopt bij het opstarten of dat iwlwifi onklaar raakt. In dat geval kunt u de zaak herstellen door het laden van microcode bij het opstarten uit te schakelen; zie de richtlijnen in het DSA, welke ook te vinden zijn in het bestand README.Debian van het pakket intel-microcode.

5.1.21. Opwaarderingen waarbij libgc1c2 betrokken is, hebben twee doorlopen nodig

Pakketten die in buster libgc1c2 vereisen (bijv. guile-2.2-libs) kunnen vastgehouden worden bij de eerste doorloop van een volledige opwaardering (full-upgrade) naar bullseye. Een tweede upgrade uitvoeren lost het probleem gewoonlijk op. Achtergrondinformatie bij dit probleem is te vinden in bug #988963.

5.1.22. fail2ban kan met mail van bsd-mailx geen e-mail verzenden

Het pakket fail2ban kan geconfigureerd worden om e-mailmeldingen te verzenden. Het doet dit met mail, dat door verschillende pakketten in Debian aangeboden wordt. Een beveiligingsupdate (nodig op systemen die mail van mailutils gebruiken) net voor de release van bullseye maakte deze functionaliteit onklaar voor systemen die mail gebruiken dat geleverd wordt door bsd-mailx. Gebruikers van fail2ban in combinatie met bsd-mailx die willen dat fail2ban e-mail verstuurt, moeten ofwel overschakelen naar een andere aanbieder van mail, ofwel handmatig de bovenstroomse commit ongedaan maken (welke de tekenreeks "-E 'set escape'" invoegde op meerdere plaatsen onder /etc/fail2ban/action.d/).

5.1.23. Tijdens de opwaardering zijn geen nieuwe SSH-verbindingen mogelijk

Hoewel bestaande SSH-verbindingen (Secure Shell) tijdens de opwaardering gewoon zouden moeten blijven werken, is door ongelukkige omstandigheden de periode waarin geen nieuwe SSH-verbindingen tot stand kunnen worden gebracht, langer dan normaal. Als de opwaardering wordt uitgevoerd over een SSH-verbinding die onderbroken kan worden, is het aangewezen om eerst openssh-server op te waarderen voordat het volledige systeem opgewaardeerd wordt.

5.1.24. De opwaardering van Open vSwitch vereist een aanpassing van interfaces(5)

Het opwaarderingsproces van openvswitch slaagt er mogelijk niet in om na het opstarten de bridges te herstellen. Een tijdelijke oplossing is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

Zie voor meer informatie bug #989720.

5.1.25. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering formeel afgerond. Bij de opwaardering naar bullseye zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2. Items die niet beperkt zijn tot het opwaarderingsproces

5.2.1. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

[Opmerking]Opmerking

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.1.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen

Debian 11 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de mechanismen webkit en khtml[6] wel opgenomen in bullseye maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. De mechanismen webkit2gtk en wpewebkit worden wel gedekt door de beveiligingsondersteuning.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye bevat de vroegtijdige toegansversie van OpenJDK 17 (de verwachte toekomstige LTS-versie van OpenJDK na OpenJDK 11), om het nogal omslachtige bootstrapproces te vermijden. Voor OpenJDK 17 wordt in bullseye een opwaardering voorzien naar de uiteindelijke bovenstroomse uitgave die aangekondigd is voor oktober 2021, gevolgd door beveiligingsupdates naar best vermogen, maar gebruikers mogen niet verwachten dat er een update komt bij elke bovenstroomse driemaandelijkse beveiligingsupdate.

5.2.1.3. OP Go gebaseerde pakketten

De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. In de praktijk was dit voor buster geen probleem, maar met de groei van het Go-ecosysteem betekent dit dat op Go gebaseerde pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.

Als updates voor Go-ontwikkelingsbibliotheken gerechtvaardigd zijn, zullen deze enkel via reguliere tussenreleases kunnen gebeuren en deze kunnen op zich laten wachten.

5.2.2. Toegang tot de app GNOME-Instellingen zonder muis

Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt door gnome-control-center. Als mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door tweemaal op de Rechterpijltoets te drukken. Om naar de zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets intypen en dan op Esc drukken om de zoekbewerking af te breken. Nu kunt u gebruik maken van Pijl omhoog en Pijl omlaag om in de zijbalk te navigeren. Het is niet mogelijk om met het toetsenbord zoekresultaten te selecteren.

5.2.3. De rescue-opstartoptie (noodopstart) is zonder een systeembeheerderswachtwoord niet bruikbaar

Met de toepassing van sulogin dat sinds buster gebruikt wordt, vereist het opstarten met de optie rescue altijd het wachtwoord van de systeembeheerder. Indien een dergelijk wachtwoord niet ingesteld werd, is de noodmodus effectief onbruikbaar. Het is echter nog steeds mogelijk om op te starten met de kernelparameter init=/sbin/sulogin --force

Om systemd te configureren om het equivalent hiervan te doen telkens het opstart in de noodmodus (ook wel bekend als enkelvoudige modus: zie systemd(1)), moet u het commando sudo systemctl edit rescue.service uitvoeren en een bestand maken met daarin enkel:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Het kan ook (of in plaats daarvan) nuttig zijn om dit te doen voor de unit emergency.service, welke automatisch opgestart wordt in het geval van bepaalde fouten (zie systemd.special(7)), of indien emergency toegevoegd wordt aan de commandoregel van de kernel (bijv. als het systeem niet met behulp van de noodmodus hersteld kan worden).

Zie #802211 voor achtergrondinformatie en voor een bespreking van de veiligheidsimplicaties.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Verouderde en achterhaalde zaken

5.3.1. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket lilo werd verwijderd uit bullseye. De opvolger van lilo als bootloader is grub2.

  • Versie 3 van de mailinglijstbeheersuite Mailman is de enige versie van Mailman die beschikbaar is in deze release. Mailman werd in verschillende componenten opgesplitst. De kernfunctionaliteit is te vinden in het pakket mailman3 en de volledige suite kan geïnstalleerd worden met het metapakket mailman3-full.

    De oude Mailman-versie 2.1 is niet langer beschikbaar (dit was vroeger het pakket mailman). Deze tak vereist Python 2, dat niet langer beschikbaar is in Debian.

    Voor upgrade-instructies moet u de documentatie van het project over de omschakeling raadplegen

  • De Linux-kernel biedt niet langer ondersteuning voor isdn4linux (i4l). Bijgevolg zijn de gerelateerde userland-pakketten isdnutils, isdnactivecards, drdsl en ibod uit de archieven verwijderd.

  • De verouderde libappindicator-bibliotheken worden niet langer aangeboden. Als gevolg hiervan zijn de gerelateerde pakketten libappindicator1, libappindicator3-1 en libappindicator-dev niet langer beschikbaar. Dit zal naar verwachting vereistenfouten veroorzaken voor software van derden die nog steeds libappindicator vereist voor de ondersteuning van de taakbalk en toepassingsaanwijzers.

    Debian gebruikt libayatana-appindicator als opvolger voor libappindicator. Raadpleeg voor technische achtergrond deze aankondiging.

  • Debian biedt chef niet langer aan. Indien u gebruikt maakt van Chef voor configuratiebeheer is overschakelen op het gebruik van de pakketten die aangeboden worden door Chef Inc waarschijnlijk het beste opwaarderingspad.

    Raadpleeg de vraag voor verwijdering voor achtergrondinformatie over het verwijderen van het pakket.

  • Python 2 is al voorbij het einde van zijn levensduur en zal geen beveiligingsupdates ontvangen. Het wordt niet ondersteund om toepassingen uit te voeren en pakketten die hierop steunden, zijn overgeschakeld naar Python 3 of werden verwijderd. Debian bullseye bevat echter nog steeds een versie van Python 2.7, evenals een klein aantal Python 2-bouwgereedschappen zoals python-setuptools. Deze zijn alleen aanwezig omdat ze nodig zijn voor een paar applicatie-bouwprocessen die nog niet zijn omgezet naar Python 3.

  • Het pakket aufs-dkms maakt geen deel uit van bullseye. De meeste gebruikers van aufs-dkms zouden in staat moeten zijn om over te schakelen op overlayfs, dat vergelijkbare functionaliteit biedt met kernelondersteuning. Het is echter mogelijk dat men een Debian-installatie heeft op een bestandssysteem dat niet compatibel is met overlayfs, bijv. xfs zonder d_type. Gebruikers van aufs-dkms wordt aanbevolen om af te stappen van aufs-dkms voor de opwaardering naar bullseye.

  • Het programma voor het beheer van netwerkverbindingen wicd zal na het uitvoeren van de opwaardering niet langer beschikbaar zijn. Om het gevaar op het uitvallen van de verbinding te vermijden, wordt gebruikers aangeraden om voor de opwaardering over te schakelen naar een alternatief, zoals network-manager of connman.

5.3.2. Verouderde componenten van bullseye

Met de volgende uitgave van Debian 12 (codenaam bookworm) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 12.

Daaronder valt de volgende functionaliteit:

  • De historische rechtvaardigingen voor de indeling van het bestandssysteem met de mappen /bin, /sbin en /lib gescheiden van hun equivalenten onder /usr, zijn vandaag niet langer van toepassing; zie de samenvatting van Freedesktop.org. Debian bullseye zal de laatste Debian release zijn met ondersteuning voor de indeling met een niet-samengevoegde /usr; voor systemen met een oude indeling welke opgewaardeerd werden zonder opnieuw geïnstalleerd te zijn, bestaat het pakket usrmerge om desgewenst de omzetting te doen.

  • bullseye is de laatste release van Debian die apt-key zal bevatten. In de plaats daarvan zouden sleutels beheerd moeten worden door plaatsen van bestanden in /etc/apt/trusted.gpg.d, in binaire indeling, aangemaakt door gpg --export met de extensie .gpg, of in de ASCII-armor indeling met een extensie .asc.

    Er is een vervanging voorzien voor apt-key list om de sleutelbos handmatig te onderzoeken, maar het werk eraan is nog niet begonnen.

  • De backends slapd-bdb(5), slapd-hdb(5) en slapd-shell(5) van de database slapd worden met pensioen gestuurd en zullen niet opgenomen worden in Debian 12. LDAP-databases die gebruik maken van de backends bdb en hdb zouden moeten overschakelen naar de backend slapd-mdb(5),

    Bovendien zijn de backends slapd-perl(5) en slapd-sql(5) verouderd en deze kunnen uit een toekomstige uitgave verwijderd worden.

    Het project OpenLDAP ondersteunt geen op pensioen gestuurde of verouderde backends. Ondersteuning voor deze backends zal in Debian 11 naar best vermogen gebeuren.

5.4. Bekende ernstige bugs

Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van bullseye, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen bullseye op het moment van vrijgeven en zijn het vermelden waard in dit document:

BugnummerPakket (broncode of binair)Beschrijving
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore werkt /etc/ssl/certs/java/cacerts niet bij
990026croncron: gereduceerde tekenset in MAILTO veroorzaakt een defect
991081gir1.2-diodon-1.0vereisten voor gir1.2-diodon-1.0 ontbreken
990318python-pkg-resourcespython-pkg-resources: voeg a.u.b. Breaks toe tegen de python-pakketten zonder versienummer
991449fail2bande oplossing voor CVE-2021-32749 maakt systemen met mail van bsd-mailx onklaar
990708mariadb-server-10.5,galera-4mariadb-server-10.5: opwaarderingsproblemen door de overgang van galera-3 -> galera-4
980429src:gcc-10g++-10: valse c++17-modus-segmentatiefout in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10ontbrekende i386-cpuinfo.h
984574gcc-10-basegcc-10-base: voeg a.u.b. toe: Breaks gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: installatie mislukt: /usr/lib/emacsen-common/packages/install/git emacs mislukte bij /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: installatie mislukt met xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 heeft een lege Depends
948739gpartedgparted zou geen .mount-units mogen maskeren
984714gpartedgparted zou exfatprogs moeten suggereren en er zou een backport moten gebeuren van de commit die exfat-utils verwerpt
984760grub-efi-amd64grub-efi-amd64: opwaarderen werkt, opstarten mislukt (fout: symbool `grub_is_lockdown` niet gevonden)
968368ifenslaveifenslave: optie bond-master slaagt er niet in interface toe te voegen aan bond
990428ifenslaveifenslave: bonding werkt niet op bullseye (met de bond-slaves configuratie)
991113libpam-chrootlibpam-chroot installeert pam_chroot.so in de verkeerde map
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - tijdelijke structuur maken om kopie zonder tegel vast te houden mislukte
982459mdadmmdadm --examine in een chroot zonder dat /proc,/dev,/sys aangekoppeld zijn, maakt het bestandssysteem van de hostcomputer defect
981054openipmiopenipmi: het feit dat kmod vereist wordt, werd over het hoofd gezien
948318openssh-serveropenssh-server: sshd restart is niet in staat om te herstarten na een opwaardering naar versie 8.1p1-2
991151procpsprocps: de optie reload werd uit het init-script weggehaald, waardoor corekeeper niet meer werkt
989103pulseaudiopulseaudio: er is een regressie bij de configuratie control=Wave
984580libpython3.9-devlibpython3.9-dev: het feit dat zlib1g-dev vereist wordt, werd over het hoofd gezien
990417src:qemuopenjdk-11-jre-headless: java uitvoeren in qemu s390 geeft een SIGILL bij C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherraakt defect met pulse-audio als uitvoer wanneer het wordt voortgebracht door speechd-up uit het init-systeem
932501src:squid-deb-proxysquid-deb-proxy: achtergronddienst start niet omdat het conf-bestand niet toegestaan wordt door apparmor
991588tpm2-abrmdtpm2-abrmd zou in zijn unit niet Requires=systemd-udev-settle.service mogen gebruiken
991939libjs-bootstrap4libjs-bootstrap4: defecte symbolische koppelingen: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean verwijdert niet-gerelateerde bestanden buiten de broncode van het pakket
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg toont (XEN) AMD-Vi: IO_PAGE_FAULT op sata pci-apparaat
991788xfce4-settingsxfce4-settings: zwart scherm na slaapstand wanneer laptopdeksel wordt gesloten en opnieuw wordt geopend


[6] Deze mechanismen worden in een aantal verschillende broncodepakketten beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze beschikbaar stellen. De bezorgdheid betreft ook de weergavemechanismen die hier niet expliciet vermeld worden, met uitzondering van webkit2gtk eb het nieuwe wpewebkit.