Kapitel 5. Problemområden att känna till för bullseye

Innehållsförteckning

5.1. Specifik uppgraderingsinformation för bullseye
5.1.1. Filsystemet XFS har inte längre stöd för barrier/nobarrier
5.1.2. Förändrat upplägg på säkerhetsakrivet
5.1.3. Lösenord använder yescrypt som standardfunktion för hashning
5.1.4. NSS NIS och NIS+ kräver nya paket
5.1.5. Hantering av fragmenterade inställningsfiler för unbound
5.1.6. utfasning av parametrar i rsync
5.1.7. Hantering av utökningar för Vim
5.1.8. OpenStack och cgroups v1
5.1.9. OpenStack API policy-filer
5.1.10. sendmail kommer att vara otillgängligt under uppgraderingen
5.1.11. FUSE 3
5.1.12. GnuPGs option-fil
5.1.13. Linux aktiverar namespace som standard
5.1.14. Linux förhindrar opriviligierade anrop till bpf() som standard
5.1.15. Redmine saknas i bullseye
5.1.16. Exim 4.94
5.1.17. Upptäckt av SCSI-enheter är inte deterministisk
5.1.18. rdiff-backup kräver samkörd uppgradering av klient och server
5.1.19. Problem med Intels microkod
5.1.20. Uppgraderingar som berör libgc1c2 kräver två körningar
5.1.21. fail2ban kan inte skicka e-post med mail från bsd-mailx
5.1.22. Inga nya SSH-anslutningar under uppgraderingen
5.1.23. Att göra efter uppgradering före omstart
5.2. Delar som inte är helt bundna till uppgraderingsprocessen
5.2.1. Begränsningar i säkerhetsstödet
5.2.2. Tillgång till Gnomes inställningsapplikation utan att använda en mus
5.2.3. Räddningsläget kan inte användas utan att ha tillgång till lösenordet för root
5.3. Föråldring och utfasning
5.3.1. Föråldrade paket
5.3.2. Utfasning av komponenter för bullseye
5.4. Kända allvarliga fel

Ibland innebär förändringar i en ny utgåva att sidoeffekter vi inte kunnat undvika uppstår, i vissa fall skapas nya fel någon annanstans. Här dokumenterar vi problem som vi känner till. Vänligen läs även erratan, dokumentationen för aktuella paket, felrapporter och annan information som nämns i Avsnitt 6.1, ”Ytterligare läsning”.

5.1. Specifik uppgraderingsinformation för bullseye

Detta kapitel beskriver detaljer runt uppgradering från buster till bullseye.

5.1.1. Filsystemet XFS har inte längre stöd för barrier/nobarrier

Stödet för monteringinställningarna barrier och nobarrier har tagits bort för XFS. Om dessa används i /etc/fstab ska de tas bort. Partitioner med dessa inställningar kommer inte att kunna monteras.

5.1.2. Förändrat upplägg på säkerhetsakrivet

I och med bullseye har säkerhetssviten bytt namn till bullseye-security istället för codename/updates och användare måste justera sina APT sources-list-filer vid uppgraderingen.

Säkerhetsraden i inställningarna för dina APT-förråd bör nu se ut som följande:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Om dina inställningar för API också innehåller fastnålning med pin eller APT::Default-Release kommer det troligen krävas justeringar eftersom kodnamnet för säkerhetsakrivet inte längre stämmer överrens med huvudarkivet. Ett fungerande exempel på APT::Default-Release för bullseye ser ut på följande sätt:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

Detta exempel använder den odokumenterade funktionen att APT faktiskt kan hantera reguljära uttryck (inom /).

5.1.3. Lösenord använder yescrypt som standardfunktion för hashning

Standardmetoden för att hasha lösenord för lokala systemanvändare har ändrats från SHA-512 till yescrypt (läs mer på crypt(5)). Målet är att detta ska leda till högra säkerhet vid attacker som baseras på lexikon, både vad gäller utnyttjat utrymme och tidsåtgång.

För att dra nytta denna säkerhetsjustering så behöver lösenord uppdateras, exempelvis genom kommandot passwd.

Äldre lösenord kommer att fortsätta fungera med den hashfunktion som användes för att skapa dem.

Då yescryot inte har stöd i Debian 10 (buster) så kan inte en shadow-fil (/etc/shadow) kopieras från ett bullseye- till ett buster-system. Om en sådan kopiering utförs kommer inte lösenord som skapats på bullseye-systemet att fungera i buster-systemet. Av samma anledning så kan inte lösenord klipp å klistras från bullseye till buster.

Om kompatabilitet för lösenordshashning krävs mellan bullseye och buster så behöver filen /etc/pam.d/common-password redigeras. Leta upp raden:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

och ersätt yescrypt med sha512.

5.1.4. NSS NIS och NIS+ kräver nya paket

Stöd för NSS NIS och NIS+ har flyttats till de separata paketen libnss-nis och libnss-nisplus. Tyvärr kan inte glibc vara beroende av dessa så de är nu enbart rekomenderade.

För system som använder NIS eller NIS+ bör en särskild kontroll göras efter uppgraderingen så att dessa paket är installerade.

5.1.5. Hantering av fragmenterade inställningsfiler för unbound

DNS resolvern unbound har ändrat sättet som den hanterar fragmenterade inställningsfiler. Om du förlitar dig på ett include:-direktiv för att slå samman flera fragment till en fungerande uppsättning så ska du läsa NEWS-filen.

5.1.6. utfasning av parametrar i rsync

rsync-parametrarna --copy-devices och --noatime har bytt namn till --write-devices och --open-noatime. De äldre varianterna fungerar inte längre, använder du dessa så bör du läsa NEWS-filen. Överföringsprocesser mellan system med olika Debian-versioner kan innebära att buster-sidan behöver uppgraderas med en version av rsync från backports-förrådet.

5.1.7. Hantering av utökningar för Vim

De utökningar av vim som tidigare hanterats genom vim-scripts tas nu om hand av Vims inbyggda funktion package istället för via vim-addon-manager. Vim-användare ska förbereda sin uppgradering genom att följa instruktionerna i NEWS-filen.

5.1.8. OpenStack och cgroups v1

OpenStack Victoria (den utgåva som kommer med bullseye) kräver cgroups v1 för QoS (Quality of Service) på blockenheter. Eftersom bullseye också ändrar till att använda cgroups v2 som standard (läs mer på Avsnitt 2.2.4, ”Control groups v2”) så kommer inte sysfs-trädet på /sys/fs/cgroup att ta med cgroups v1-funktioner som t.ex. /sys/fs/cgroup/blkio och genom detta så kommer cgcreate -g blkio:foo inte fungera. För OpenStack-noder som kör nova-compute ellerr cinder-volume rekommenderas att lägga till parametrarna systemd.unified_cgroup_hierarchy=false och systemd.legacy_systemd_cgroup_controller=false till kärnans uppstartsrad för att ersätta standardinställningen och ha kvar den äldere cgroups-hierarkin.

5.1.9. OpenStack API policy-filer

I enligthet med rekommendationen från OpenStacks utvecklare kommer OpenStack Victoria (den utgåva som kommer med bullseye) byta till att använda YAML-formatet för OpenStacks API. I och med detta kommer de flesta OpenStack-tjänsterna (Nova, Glance och Keystone) att framstå som trasiga då deras policy-filer uttryckligen är skrivna i policy.json-filer. På grund av detta installeras paketen nu med en katalog kallad /etc/PROJEKT/policy.d som innehåller en fil kallad 00_default_policy.yaml där alla policyer finns med men är utkommenterade och därmed inte aktiva.

För att undvika att de gamla policy.json-filerna fortätter att vara aktiva kommer Debians OpenStack-paket byta namn på denna fil till disabled.policy.json.old. Det fanns inte riktigt tid att lösa detta i alla lägen så i några fall raderas filen istället. Det är därför av yttersta vikt att säkerhetskopior av policy.json-filerna görs.

Ytterligare information finns i OpenStacks dokumentation.

5.1.10. sendmail kommer att vara otillgängligt under uppgraderingen

Till skillnad från vanliga uppgraderingar av sendmail kommer tjänsten att stoppas under uppgraderingen från buster till bullseye. Detta leder till längre nedtid än vanligt. Läs mer i Avsnitt 4.1.3, ”Förbered för att tjänster blir oåtkomliga” om generella råd för att minska nedtiden.

5.1.11. FUSE 3

Några paket har bytt till FUSE 3, exempelvis gvfs-fuse, kio-fuse och sshfs. Detta leder till att fuse3 installeras och fuse avinstalleras under uppgraderingen.

Under vissa omständigheter, exempelvis när uppgraderingen görs genom att köra apt-get dist-upgrade istället för att följa rekommenderade steg i Kapitel 4, Uppgraderingar från Debian 10 (buster), kan paket som kräver fuse3 hållas tillbaka under uppgraderingen. Om detta händer räcker det att köra stegen från Avsnitt 4.4.5, ”Uppgradering av systemet” en gång till med apt från bullseye eller uppgradera paketn manuellt för att lösa problemet.

5.1.12. GnuPGs option-fil

I och med version 2.2.27-1 av GnuPG har inställningar för enskilda användare helt och hållet flyuttat till ~/.gnupg/gpg.conf och ~/.gnupg/options används inte mera. Byt namn på filen eller kopiera innehållet till den nya platsen.

5.1.13. Linux aktiverar namespace som standard

Från Linux 5.10 kommer alla användare att kunna skapa användar-namespace som standard. Detta tillåter program som webbläsare och kontainerhanterare att skapa mer begränsade sandlådor för hantering av mindre eller obetrodd kod. Utan att behöva köra dessa som root eller använda ett hjälpmedel via setuid-root.

I tidigare version av Debian var detta begränsat till processer som körde som root eftersom funktionen ansågs exponera onödiga säkerhetsrisker i kärnan. Med tiden har implementationen mognat och vi känner oss nu övertygade om att risken med att ha det igång vida överskrids av nyttan som säkerhetsfördelarna.

Vill du hellre stanna kvar i en begränsad miljö ska fäljande systctl sättas:

user.max_user_namespaces = 0
      

Observera att diverse skrivbords- och kontainer-funktioner kommer inte att fungera med denna begränsning på plats. Exemplevis webbläsare, WebKitGTK, Flatpak och GNOMEs tumnaglar.

Den Debian-specifika sysctl-inställningen kernel.unprivileged_userns_clone=0 har liknande funktion men fasas ut och ska ej användas på sikt.

5.1.14. Linux förhindrar opriviligierade anrop till bpf() som standard

I och med Linux 5.10 kommer opriviligierade anrop till bpf() att förhindras som standard. En administratör kan ändra denna inställning framöver genom att ange 0 eller 1 i kernel.unprivileged_bpf_disabled sysctl.

Om du hellre vill tillåta opriviligerade anrop till bpf() ska sysctl sättas till:

kernel.unprivileged_bpf_disabled = 0
      

Läs felrapport 990411 för bakgrundsinformation om den ändrade standardinställningen i Debian.

5.1.15. Redmine saknas i bullseye

Paketet redmine finns inte i bullseye eftersom det var för sent att genomföra migreringen från den gamla versionen av rails (som inte längre har stöd från sina utveckalre utöver att åtgärda mycket allvarliga säkerhetsfel) till den version som finns i bullseye. De ansvariga för Ruby Extras följer noga med i utvecklingen och kommer att göra en ny version tillgänglig via backports så fort det är möjligt. Om det inte går att vänta på detta före uppgraderingen så går det att använda en virtuell maskin eller kontainer för att isolera applikationen.

5.1.16. Exim 4.94

Uppgraderingen av Exim i bullseye bör ses som stor. I den nya versionen introduceras konceptet med förorenande läsning av data från opålitligt källa. Exempelvis meddelandets avsändare eller mottagare. Denna förorenade data ($local_part eller $domain) kan inte användas som exempelvis fil- eller katalognamn eller kommandonamn.

Detta kommer att trasa sönder installationer som inte uppdateras på rätt sätt. Äldre inställningsfiler för Debian Exim kommer inte heller att fungera utan justering. De nya inställningarna måste installeras med lokala ändringar sammanfogade.

Vanliga icke-fungerande exempel

  • Leverans till /var/mail/$local_part. Använd istället $local_part_data kombinerat med check_local_user.

  • Använd

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    istället för

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    för en fil med virtual domain alias.

Den grundläggande strategin för att hantera denna ändring är att använda resultatet av en sökning i kommande processning istället för originalets värde.

För att förenkla uppgraderingen så finns en ny inställning som kan användas för att temporärt nedgradera felmeddelanden till varningsmeddelanden och på så vis tillåta att de gamla inställningarna används med nyare Exim. För att använda denna väg lägg till

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

till Exims inställningar (exempelvis i /etc/exim4/exim4.conf.localmacros) före uppgradering och kontrolera loggfilen för varningar om förorenad läsning. Detta är en temporär väg runt som redan är markerad för radering.

5.1.17. Upptäckt av SCSI-enheter är inte deterministisk

På grund av ändringar i Linuxkärnan är inte längre upptäckten av SCSI-enheter deterministisk. Detta kan leda till besvär för installationer som förlitar sig på ordningen diskar i systemet upptäcks. Två möjliga alternativ; att använda länkar via /dev/disk/by-path eller en udev-regel. Dessa föreslås och beskrivs i deetta meddelande till sändlistan(engelska).

5.1.18. rdiff-backup kräver samkörd uppgradering av klient och server

Nätverksprotokollet för rdiff-backup skiftar på ett icke-kompatiblet sätt mellan version 1 och version 2. I och med detta måste samma version (antingen 1 eller 2) köras i båda ändar av processen. I buster installeras version 1.2.8 och i bullseye gäller version 2.0.6 varvid uppgradering av enbart ena halvan av ett par kommer att leda till att funktionaliteten kapas.

Version 2.0.6 av rdiff-backupfinns i buster-backports-arkivet. På detta sätt så kan användare först uppgradera enbart paketet rdiff-backup på buster-systemet och sedan kan själva systemet uppgraderas till bullseye fristående.

5.1.19. Problem med Intels microkod

intel-microcode-paketet som vid skrivandes stund finns i bullseye och buster-security (läs även DSA-4934-1(engelska)) har två större kända fel. För vissa CoffeeLake-CPUer kan denna uppgradering trasa sönder nätverksgränssnit som använder firmware-iwlwifi och för vissa Skylake RO/DO CPUer på system med väldigt gammal fast programvara/BIOS kan systemet hänga upp sig vid uppstart.

Om du har undvikit att installera paketet på grund av besvären som beskrivs i DSA-4934-1 eller inte har säkerhetsarkivet aktiverat så är det viktigt att känna till att uppgradering av intel-microcode i bullseye kan få ditt system att hänga upp sig vid uppstart eller att iwlwifi inte fungerar. I sådant fall kan du avaktivera inläsning av mikrokoden vid uppstart. Läs mer i introduktionen av DSAn, kan även hittas i intel-microcode README.Debian.

5.1.20. Uppgraderingar som berör libgc1c2 kräver två körningar

Paket som är beroende av libgc1c2 i buster (t.ex. guile-2.2-libs) kan hållas tillbaka under den första kompletta uppgraderingen till bullseye. I sådant fall bör det lösas genom att köra uppgraderingen en gång till. Läs mer om problemet i bugfelrapport #988963.

5.1.21. fail2ban kan inte skicka e-post med mail från bsd-mailx

Paketet fail2ban kan ställas in så att det skickas notiser med e-post. Detta görs genom mail. Det kommandot kan i sin tur installeras från ett antal olika paket i Debian. En säkerhetslagning (för system som kör mail från mailutils) sent i förberedandet inför bullseye tog sönder denna funktionalitet på system som kör mail från bsd-mailx. Den som använder fail2ban i kombination med bsd-mailx och vill att fail2ban fortsätter skicka ut notiser per e-post bör antingen byta till annan lösning för mail eller manuellt ta bort ändringen som beskrivs i ändringen hos utgivaren(engelska). I korta drag går ändringen ut på att "-E 'set escape'" på ett antal platser i filer i /etc/fail2ban/action.d/.

5.1.22. Inga nya SSH-anslutningar under uppgraderingen

Pågående SSH-anslutningar ska fortsätta fungera genom uppgraderingen som vanligt. På grund av oturliga omständigheter är perioden när nya anslutningar inte kan upprättas längre än vanligt.Om uppgraderingen utförs på en SSH-anslutning som kan avbrytas rekommenderas du att första uppgradera openssh-server före själva systemet.

5.1.23. Att göra efter uppgradering före omstart

När apt full-upgrade är klar innebär detta att den formella uppgraderingen är klar . För uppgraderingen till bullseye finns inga speciella åtgärder som måste genomföras före nästa omstart.

5.2. Delar som inte är helt bundna till uppgraderingsprocessen

5.2.1. Begränsningar i säkerhetsstödet

Det finns ett antal paket där Debian inte kan lova minimala bakåtporteringar för säkerhetsproblem. Dessa beskrivs närmare i underavsnitten.

[Notera]Notera

Paketet debian-security-support håller reda på säkerhetsstatus för installerade paket.

5.2.1.1. Säkerhetsläget för webbläsare och deras renderingsmotorer

Debian 11 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd från utgivare i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare och motorer med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det extremt svårt att uppdatera dessa till nyare versioner. Webbläsare utvecklade på webkit, och khtml-motorerna[6] ingår i bullseye men täcks inte av säkerhetsstödet. Dessa webbläsare ska inte användas tillsammans med webbplatser du inte litar på. Källkodspaketen för webkit2gtk- och wpewebkit-motorerna täcks dock av säkerhetsstödet.

För vanlig webbsurf rekommenderar vi Firefox eller Chromium. De kommer att hållas uppdaterade och byggs från aktuell ESR-utgåva för Debian stable. Samma strategi gäller Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye levereras med en tidig version av OpenJDK 17 (förväntas bli nästa OpenJDK LTS, alltså version med lång supporttid), efter OpenJDK 11. Detta görs bland annat för att undvika den ganska omfattande processen för att introducera en ny version för lång support i stabila utgåvan. Tanken är att OpenJDK 17 ska få en uppgradering i bullseye för att komma i fas med den faktiska slutgiltiga versionen med lång support som beräknas bli tillgänglig i oktober 2021. Efter detta kommer säkerhetsuppdateringar att göras som brukligt men inte några uppgraderingar till kvartals-versioner eller liknande..

5.2.1.3. Go-baserade paket

Debians infrastruktur har besvär med att bygga om paket som använder statisk länkning. Före buster har detta inte varit ett besvär i praktiken men i och med den ökande populäriteten för Go som systemmiljö betyder detta att Go-baserade paket enbart kan sägas ha begränsat säkerhetsstöd tills infrastrukturen har förbättrats för att paketen ska kunna hanteras smart.

Uppdateringar för utvecklingsbibliotek för Go kan enbart levereras via punktutgåvor och dessa kan ta tid innan de är redo.

5.2.2. Tillgång till Gnomes inställningsapplikation utan att använda en mus

Utan ett pekdon är det inte möjligt att manipulera inställningar i Gnomes inställningsapplikation som tillhandahålls av gnome-control-center. Som en väg runt detta kan du navigera från sidomenyn till det huvudsakliga innehållet genom att trycka pil höger två gånger. För att komma tillbaka till sidomenyn är snabbaste lösningen att öppna en sökning med Ctrl+F och skriva något för att sedan avbryta sökningen med Esc. Nu kan pil uppåt och pil nedåt användas för att hoppa i sidomenyn. Det är inte möjligt att välja ett sökresultat med tangentbordet.

5.2.3. Räddningsläget kan inte användas utan att ha tillgång till lösenordet för root

I implementationen av sulogin som används sedan buster krävs alltid lösenordet för root-användaren - även om uppstartsalternativet rescue används. Skulle lösenordet vara borta så går det att komma runt genom att starta systemet med parametern init=/sbin/sulogin --force.

För att ställa in så att systemd gör motsvarande när systemet startar i räddningsläget (kallas även enanvändarläge eller single mode. Läs mer i systemd(1)) kär sudo systemctl edit resucue.service och skapa en fil som innehållet:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Det kan också (eller istället) vara användbart att göra detta för systemd-enheten emergency.service eftersom den startar automatiskt när vissa fel uppstår (se även systemd.special(7)) eller om emergency läggs till på kärnans kommandorad inför uppstart (alltså att systemet inte kunde återställas genom räddningsläget).

För bakgrundsinformation och diskussion om säkerhetsproblemet hänvisas till felrapport #802211.

5.3. Föråldring och utfasning

5.3.1. Föråldrade paket

Detta är en lista med kända föråldrade paket (läs mer i Avsnitt 4.8, ”Föråldrade paket” för en beskrivning).

Listan med föråldrade paket inkluderar:

  • Paketet lilo har tagits bort från bullseye. Efterföljaren som uppstartshanterare är grub2.

  • Sändlistehanteraren Mailman version 3 är den enda versionen av Mailman i denna utgåva. Mailman har delats upp i ett antal komponenter. Huvuddelen av funktionerna finns i paketet mailman3 och hela sviten kan installeras via mailman3-full som är ett så kallat metapaket som säkerställer att alla komponenter följer med.

    Den föråldrade Mailman-versionen 2.1 finns inte längre tillgänglig. Den distribuerades genom paketet mailman och var beroende av Python 2 vilket inte längre är tillgängligt i Debian.

    Instruktioner för uppgradering finns på projektets wbbplats.

  • Linuxkärnan har inte längre stöd för isdn4linux (i4l). I och med detta har användarpaketen isdnutils, isdnactivecards, drdsl och ibod tagits bort från arkivet.

  • Det föråldrade biblioteket libappinidcator tillhandahålls inte längre. I och med detta har relaterade paket libappindicator1, libappindicator3-1 och libappindicator-dev tagots bort ur arkivet. Tredjeparts-applikationer som använder dessa paket som beroenden kommer att generera varningar och fel tills de blivit åtgärdade.

    Debian använder istället libayatana-appindicator. För teknisk bakgrund hänvisas till detta tillkännagivande.

  • Debian tillhandahåller inte längre chef. Om du använder Chef är din bästa väg för uppgradering att använda paketen som distribueras av Chef Inc..

    För mer information om borttagningen läs begäran om borttagning.

  • Python 2 är redan bortanför sista dag för överlevnad (End Of Life) och kommer inte att få säkerhetsuppdateringar. Det finns ingen garanti för att använmda den för att köra applikationer och paket som varit beroende av den har bytt till Python 3 eller har tagits bort från arkivet. Notera dock att det finns en version av Python 2.7 inkluderad i Debian bullseye och en mindre mängd verktyg för att kunna hantera kod. Exempelvis python-setuptools. Dessa finns kvar för att ett fåtal applikationers byggprocesser fortfarande inte har gått över till Python 3.

  • Paketet aufs-dkms är inte del av bullseye. De flesta användarna av aufs-dkms borde kunna byta till overlayfs som erbjuder liknande funktionalitet med stöd av kärnan. Det går dock att ha en Debian-installation på ett filsystem som inte stöds av overlayfs. Exempelvis xfs utan d_type. Den som användaer aufs-dkms uppmanas att flytta bort från detta föra uppgraderingen till bullseye.

  • The network connection manager wicd will no longer be available after the upgrade, so to avoid the danger of losing connectivity users are recommended to switch before the upgrade to an alternative such as network-manager or connman.

5.3.2. Utfasning av komponenter för bullseye

Med nästa utgåva av Debian 12 (kodnamn bookworm) kommer några funktioner fasas ut. Användare behöver byta till alternativ för att förhindra besvär vid uppgradering till 12.

Inklusive följande:

  • Den klassiska anledningen till hur filsystemet var upplagt med katalogerna /bin, /sbin och /lib frånskilda från sina motsvarigheter under /usr gäller inte längre. Läs hela förklaringen i Freedesktop.orgs wiki(engelska). Debian bullseye är den sista utgåvan av Debian som har stöd för upplägget där katalogerna inte är sammanfogade. för system med äldre upplägg på grund av att de har uppgraderats utan ominstallation finns paketet usrmerge som kan genomföra en konvertering.

  • bullseye är sista utgåvan av Debian som skickar med apt-key. Nycklar ska hanteras genom att filer läggs i /etc/apt/trusted.gpg.d istället. De ska vara i binärformat och skapas med gpg --export, filerna ska ha filsuffixet .gpg eller vara av ASCII-typ med suffixet .asc.

    En ersättare för apt-key list för att kunna inspektera nyckelringen planeras men arbetet har ännu inte påbörjats.

  • Databasstödet i slapd genom paketen slapd-bdb(5), slapd-hdb(5) och slapd-shell(5) pensioneras och kommer inte att vara med i Debian 12. LDAP-databaser som använder bdb eller hdb som bakdel bör migreras till slapd-mdb(5).

    Dessutom bör det noteras att slapd-perl(5) och slapd-sql(5) är markerade för utfasning och kan komma att tas bort i en framtida utgåva.

    OpenLDAP-projektet lämnar inte längre stöd för vissa pensionerade och föråldrade bakdelar. Stöd för dessa bakdelar i Debian 11 är enbart så gott det går.

5.4. Kända allvarliga fel

Även om Debian görs tillgänglig när det är klart så byter inte detta att det inte finns kända fel. En del av själva processen för att göra en ny utgåva tillgänglig innefattar att aktivt övervaka alla felrapporter som är satta på allvarlighetsgrad serious eller högre. På detta sätt skapas en översikt över de felrapporter som markerats som ignorerade i de avslutande delarna av processen för att göra bullseye tillgänglig. Dessa felrapporrter finns i Debians felrapporteringssystem. Följande felrapporter påverkade bullseye och är värda att nämna i detta dokument.

FelrapportPaket (källkod eller binär)Beskrivning
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore uppdaterar inte /etc/ssl/certs/java/cacerts
990026croncron: Reduced charset in MAILTO causes breakage
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 saknar beroenden
990318python-pkg-resourcespython-pkg-resources: Lägg till Breaks på python-paketet utan versionsnumrering
991449fail2banLagning för CVS-2021-32749 leder till problem för system som använder mail från bsd-mailx.
990708mariadb-server-10.5,galera-4mariadb-server-10.5: uppgraderingsproblem på grund av bytet galera-3 -> galera-4
980429src:gcc-10g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10i386-cpuinfo.h saknas
984574gcc-10-basegcc-10-base: lägg till Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: kan inte installeras med xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 har tomt Depends-fält
948739gpartedgparted skan inte gömma .mount-enheter
984714gpartedgparted borde föreslå exfatprogs och bakporta ändringen som avvisar exfat-utils
968368ifenslaveifenslave: ALternativet bond-master misslyckas med att lägga till gränssnitt i sammanslagning
990428ifenslaveifenslave: Ihopslagning fungerar inte på bullseye (med hjälp av inställning för bond-slaves)
991113libpam-chrootlibpam-chroot: installerar pam-chroot i fel sökväg
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - kunde inte skapa temporär textur för att hålla kopia utan kakling
982459mdadmmdadm --examine i chroot utan att montera /proc, /dev, /sys leder till trasigt filsystem för värdmaskinen
981054openipmiopenipmi: Saknar beroende på kmod
948318openssh-serveropenssh-server: Kan inte starta om sshd efter uppgradering till version 8.1p1-2
991151procpsprocps: tog bort alternativet \"reload\" från init-skriptet. Detta gjorde sönder corekeeper
989103pulseaudiopulseaudio föll tillbaka till control=Wave configuration
984580libpython3.9-devlibpython3.9-dev: Beroende på zlib1g-dev saknas
990417src:qemuopenjdk-11-jre-headless: köra java i qemu s390 ger SIGILL vid C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherbreaks with pulse-audio as output when spawned by speechd-up from init system
932501src:squid-deb-proxysquid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor
991588tpm2-abrmdtpm2-abrmd borde inte använda Requires=systemd-udev-settle.service is in unit-fil
991939libjs-bootstrap4libjs-bootstrap4: trasig symbolisk länk /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean deletes unrelated files outside of package source
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: svart skärm vid vänteläge när locket på en bärbar dator stängs och sedan öppnas igen


[6] Dessa motorer skickas med i ett antal olika källkodspaket och besväret gäller amtliga av dessa. Detta gäller också webbläsarmotorer som inte nämns här, med undantag för webkit2gtk och wpewebkit.