Capítulo 5. Problemas a ter en conta con bullseye

Índice

5.1. Actualizar elementos específicos para bullseye
5.1.1. O sistema de ficheiros XFS xa non é compatible coa opción con barreira/sen barreira («barrier/nobarrier»)
5.1.2. Cambios na estrutura do arquivo de seguridade
5.1.3. O resumo criptográfico de contrasinais usa yescrypt por omisión
5.1.4. A compatibilidade cos NSS NIS e NIS+ precisan de novos paquetes
5.1.5. Xestión dos anacos dos ficheiros de configuración de unbound
5.1.6. Parámetros obsoletos de rsync
5.1.7. Xestión dos engadidos de Vim
5.1.8. OpenStacks e cgroups v1
5.1.9. Ficheiros sobre a política da API OpenStack
5.1.10. Desactivación do sendmail durante a actualización
5.1.11. FUSE 3
5.1.12. Ficheiro de configuración de GnuPG
5.1.13. Linux activa os espazos de nomes de usuario por omisión
5.1.14. Linux por omisión desactiva as chamadas non autorizadas a bfp()
5.1.15. redmine non incluído en bullseye
5.1.16. Exim 4.94
5.1.17. A sondaxe de dispositivos SCSI é indeterminista
5.1.18. rdiff-backup require que tanto o servidor coma o cliente se actualicen á vez
5.1.19. Problemas co microcódigo dos procesadores Intel
5.1.20. libgc1c2 precisa de dúas actualizacións
5.1.21. fail2ban non pode enviar correo usando o «mail» de bsd-mailx
5.1.22. Imposible conectarse mediante SSH durante a actualización
5.1.23. Open vSwitch upgrade requires interfaces(5) change
5.1.24. Cousas que facer despois da actualización antes de reiniciar
5.2. Cousas non exclusivas do proceso de actualización
5.2.1. Limitacións na asistencia técnica sobre seguridade
5.2.2. Acceder á aplicación de Axustes en GNOME sen rato
5.2.3. A opción de arranque rescue non se pode usar sen contrasinal de superusuario
5.2.4. 32-bit Xen PV guests are not supported
5.3. Obsolescencia e deprecación
5.3.1. Paquetes obsoletos importantes
5.3.2. Compoñentes deprecados para bullseye
5.4. Fallos graves coñecidos

As veces os cambios introducidos nunha nova versión teñen efectos secundarios imposibles de prever ou amosan fallos en algures. Esta sección documenta os problemas que coñecemos. Consulte tamén a lista de erratas, a documentación do paquete axeitada, informes de fallo e outra información mencionada en Sección 6.1, « Lecturas recomendadas ».

5.1. Actualizar elementos específicos para bullseye

Esta sección trata da actualización de buster a bullseye.

5.1.1. O sistema de ficheiros XFS xa non é compatible coa opción con barreira/sen barreira («barrier/nobarrier»)

O sistema de ficheiros XFS eliminou as opcións de montaxe barrier e nobarrier. Recoméndase que se eliminen de /etc/fstab se estiveran algunha delas. As particións que usen estas opcións saltarán cun erro ao montarse.

5.1.2. Cambios na estrutura do arquivo de seguridade

En bullseye, a suite de seguridade mudou o nome de buster/updates a bullseye-security, e os usuarios deberían actualizar os seus ficheiros de fontes de APT ao actualizar.

A liña sobre seguranza na súa configuración de APT debería parecerse a:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Se a súa configuración de APT inclúe o bloqueo de paquetes ou APT::Default-Release pode que teña que axustalos, pois o nome do arquivo de seguridade xa non coincido co do arquivo normal. Exemplo funcional do APT::Default-Release en bullseye:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

5.1.3. O resumo criptográfico de contrasinais usa yescrypt por omisión

O resumo criptográfico por omisión para as contas locais do sistema cambiouse do SHA-512 a yescrypt (consulte crypt(5)). Isto proporcionará máis seguridade ante os ataques de dicionario, pola maior complexidade espacial e temporal necesaria.

Para aproveitar esta mellora na seguridade cambie os contrasinais locais, por exemplo coa orde passwd.

Os vellos contrasinais continuarán funcionando sexa cal fora o resumo criptográfico que as creara.

Yescrypt non é compatible con Debian 10 (buster). Polo tanto, os ficheiros de contrasinais ocultos (/etc/shadow) non se poden copiar dende un sistema bullseye a un sistema buster. Se se copian os contrasinais que foran cambiados no sistema bullseye estes non funcionarán no sistema buster. E tampouco se poden copiar os resumos criptográficos dos contrasinais dun sistema bullseye a un sistema buster.

Se precisa que os resumos criptográficos dos contrasinais sexan compatibles entre bullseye e buster terá que modificar /etc/pam.d/common-password. Atope unha liña que se asemelle a:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

e substitúa yescrypt por sha512.

5.1.4. A compatibilidade cos NSS NIS e NIS+ precisan de novos paquetes

A compatibilidade cos NSS NIS e NIS+ foi dividido entre os paquetes libnss-nis e libnss-nisplus. Porén glibc non pode depender neses paquetes, polo que por agora só se recomendan.

Polo tanto recomendamos que nos sistemas que usen NIS ou NIS+ se comprobe que se instalaron cadanseu paquete tras a actualización.

5.1.5. Xestión dos anacos dos ficheiros de configuración de unbound

O servizo de resolución de consultas DNS unbound cambiou a maneira na que xestiona os anacos dos ficheiros de configuración. Se vostede usa include: para xuntar varios anacos nunha configuración válida consulte o ficheiro NEWS.

5.1.6. Parámetros obsoletos de rsync

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.7. Xestión dos engadidos de Vim

Os engadidos de vim, antes distribuídos por vim-scripts, son agora xestionados polo xestor de « paquetes » nativo de Vim; e non por vim-addon-manager. Os usuarios de Vim deberían prepararse antes de actualizar seguindo as instrucións no ficheiro NEWS.

5.1.8. OpenStacks e cgroups v1

OpenStack Victoria (estreado en bullseye) precisa de cgroup v1 para a calidade do servizo dos dispositivos en bloque. Como bullseye usará cgroupv2 por omisión (véxase Sección 2.2.4, « Grupos de control v2 »), a árbore sysfs en /sys/fs/cgroup non incluirá características de cgroup v1 coma /sys/fs/cgroup/blkio, polo que cgcreate -g blkio:foo non funcionará. Para os nodos de OpenStack que executen nova-compute ou cinder-volume recoméndase que se lles engadan os parámetros systemd.unified_cgroup_hierarchy=false e systemd.legacy_systemd_cgroup_controller=false á liña de ordes do núcleo para sobrescribir os valores por omisión e usar a xerarquía cgroup antiga.

5.1.9. Ficheiros sobre a política da API OpenStack

A API OpenStack de OpenStack Victoria en bullseye foi modificada, seguindo as recomendacións dos autores orixinais, para usar o novo formato YAML. Polo tanto a maioría dos servizos OpenStack, por exemplo Nova, Glance e Keystone; non funcionarán ao teren as políticas da API especificadas nos ficheiros policy.json. Por iso os paquetes inclúen o cartafol /etc/PROJECT/policy.d co ficheiro 00_default_policy.yaml, con todas as políticas comentadas por omisión.

O paquete OpenStack en Debian move o ficheiro policy.json a disabled.policy.json.old, para evitar que se active. Nos casos onde non se puido arranxar nada mellor a tempo o que se fixo foi borrar o ficheiro policy.json. Polo tanto faga copias de seguridade dos seus policy.json antes de actualizar.

Pódese atopar máis información na documentación orixinal.

5.1.10. Desactivación do sendmail durante a actualización

A diferenza dunha actualización normal do sendmail, durante a actualización de buster a bullseye o servizo sendmail pararase, durante máis tempo ca de forma normal. Pode ver consellos xenéricos para reducir o tempo de inactividade en Sección 4.1.3, « Prepárese para desconectar os servizos ».

5.1.11. FUSE 3

Algúns paquetes, por exemplo gvfs-fuse, kio-fuse, e sshfs; pasáronse ao FUSE 3. Isto fai que, durante a actualización, instalarase o paquete fuse3 e eliminarase o paquete fuse .

Nalgúns casos, por exemplo ao actualizar facendo só apt-get dist-upgrade sen seguir os pasos recomendados en Capítulo 4, Actualizar dende Debian 10 (buster), pode que os paquetes que dependen de fuse3 queden atascados durante a actualización. Pódese arranxar este problema seguindo outra vez os pasos indicados en Sección 4.4.5, « Actualizar o sistema » co apt de bullseye, ou actualizándoos manualmente.

5.1.12. Ficheiro de configuración de GnuPG

A partir da versión 2.2.27-1 a configuración de cada usuario da suite GnuPG foi movida a ~/.gnupg/gpg.conf, e xa non se usa ~/.gnupg/options. Renomee o ficheiro se for preciso, ou mova os seus contidos a outro sitio.

5.1.13. Linux activa os espazos de nomes de usuario por omisión

A partir de Linux 5.10 todos os usuarios poden crear espazos de nomes por omisión. Isto lle permitirá crear gaiolas illadas máis restrinxidas para executar código non fiable aos navegadores e os xestores de contedores, sen ter que seren superusuarios ou cambiar o identificador de usuario.

Antes Debian lles restrinxía esta capacidade por omisión aos procesos a executarse coma superusuario, por expoñer problemas de seguridade no núcleo. Porén a implementación desta capacidade mellorou moito, e estamos seguros de que os beneficios de seguridade superan os perigos que leva.

Se prefire mantela restrinxida, poña o sysctl a:

user.max_user_namespaces = 0
      

Pero pense que hai varios ambientes de escritorio e funcionalidades nos contedores que non funcionarán con esta capacidade restrinxida, entre outros os navegadores, WebKitGTK, Flatpak e as iconas en GNOME.

A opción de sysctl propia de Debian kernel.unprivileged_userns_clone=0 fai algo semellante, pero non se recomenda o seu uso.

5.1.14. Linux por omisión desactiva as chamadas non autorizadas a bfp()

A partir de Linux 5.10 Debian tamén desactiva as chamadas non autorizadas a bfp(). Porén un administrador pode cambiar isto, se o precisa, indicándolle 1 ou 0 ao sysctl kernel.unprivileged_bpf_disabled.

Se prefire manter restrinxidas as chamadas a bpf() configure sysctl tal que:

kernel.unprivileged_bpf_disabled = 0
      

Para máis información sobre o cambio vaia a #990411 para ver a petición.

5.1.15. redmine non incluído en bullseye

O paquete redmine non está incluído en bullseye por que cambiou da vella versión de rails, que está a piques de recibir as súas últimas actualizacións (só restan arranxos de seguridade inescusables), á nova versión de bullseye demasiado tarde. Os Mantedores Ruby Extras seguen ao día as novas que veñen da fonte orixinal, e sacarán unha versión de mantemento dende «backports» en canto saia e os paquetes funcionen. Se non pode agardar a que iso pase antes de actualizar, recomendámoslle que use unha máquina virtual ou un contedor con buster para illar esa aplicación.

5.1.16. Exim 4.94

Decátese de que a versión de Exim en bullseye é unha grande actualización. Esta actualización introduce o concepto da lectura de datos corruptos [tainted] dende fontes non fiábeis, por exemplo o remitente ou destinatario dunha mensaxe. Estes datos corruptos (por exemplo $local_part or $domain) non se poden usar como ficheiros, ou para nomes de cartafoles ou ordes; entre outros.

Isto romperá as configuracións que non estean actualizadas correctamente. Tampouco funcionarán sen cambios os ficheiros de configuración de Exim no antigo Debian, vostede deberá instalar a nova configuración coas súas modificacións locais.

Algúns exemplos non funcionais inclúen:

  • Enviar mensaxes a /var/mail/$local_part. Use $local_part_data xunto con check_local_user.

  • Usar

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    en lugar de

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    nun ficheiro de alcumes de dominios virtuais.

Os pasos xerais para adaptar estes cambios é usar o resultado dunha busca no proceso posterior en lugar do valor orixinal (subministrado dende o remoto).

Para facilitar a actualización creouse un parámetro principal de configuración para temporalmente degradar os erros de corrupción a avisos, permitíndolle funcionar á antiga configuración co novo Exim. Para activar isto engada

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

no ficheiro de configuración de Exim (por exemplo en /etc/exim4/exim4.conf.localmacros) antes de actualizar, e consulte os rexistros para atopar avisos de corrupción. Isto é unha trapallada que xa está preparada para se eliminar ao introducir as novas versións.

5.1.17. A sondaxe de dispositivos SCSI é indeterminista

Por culpa de cambios no núcleo Linux a sondaxe de dispositivos SCSI volveuse indeterminista. Isto pódeslle causar problemas ás instalacións que se baseen na orde de sondaxe dos discos. Esta mensaxe da lista de correo suxire dúas alternativas: usar ligazóns en /dev/disk/by-path ou unha norma en udev.

5.1.18. rdiff-backup require que tanto o servidor coma o cliente se actualicen á vez

As versións 1 e 2 do protocolo de rede de rdiff-backup son incompatibles entre si. Polo tanto terá que ter a mesma versión (xa for 1 ou 2) de rdiff-backup aquí e acolá. Como buster ten a versión 1.2.8 e bullseye a versión 2.0.5 actualizar só o cliente ou só o sistema remoto impedirá o funcionamento de rdiff-backup nos dous sistemas.

Está dispoñible a versión 2.0.5 de rdiff-backup no arquivo buster-backports, véxase backports. Isto permítelle aos usuarios actualizar só o paquete rdiff-backup nos sistemas con buster, e cando se puider actualizar a bullseye sen problemas.

5.1.19. Problemas co microcódigo dos procesadores Intel

O paquete intel-microcode existente en bullseye e en buster-security (véxase DSA-4934-1) contén dous problemas importantes coñecidos. Nalgúns procesadores CoffeeLake esta actualización pode estragar as interfaces de rede que usen firmware-iwlwifi, e, nalgúns procesadores Skylake R0/D0 en sistemas con BIOS ou microcódigo non actualizado, o sistema pode calarse ao arrancar.

Se non quixo actualizar co DSA-4934-1 por mor de calquera dos dous problemas, ou se non activou o arquivo de seguridade, teña en conta que actualizar o paquete intel-microcode en bullseye pode causar que o sistema se cale ao arrancar, ou que se estrague iwlwifi. Se isto sucede pode amañalo desactivando a carga do microcódigo ao iniciar. Consulte as instrucións no DSA, que se atopan no README.Debian dentro de intel-microcode.

5.1.20. libgc1c2 precisa de dúas actualizacións

Os paquetes de buster que dependen de libgc1c2 (por exemplo guile-2.2-libs) pode que non se actualicen na primeira quenda da actualización a bullseye. Facendo unha segunda actualización soe resolver o problema. Para máis información consulte o fallo #988963.

5.1.21. fail2ban non pode enviar correo usando o «mail» de bsd-mailx

O paquete fail2ban pode configurarse para que envíe notificacións por correo electrónico. Para facelo usa mail, que pode obterse de varios paquetes. Unha actualización de seguranza (necesaria nos sistemas que usan o mail de mailutils) xusto antes da saída de bullseye estragou esta función nos sistemas que usan o mail de bsd-mailx. Os usuarios que usen fail2ban con bsd-mailx e queiran que fail2ban envíe mensaxes por correo deberán mudar o fornecedor de mail, ou desfacer manualmente a modificación orixinal (que engadiu a cadea "-E 'set escape'" en varios sitios dentro de /etc/fail2ban/action.d/).

5.1.22. Imposible conectarse mediante SSH durante a actualización

Inda que as conexións da Interface de Ordes Segura (SSH) deberían continuar funcionando durante a instalación, por culpa de circunstancias desafortunadas, o tempo que ten que pasar antes de poder facer novas conexións SSH é maior que de costume. Se a actualización estase a facer mediante unha conexión SSH que pode sufrir cortes recomendamos actualizar openssh-server antes de actualizar o sistema completo.

5.1.23. Open vSwitch upgrade requires interfaces(5) change

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

5.1.24. Cousas que facer despois da actualización antes de reiniciar

Cando remate apt full-upgrade, a actualización « en sí » rematou. Para actualizar a bullseye non é necesario facer máis cousas antes de reiniciar.

5.2. Cousas non exclusivas do proceso de actualización

5.2.1. Limitacións na asistencia técnica sobre seguridade

Hai algúns paquetes onde Debian non pode prometer manter unha modernización mínima por razóns de seguridade. Estes paquetes trátanse nas seguintes subseccións.

[Nota]Nota

O paquete debian-security-support axuda a manterse ao día sobre a asistencia técnica de seguridade dos paquetes.

5.2.1.1. O estado da seguridade dos navegadores de internet e os seus motores de renderizado

Debian 11 inclúe varios motores de navegador da rede que están afectados polo fluxo constante de vulnerabilidades de seguridade. A gran cantidade de vulnerabilidades, e a falta parcial de soporte técnico da fonte orixinal na forma de pólas de desenvolvemento a longo prazo, fan moi difícil manter a compatibilidade con estes navegadores e motores con arranxos de mantemento de seguridade. Ademais, as dependencias entre bibliotecas fan moi difícil actualizar a versións máis novas da fonte orixinal. Polo tanto os navegadores que usen, por exemplo, os motores de renderización webkit e khtml[6], incluídos en bullseye pero que non entran dentro do soporte técnico de seguridade. Estes navegadores non se deberían usar con páxinas descoñecidas. Os motores webkit2gtk e wpewebkit si que teñen soporte técnico de seguridade.

Como navegador de uso diario recomendamos Firefox ou Chromium. Estes navegadores mantéñense ao día recompilando as versións ESR actuais para Debian estable. A mesma estratexia usarase para Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye contén unha versión de proba de OpenJDK 17 (a seguinte versión de mantemento a longo prazo OpenJDK LTS despois de OpenJDK 11), para evitar o pesado proceso de arranque inicial. Planeamos que OpenJDK 17 reciba unha actualización en bullseye á última versión anunciada para outubro do 2021, e continuando con actualizacións de seguridade canto antes se poida. Porén os usuarios non deberían esperar as actualizacións trimestrais de seguridade que fagan na fonte.

5.2.1.3. Paquetes baseados en Go

A infraestrutura de Debian inda ten problemas ao recompilar os tipos de paquetes que abusan do ligado estático. Antes de buster isto non era un problema na práctica, pero o crecemento do ecosistema de Go fai que os paquetes baseados en Go terán unha asistencia técnica de seguridade limitada ata que a infraestrutura mellore o suficiente como para que funcionen sen problemas.

As actualizacións das bibliotecas de desenvolvemento de Go, se foren necesarias, só poderían vir nas versións regulares principais, que poden tardar en chegar.

5.2.2. Acceder á aplicación de Axustes en GNOME sen rato

Sen un dispositivo para apuntar non hai unha maneira directa de cambiar os axustes na aplicación de Preferencias de GNOME do paquete gnome-control-center. Para evitalo podes navegar dende a barra lateral cara o contido principal premendo a Frecha Dereita dúas veces. Para volver á barra lateral podes comezar unha busca con Ctrl+F, escribindo algo e premendo Esc para cancelar a busca. Agora podes usar Frecha Arriba e Frecha Abaixo para navegar a barra lateral. Non é posíbel seleccionar os resultados da busca co teclado.

5.2.3. A opción de arranque rescue non se pode usar sen contrasinal de superusuario

Dende a implantación de sulogin en buster arrancar con rescue precisa do contrasinal de superusuario. Se non puxo ningunha non poderá usar o modo de recuperación. Porén inda se poderá arrancar co argumento no núcleo init=/sbin/sulogin --force

Para que systemd faga algo semellante cando entre no modo de recuperación (tamén chamado modo de usuario único [«single mode»]: véxase systemd(1)), execute sudo systemctl edit rescue.service e cre un ficheiro que poña:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Tamén pode axudar facelo coa unidade emergency.service, que se inicia automaticamente en caso de certos fallos (véxase systemd.special(7)), ou se se lle engadiu emergency á liña de ordes do núcleo (p.e. se o sistema non se pode recuperar dende o modo de recuperación).

Para máis información e discusión sobre as implicacións de seguridade véxase #802211.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Obsolescencia e deprecación

5.3.1. Paquetes obsoletos importantes

Esta é unha lista dos paquetes obsoletos que se consideran importantes (véxase Sección 4.8, « Paquetes obsoletos » para a definición).

A lista de paquetes obsoletos inclúe:

  • O paquete lilo foi eliminado de bullseye. O sucesor de lilo coma cargador de arranque é grub2.

  • A versión 3 é a única versión do conxunto de programas para xestión de listas de correo Mailman dispoñible nesta versión. Mailman foi dividido en varios compoñentes; o paquete central é mailman3 e o conxunto completo pódese obter do metapaquete mailman3-full.

    A versión 2.1 antiga do Mailman xa non está dispoñible (antigo paquete mailman). Esta versión dependía de Python 2, que xa non está dispoñible en Debian.

    Para instrucións sobre a actualización consulte a documentación sobre migración do proxecto.

  • O núcleo Linux xa non é compatible con isdn4linux (i4l). Polo tanto, os paquetes relacionados isdnutils, isdnactivecards, drdsl e ibod foron eliminados dos arquivos.

  • As bibliotecas obsoletas libappindicator xa non están dispoñibles. Polo tanto, os paquetes relacionados libappindicator1, libappindicator3-1 e libappindicator-dev tampouco están dispoñibles. Isto provocará problemas coas dependencias de programas de terceiros que inda dependen de libappindicator para a compatibilidade coas bandexa e avisos do sistema.

    Debian usa libayatana-appindicator como substituto de libappindicator. Máis información técnica neste aviso.

  • chef xa non está dispoñible en Debian. Se vostede usa Chef para xestionar as configuracións, a mellor forma de actualizarse é usar os paquetes de Chef Inc.

    Para máis información sobre isto consulte a petición de borrado.

  • Python 2 xa se estendeu fora da súa vida útil e xa non recibirá actualizacións de seguridade. Non é compatible coas aplicacións dispoñibles, e os paquetes que o necesitan pasáronse a Python 3 ou foron eliminados. Porén Debian bullseye inda inclúe a versión de Python 2.7, xunto cun pequeno número de ferramentas de compilación de Python 2 como python-setuptools. Estas ferramentas están dispoñible só por que son necesarias para algúns procesos de compilación que non se converteran a Python 3.

  • O paquete aufs-dkms non foi incluído en bullseye. A maioría dos usuarios de aufs-dkms deberían poder mudarse a overlayfs, que ten funcionalidade similar e con compatibilidade co núcleo. Porén é posible instalar Debian nun sistema de ficheiros que non sexa compatible con overlayfs, por exemplo xfs sen d_type. Aconsellámoslle aos usuarios de aufs-dkms que deixen de usar aufs-dkms antes de actualizar a bullseye.

  • O xestor de conexións de rede wicd non estará dispoñible tras a actualización. Se o usa, para evitar perder a conexión coa rede, substitúao por outro paquete alternativo; por exemplo network-manager ou connman.

5.3.2. Compoñentes deprecados para bullseye

Na seguinte versión de Debian 12 (alcumada bookworm) quitáronse algunhas características. Os usuarios terán que migrar a outras alternativas para evitar problemas ao actualizaren a Debian 12.

Isto inclúe as seguintes características:

  • As xustificacións históricas da estrutura do sistema de ficheiros con /bin, /sbin e /lib separados dos seus equivalentes en /usr xa non se aplican; véxase o resumo en Freedesktop.org. Debian bullseye será a última versión de Debian que sexa compatible cunha estrutura separada de usr. Para os sistemas coa estrutura antiga que foran actualizados sen reinstalar existe o paquete usrmerge para facer a conversión se se precisa.

  • bullseye será a última versión que inclúa apt-key. No seu lugar as chaves xestionaranse meténdoas en /etc/apt/trusted.gpg.d, nun formato binario, coma o creado por gpg --export, cunha extensión .gpg; ou ficheiros codificados de binario a ASCII cunha extensión .asc.

    Pensamos escoller outra ferramenta para investigar manualmente o chaveiro, para substituír apt-key list, pero inda non se comezou o proceso.

  • As infraestruturas das bases de datos de slapd, slapd-bdb(5), slapd-hdb(5) e slapd-shell(5); serán eliminados e non se incluirán en Debian 12. As bases de datos LDAP que usen bdb ou hdb deberán pasarse a slapd-mdb(5).

    Ademais non se recomendan usar os sistemas slapd-perl(5) e slapd-sql(5), e pode que sexan eliminados nunha nova versión.

    O Proxecto OpenLDAP non lle da soporte técnico á infraestrutura eliminados ou non recomendados. O soporte destes sitemas en Debian 11 non está asegurado.

5.4. Fallos graves coñecidos

Que Debian saque as novas versións cando estean listas non significa que non teña fallos coñecidos. Parte do proceso de edición consiste en que o Equipo de Edición (ou equipo «Release») seguir os fallos de gravidade seria («serious») ou maior. Pódese atopar no Sistema de Seguimento de Fallos de Debian un resumo dos fallos que foran clasificados para ignoralos no remate da edición de bullseye. Os seguintes fallos suficientemente notables afectaban a bullseye no momento de sacar a versión:

Nº do falloPaquete (fonte ou binario)Descrición
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore non actualiza /etc/ssl/certs/java/cacerts
990026croncron: Restricións nos caracteres posibles no campo «MAILTO» causa estragos
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 precisa dependencias
990318python-pkg-resourcespython-pkg-resources: engadir a relación «Breaks» cos paquetes python sen versión
991449fail2banarranxar CVE-2021-32749 estraga os sistemas que usan o «mail» de «bsd-mailx»
990708mariadb-server-10.5,galera-4mariadb-server-10.5: problemas ao actualizar por mor do cambio de galera-3 a galera-4
980429src:gcc-10g++-10: erróneo fallo de segmentación de c++17 en append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10falta i386-cpuinfo.h
984574gcc-10-basegcc-10-base: engadir a relación «Breaks» con gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: da o seguinte erro ao instalar: «/usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7».
987264git-elgit-el: instalación errónea con xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 non depende de nada
948739gpartedgparted non debería enmascarar («mask») as unidades .mount
984714gpartedgparted debería suxerir exfatprogs e copiar a modificación que rexeita exfat-utils
968368ifenslaveifenslave: A opción «bond-master» non puido engadir a interface para agregala
990428ifenslaveifenslave: A agregación de enlaces, usando a configuración «bond-slaves» non funciona en bullseye
991113libpam-chrootlibpam-chroot instala pam_chroot.so no cartafol equivocado
989545src:llvm-toolchain-11libgl1-mesa-dri: «si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy»
982459mdadmmdadm --examine nun «chroot» sen antes montar /proc,/dev,/sys corrompe o sistema de ficheiros inicial
981054openipmiopenipmi: Precisa dependencia en kmod
948318openssh-serveropenssh-server: Non se puido reiniciar sshd despois de actualizar á versión 8.1p1-2
991151procpsprocps: sacouse a opción de recargar do programa de inicio, estragando corekeeper
989103pulseaudiopulseaudio retrogradou a configuración control=Wave
984580libpython3.9-devlibpython3.9-dev: falta dependencia en zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: executar java no qemu s390 salta cun SIGILL en C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherestraga pulse-audio como saída cando speechd-up o inicia dende o sistema de inicio
932501src:squid-deb-proxysquid-deb-proxy: o daemon non se inicia por que apparmor non permite acceder ao ficheiro de configuración
991588tpm2-abrmdtpm2-abrmd non debería inidicar «Requires=systemd-udev-settle.service» na súa unidade
991939libjs-bootstrap4libjs-bootstrap4: Ligazóns simbólicas rotas: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean elimina ficheiros non relacionados fora da fonte do paquete
988477src:xenxen-hypervisor-4.14-amd64: o dmesg de xen amosa «(XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device»
991788xfce4-settingsxfce4-settings: pantalla negra tras suspender ao abrir e pechar a tapa do portátil


[6] Estes motores veñen dentro dun gran número de diferentes paquetes fonte e a preocupación aplícaselle a todos os paquetes que os inclúen. A preocupación tamén se estende cara os motores de renderizado de páxinas web que non veñen aquí incluídos, coa excepción de webkit2gtk e ao novo wpewebkit.