Capitolo 5. Problemi di cui essere al corrente per bullseye

Indice

5.1. Aspetti specifici dell'aggiornamento a bullseye
5.1.1. Il file system XFS non supporta più l'opzione barrier/nobarrier
5.1.2. Struttura dell'archivio di sicurezza modificata
5.1.3. Gli hash delle password usano yescrypt in modo predefinito
5.1.4. Il supporto per NSS NIS e NIS+ richiede nuovi pacchetti
5.1.5. Gestione di frammenti di file di configurazione in unbound
5.1.6. Parametri di rsync resi deprecati
5.1.7. Gestione degli addon di Vim
5.1.8. OpenStack e cgroups v1
5.1.9. File di politica dell'API OpenStack
5.1.10. sendmail non attivo durante l'aggiornamento
5.1.11. FUSE 3
5.1.12. File delle opzioni di GnuPG
5.1.13. Linux abilita gli spazi dei nomi utente in modo predefinito
5.1.14. Linux disabilita chiamate non privilegiate a bpf() in modo predefinito
5.1.15. redmine mancante in bullseye
5.1.16. Exim 4.94
5.1.17. Il rilevamento di device SCSI non è deterministico
5.1.18. rdiff-backup richiede aggiornamento in blocco di server e client
5.1.19. Problemi con microcodice delle CPU Intel
5.1.20. Gli aggiornamenti che coinvolgono libgc1c2 necessitano due esecuzioni
5.1.21. fail2ban non può inviare email usando mail da bsd-mailx
5.1.22. Nessuna nuova connessione SSH possibile durante l'aggiornamento
5.1.23. L'aggiornamento di Open vSwitch richiede la modifica di interfaces(5)
5.1.24. Cose da fare dopo l'aggiornamento prima di riavviare
5.2. Cosa non limitate al processo di aggiornamento
5.2.1. Limitazione nel supporto per la sicurezza
5.2.2. Accesso all'applicazione delle Impostazioni di GNOME senza mouse
5.2.3. L'opzione di avvio rescue è inutilizzabile senza la password di root
5.2.4. 32-bit Xen PV guests are not supported
5.3. Obsolescenze e deprecazioni
5.3.1. Pacchetti obsoleti degni di nota
5.3.2. Componenti deprecati per bullseye
5.4. Bug importanti conosciuti

A volte i cambiamenti introdotti da un nuovo rilascio comportano effetti collaterali che non si possono ragionevolmente evitare o che espongono errori da altre parti. In questa sezione sono documentati i problemi noti. Si leggano anche le errata corrige, la documentazione dei pacchetti interessati, le segnalazioni di errori e altre informazioni riportate in Sezione 6.1, «Ulteriori letture».

5.1. Aspetti specifici dell'aggiornamento a bullseye

Questa sezione tratta le voci relative all'aggiornamento da buster a bullseye.

5.1.1. Il file system XFS non supporta più l'opzione barrier/nobarrier

Il supporto per le opzioni di montaggio barrier e nobarrier è stato rimosso dal file system XFS. È raccomandato controllare se in /etc/fstab è presente l'una o l'altra parola chiave e rimuoverla. Le partizioni che usano tali opzioni non verranno montate con successo.

5.1.2. Struttura dell'archivio di sicurezza modificata

Per bullseye, la suite di sicurezza si chiama ora bullseye-security invece di nome-in-codice/ e gli utenti devono adattare i loro file source-list di APT di conseguenza, quando aggiornano.

La riga per la sicurezza nella configurazione di APT dell'utente può essere del tipo:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Se la propria configurazione di APT include anche pinning o APT::Default-Release, è probabile che richieda aggiustamenti dato che il nome in codice dell'archivio di sicurezza non corrisponde più a quello dell'archivio regolare. Un esempio di riga APT::Default-Release funzionante per bullseye è:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

che sfrutta la funzionalità di APT che gestisce espressioni regolari (dentro /).

5.1.3. Gli hash delle password usano yescrypt in modo predefinito

L'hash predefinito per le password per gli account nel sistema locale è stato cambiato da SHA-512 a yescrypt (vedere crypt(5)). Ci si aspetta che questo fornisca una sicurezza migliorata rispetto ad attacchi per indovinare le password basati su dizionario, in termini della complessità sia nello spazio che nel tempo degli attacchi.

Per sfruttare questa sicurezza migliorata, cambiare le password locali; per esempio usare il comando passwd.

Le vecchie password continueranno a funzionare usando l'hash per password che era stato usato per crearle, qualunque esso sia.

Yescript non è supportato da Debian 10 (buster). Di conseguenza i file password shadow (/etc/shadow) non possono essere copiati da un sistema bullseye in un sistema buster. Se si copiano tali file, le password che sono state cambiate nel sistema bullseye non funzioneranno nel sistema buster. In modo simile, non si può fare il copia-e-incolla degli hash di password da un sistema bullseye ad un sistema buster.

Se è richiesta la compatibilità degli hash delle password tra bullseye e buster, modificare /etc/pam.d/common-password. Trovare la riga simile a:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

e sostituire yescrypt con sha512.

5.1.4. Il supporto per NSS NIS e NIS+ richiede nuovi pacchetti

Il supporto per NSS NIS e NIS+ è stato spostato in pacchetti separati chiamati libnss-nis e libnss-nisplus. Purtroppo, glibc non può dipendere da tali pacchetti, perciò sono adesso solo raccomandati.

Nei sistemi che usano NIS o NIS+ è perciò raccomandato controllare che tali pacchetti siano correttamente installati dopo l'aggiornamento.

5.1.5. Gestione di frammenti di file di configurazione in unbound

Il risolutore DNS unbound ha cambiato il modo in cui gestisce i frammenti di file di configurazione. Se si fa affidamento sun una direttiva include: per fondere diversi frammenti in una configurazione valida, si dovrebbe leggere il file NEWS.

5.1.6. Parametri di rsync resi deprecati

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.7. Gestione degli addon di Vim

I moduli aggiuntivi per vim storicamente forniti da vim-scripts sono ora gestiti attraverso la funzionalità nativa «package» di Vim, invece che da vim-addon-manager. Gli utenti di Vim dovrebbero prepararsi prima dell'aggiornamento seguendo le istruzioni nel file NEWS.

5.1.8. OpenStack e cgroups v1

OpenStack Victoria (rilasciato in bullseye) richiede cgroup v1 per QoS dei device a blocchi. A partire da bullseye passa anche ad usare cgroupv2 in modo predefinito (vedere Sezione 2.2.4, «Control groups v2»), l'albero sysfs in /sys/fs/cgroup non include funzionalità cgroup v1 come /sys/fs/cgroup/blkio, e come risultato cgcreate -g blkio:foo fallisce. Per i nodi OpenStack con in esecuzione nova-compute o cinder-volume è fortemente raccomandato aggiungere i parametri systemd.unified_cgroup_hierarchy=false e systemd.legacy_systemd_cgroup_controller=false alla riga di comando del kernel per scavalcare i valori predefiniti e ripristinare la vecchia gerarchia di cgroup.

5.1.9. File di politica dell'API OpenStack

Seguendo le raccomandazioni degli autori originali, OpenStack Victoria nel rilascio bullseye passa per l'API OpenStack all'uso del nuovo formato YAML. Come risultato, la maggior parte dei servizi OpenStack, inclusi Nova, Glance e Keystone appaiono non funzionanti con tutte le politiche per API scritte esplicitamente nei file policy.json. I pacchetti, perciò, vengono ora forniti con una directory /etc/PROJECT/policy.d contenente un file 00_default_policy.yaml con tutte le politiche commentate in modo predefinito.

Per evitare che il vecchio file policy.json rimanga attivo, i pacchetti OpenStack di Debian ora lo rinominano in disabled.policy.json.old. In alcuni casi, quando non è stato possibile fare nulla di meglio prima del rilascio, policy.json viene semplicemente eliminato. Perciò, prima di aggiornare, è fortemente consigliato di fare il backup dei file policy.json delle proprie installazioni.

Ulteriori dettagli sono disponibili nella documentazione originale.

5.1.10. sendmail non attivo durante l'aggiornamento

A differenza dei normali aggiornamenti di sendmail, durante l'aggiornamento da buster a bullseye il servizio sendmail viene fermato, determinando una mancanza di servizio più lunga del consueto. Per un suggerimento generico su come ridurre il tempo di inattività, vedere Sezione 4.1.3, «Preparazione all'indisponibilità dei servizi».

5.1.11. FUSE 3

Alcuni pacchetti, inclusi gvfs-fuse, kio-fuse e sshfs sono passati a FUSE 3. Durante gli aggiornamenti ciò causerà l'installazione di fuse3 e la rimozione di fuse.

In alcune circostanze eccezionali, ad esempio quando si effettua l'aggiornamento eseguendo solamente apt-get dist-upgrade invece dei passaggi di aggiornamento raccomandati da Capitolo 4, Aggiornamenti da Debian 10 (buster), i pacchetti che dipendono da fuse3 possono essere mantenuti fermi durante l'aggiornamento. Eseguire nuovamente i passaggi descritti in Sezione 4.4.5, «Aggiornamento del sistema» con apt di bullseye o aggiornarli manualmente risolverà la situazione.

5.1.12. File delle opzioni di GnuPG

A partire dalla versione 2.2.27-1, la configurazione del singolo utente della suite GnuPG è stata completamente spostata in ~/.gnupg/gpg.conf e ~/.gnupg/options non è più utilizzato. Rinominare il file se necessario o spostare i suoi contenuti nella nuova posizione.

5.1.13. Linux abilita gli spazi dei nomi utente in modo predefinito

A partire da Linux 5.10, viene permesso, in modo predefinito, a tutti gli utenti di creare spazi dei nomi utente. Ciò permette a programmi come browser web e gestori di contenuti di creare sandbox più ristrette per codice non fidato o meno fidato, senza la necessità di essere eseguito come root o di usare uno strumento ausiliario setuid-root.

Il comportamento predefinito della Debian precedente era di restringere questa funzionalità ai processi in esecuzione come root, perché esponeva più problemi di sicurezza nel kernel. Tuttavia, ora che l'implementazione di questa funzionalità è maturata, c'è la convinzione che i benefici di sicurezza che essa fornisce superino i rischi connessi alla sua abilitazione.

Se si preferisce mantenere ristretta funzionalità, impostare sysctl:

user.max_user_namespaces = 0
      

Notare che varie funzionalità di desktop e contenitori non funzioneranno con questa restrizione, inclusi browser web, WebKitGTK, Flatpak e miniature di GNOME.

L'impostazione sysctl kernel.unprivileged_userns_clone=0 specifica di Debian ha un effetto simile, ma è deprecata.

5.1.14. Linux disabilita chiamate non privilegiate a bpf() in modo predefinito

A partire da Linux 5.10, Debian disabilita chiamate non privilegiate a bpf() in modo predefinito. Tuttavia, un amministratore può sempre cambiare, se necessario, questa impostazione in un secondo momento scrivendo 0 o 1 nel sysctl kernel.unprivileged_bpf_disabled.

Se si preferisce mantenere abilitate le chiamate non privilegiate a bpf(), impostare sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Per informazioni sulla modifica del comportamento predefinito in Debian vedere il bug 990411 con la richiesta di modifica.

5.1.15. redmine mancante in bullseye

Il pacchetto redmine non viene fornito in bullseye, dato che era troppo tardi per migrare dalla vecchia versione di rails, che è alla fine del supporto a monte (ricevendo solamente le soluzioni a gravi bug di sicurezza), alla versione che è in bullseye. I manutentori di Ruby Extras stanno seguendo da vicino lo sviluppo a monte e rilasceranno una versione attraverso backports non appena verrà rilasciata e avranno pacchetti funzionanti. Se non si può aspettare che ciò avvenga prima di aggiornare, si può usare una VM o un contenitore con in esecuzione buster per isolare questa specifica applicazione.

5.1.16. Exim 4.94

Considerare la versione di Exim in bullseye come un aggiornamento principale di Exim. Introduce il concetto di dati contaminati ("tainted") letti da fonti non fidate, come ad esempio l'autore o il destinatario di un messaggio. Questi dati (ad esempio $local_part o $domain) non possono essere usati, tra le altre cose, come nomi di file o directory o nomi di comandi.

Questo rende non funzionanti configurazioni che non vengono aggiornate di conseguenza. Anche i vecchi file di configurazione di Exim in Debian non funzioneranno se non modificati; la nuova configurazione deve essere installata con le modifiche locali riunite in essa.

Esempi tipici non funzionanti includono:

  • Consegna a /var/mail/$local_part. Usare $local_part_data in combinazione con check_local_user.

  • Usare

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    invece di

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    per un file alias per domini virtuali.

La strategia di base per affrontare questa modifica è quella di usare il risultato di una ricerca con lookup in una successiva elaborazione invece del valore originale (fornito da remoto).

Per facilitare l'aggiornamento esiste una nuova opzione per configurazione principale per abbassare temporaneamente gli errori relativi a dati "tainted" ad avvertimenti, permettendo alla vecchia configurazione di funzionare con il nuovo Exim. Per utilizzare questa funzionalità aggiungere

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

alla configurazione di Exim (ad esempio a /etc/exim4/exim4.conf.localmacros) prima dell'aggiornamento e controllare nel file di log la presenza di avvertimenti legati a dati "tainted". Questo è un aggiramento temporaneo del problema che è già contrassegnato, al momento dell'introduzione, per la rimozione.

5.1.17. Il rilevamento di device SCSI non è deterministico

A causa di cambiamenti nel kernel Linux, il rilevamento di device SCSI non è più deterministico. Questo può essere un problema per le installazioni che si affidano all'ordine di rilevamento dei dischi. In questo messaggio nella mailing-list sono suggerite due possibili alternative che usano i collegamenti in /dev/disk/by-path o una regola udev.

5.1.18. rdiff-backup richiede aggiornamento in blocco di server e client

Il protocollo di rete delle versioni 1 e 2 di rdiff-backup sono incompatibili. Ciò significa che si deve eseguire la stessa versione (1 o 2) di rdiff-backup localmente e in remoto. Dato che buster fornisce la versione 1.2.8 e bullseye fornisce la versione 2.0.5, l'aggiornamento da buster a bullseye del solo sistema locale o del solo sistema remoto renderà non funzionante l'esecuzione di rdiff-backup tra i due.

La versione 2.0.5 di rdiff-backup è disponibile nell'archivio buster-backports archive, vedere backports.

5.1.19. Problemi con microcodice delle CPU Intel

Il pacchetto intel-microcode attualmente in bullseye e buster-security (see DSA-4934-1) contiene due bug importanti. Per alcune CPU CoffeeLake questo aggiornamento può rendere non funzionanti interfacce di rete che usano firmware-iwlwifi e, per alcune CPU Skylake R0/D0 su sistemi che usano un firmware/BIOS molto obsoleto, il sistema può bloccarsi all'avvio.

Se si è rimandato l'aggiornamento da DSA-4934-1 a causa di questi problemi, o non si ha l'archivio di sicurezza abilitato, tenere a mente che aggiornare al pacchetto intel-microcode in bullseye può far sì che il sistema si blocchi all'avvio o può rendere non funzionante iwlwifi. In tal caso, si può ripristinare la situazione disabilitando il caricamento del microcodice all'avvio; vedere le istruzioni nel DSA, che sono anche nel file README.Debian di intel-microcode.

5.1.20. Gli aggiornamenti che coinvolgono libgc1c2 necessitano due esecuzioni

I pacchetti che dipendono da libgc1c2 in buster (es. guile-2.2-libs) possono essere mantenuti alla versione precedente durante la prima esecuzione di un aggiornamento completo a bullseye. Fare un secondo aggiornamento solitamente risolve il problema. Le informazioni sulle basi del problema possono essere trovate nel bug n. 988963.

5.1.21. fail2ban non può inviare email usando mail da bsd-mailx

Il pacchetto fail2ban può essere configurato per inviare notifiche via email. Lo fa usando mail che è fornito in Debian da diversi pacchetti. Un aggiornamento di sicurezza (necessario sui sistemi che usano mail da mailutils) proprio prima del rilascio di bullseye ha reso non funzionante questa funzionalità per i sistemi che hanno mail fornito da bsd-mailx. Gli utenti con fail2ban in combinazione con bsd-mailx che desiderano che fail2ban invii email devono passare ad un diverso fornitore di mail oppure rimuovere manualmente l'applicazione del commit a monte (che ha inserito la stringa "-E 'set escape'" in diversi punti in /etc/fail2ban/action.d/).

5.1.22. Nessuna nuova connessione SSH possibile durante l'aggiornamento

Sebbene le connessioni SSH (Secure SHell) esistenti dovrebbero continuare a funzionare come di consueto durante l'aggiornamento, a causa di circostanze sfortunate il periodo in cui non è possibile stabilire nuove connessioni SSH è più lungo del solito. Se l'aggiornamento viene fatto attraverso una connessione SSH che può venire interrotta, è raccomandato aggiornare openssh-server prima di aggiornare il sistema completo.

5.1.23. L'aggiornamento di Open vSwitch richiede la modifica di interfaces(5)

L'aggiornamento di openvswitch può non riuscire a recuperare i bridge dopo l'avvio. Per aggirare il problema si deve:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

Per maggiori informazioni vedere il bug n.989720.

5.1.24. Cose da fare dopo l'aggiornamento prima di riavviare

Quando apt full-upgrade ha terminato, l'aggiornamento è «formalmente» completo. Per l'aggiornamento a bullseye non ci sono azioni speciali necessarie prima di effettuare un riavvio.

5.2. Cosa non limitate al processo di aggiornamento

5.2.1. Limitazione nel supporto per la sicurezza

Ci sono alcuni pacchetti per i quali Debian non può garantire di fornire i backport minimi per ragioni di sicurezza. Questi verranno trattati nelle sottosezioni che seguono.

[Nota]Nota

Il pacchetto debian-security-support aiuta a tenere traccia dello stato del supporto di sicurezza per i pacchetti installati.

5.2.1.1. Stato della sicurezza dei browser web e dei loro motori di rendering

Debian 11 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser e motori tramite il backport delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende estremamente difficile aggiornare a una nuova versione a monte. Perciò, in bullseye sono presenti browser basati ad esempio sui motori webkit e khtml[6], ma non sono coperti dal supporto di sicurezza. Non si dovrebbe usare questi browser con siti web non fidati. I motori webkit2gtk e wpewebkit sono coperti dal supporto di sicurezza.

Per un browser web di uso generico vengono raccomandati Firefox o Chromium. Verranno mantenuti aggiornati ricompilando gli attuali rilasci ESR per stable. La stessa strategia verrà seguita per Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye viene fornita con una versione di anteprima di OpenJDK 17 (la nuova versione pianificata di OpenJDK LTS dopo OpenJDK 11), per evitare il piuttosto laborioso lavoro di bootstrap. Il piano è quello che OpenJDK 17 riceva un aggiornamento in bullseye al rilascio finale a monte annunciato per ottobre 2021, seguito dagli aggiornamenti di sicurezza nel modo migliore possibile in base alle risorse umane, ma gli utenti non si devono attendere aggiornamenti per ogni aggiornamento di sicurezza trimestrale a monte.

5.2.1.3. Pacchetti basati su Go

L'infrastruttura Debian attualmente ha problemi con la ricompilazione di pacchetti del tipo che usa sistematicamente link statici. Prima di buster questo non era in pratica un problema, ma con il crescere dell'ecosistema Go ciò significa che i pacchetti basati su Go saranno coperti da un supporto di sicurezza limitato fino a che l'infrastruttura non sarà migliorata per poter lavorare con essi in modo mantenibile.

Se sono necessari aggiornamenti per le librerie di sviluppo di Go, questi possono solamente passare attraverso i regolari rilasci minori, che possono essere lenti ad arrivare.

5.2.2. Accesso all'applicazione delle Impostazioni di GNOME senza mouse

Senza un dispositivo puntatore non esiste un modo diretto per cambiare le impostazioni nell'applicazione Impostazioni di GNOME fornita da gnome-control-center. Per aggirare il problema si può navigare dalla barra laterale ai contenuti principali usando freccia a destra due volte. Per ritornare alla barra laterale si può avviare una ricerca con Ctrl+F, digitare qualcosa, poi premere Esc per annullare la ricerca. Ora si possono usare Freccia in su e Freccia in giù per navigare nella barra laterale. Non è possibile selezionare i risultati di una ricerca con la tastiera.

5.2.3.  L'opzione di avvio rescue è inutilizzabile senza la password di root

Con l'implementazione di sulogin, usato a partire da buster, l'avvio con l'opzione rescue richiede sempre la password di root. Se non ne è stata impostata una, ciò rende di fatto la modalità di ripristino inutilizzabile. È tuttavia ancora possibile avviare usando il parametro init=/sbin/sulogin --force del kernel.

Per configurare systemd in modo che faccia l'equivalente ogni volta che avvia in modalità ripristino (nota anche come "single mode", vedere systemd(1)), eseguire sudo systemctl edit rescue.service e creare un file contenente solamente:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Potrebbe anche (o invece) essere utile farlo per l'unità emergency.service, che è avviata automaticamente nel caso di alcuni errori (vedere systemd.special(7)) o se viene aggiunto emergency alla riga di comando del kernel (ad esempio se il sistema non può essere ripristinato usando la modalità di ripristino).

Per informazioni a riguardo e per una discussione sulle implicazioni in termini di sicurezza vedere #802211.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Obsolescenze e deprecazioni

5.3.1. Pacchetti obsoleti degni di nota

Quello che segue è un elenco di pacchetti obsoleti noti e degni di nota (vedere Sezione 4.8, «Pacchetti obsoleti» per una descrizione).

L'elenco dei pacchetti obsoleti comprende:

  • Il pacchetto lilo è stato rimosso da bullseye. Il successore di lilo come boot loader è grub2.

  • La versione 3 della suite del gestore di mailing-list Mailman è l'unica versione disponibile di Mailman in questo rilascio. Mailman è stato diviso in vari componenti; la parte principale è disponibile nel pacchetto mailman3 e la suite completa può essere ottenuta tramite il metapacchetto mailman3-full.

    La versione sorpassata 2.1 di Mailman non è più disponibile (una volta era il pacchetto mailman). Tale ramo dipende da Python 2 che non è più disponibile in Debian.

    Per le istruzioni sull'aggiornamento vedere la documentazione per migrazione del progetto.

  • Il kernel Linux non fornisce più il supporto per isdn4linux (i4l). Di conseguenza, i relativi pacchetti in spazio utente isdnutils, isdnactivecards, drdsl e ibod sono stati rimossi dagli archivi.

  • Le librerie deprecate libappindicator non sono più fornite. Come risultato, i pacchetti relativi libappindicator1, libappindicator3-1 e libappindicator-dev non sono più disponibili. Ci si aspetta che ciò causi errori di dipendenze per software di terze parti che dipende ancora da libappindicator per fornire la gestione del vassoio di sistema e degli indicatori.

    Debian usa libayatana-appindicator come successore di libappindicator. Per le basi tecniche vedere questo annuncio.

  • Debian non fornisce più chef. Se si usa Chef per la gestione della configurazione, il percorso di aggiornamento migliore è probabilmente quello di passare ad usare i pacchetti forniti da Chef Inc.

    Per informazioni su ciò che è alla base della rimozione vedere la richiesta di rimozione.

  • Python 2 ha già passato la sua fine vita e non riceverà aggiornamenti di sicurezza. Non è supportato per l'esecuzione di applicazioni e i pacchetti che si basano su di esso sono stati passati a Python 3 o rimossi. Tuttavia, Debian bullseye include ancora una versione di Python 2.7, oltre ad un limitato numero di strumenti di compilazione per Python 2, come python-setuptools. Questi sono presenti solo perché sono richiesti da alcuni processi di compilazione di applicazioni che non sono ancora state convertite a Python 3.

  • Il pacchetto aufs-dkms non fa parte di bullseye. La maggior parte degli utenti di aufs-dkms dovrebbe poter passare a overlayfs, che fornisce funzionalità simili con il supporto del kernel. Tuttavia è possibile avere un'installazione Debian su un file system che non è compatibile con overlayfs, ad esempio. xfs senza d_type. Viene suggerito agli utenti di aufs-dkms di migrare via da aufs-dkms prima dall'aggiornamento a bullseye.

  • Il gestore delle connessioni di rete wicd non sarà più disponibile dopo l'aggiornamento perciò, per evitare il pericolo di perdere la connettività, viene raccomandato agli utenti di passare prima dell'aggiornamento ad un'alternativa come network-manager o connman.

5.3.2. Componenti deprecati per bullseye

Con il prossimo rilascio di Debian 12 (nome in codice bookworm) alcune funzionalità diventeranno deprecate. Gli utenti dovranno migrare ad altre alternative per evitare problemi nell'aggiornamento a Debian 12.

Ciò include le seguenti funzionalità:

  • Le motivazioni storiche per la disposizione del file system con le directory /bin, /sbin e /lib separate dalle loro equivalenti in /usr non sono al giorno d'oggi più valide; vedere la sintesi di Freedesktop.org. Debian bullseye sarà l'ultimo rilascio Debian a gestire la disposizione con usr non unificate; per i sistemi con una disposizione vecchia che sono stati aggiornati senza una reinstallazione, esiste il pacchetto usrmerge per fare la conversione, se la si desidera.

  • bullseye è l'ultimo rilascio Debian a fornire apt-key. Le chiavi dovrebbero essere invece gestite mettendo i file in /etc/apt/trusted.gpg.d, in formato binario come creato da gpg --export con un'estensione .gpg, o con armor ASCII con un'estensione .asc.

    È pianificato un rimpiazzo di apt-key list per ispezionare manualmente il portachiavi, ma i lavori non sono ancora iniziati.

  • I backend per database slapd slapd-bdb(5), slapd-hdb(5) e slapd-shell(5) vengono ritirati e non saranno inclusi in Debian 12. I database LDAP che usano i backend bdb o hdb dovrebbero migrare al backend slapd-mdb(5).

    Inoltre i backend slapd-perl(5) and slapd-sql(5) sono deprecati e potrebbero essere rimossi in un rilascio futuro.

    Il Progetto OpenLDAP non supporta backend ritirati o deprecati. Il supporto per questi backend in Debian 11 non è garantito ma è al meglio dello sforzo possibile.

5.4. Bug importanti conosciuti

Sebbene Debian venga rilasciata quando è pronta, ciò sfortunatamente non significa che non vi siano bug noti. Come parte del processo di rilascio tutti i bug di gravità seria o superiore sono tracciati attivamente dal Team di Rilascio, perciò una panoramica di tali bug che sono stati etichettati come da ignorare nell'ultima parte del rilascio di bullseye può essere trovata nel Sistema di tracciamento dei bug di (BTS). Al momento del rilascio, bullseye era affetta dai seguenti bug degni di nota:

Numero di bugPacchetto (sorgente o binario)Descrizione
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore non aggiorna /etc/ssl/certs/java/cacerts
990026croncron: charset ridotto in MAILTO causa malfunzionamento
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 ha dipendenze mancanti
990318python-pkg-resourcespython-pkg-resources: aggiungere "Breaks" verso i pacchetti Python senza versione
991449fail2banla soluzione per CVE-2021-32749 rende non funzionanti i sistemi con posta da bsd-mailx
990708mariadb-server-10.5,galera-4mariadb-server-10.5: problemi di aggiornamento a causa del passaggio galera-3 -> galera-4
980429src:gcc-10g++-10: segmentation fault spurio in c++17 mode in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10missing i386-cpuinfo.h
984574gcc-10-basegcc-10-base: aggiungere "Breaks: gcc-8-base (<< 8.4)"
984931git-elgit-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: fallisce l'installazione con xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 ha dipendenze vuote
948739gpartedgparted non dovrebbe mascherare unità .mount
984714gpartedgparted dovrebbe suggerire exfatprogs e fare il backport del commit che respinge exfat-utils
968368ifenslaveifenslave: opzione bond-master fallisce l'aggiunta di interfaccia a bond
990428ifenslaveifenslave: il bonding non funziona in bullseye (usando bond-slaves config)
991113libpam-chrootlibpam-chroot installa pam_chroot.so nella directory sbagliata
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - fallisce la creazione di texture temporanea per tenere copia "untiled"
982459mdadmmdadm --esame in chroot senza /proc,/dev,/sys montati corrompe il file system dell'host
981054openipmiopenipmi: dipendenza da kmod mancante
948318openssh-serveropenssh-server: non riesce a riavviare sshd restart dopo l'aggiornamento alla versione 8.1p1-2
991151procpsprocps: abbandonata l'opzione reload dallo script init, rendendo malfunzionante corekeeper
989103pulseaudiopulseaudio ha una regressione sulla configurazione control=Wave
984580libpython3.9-devlibpython3.9-dev: dipendenza da zlib1g-dev mancante
990417src:qemuopenjdk-11-jre-headless: l'esecuzione di java in qemu s390 causa un SIGILL a C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatchernon funziona con pulse-audio come output quando avviato da speechd-up dal sistema init
932501src:squid-deb-proxysquid-deb-proxy: il demone non si avvia perché il file conf non è permesso da apparmor
991588tpm2-abrmdtpm2-abrmd non dovrebbe usare Requires=systemd-udev-settle.service nella sua unità
991939libjs-bootstrap4libjs-bootstrap4: collegamenti simbolici interrotti: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean elimina file non correlati al di fuori dei sorgenti del pacchetto
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg mostra (XEN) AMD-Vi: IO_PAGE_FAULT su dispositivo sata pci
991788xfce4-settingsxfce4-settings: schermo nero dopo sospensione quando il coperchio del laptop viene chiuso e riaperto


[6] Questi motori vengono forniti in svariati diversi pacchetti sorgenti e le preoccupazioni valgono per tutti i pacchetti che li forniscono. La preoccupazione si estende anche ai motori di rendering web qui non menzionati esplicitamente, con l'eccezione di webkit2gtk e il nuovo wpewebkit.