Capítulo 5. Problemas que debe tener en cuenta para bullseye

Tabla de contenidos

5.1. Actualizar elementos específicos para bullseye
5.1.1. El sistema de ficheros XFS no da soporte a la opción barrier/nobarrier
5.1.2. Cambio de la organización del archivo de seguridad
5.1.3. Los hash de contraseña utilizan yescrypt por omisión
5.1.4. El soporte de NSS NIS y NIS+ requiere nuevos paquetes
5.1.5. Gestión de fragmentos de configuración en unbound
5.1.6. Parámetros obsoletos de rsync
5.1.7. Gestión de complementos de Vim
5.1.8. OpenStack y cgroups v1
5.1.9. Archivos de política de OpenStack API
5.1.10. Indisponibilidad de sendmail durante la actualización
5.1.11. FUSE 3
5.1.12. GnuPG options file
5.1.13. Linux enables user namespaces by default
5.1.14. Linux disables unprivileged calls to bpf() by default
5.1.15. redmine missing in bullseye
5.1.16. Exim 4.94
5.1.17. SCSI device probing is non-deterministic
5.1.18. rdiff-backup require lockstep upgrade of server and client
5.1.19. Intel CPU microcode issues
5.1.20. Upgrades involving libgc1c2 need two runs
5.1.21. fail2ban can't send e-mail using mail from bsd-mailx
5.1.22. No new SSH connections possible during upgrade
5.1.23. Open vSwitch upgrade requires interfaces(5) change
5.1.24. Cosas a hacer después de la actualización y antes de reiniciar
5.2. Elementos no limitados durante el proceso de actualización
5.2.1. Limitaciones en el soporte de seguridad
5.2.2. Acceso de la configuración de GNOME sin ratón
5.2.3. La opción de arranque rescue no se puede utilizar sin la contraseña de root
5.2.4. 32-bit Xen PV guests are not supported
5.3. Obsolescencia y deprecación
5.3.1. Paquetes obsoletos notables
5.3.2. Componentes obsoletos de bullseye
5.4. Known severe bugs

Algunas veces los cambios tienen efectos colaterales que no podemos evitar, o aparecen fallos en otro lugar. A continuación se documentan los problemas que conocemos. Puede leer también la fe de erratas, la documentación de los paquetes relevantes, los informes de fallos y otra información mencionada en Sección 6.1, “Para leer más”.

5.1. Actualizar elementos específicos para bullseye

Esta sección cubre los elementos relacionados con la actualización de buster a bullseye

5.1.1. El sistema de ficheros XFS no da soporte a la opción barrier/nobarrier

Se ha eliminado el soporte para las opciones de montaje barrier y nobarrier del sistema de ficheros XFS. Es recomendable revisar si se utilizan estas opciones en la configuración de /etc/fstab y eliminarlas si es el caso. Las particiones que utilicen estos parámetros no podrán montarse.

5.1.2. Cambio de la organización del archivo de seguridad

For bullseye, the security suite is now named bullseye-security instead of codename/updates and users should adapt their APT source-list files accordingly when upgrading.

La línea de seguridad en su configuración de APT puede ser similar a la siguiente:

deb https://deb.debian.org/debian-security bullseye-security main contrib

If your APT configuration also involves pinning or APT::Default-Release, it is likely to require adjustments as the codename of the security archive no longer matches that of the regular archive. An example of a working APT::Default-Release line for bullseye looks like:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

5.1.3. Los hash de contraseña utilizan yescrypt por omisión

El hash por omisión de contraseñas para cuentas del sistema locales se ha modificado de SHA-512 a yescrypt (consulte crypt(5)). Se espera que este cambio mejore la seguridad contra ataques de fuerza bruta de diccionario, tanto desde el punto de vista de la complejidad del espacio de claves y del tiempo necesario para llevar a cabo este tipo de ataques.

Para aprovecharse de esta mejora de seguridad, ha de modificar las contraseñas locales. Por ejemplo, puede utilizar la orden passwd.

Las contraseñas antiguas seguirán utilizando el hash de contraseña que se utilizó cuando éstas se crearon.

No hay soporte de «yescrypt» en Debian 10 (buster). Como consecuencia de esto, no pueden copiarse los archivos de contraseñas shadow en (/etc/shadow) de un sistema bullseye a un sistema buster. Si se copian estos archivos, las contraseñas que se han modificado en el sistema bullseye no funcionarán en el sistema buster system. De forma similar, los hashes de contraseñas no pueden cortar y copiarse de un sistema bullseye a un sistema buster.

Si necesita compatibilidad para los hashes de contraseña entre bullseye y buster, modifique /etc/pam.d/common-password. Debe buscar la línea que sea parecida a:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

y reemplazar yescrypt con sha512.

5.1.4. El soporte de NSS NIS y NIS+ requiere nuevos paquetes

El soporte de NSS NIS y NIS+ se ha movido a paquetes separados nombrados libnss-nis y libnss-nisplus. Desgraciadamente, glibc no puede depender de esos paquetes, por lo que son sólo recomendados.

Por tanto es recomendable en aquellos sistemas que utilicen NIS o NIS+ que esos paquetes están correctamente instalados antes de la actualización.

5.1.5. Gestión de fragmentos de configuración en unbound

El gestor de DNS unbound ha modificado la forma en la que gestiona archivos de fragmentos de configuración. Si depende de la directiva include: para unir varios fragmentos en un archivo de configuración válido debería leer el archivo NEWS.

5.1.6. Parámetros obsoletos de rsync

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.7. Gestión de complementos de Vim

Los complementos para vim que anteriormente se proporcionaban en vim-scripts se gestionan ahora de forma nativa a través de la funcionalidad nativa de Vim de paquetes en lugar de a través de vim-addon-manager. Los usuarios de Vim deberían prepararse antes de la actualización siguiendo las instrucciones descritas en el archivo NEWS.

5.1.8. OpenStack y cgroups v1

OpenStack Victoria (publicado in bullseye) requiere cgroup v1 para QoS de los dispositivos de bloque. Dado que bullseye también cambia y utiliza cgroupv2 por omisión (consulte Sección 2.2.4, “Grupos de control v2”), el arbol sysfs en /sys/fs/cgroup no incluye funcionalidades de cgroup v1 como /sys/fs/cgroup/blkio. Como consecuencia de ésto la ejecución de cgcreate -g blkio:foo fallará. En aquellos nodos OpenStack que estén ejecutando nova-compute o cinder-volume es muy recomendable añadir los parámetros systemd.unified_cgroup_hierarchy=false y systemd.legacy_systemd_cgroup_controller=false a la línea de órdenes del núcleo. Esto hará que se deje de utilizar el valor por omisión y se restaure la jerarquía antigua de cgroup.

5.1.9. Archivos de política de OpenStack API

Siguiendo las recomendaciones de los desarrolladores originales, la versión Victoria de OpenStack que se publica en bullseye cambia la API de OpenStack para utilizar el nuevo formato YAML. Como consecuencia de ésto, la mayor parte de los servicios de OpenStack (como Nova, Glance, y Keystone) parecen rotos con todos los archivos de políticas de API escritos de forma explícita en archivos policy.json. Los paquetes ahora incluyen un directorio /etc/PROJECT/policy.d que contiene un archivo 00_default_policy.yaml. Este archivo tiene todas las políticas comentadas por omisión.

Para impedir que el antiguo fichero policy.json esté activo, los paquetes de OpenStack en Debian renombran este archivo a disabled.policy.json.old. En aquellos casos en los que no se podía hacer nada mejor antes de la publicación el archivo policy.json simplemente se borra. Antes de actualizar se recomienda encarecidamente hacer una copia de seguridad de los archivos policy.json en su despliegue.

Puede encontrar más detalles en la documentación original del producto.

5.1.10. Indisponibilidad de sendmail durante la actualización

A diferencia de las actualizaciones normales de sendmail, el servicio de sendmail se parará durante la actualización de buster a bullseye the sendmail. Esto causará que el servicio no esté disponible durante más tiempo del habitual. Puede leer algunos consejos genéricos para reducir los tiempos de indisponibilidad en Sección 4.1.3, “Prepararse para la indisponibilidad de servicios” .

5.1.11. FUSE 3

Algunos paquetes se han movido a FUSE 3, esto incluye algunos paquetes como gvfs-fuse, kio-fuse, y sshfs. Esto provocará que durante la actualización se instale fuse3 y se elimine fuse .

En algunas circunstancias excepciones pueden retenerse los paquetes que dependen de fuse3 durante la actualización. Esto puede suceder, por ejemplo, si realiza la actualización ejecutando sólamente apt-get dist-upgrade en lugar de los pasos recomendados de actualización en Capítulo 4, Actualizaciones desde Debian 10 (buster). Se puede resolver la situación si ejecuta de nuevo los pasos que se indican en Sección 4.4.5, “Actualizar el sistema” con la versión de bullseye de apt o si los actualiza manualmente.

5.1.12. GnuPG options file

Starting with version 2.2.27-1, per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, and ~/.gnupg/options is no longer in use. Please rename the file if necessary, or move its contents to the new location.

5.1.13. Linux enables user namespaces by default

From Linux 5.10, all users are allowed to create user namespaces by default. This will allow programs such as web browsers and container managers to create more restricted sandboxes for untrusted or less-trusted code, without the need to run as root or to use a setuid-root helper.

The previous Debian default was to restrict this feature to processes running as root, because it exposed more security issues in the kernel. However, as the implementation of this feature has matured, we are now confident that the risk of enabling it is outweighed by the security benefits it provides.

If you prefer to keep this feature restricted, set the sysctl:

user.max_user_namespaces = 0
      

Note that various desktop and container features will not work with this restriction in place, including web browsers, WebKitGTK, Flatpak and GNOME thumbnailing.

The Debian-specific sysctl kernel.unprivileged_userns_clone=0 has a similar effect, but is deprecated.

5.1.14. Linux disables unprivileged calls to bpf() by default

From Linux 5.10, Debian disables unprivileged calls to bpf() by default. However, an admin can still change this setting later on, if needed, by writing 0 or 1 to the kernel.unprivileged_bpf_disabled sysctl.

If you prefer to keep unprivileged calls to bpf() enabled, set the sysctl:

kernel.unprivileged_bpf_disabled = 0
      

For background on the change as default in Debian see bug 990411 for the change request.

5.1.15. redmine missing in bullseye

The package redmine is not provided in bullseye, as it was too late migrating over from the old version of rails which is at the end of upstream support (receiving fixes for severe security bugs only) to the version which is in bullseye. The Ruby Extras Maintainers are following upstream closely and will be releasing a version via backports as soon as it is released and they have working packages. If you can't wait for this to happen before upgrading, you can use a VM or container running buster to isolate this specific application.

5.1.16. Exim 4.94

Please consider the version of Exim in bullseye a major Exim upgrade. It introduces the concept of tainted data read from untrusted sources, like e.g. message sender or recipient. This tainted data (e.g. $local_part or $domain) cannot be used among other things as a file or directory name or command name.

This will break configurations which are not updated accordingly. Old Debian Exim configuration files also will not work unmodified; the new configuration needs to be installed with local modifications merged in.

Typical nonworking examples include:

  • Delivery to /var/mail/$local_part. Use $local_part_data in combination with check_local_user.

  • Using

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    instead of

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    for a virtual domain alias file.

The basic strategy for dealing with this change is to use the result of a lookup in further processing instead of the original (remote provided) value.

To ease upgrading there is a new main configuration option to temporarily downgrade taint errors to warnings, letting the old configuration work with the newer Exim. To make use of this feature add

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

to the Exim configuration (e.g. to /etc/exim4/exim4.conf.localmacros) before upgrading and check the logfile for taint warnings. This is a temporary workaround which is already marked for removal on introduction.

5.1.17. SCSI device probing is non-deterministic

Due to changes in the Linux kernel, the probing of SCSI devices is no longer deterministic. This could be an issue for installations that rely on the disk probing order. Two possible alternatives using links in /dev/disk/by-path or a udev rule are suggested in this mailing list post.

5.1.18. rdiff-backup require lockstep upgrade of server and client

The network protocol of versions 1 and 2 of rdiff-backup are incompatible. This means that you must be running the same version (either 1 or 2) of rdiff-backup locally and remotely. Since buster ships version 1.2.8 and bullseye ships version 2.0.5, upgrading only the local system or only the remote system from buster to bullseye will break rdiff-backup runs between the two.

Version 2.0.5 of rdiff-backup is available in the buster-backports archive, see backports. This enables users to first upgrade only the rdiff-backup package on their buster systems, and then independently upgrade systems to bullseye at their convenience.

5.1.19. Intel CPU microcode issues

The intel-microcode package currently in bullseye and buster-security (see DSA-4934-1) is known to contain two significant bugs. For some CoffeeLake CPUs this update may break network interfaces that use firmware-iwlwifi, and for some Skylake R0/D0 CPUs on systems using a very outdated firmware/BIOS, the system may hang on boot.

If you held back the update from DSA-4934-1 due to either of these issues, or do not have the security archive enabled, be aware that upgrading to the intel-microcode package in bullseye may cause your system to hang on boot or break iwlwifi. In that case, you can recover by disabling microcode loading on boot; see the instructions in the DSA, which are also in the intel-microcode README.Debian.

5.1.20. Upgrades involving libgc1c2 need two runs

Packages that depend on libgc1c2 in buster (e.g. guile-2.2-libs) may be held back during the first full upgrade run to bullseye. Doing a second upgrade normally solves the issue. The background of the issue can be found in bug #988963.

5.1.21. fail2ban can't send e-mail using mail from bsd-mailx

The fail2ban package can be configured to send out e-mail notifications. It does that using mail, which is provided by multiple packages in Debian. A security update (needed on systems that use mail from mailutils) just before the release of bullseye broke this functionality for systems that have mail provided by bsd-mailx. Users of fail2ban in combination with bsd-mailx who wish fail2ban to send out e-mail should either switch to a different provider for mail or manually unapply the upstream commit (which inserted the string "-E 'set escape'" in multiple places under /etc/fail2ban/action.d/).

5.1.22. No new SSH connections possible during upgrade

Although existing Secure Shell (SSH) connections should continue to work through the upgrade as usual, due to unfortunate circumstances the period when new SSH connections cannot be established is longer than usual. If the upgrade is being carried out over an SSH connection which might be interrupted, it's recommended to upgrade openssh-server before upgrading the full system.

5.1.23. Open vSwitch upgrade requires interfaces(5) change

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

5.1.24. Cosas a hacer después de la actualización y antes de reiniciar

Cuando haya terminado apt full-upgrade la actualización formal se habrá completado. No hay que hacer ninguna acción especial antes del siguiente reinicio del sistema tras la actualización a bullseye.

5.2. Elementos no limitados durante el proceso de actualización

5.2.1. Limitaciones en el soporte de seguridad

Hay algunos paquetes para los que Debian no puede comprometerse a proporcionar versiones actualizadas resolviendo problemas de seguridad. La información de estos paquetes se cubre en las siguientes subsecciones.

[Nota]Nota

El paquete debian-security-support ayuda a supervisar el estado de soporte de seguridad de los paquetes instalados en el sistema.

5.2.1.1. Estado de seguridad en los navegadores web y sus motores de render

Debian 11 includes several browser engines which are affected by a steady stream of security vulnerabilities. The high rate of vulnerabilities and partial lack of upstream support in the form of long term branches make it very difficult to support these browsers and engines with backported security fixes. Additionally, library interdependencies make it extremely difficult to update to newer upstream releases. Therefore, browsers built upon e.g. the webkit and khtml engines[6] are included in bullseye, but not covered by security support. These browsers should not be used against untrusted websites. The webkit2gtk and wpewebkit engines are covered by security support.

Para la navegación web general se recomienda utilizar Firefox o Chromium. Se mantendrá actualizadas recompilando las versiones ESR más recientes para estable. La misma estrategia se aplicará a Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye incluye una versión temprana de OpenJDK 17 (la siguiente versión OpenJDK LTS después de OpenJDK 11), para evitar el proceso tedioso de arranque entre versiones. El plan es que OpenJDK 17 reciba una actualización en bullseye a la versión que se publique en octubre de 2021. A esto le seguirá la publicación de actualizaciones de seguridad según lo permitan los recursos disponibles. Los usuarios no deberían tener la expectativa de ver actualizaciones de seguridad para cada actualización cuatrimestral de parches de seguridad.

5.2.1.3. Go-based packages

The Debian infrastructure currently has problems with rebuilding packages of types that systematically use static linking. Before buster this wasn't a problem in practice, but with the growth of the Go ecosystem it means that Go-based packages will be covered by limited security support until the infrastructure is improved to deal with them maintainably.

If updates are warranted for Go development libraries, they can only come via regular point releases, which may be slow in arriving.

5.2.2. Acceso de la configuración de GNOME sin ratón

No hay una forma directa de cambiar la configuración en la aplicación de Configuración de GNOME ofrecida por gnome-control-center sin un dispositivo apuntador. Como alternativa, puede navegar de la barra lateral al contenido principal pulsando dos veces Flecha derecha. Para volver a la barra lateral, puede empezar a escribir con Ctrl+F, escriba algo y luego pulse Esc para cancelar la búsqueda. Ahora puede utilizar las teclas Flecha arriba y Flecha abajo para navegar a la barra lateral. No es posible seleccionar resultados con el teclado.

5.2.3. La opción de arranque rescue no se puede utilizar sin la contraseña de root

El arranque con la opción rescue requiere la contraseña de root desde la implementación de sulogin que se utiliza desde since buster. El modo rescate no puede utilizarse si no se ha configurado una contraseña. Sin embargo, aún es posible arrancar con el párametro del núcleo init=/sbin/sulogin --force

Puede configurar systemd para hacer el equivalente a esto cuando se arranca en modo de rescate (también conocido como modo de un solo usuario, consulte: systemd(1)) ejecutando sudo systemctl edit rescue.service y crear un archivo diciendo simplemente:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

También puede ser útil hacer ésto (o en su lugar) en la unidad de servicio emergency.service. Esta unidad se ejecuta automáticamente cuando se producen ciertos errores (consulte systemd.special(7)), o cuando se añade la opción emergency la línea de órdenes del núcleo (p.ej. si el sistema no puede recuperarse utilizando el modo de rescate).

Para conocer más del trasfondo de este cambio y leer una discusión sobre las implicaciones de seguridad puede consultar #802211.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Obsolescencia y deprecación

5.3.1. Paquetes obsoletos notables

A continuación se muestra una lista de los paquetes conocidos y notables que ahora están obsoletos (consulte Sección 4.8, “Paquetes obsoletos” para obtener una descripción).

La lista de paquetes obsoletos incluye:

  • Se ha eliminado el paquete lilo de bullseye. El sucesor como cargador de arranque de lilo grub2.

  • El gestor de listas Mailman versión 3 es la única versión disponible de Mailman de esta publicación. Se ha dividido Mailman en distintos componentes: el componente core está disponible en el paquete mailman3 y el conjunto completo puede obtenerse a través del metapaquete mailman3-full.

    La versión antigua de Mailman 2.1 ya no está disponible (este solía ser el paquete mailman). Esta versión depende de Python 2 que ya no está disponible en Debian.

    Puede consultar instrucciones para hacer la actualización en la documentación de migración del proyecto.

  • El núcleo Linux no provee soporte para isdn4linux (i4l). Como consecuencia de esto se han eliminado del archivo todos los paquetes relacionados que proporcionan herramientas para el espacio de usuario: isdnutils, isdnactivecards, drdsl y ibod.

  • Ya no se proveen las librerias antiguas libappindicator. Como consecuencia de ésto ya no están disponibles los paquetes asociados libappindicator1, libappindicator3-1 y libappindicator-dev. Es de esperar que esto cause problemas de dependencias para programas de terceros que siguen dependiendo de libappindicator para mostrar notificaciones en la barra del sistema o que necesitan soporte de indicaciones.

    Debian utiliza libayatana-appindicator para reemplazar a libappindicator. Puede consultar el transfondo técnico en este anuncio.

  • Debian ya no provee chef. Si utiliza Chef para la gestión de configuraciones, posiblemente el mejor camino de actualización es utilizar los paquetes disponibles en Chef Inc.

    Puede consultar las razones de su eliminación en la solicitud de eliminación.

  • Python 2 está fuera de su fin de vida y ya no recibe actualizaciones de seguridad. No hay soporte en aplicaciones que se ejecuten en este intérprete y los paquetes que dependían de éste se han migrado a Python 3 o se han eliminado. Sin embargo, Debian bullseye aún incluye la versión de Python 2.7, así como un pequeño conjunto de herramientas de construcción de Python 2 como python-setuptools. Estos paquetes están disponibles solamente porque se requiere para los procesos de construcción de algunos paquetes que aún no han migrado a Python 3.

  • The aufs-dkms package is not part of bullseye. Most aufs-dkms users should be able to switch to overlayfs, which provides similar functionality with kernel support. However, it's possible to have a Debian installation on a filesystem that is not compatible with overlayfs, e.g. xfs without d_type. Users of aufs-dkms are advised to migrate away from aufs-dkms before upgrading to bullseye.

  • The network connection manager wicd will no longer be available after the upgrade, so to avoid the danger of losing connectivity users are recommended to switch before the upgrade to an alternative such as network-manager or connman.

5.3.2. Componentes obsoletos de bullseye

Con la publicación de Debian 12 (nombre en clave bookworm) algunas funcionalidades estarán obsoletas. Los usuarios deben migrar a otras alternativas para evitar problemas al actualizar a Debian 12.

Esto incluye las siguientes funcionalidades:

  • Ya no aplican las justificaciones históricas que llevaban a la necesidad de tener una organización del sistema de ficheros con directorios /bin, /sbin, y /lib separados de sus directorios equivalentes bajo /usr. Consulte el resumen de Freedesktop.org. Debian bullseye será la última publicación de Debian que proporcione soporte para una organización del sistema de ficheros en la que usr no está unido a los demás. Aquellos sistemas que tienen una organización antigua que se han actualizado sin reinstalar pueden utilizar el paquete usrmerge para hacer la conversión si fuera necesario.

  • bullseye es la última publicación de Debian que incluye la orden apt-key. Las claves deberían gestionarse dejando los ficheros en el directorio /etc/apt/trusted.gpg.d, utilizando el formato binario tal y como se crea con gpg --export con la extensión .gpg, o en formato ASCII protegido con la extensión .asc.

    Se ha planeado un reemplazado para la orden apt-key list que permita investigar el anillo de claves manualmente, pero aún no se ha empezado a trabajar en éste.

  • The slapd database backends slapd-bdb(5), slapd-hdb(5), and slapd-shell(5) are being retired and will not be included in Debian 12. LDAP databases using the bdb or hdb backends should be migrated to the slapd-mdb(5) backend.

    Additionally, the slapd-perl(5) and slapd-sql(5) backends are deprecated and may be removed in a future release.

    The OpenLDAP Project does not support retired or deprecated backends. Support for these backends in Debian 11 is on a best effort basis.

5.4. Known severe bugs

Although Debian releases when it's ready, that unfortunately doesn't mean there are no known bugs. As part of the release process all the bugs of severity serious or higher are actively tracked by the Release Team, so an overview of those bugs that were tagged to be ignored in the last part of releasing bullseye can be found in the Debian Bug Tracking System. The following bugs were affecting bullseye at the time of the release and worth mentioning in this document:

Bug numberPackage (source or binary)Description
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts
990026croncron: Reduced charset in MAILTO causes breakage
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 lacks dependencies
990318python-pkg-resourcespython-pkg-resources: please add Breaks against the unversioned python packages
991449fail2banfix for CVE-2021-32749 breaks systems with mail from bsd-mailx
982794firefox-esrfirefox-esr/armhf: fails on non-NEON systems
990708mariadb-server-10.5,galera-4mariadb-server-10.5: upgrade problems due to galera-3 -> galera-4 switch
980429src:gcc-10g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10missing i386-cpuinfo.h
984574gcc-10-basegcc-10-base: please add Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: fails to install with xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 has empty Depends
948739gpartedgparted should not mask .mount units
984714gpartedgparted should suggest exfatprogs and backport the commit that rejects exfat-utils
968368ifenslaveifenslave: Option bond-master fails to add interface to bond
990428ifenslaveifenslave: Bonding not working on bullseye (using bond-slaves config)
991113libpam-chrootlibpam-chroot installs pam_chroot.so into the wrong directory
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy
982459mdadmmdadm --examine in chroot without /proc,/dev,/sys mounted corrupts host's filesystem
981054openipmiopenipmi: Missing dependency on kmod
948318openssh-serveropenssh-server: Unable to restart sshd restart after upgrade to version 8.1p1-2
991151procpsprocps: dropped the reload option from the init script, breaking corekeeper
989103pulseaudiopulseaudio regressed on control=Wave configuration
984580libpython3.9-devlibpython3.9-dev: missing dependency on zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: running java in qemu s390 gives a SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherbreaks with pulse-audio as output when spawned by speechd-up from init system
932501src:squid-deb-proxysquid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor
991588tpm2-abrmdtpm2-abrmd should not use Requires=systemd-udev-settle.service in its unit
991939libjs-bootstrap4libjs-bootstrap4: broken symlinks: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean deletes unrelated files outside of package source
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: black screen after suspend when laptop lid is closed and re-opened


[6] These engines are shipped in a number of different source packages and the concern applies to all packages shipping them. The concern also extends to web rendering engines not explicitly mentioned here, with the exception of webkit2gtk and the new wpewebkit.