Capítulo 5. Problemas a serem considerados para a bullseye

Índice

5.1. Itens específicos da atualização para bullseye
5.1.1. Novo driver padrão VA-API para GPUs Intel
5.1.2. O sistema de arquivos XFS não suporta mais a opção barrier/nobarrier
5.1.3. Disposição do repositório de seguraça alterada
5.1.4. Hash de senha usa yescrypt por padrão
5.1.5. Suporte a NSS NIS e NIS+ exige novos pacotes
5.1.6. Gerenciamento de fragmentos de arquivos de configuração no unbound
5.1.7. Obsolescência de parâmetros do rsync
5.1.8. Gerenciamento de addons do Vim
5.1.9. OpenStack e cgroups v1
5.1.10. Arquivos de política da API do OpenStack
5.1.11. Indisponibilidade do sendmail durante a atualização
5.1.12. FUSE 3
5.1.13. Arquivo de opções do GnuPG
5.1.14. Linux habilita espaços de nomes por padrão
5.1.15. Linux desabilita chamadas não privilegiadas a bpf() por padrão
5.1.16. Redmine faltando na bullseye
5.1.17. Exim 4.94
5.1.18. Sondagem de dispositivos SCSI é não determinística
5.1.19. rdiff-backup requer atualização sincronizada do servidor e cliente
5.1.20. Problemas com microcódigo para CPU Intel
5.1.21. Atualizações envolvendo libgc1c2 precisam de duas execuções
5.1.22. fail2ban não consegue enviar e-mail usando mail de bsd-mailx
5.1.23. Novas conexões SSH não são possíveis durante a atualização
5.1.24. Coisas para fazer depois da atualização e antes de reinicializar
5.2. Itens não limitados ao processo de atualização
5.2.1. Limitações no suporte de segurança
5.2.2. Acessando o aplicativo Configurações do GNOME sem mouse
5.2.3. A opção de inicialização rescue não é utilizável sem uma senha de root
5.3. Obsolescência e depreciação
5.3.1. Pacotes obsoletos dignos de nota
5.3.2. Componentes obsoletos para a bullseye
5.4. Bugs severos conhecidos

Algumas vezes, mudanças introduzidas em uma nova versão têm efeitos colaterais que não podem ser evitados ou que acabam expondo bugs em outros locais. Esta seção documenta problemas conhecidos. Por favor, leia também a errata, a documentação dos pacotes relevantes, relatórios de bugs e outras informações mencionadas em Seção 6.1, “Leitura complementar”.

5.1. Itens específicos da atualização para bullseye

Esta seção aborda itens relacionados à atualização da buster para a bullseye.

5.1.1. Novo driver padrão VA-API para GPUs Intel

Para GPUs Intel disponíveis com Broadwell e mais recentes, agora a implementação de Video Acceleration API (VA-API) é definida por padrão como intel-media-va-driver para decodificação de vídeo com aceleração por hardware. Sistemas que tenham va-driver-all instalado serão automaticamente atualizados para o novo driver.

O pacote de driver legado i965-va-driver ainda está disponível e oferece suporte até a microarquitetura Cannon Lake. Para escolher o driver legado em vez do novo driver padrão, defina a variável de ambiente LIBVA_DRIVER_NAME para i965, por exemplo, definindo a variável em /etc/environment. Para mais informação, por favor, veja a página Wiki em aceleração de vídeo por hardware.

5.1.2. O sistema de arquivos XFS não suporta mais a opção barrier/nobarrier

O suporte às opções de montagem barrier e nobarrier foi removido do sistema de arquivos XFS. É recomendado checar /etc/fstab pela presença de uma dessas palavras e removê-la. Partições usando essas opções vão falhar ao montar.

5.1.3. Disposição do repositório de seguraça alterada

Para a bullseye, a suíte de segurança é agora chamada bullseye-security em vez de codinome/updates, e usuários devem adaptar seus arquivos source-list do APT adequadamente ao atualizar.

A linha de segurança em sua configuração do APT pode parecer com:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Se a sua configuração do APT também envolve pinning ou APT::Default-Release, provavelmente serão necessários ajustes, uma vez que o codinome do repositório de segurança não combina mais com o codinome do repositório regular. Um exemplo de uma linha APT::Default-Release funcional para a bullseye se parece com:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

o que se beneficia da funcionalidade não documentada do APT de que ele suporta expressões regulares (entre /).

5.1.4. Hash de senha usa yescrypt por padrão

O hash de senha padrão para contas de sistema locais foi alterado de SHA-512 para yescrypt (veja crypt(5)). É esperado que isso ofereça maior segurança com relação a ataques de adivinhação de senha baseado em dicionário, em termos da complexidade tanto de espaço quanto de tempo do ataque.

Para tirar proveito desta melhoria em segurança, altere senhas locais; por exemplo, use o comando passwd.

Senhas antigas continuarão funcionando usando qualquer que seja o hash de senha usado para criá-las.

Yescrypt não é suportado por Debian 10 (buster). Consequentemente, arquivos de senha shadow (/etc/shadow) não podem ser copiados de um sistema bullseye de volta para um sistema buster. Se esses arquivos forem copiados, senhas que foram alteradas no sistema bullseye não funcionarão no sistema buster. Similarmente, hashes de senha não podem ser copiados&colados de um sistema bullseye para buster.

Se for necessário compatibilidade para hashes de senha entre bullseye and buster, modifique /etc/pam.d/common-password. Encontre a linha que se parece com:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

e substitua yescrypt por sha512.

5.1.5. Suporte a NSS NIS e NIS+ exige novos pacotes

O suporte a NSS NIS e NIS+ foi movido para pacotes separados, chamados libnss-nis e libnss-nisplus. Infelizmente, glibc não pode depender desses pacotes e, por esse motivo, eles são somente recomendados agora.

Em sistemas usando NIS ou NIS+, portanto, é recomendado conferir se esses pacotes estão instalados corretamente depois da atualização.

5.1.6. Gerenciamento de fragmentos de arquivos de configuração no unbound

O resolvedor DNS unbound mudou a forma de gerenciar fragmentos de arquivos de configuração. Se você está usando uma diretiva include: para unir vários fragmentos em uma única configuração válida, você deveria ler o arquivo NEWS.

5.1.7. Obsolescência de parâmetros do rsync

Os parâmetros --copy-devices e --noatime do rsync foram renomeados para --write-devices e --open-noatime. As formas antigas não têm mais suporte; se você as está usando, você deve ler o arquivo NEWS. Processos de transferência entre sistemas executando versões diferentes do Debian podem exigir que a parte com buster seja atualizada para uma versão do rsync do repositório backports.

5.1.8. Gerenciamento de addons do Vim

Os addons para o vim, historicamente fornecidos por vim-scripts, agora são gerenciados pela funcionalidade package nativa do Vim, em vez de pelo vim-addon-manager. Usuários do Vim devem agir antes da atualização, seguindo as instruções do arquivo NEWS.

5.1.9. OpenStack e cgroups v1

O OpenStack Victoria (lançado na bullseye) exige cgroup v1 para QoS de dispositivos de bloco. Uma vez que a bullseye também mudou para o uso de cgroupv2 por padrão (veja Seção 2.2.4, “Control groups v2”), a árvore sysfs em /sys/fs/cgroup não incluirá funcionalidades cgroup v1 tais como /sys/fs/cgroup/blkio e, como resultado, cgcreate -g blkio:foo falhará. Para nós OpenStack executando nova-compute ou cinder-volume, é fortemente aconselhado adicionar os parâmetros systemd.unified_cgroup_hierarchy=false e systemd.legacy_systemd_cgroup_controller=false à linha de comando do kernel, para sobrepor o padrão e restaurar a antiga hierarquia cgroup.

5.1.10. Arquivos de política da API do OpenStack

Seguindo as recomendações do autor original, o OpenStack Victoria, na versão distribuída na bullseye, passa a usar o novo formato YAML para a API do OpenStack. Como resultado, a maioria dos serviços OpenStack, incluindo Nova, Glance e Keystone, aparecem quebrados, com todas as políticas da API escritas explicitamente em arquivos policy.json. Portanto, pacotes agora vêm com um diretório /etc/PROJECT/policy.d contendo um arquivo 00_default_policy.yaml, com todas as políticas comentadas por padrão.

Para evitar que o antigo arquivo policy.json continue ativo, os pacotes Debian do OpenStack agora renomeiam tal arquivo como disabled.policy.json.old. Em alguns casos, quando nenhuma alternativa melhor pôde ser implementada em tempo hábil para o lançamento, o arquivo policy.json é, até mesmo, simplesmente deletado. Portanto, antes da atualização, é fortemente aconselhado fazer cópias de segurança dos arquivos policy.json das suas instalações.

Mais detalhes estão disponíveis na documentação do autor original.

5.1.11. Indisponibilidade do sendmail durante a atualização

Em contraste com as atualizações normais do sendmail, durante a atualização da buster para a bullseye o serviço sendmail será parado, causando mais indisponibilidade que o usual. Para aconselhamento genérico sobre redução de indisponibilidade, veja Seção 4.1.3, “Preparar para indisponibilidade de serviços”.

5.1.12. FUSE 3

Alguns pacotes, incluindo gvfs-fuse, kio-fuse e sshfs, mudaram para FUSE 3. Durante as atualizações, isso fará com que fuse3 seja instalado e fuse seja removido.

Em algumas circunstâncias excepcionais, por exemplo, ao fazer a atualização somente executando apt-get dist-upgrade em vez de seguir os passos de atualização recomendados em Capítulo 4, Atualizações a partir do Debian 10 (buster), os pacotes que dependem de fuse3 podem ser mantidos nas suas versões antigas durante a atualização. Executar os passos discutidos em Seção 4.4.5, “Atualizando o sistema” novamente com o apt da bullseye, ou atualizá-los manualmente, resolverá a situação.

5.1.13. Arquivo de opções do GnuPG

A partir da versão 2.2.27-1, a configuração por usuário da suíte GnuPG foi completamente movida para ~/.gnupg/gpg.conf, e ~/.gnupg/options não é mais utilizado. Por favor, renomeie o arquivo se necessário, ou mova o seu conteúdo para o novo local.

5.1.14. Linux habilita espaços de nomes por padrão

A partir do Linux 5.10, todos os usuários têm permissão para criar espaços de nomes (namespaces) de usuário por padrão. Isso permitirá que programas, tais como navegadores web e gerenciadores de contêineres, criem caixas de areia (sandboxes) mais restritas para código não confiável ou menos confiável, sem a necessidade de executar como root ou usar um comando auxiliar setuid-root.

O padrão anterior adotado pelo Debian era restringir essa funcionalidade a processos executando como root, porque isso expunha mais problemas de segurança no kernel. No entanto, como a implementação dessa funcionalidade amadureceu, nós agora estamos seguros de que os benefícios de segurança fornecidos por ela são muito maiores do que o risco de habilitá-la.

Se você prefere manter essa funcionalidade restrita, defina o sysctl:

user.max_user_namespaces = 0
      

Note que várias funcionalidades de ambientes de área de trabalho e de contêineres não funcionarão com essa restrição ativa, incluindo navegadores web, WebKitGTK, Flatpak e geração de miniaturas de imagens (thumbnailing) no GNOME.

O sysctl específico do Debian kernel.unprivileged_userns_clone=0 tem um efeito similar, mas está obsoleto.

5.1.15. Linux desabilita chamadas não privilegiadas a bpf() por padrão

A partir do Linux 5.10, o Debian desabilita chamadas não privilegiadas a bpf() por padrão. No entanto, um administrador ainda pode mudar essa configuração posteriormente, se necessário, escrevendo 0 ou 1 no sysctl kernel.unprivileged_bpf_disabled.

Se você prefere manter chamadas não privilegiadas a bpf() habilitadas, defina o sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Para mais informação sobre a mudança como padrão no Debian, veja o bug 990411 para a solicitação da mudança.

5.1.16. Redmine faltando na bullseye

O pacote redmine não é fornecido na bullseye, pois se tornou muito tarde para migrar da antiga versão do rails, o qual está no final do suporte do autor original (recebendo somente correções para bugs de segurança severos) para a versão que está na bullseye. Os mantenedores de Ruby Extras estão acompanhando de perto os autores originais e liberarão uma versão via backports tão logo quanto ela seja disponibilizada e eles tenham pacotes em funcionamento. Se você não pode aguardar para que isso aconteça antes de atualizar, você pode usar uma máquina virtual ou contêiner executando buster para isolar essa aplicação específica.

5.1.17. Exim 4.94

Por favor, considere que a versão do Exim na bullseye é uma grande atualização do Exim. Ela introduz o conceito de dados contaminados (tainted), lidos a partir de fontes não confiáveis, como, por exemplo, o remetente ou o destinatário da mensagem. Esses dados contaminados (p.ex. $local_part ou $domain) não podem ser usados, entre outras coisas, como nomes de arquivos ou diretórios, ou nomes de comandos.

Isso quebrará configurações que não sejam atualizadas de acordo. Antigos arquivos do Debian de configuração do Exim também não funcionarão sem modificação. A nova configuração precisa ser instalada preservando as modificações locais, unindo-as.

Exemplos típicos que não funcionam incluem:

  • Entrega para /var/mail/$local_part. Use $local_part_data em combinação com check_local_user.

  • Usar

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    em vez de

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    para um arquivo de alias de domínio virtual.

A estratégia básica para lidar com essa mudança é usar o resultado de uma consulta (lookup) em processamentos adicionais em vez de usar o resultado original (obtido remotamente).

Para facilitar a atualização, existe uma nova opção de configuração principal para temporariamente rebaixar erros de contaminação (taint) para avisos, deixando a antiga configuração funcionar com a nova versão do Exim. Para usar essa funcionalidade, adicione

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

à configuração do Exim (p.ex. em /etc/exim4/exim4.conf.localmacros) antes de atualizar, e verifique o arquivo de log pela presença de avisos de contaminação (taint). Essa é uma medida paliativa temporária, que já está marcada para remoção desde a sua introdução.

5.1.18. Sondagem de dispositivos SCSI é não determinística

Devido a mudanças no kernel Linux, a sondagem de dispositivos SCSI deixou de ser determinística. Isso pode ser um problema para instalações que dependem da ordem de sondagem dos discos. Duas possíveis alternativas usando links em /dev/disk/by-path ou uma regra udev são sugeridas nesta postagem em lista de e-mails.

5.1.19. rdiff-backup requer atualização sincronizada do servidor e cliente

Os protocolos de rede das versões 1 e 2 do rdiff-backup são incompatíveis. Isso significa que você deve executar a mesma versão (ou 1 ou 2) do rdiff-backup localmente e remotamente. Uma vez que a buster distribui a versão 1.2.8 e a bullseye distribui a versão 2.0.5, atualizar somente o sistema local ou somente o sistema remoto da buster para a bullseye quebrará as execuções do rdiff-backup entre os dois.

A versão 2.0.5 do rdiff-backup está disponível no repositório buster-backports, veja backports. Isso permite aos usuários atualizarem primeiro somente o pacote rdiff-backup nos seus sistemas buster, e depois atualizar independentemente os sistemas para a bullseye quando for conveniente.

5.1.20. Problemas com microcódigo para CPU Intel

O pacote intel-microcode atualmente na bullseye e buster-security (veja DSA-4934-1) contém sabidamente dois bugs significantes. Para algumas CPUs CoffeeLake, esta atualização pode quebrar interfaces de rede que usam firmware-iwlwifi, e para algumas CPUs Skylake R0/D0 em sistemas usando um firmware/BIOS muito desatualizado, o sistema pode travar na inicialização.

Se você não fez a atualização do DSA-4934-1 devido a algum desses problemas, ou não tem o repositório de segurança habilitado, esteja ciente de que atualizar para o pacote intel-microcode na bullseye pode causar o travamento do seu sistema ao inicializar, ou quebrar o iwlwifi. Nesse caso, você pode recuperar desabilitando o carregamento do microcódigo na inicialização; veja as instruções no DSA, as quais também estão no README.Debian do intel-microcode.

5.1.21. Atualizações envolvendo libgc1c2 precisam de duas execuções

Pacotes que dependem de libgc1c2 na buster (p.ex. guile-2.2-libs) podem ser retidos durante a primeira execução da atualização completa para a bullseye. Fazer uma segunda atualização, normalmente, resolve o problema. As informações sobre o problema podem ser encontradas no bug #988963.

5.1.22. fail2ban não consegue enviar e-mail usando mail de bsd-mailx

O pacote fail2ban pode ser configurado para enviar notificações por e-mail. Ele faz isso usando mail, o qual é fornecido por múltiplos pacotes no Debian. Uma atualização de segurança (necessária em sistemas que usam mail do mailutils) pouco antes do lançamento da bullseye quebrou essa funcionalidade para sistemas que têm mail fornecido por bsd-mailx. Usuários do fail2ban em combinação com bsd-mailx que desejarem que o fail2ban envie e-mail devem ou trocar para um fornecedor diferente para mail ou manualmente desaplicar o commit do fornecedor original (que inseriu a sequência "-E 'set escape'" em múltiplos locais sob /etc/fail2ban/action.d/).

5.1.23. Novas conexões SSH não são possíveis durante a atualização

Apesar de que conexões Secure Shell (SSH) existentes devam continuar funcionando durante a atualização como usual, devido a circunstâncias infelizes, o período enquanto novas conexões SSH não podem ser estabelecidas é maior que o usual. Se a atualização está sendo feita sobre uma conexão SSH que pode ser interrompida, é recomendado atualizar o openssh-server antes de atualizar o sistema completo.

5.1.24. Coisas para fazer depois da atualização e antes de reinicializar

Quando o apt full-upgrade terminar, a atualização formal estará completa. Para a atualização da bullseye, não é necessária nenhuma ação especial antes de executar uma reinicialização.

5.2. Itens não limitados ao processo de atualização

5.2.1. Limitações no suporte de segurança

Há alguns pacotes onde o Debian não pode prometer fornecer portes retroativos mínimos para problemas de segurança. Esses são abordados nas subseções a seguir.

[Nota]Nota

O pacote debian-security-support ajuda a acompanhar a situação do suporte de segurança dos pacotes instalados.

5.2.1.1. Situação da segurança dos navegadores web e seus motores de renderização

O Debian 11 inclui diversos motores de navegadores que são afetados por um fluxo constante de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a ausência parcial de suporte do upstream na forma de ramos de longo prazo tornam muito difícil o suporte a esses navegadores e motores com correções de segurança portadas retroativamente. Além disso, as interdependências das bibliotecas tornam extremamente difícil atualizar para versões upstream mais novas. Por isso, navegadores feitos, por exemplo, sobre os motores webkit e khtml[6] foram incluídos na bullseye, mas não estão cobertos pelo suporte de segurança. Esses navegadores não devem ser usados em sites web não confiáveis. Os motores webkit2gtk e wpewebkit são cobertos pelo suporte de segurança.

Para o uso geral de um navegador web, nós recomendamos o Firefox ou o Chromium. Eles serão mantidos atualizados reconstruindo as versões ESR correntes para a stable. A mesma estratégia será aplicada para o Thunderbird.

5.2.1.2. OpenJDK 17

O Debian bullseye vem com uma versão de acesso antecipado do OpenJDK 17 (a próxima versão esperada do OpenJDK LTS depois do OpenJDK 11), para evitar o tedioso processo de inicialização (bootstrap). O plano é que o OpenJDK 17 receba uma atualização na bullseye para a versão final do autor original anunciada para outubro de 2021, seguida de atualizações de segurança em base de melhor esforço, mas os usuários não devem esperar ver atualizações para cada atualização de segurança trimestral do autor original.

5.2.1.3. Pacotes baseados em Go

Atualmente, a infraestrutura do Debian apresenta problemas para reconstruir pacotes de tipos que sistematicamente usam ligação estática. Antes da buster, isso não era um problema na prática, mas com o crescimento do ecossistema Go, isso significa que os pacotes baseados em Go serão cobertos por suporte de segurança limitado até que a infraestrutura seja aprimorada para lidar com eles de forma a facilitar a sua manutenção.

Se forem necessárias atualizações para bibliotecas de desenvolvimento Go, elas podem ser distribuídas somente através dos lançamentos pontuais regulares, o que pode demorar a acontecer.

5.2.2. Acessando o aplicativo Configurações do GNOME sem mouse

Sem um dispositivo apontador, não há um modo direto de alterar as configurações no aplicativo Configurações do GNOME fornecido por gnome-control-center. Para contornar isso, você pode navegar para o conteúdo principal a partir da barra lateral, pressionando Seta Direita duas vezes. Para voltar para a barra lateral, você pode iniciar uma pesquisa com Ctrl+F, digitar algo, e então teclar Esc para cancelar a pesquisa. Então, você pode usar Seta para Cima e Seta para Baixo para navegar pela barra lateral. Não é possível selecionar os resultados da pesquisa pelo teclado.

5.2.3. A opção de inicialização rescue não é utilizável sem uma senha de root

Com a implementação de sulogin usada desde a buster, inicializar com a opção rescue sempre requer a senha de root. Se uma senha de root não foi previamente definida, isso torna o modo de recuperação efetivamente não utilizável. No entanto, ainda é possível inicializar usando o parâmetro init=/sbin/sulogin --force do kernel.

Para configurar o systemd para fazer o equivalente a isso sempre que ele inicializar no modo de recuperação (também conhecido como modo single: veja systemd(1)), execute sudo systemctl edit rescue.service e crie um arquivo contendo somente isto:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Também (ou alternativamente) pode ser útil fazer isso para a unit emergency.service, a qual é iniciada automaticamente no caso de certos erros (veja systemd.special(7)), ou se emergency for adicionado à linha de comando do kernel (p.ex. se o sistema não pode ser recuperado usando o modo de recuperação).

Para mais informação e uma discussão sobre as implicações de segurança, veja #802211.

5.3. Obsolescência e depreciação

5.3.1. Pacotes obsoletos dignos de nota

A seguinte lista é de pacotes conhecidos e obsoletos dignos de nota (veja Seção 4.8, “Pacotes obsoletos” para uma descrição).

A lista de pacotes obsoletos inclui:

  • O pacote lilo foi removido da bullseye. O sucessor do lilo como carregador de inicialização é o grub2.

  • A versão 3 da suíte de gerenciamento de listas de e-mail Mailman é a única versão que está disponível neste lançamento. O Mailman foi dividido em vários componentes; o núcleo está disponível no pacote mailman3 e a suíte completa pode ser obtida via o meta pacote mailman3-full.

    A versão legada 2.1 do Mailman não está mais disponível (costumava ser o pacote mailman). Essa versão depende do Python 2, que não está mais disponível no Debian.

    Para instruções de atualização, por favor, veja a documentação sobre migração do projeto.

  • O kernel Linux não fornece mais suporte a isdn4linux (i4l). Consequentemente, os pacotes de espaço de usuário isdnutils, isdnactivecards, drdsl e ibod foram removidos do repositório.

  • As bibliotecas obsoletas libappindicator não são mais fornecidas. Como resultado, os pacotes relacionados libappindicator1, libappindicator3-1 e libappindicator-dev não estão mais disponíveis. É esperado que isso cause erros de dependência para software de terceiros que ainda dependa de libappindicator para fornecer suporte a indicador e bandeja do sistema.

    O Debian está usando libayatana-appindicator como sucessor de libappindicator. Para informação técnica, veja este anúncio.

  • O Debian não fornece mais o pacote chef. Se você usa Chef para gerenciamento de configuração, o melhor caminho de atualização provavelmente seja passar a usar o pacote fornecido por Chef Inc.

    Para informação sobre a remoção, veja a solicitação de remoção.

  • O Python 2 já está além do final do seu ciclo de vida, e não receberá mais atualizações de segurança. Ele não tem suporte para a execução de aplicativos, e pacotes que dependem dele foram convertidos para Python3 ou foram removidos. No entanto, o Debian bullseye ainda inclui uma versão de Python 2.7, assim como uma pequena quantidade de ferramentas de desenvolvimento do Python 2, tais como python-setuptools. Elas estão presentes somente porque são necessárias para o processo de construção de alguns poucos aplicativos que ainda não foram convertidos para Python 3.

  • O pacote aufs-dkms não faz parte da bullseye. A maioria dos usuários de aufs-dkms deve ser capaz de trocar para overlayfs, o qual fornece funcionalidade similar com suporte no kernel. No entanto, existe a possibilidade de ter uma instalação Debian em um sistema de arquivos que não seja compatível com overlayfs, p.ex. xfs sem d_type. Usuários do aufs-dkms são aconselhados a migrar do aufs-dkms antes de atualizar para a bullseye.

  • O gerenciador de conexões de rede wicd não estará mais disponível depois da atualização. Para evitar o perigo de perder conectividade, é recomendado que os usuários troquem para uma alternativa como network-manager ou connman antes da atualização.

5.3.2. Componentes obsoletos para a bullseye

Com a próxima versão do Debian 12 (codinome bookworm), alguns recursos ficarão obsoletos. Os usuários precisarão migrar para outras alternativas para evitar problemas quando atualizarem para o Debian 12.

Isso inclui os seguintes recursos:

  • As justificativas históricas para a disposição do sistema de arquivos com diretórios /bin, /sbin e /lib separados de seus equivalentes sob /usr não se aplicam mais atualmente; veja o resumo em Freedesktop.org. O Debian bullseye será a última versão do Debian com suporte à disposição non-merged-usr. Para sistemas com uma disposição legada que foram atualizados sem uma reinstalação, existe o pacote usrmerge para fazer a conversão, caso desejado.

  • A bullseye é a última versão do Debian a distribuir apt-key. Em vez disso, as chaves devem ser gerenciadas copiando arquivos em /etc/apt/trusted.gpg.d, em formato binário, tal como criado por gpg --export, com uma extensão .gpg, ou em formato ASCII, com uma extensão .asc.

    É planejado um substituto para apt-key list para investigar manualmente o chaveiro, mas o trabalho ainda não foi iniciado.

  • Os backends de banco de dados do slapd slapd-bdb(5), slapd-hdb(5), e slapd-shell(5) estão sendo aposentados e não serão incluídos no Debian 12. Bancos de dados LDAP usando os backends bdb ou hdb devem ser migrados para o backend slapd-mdb(5).

    Adicionalmente, os backends slapd-perl(5) e slapd-sql(5) estão obsoletos e podem ser removidos em um lançamento futuro.

    O projeto OpenLDAP não tem suporte a backends aposentados ou obsoletos. Suporte para esses backends no Debian 11 é feito em uma base de melhor esforço.

5.4. Bugs severos conhecidos

Apesar de o Debian ser lançado quando está pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento, todos os bugs com severidade séria ou mais alta são ativamente acompanhados pela Equipe de Lançamento, assim uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento da bullseye podem ser encontrados no Sistema de Acompanhamento de Bugs do Debian. Os seguintes bugs afetavam a bullseye no momento do lançamento e merecem menção neste documento:

Número do bugPacote (fonte ou binário)Descrição
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore não atualiza /etc/ssl/certs/java/cacerts
990026croncron: Conjunto de caracteres reduzido em MAILTO causa quebra
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 tem falta de dependências
990318python-pkg-resourcespython-pkg-resources: favor adicionar Breaks contra os pacotes python não versionados
991449fail2bancorreção para CVE-2021-32749 quebra sistemas com mail de bsd-mailx
990708mariadb-server-10.5,galera-4mariadb-server-10.5: problemas na atualização devidos à troca galera-3 -> galera-4
980429src:gcc-10g++-10: falha de segmentação espúria no modo c++17 em append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10falta i386-cpuinfo.h
984574gcc-10-basegcc-10-base: favor adicionar Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: falha ao instalar: /usr/lib/emacsen-common/packages/install/git emacs falhou em /usr/lib/emacsen-common/lib.pl linha 19, <TSORT> linha 7.
987264git-elgit-el: falha ao instalar com xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 tem Depends vazio
948739gpartedgparted não deveria mascarar units .mount
984714gpartedgparted deveria sugerir exfatprogs e fazer backport do commit que rejeita exfat-utils
984760grub-efi-amd64grub-efi-amd64: a atualização funciona, a inicialização falha (erro: símbolo grub_is_lockdown não encontrado)
968368ifenslaveifenslave: a opção bond-master falha ao adicionar interface ao bond
990428ifenslaveifenslave: bonding não funcionando na bullseye (usando configuração bond-slaves)
991113libpam-chrootlibpam-chroot instala pam_chroot.so no diretório incorreto
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - falhou ao criar textura temporária para manter cópia untiled
982459mdadmmdadm --examine em chroot sem /proc,/dev,/sys montados corrompe sistemas de arquivos do hospedeiro
981054openipmiopenipmi: falta dependência em kmod
948318openssh-serveropenssh-server: incapaz de reiniciar sshd restart depois da atualização para a versão 8.1p1-2
991151procpsprocps: removida a opção reload do script de inicialização, quebrando corekeeper
989103pulseaudiopulseaudio regrediu na configuração control=Wave
984580libpython3.9-devlibpython3.9-dev: falta dependência em zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: executar java em qemu s390 provoca SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherquebra com pulse-audio como saída quando iniciado por speechd-up a partir do sistema de inicialização
932501src:squid-deb-proxysquid-deb-proxy: daemon não inicia devido ao arquivo de configuração não ser permitido pelo apparmor
991588tpm2-abrmdtpm2-abrmd não deveria usar Requires=systemd-udev-settle.service em sua unit
991939libjs-bootstrap4libjs-bootstrap4: ligações simbólicas quebradas: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean deleta arquivos não relacionados fora do pacote fonte
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg exibe (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: tela preta depois de suspender quando a tela do notebook é fechada e reaberta


[6] Esses motores são distribuídos em vários pacotes fonte diferentes e o problema se aplica a todos os pacotes que os distribuem. O problema também se estende a motores de renderização web não mencionados explicitamente aqui, com exceção de webkit2gtk e o novo wpewebkit.