| Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bullseye | ||
|---|---|---|
 |  | |
| Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bullseye | ||
|---|---|---|
| | | |
Inhoudsopgave
Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.
Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van buster naar bullseye.
Voor Intel GPU's die beschikbaar zijn vanaf Broadwell en recenter, is de
implementatie van de API voor Video-Acceleratie (VA-API) nu standaard
ingesteld op intel-media-va-driver
voor hardwareversnelde videodecodering. Systemen waarop va-driver-all geïnstalleerd is zullen
automatisch naar het nieuwe stuurprogramma opgewaardeerd worden.
Het oudere stuurprogrammapakket i965-va-driver is nog steeds beschikbaar en
biedt ondersteuning tot aan de Cannon Lake-microarchitectuur. Om het oude
stuurprogramma te verkiezen boven het nieuwe standaard stuurprogramma, stelt
u de omgevingsvariabele LIBVA_DRIVER_NAME in op
i965, door bijvoorbeeld deze variabele in te stellen in
/etc/environment. Raadpleeg voor meer informatie de
Wiki-pagina's over hardware video
acceleration.
Bij het XFS-bestandssysteem werd ondersteuning voor de aankoppelopties
barrier en nobarrier verwijderd. Het
wordt aanbevolen om /etc/fstab te controleren op de
aanwezigheid van een van beide sleutelwoorden en deze te
verwijderen. Partities die deze opties gebruiken zullen niet aangekoppeld
worden.
In bullseye heet de beveiligingssuite nu
bullseye-security in plaats van
codename/updates
De beveiligingsregel in uw APT-configuratie kan er zo uitzien:
deb https://deb.debian.org/debian-security bullseye-security main contrib
Als uw APT-configuratie ook pinning of
APT::Default-Release omvat, zijn er waarschijnlijk
aanpassingen nodig omdat de codenaam van het beveiligingsarchief niet langer
overeenkomt met die van het reguliere archief. Een voorbeeld van een
werkende APT::Default-Release-regel voor bullseye ziet er
als volgt uit:
APT::Default-Release "/^bullseye(|-security|-updates)$/";
Deze regel maakt gebruik van het feit dat APT reguliere expressies
ondersteunt (binnen /).
De standaard wachtwoordhash voor lokale systeemaccounts is veranderd van SHA-512 naar yescrypt (zie crypt(5)). Dit zal naar verwachting een verbeterde beveiliging bieden tegen op woordenboek gebaseerde aanvallen om wachtwoorden te raden, zowel wat betreft de ruimte- als de tijdcomplexiteit van de aanval.
Wijzig lokale wachtwoorden om van deze verbeterde beveiliging te profiteren; gebruik bijvoorbeeld heet commando passwd.
Oude wachtwoorden blijven werken, ongeacht de wachtwoord-hash die is gebruikt om ze te maken.
Yescrypt wordt niet ondersteund in Debian 10 (buster). Als gevolg hiervan
kunnen shadow-wachtwoordbestanden (/etc/shadow) niet
van een bullseye-systeem terug naar een buster-systeem worden
gekopieerd. Als deze bestanden worden gekopieerd, zullen wachtwoorden die
zijn gewijzigd op het bullseye-systeem niet werken op het
buster-systeem. Evenzo kunnen wachtwoord-hashes niet worden geknipt en
geplakt van een bullseye- naar een buster-systeem.
Als compatibiliteit vereist is voor wachtwoord-hashes tussen bullseye en
buster, pas dan /etc/pam.d/common-password aan. Zoek de
regel die er als volgt uitziet:
password [success=1 default=ignore] pam_unix.so obscure yescrypt
en vervang yescrypt door sha512.
De ondersteuning voor NSS NIS en NIS+
werd verplaatst naar aparte pakketten, genaamd libnss-nis en libnss-nisplus. Helaas kan glibc deze pakketten niet vereisen en daarom
worden deze nu slechts aanbevolen.
Op systemen die NIS of NIS+ gebruiken, is het daarom aangeraden om te controleren of die pakketten correct geïnstalleerd zijn na de upgrade.
De DNS-resolver unbound heeft de
manier veranderd waarop het configuratiebestandsfragmenten verwerkt. Als u
vertrouwt op een include:-richtlijn om verschillende
fragmenten samen te voegen tot een geldige configuratie, moet u het
NEWS-bestand lezen.
The rsync parameter
--noatime has been renamed
--open-noatime. The old form is no longer supported; if
you are using it you should see the
NEWS file. Transfer processes between systems running different
Debian releases may require the buster side to be upgraded to a version of
rsync from the backports repository. The
version of rsync in the initial
release of bullseye also deprecated --copy-devices in
favor of --write-devices, but version 3.2.3-4+deb11u1
(included in bullseye point release 11.1) reverts this deprecation and
supports both options.
De uitbreidingen voor vim welke
voorheen werden geleverd door vim-scripts, worden nu beheerd door vim's eigen
“pakket”-functionaliteit in plaats van door vim-addon-manager. Gebruikers van vim moeten
zich voor de opwaardering hierop voorbereiden door de instructies uit het
bestand
NEWS te volgen.
OpenStack Victoria (uitgebracht in bullseye) vereist cgroup v1 voor
blokapparaat QoS. Omdat in bullseye ook overgeschakeld wordt op het gebruik
van cgroup v2 als standaard (zie Paragraaf 2.2.4, “Control groups v2”), zal de
sysfs-boom in /sys/fs/cgroup geen cgroup-functies voor
v1 bevatten zoals /sys/fs/cgroup/blkio, met als gevolg
dat cgcreate -g blkio:foo zal mislukken. Voor
OpenStack-nodes die nova-compute of
cinder-volume gebruiken, wordt sterk
aanbevolen om de standaardinstelling te overschrijven en de oude
cgroup-hiërarchie te herstellen door aan de kernel-commandoregel de
parameters systemd.unified_cgroup_hierarchy=false en
systemd.legacy_systemd_cgroup_controller=false toe te
voegen.
In navolging van de bovenstroomse aanbevelingen, schakelt OpenStack
Victoria, zoals het in bullseye uitgebracht wordt, voor de OpenStack API
over op het gebruik van het nieuwe YAML-formaat. Als gevolg hiervan blijken
de meeste OpenStack-diensten, waaronder Nova, Glance en Keystone, defect te
zijn met al de API-beleidsregels die expliciet in de bestanden
policy.json beschreven zijn. Daarom worden pakketten nu
standaard geleverd met een map /etc/PROJECT/policy.d
met daarin het bestand 00_default_policy.yaml waarin
alle beleidsregels zijn uitgecommentarieerd.
Om te vermijden dat het oude bestand policy.json actief
blijft, hernoemen de OpenStack-pakketten in Debian dat bestand nu naar
disabled.policy.json.old. In sommige gevallen, waarin
voor de release tijdig niets beters kon worden gedaan, wordt het bestand
policy.json zelfs gewoon verwijderd. Dus voordat u een
opwaardering uitvoert, wordt het ten zeerste aangeraden om een back-up te
maken van de bestanden policy.json uit uw
implementaties.
Meer details zijn te vinden in de bovenstroomse documentatie.
In tegenstelling tot normale opwaarderingen van sendmail, zal de dienst sendmail gestopt worden
tijdens de opwaardering van buster naar bullseye, met een langere
onderbreking dan gewoonlijk tot gevolg. Voor algemeen advies over het
beperken van de onbeschikbaarheid kunt u Paragraaf 4.1.3, “Bereid u voor op het feit dat diensten een tijd onbeschikbaar zullen zijn”
raadplegen.
Sommige pakketten, waaronder gvfs-fuse, kio-fuse en sshfs zijn overgeschakeld op FUSE 3. Daardoor
zal tijdens opwaarderingen fuse3
geïnstalleerd worden en zal fuse
verwijderd worden.
In sommige uitzonderlijke omstandigheden, bijvoorbeeld wanneer men de
opwaardering enkel met het commando apt-get dist-upgrade
uitvoert in plaats van met de in Hoofdstuk 4, Opwaarderen vanuit Debian 10 (buster) aanbevolen
opwaarderingsstappen, kunnen pakketten die fuse3 vereisen, achtergehouden worden tijdens de
opwaardering. De in Paragraaf 4.4.5, “Het systeem opwaarderen” besproken
opwaarderingsstappen opnieuw uitvoeren met apt uit bullseye of de betrokken pakketten
handmatig opwaarderen zal het probleem oplossen.
Vanaf versie 2.2.27-1 is de per-gebruiker-configuratie van de
GnuPG-suite volledig verplaatst naar
~/.gnupg/gpg.conf en is
~/.gnupg/options niet langer in gebruik. Hernoem het
bestand indien nodig, of verplaats de inhoud naar de nieuwe locatie.
Vanaf Linux 5.10 is het standaard alle gebruikers
toegestaan om gebruikersnaamruimten te creëren. Hierdoor kunnen programma's
zoals webbrowsers en containerbeheerders sandboxen met meer beperkingen
maken voor niet-vertrouwde of minder vertrouwde code, zonder dat deze als
root moeten worden uitgevoerd of dat er een setuid-root-hulpmiddel moet
gebruikt worden.
De vorige standaard in Debian was om deze functie te beperken tot processen die als root werden uitgevoerd, omdat dit een grotere blootstelling aan beveiligingsproblemen in de kernel opleverde. Naarmate de implementatie van deze functie meer voldragen werd, zijn wij nu echter de overtuiging toegedaan dat het risico van het inschakelen ervan niet opweegt tegen de veiligheidsvoordelen ervan.
Als u deze functie liever beperkt houdt, stel dan de volgende sysctl in:
user.max_user_namespaces = 0
Merk op dat verschillende desktop- en containerfuncties niet zullen werken
met deze beperking, inclusief webbrowsers, WebKitGTK,
Flatpak en miniatuurvoorbeelden in
GNOME.
Het Debian-specifieke sysctl
kernel.unprivileged_userns_clone=0 heeft een gelijkaardig
effect, maar is verouderd.
Vanaf Linux 5.10 worden in Debian standaard
niet-geprivilegieerde aanroepen naar bpf() uitgeschakeld. Zo nodig kan een
beheerder deze instelling echter later nog wijzigen door 0 of 1 naar de
sysctl kernel.unprivileged_bpf_disabled te schrijven.
Als u liever niet-geprivilegieerde aanroepen naar bpf() ingeschakeld wilt houden, stel dan de volgende sysctl in:
kernel.unprivileged_bpf_disabled = 0
Zie bug 990411 waarin om de wijziging verzocht wordt, voor achtergrondinformatie over deze wijziging van de standaardinstelling in Debian.
Het pakket redmine wordt niet
aangeboden in bullseye, omdat het te laat was met de overschakeling van de
oude versie van rails, die aan het
einde is van de bovenstroomse ondersteuning (en alleen reparaties voor
ernstige beveiligingsfouten ontvangt), naar de versie die in bullseye
zit. De onderhouders van Ruby Extras volgen van nabij de
bovenstroomse ontwikkelingen en zullen via backports een versie uitbrengen
van zodra deze uitgebracht werd en ze over werkende pakketten
beschikken. Indien u niet kunt wachten met opwaarderen totdat dit gebeurd
is, kunt u gebruik maken van een VM of een container waarin buster draait,
om deze specifieke toepassing af te zonderen.
Beschouw de versie van Exim in bullseye als een
belangrijke opwaardering van Exim. Ze introduceert het
concept van besmette gegevens die worden gelezen uit niet-vertrouwde
bronnen, zoals bijv. de afzender of de ontvanger van het bericht. Deze
besmette gegevens (bijv. $local_part of
$domain) kunnen onder andere niet worden gebruikt als
bestands- of mapnaam of als commandonaam.
Dit zal configuraties welke niet dienovereenkomstig worden bijgewerkt onbruikbaar maken. Ongewijzigde oude Debian configuratiebestanden van Exim zullen in ongewijzigde toestand ook niet werken. Men moet de nieuwe configuratie installeren en de lokale aanpassingen daarin invoegen.
Typische voorbeelden van zaken welke niet werken zijn:
Afleveren aan /var/mail/$local_part. Gebruik
$local_part_data in combinatie met
check_local_user.
Het gebruik van
data = ${lookup{$local_part}lsearch{/bepaald/pad/$domain/aliases}}
in plaats van
data = ${lookup{$local_part}lsearch{/bepaald/pad/$domain_data/aliases}}
voor een virtueel domeinaliasbestand.
De basisstrategie om met deze verandering om te gaan is om bij verdere verwerking het resultaat van een opzoekingsactie te gebruiken in plaats van de oorspronkelijke (extern verstrekte) waarde.
Om het opwaarderen te vergemakkelijken, bestaat er een nieuwe hoofdconfiguratieoptie om fouten gemaakt tegen dit concept van besmetting tijdelijk af te waarderen naar waarschuwingen, waardoor de oude configuratie kan blijven werken met de nieuwere Exim. Om van deze functionaliteit gebruik te maken, voegt u
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
toe aan de configuratie van Exim (bijv. in
/etc/exim4/exim4.conf.localmacros)
voor u opwaardeert. Dan kunt u het logbestand nakijken
op waarschuwingen in verband met besmettingen. Dit is een tijdelijke
oplossing die bij introductie al gemarkeerd staat om verwijderd te worden.
Door veranderingen in de Linux-kernel is het aftasten van SCSI-apparaten
niet langer sluitend. Dit kan een probleem zijn voor installaties die
afhankelijk zijn van de volgorde waarin de schijven onderzocht worden. In
dit
bericht in de mailinglijst. worden twee alternatieve mogelijkheden
gesuggereerd om hiermee om te gaan: links gebruiken in
/dev/disk/by-path of een udev-regel gebruiken.
Het netwerkprotocol van versie 1 en 2 van rdiff-backup is niet compatibel. Dit betekent
dat u lokaal en op het externe systeem dezelfde versie (ofwel 1 ofwel 2) van
rdiff-backup moet
gebruiken. Aangezien buster versie 1.2.8 bevat en bullseye versie 2.0.5, zal
het upgraden van buster naar bullseye van alleen het lokale systeem of
alleen het externe systeem de rdiff-backup-doorloop tussen de twee verbreken.
Versie 2.0.5 van rdiff-backup is
beschikbaar in het archief buster-backports; zie backports. Dit stelt gebruikers
in staat om eerst alleen het pakket rdiff-backup op hun buster-systemen op te
waarderen, en vervolgens onafhankelijk daarvan de systemen te upgraden naar
bullseye wanneer het hen best past.
Van het momenteel in bullseye en buster-security (zie DSA-4934-1)
aanwezige pakket intel-microcode is
bekend dat het twee significante bugs bevat. Ernaartoe updaten kan bij
sommige CoffeeLake CPU's die gebruik maken van firmware-iwlwifi, de
netwerkinterfaces onklaar maken en kan bij sommige Skylake R0/D0
CPU's op systemen met een zeer verouderde firmware/BIOS, het
systeem bij het opstarten doen vastlopen.
Als u de update van DSA-4934-1 hebt tegengehouden vanwege een van deze
problemen, of als u het beveiligingsarchief niet hebt ingeschakeld, moet u
er rekening mee houden dat opwaarderen naar het pakket intel-microcode in bullseye ervoor kan zorgen
dat uw systeem vastloopt bij het opstarten of dat iwlwifi onklaar raakt. In
dat geval kunt u de zaak herstellen door het laden van microcode bij het
opstarten uit te schakelen; zie de richtlijnen in het DSA, welke ook te
vinden zijn in het bestand README.Debian van het pakket
intel-microcode.
Pakketten die in buster libgc1c2
vereisen (bijv. guile-2.2-libs)
kunnen vastgehouden worden bij de eerste doorloop van een volledige
opwaardering (full-upgrade) naar bullseye. Een tweede upgrade uitvoeren lost
het probleem gewoonlijk op. Achtergrondinformatie bij dit probleem is te
vinden in bug #988963.
Het pakket fail2ban kan
geconfigureerd worden om e-mailmeldingen te verzenden. Het doet dit met
mail, dat door verschillende pakketten in Debian
aangeboden wordt. Een beveiligingsupdate (nodig op systemen die
mail van mailutils gebruiken) net voor de release van
bullseye maakte deze functionaliteit onklaar voor systemen die
mail gebruiken dat geleverd wordt door bsd-mailx. Gebruikers van
fail2ban in combinatie met
bsd-mailx die willen dat
fail2ban e-mail verstuurt, moeten ofwel
overschakelen naar een andere aanbieder van mail, ofwel
handmatig de
bovenstroomse commit ongedaan maken (welke de tekenreeks
"-E 'set escape'" invoegde op meerdere plaatsen onder
/etc/fail2ban/action.d/).
Hoewel bestaande SSH-verbindingen (Secure Shell) tijdens de opwaardering
gewoon zouden moeten blijven werken, is door ongelukkige omstandigheden de
periode waarin geen nieuwe SSH-verbindingen tot stand kunnen worden
gebracht, langer dan normaal. Als de opwaardering wordt uitgevoerd over een
SSH-verbinding die onderbroken kan worden, is het aangewezen om eerst
openssh-server op te waarderen
voordat het volledige systeem opgewaardeerd wordt.
Het opwaarderingsproces van openvswitch slaagt er mogelijk niet in om na het
opstarten de bridges te herstellen. Een tijdelijke oplossing is:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
Zie voor meer informatie bug #989720.
Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.
![[Opmerking]](images/note.png) | Opmerking |
|---|---|
Het pakket |
Debian 11 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de mechanismen webkit en khtml[6] wel opgenomen in bullseye maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. De mechanismen webkit2gtk en wpewebkit worden wel gedekt door de beveiligingsondersteuning.
Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.
Debian bullseye bevat de vroegtijdige toegansversie van OpenJDK
17 (de verwachte toekomstige LTS-versie van
OpenJDK na OpenJDK 11), om het nogal
omslachtige bootstrapproces te vermijden. Voor OpenJDK 17
wordt in bullseye een opwaardering voorzien naar de uiteindelijke
bovenstroomse uitgave die aangekondigd is voor oktober 2021, gevolgd door
beveiligingsupdates naar best vermogen, maar gebruikers mogen niet
verwachten dat er een update komt bij elke bovenstroomse driemaandelijkse
beveiligingsupdate.
De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. In de praktijk was dit voor buster geen probleem, maar met de groei van het Go-ecosysteem betekent dit dat op Go gebaseerde pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.
Als updates voor Go-ontwikkelingsbibliotheken gerechtvaardigd zijn, zullen deze enkel via reguliere tussenreleases kunnen gebeuren en deze kunnen op zich laten wachten.
Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in
de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt
door gnome-control-center. Als
mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door
tweemaal op de Rechterpijltoets te drukken. Om naar de
zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets
intypen en dan op Esc drukken om de zoekbewerking af te
breken. Nu kunt u gebruik maken van Pijl omhoog en
Pijl omlaag om in de zijbalk te navigeren. Het is niet
mogelijk om met het toetsenbord zoekresultaten te selecteren.
Met de toepassing van sulogin dat sinds buster gebruikt
wordt, vereist het opstarten met de optie rescue altijd
het wachtwoord van de systeembeheerder. Indien een dergelijk wachtwoord niet
ingesteld werd, is de noodmodus effectief onbruikbaar. Het is echter nog
steeds mogelijk om op te starten met de kernelparameter
init=/sbin/sulogin --force
Om systemd te configureren om het equivalent hiervan te doen telkens het opstart in de noodmodus (ook wel bekend als enkelvoudige modus: zie systemd(1)), moet u het commando sudo systemctl edit rescue.service uitvoeren en een bestand maken met daarin enkel:
[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
Het kan ook (of in plaats daarvan) nuttig zijn om dit te doen voor de unit
emergency.service, welke automatisch
opgestart wordt in het geval van bepaalde fouten (zie systemd.special(7)),
of indien emergency toegevoegd wordt aan de commandoregel
van de kernel (bijv. als het systeem niet met behulp van de noodmodus
hersteld kan worden).
Zie #802211 voor achtergrondinformatie en voor een bespreking van de veiligheidsimplicaties.
The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV
mode. Such virtual machines need to be converted to the
64-bit PC architecture.
You can check which mode a Xen guest is running (inside the virtual machine):
$ cat /sys/hypervisor/guest_type
PV
Virtual machines that return, for example, PVH or
HVM are not affected.
Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).
Tot de uitgefaseerde pakketten behoren:
Het pakket lilo werd verwijderd uit
bullseye. De opvolger van lilo als bootloader is grub2.
Versie 3 van de mailinglijstbeheersuite Mailman is de enige versie van
Mailman die beschikbaar is in deze release. Mailman werd in verschillende
componenten opgesplitst. De kernfunctionaliteit is te vinden in het pakket
mailman3 en de volledige suite kan
geïnstalleerd worden met het metapakket mailman3-full.
De oude Mailman-versie 2.1 is niet langer beschikbaar (dit was vroeger het
pakket mailman). Deze tak vereist
Python 2, dat niet langer beschikbaar is in Debian.
Voor upgrade-instructies moet u de documentatie van het project over de omschakeling raadplegen
De Linux-kernel biedt niet langer ondersteuning voor
isdn4linux (i4l). Bijgevolg zijn de gerelateerde
userland-pakketten isdnutils,
isdnactivecards, drdsl en ibod uit de archieven verwijderd.
De verouderde libappindicator-bibliotheken worden niet langer
aangeboden. Als gevolg hiervan zijn de gerelateerde pakketten libappindicator1, libappindicator3-1 en libappindicator-dev niet langer beschikbaar. Dit
zal naar verwachting vereistenfouten veroorzaken voor software van derden
die nog steeds libappindicator vereist voor de ondersteuning van de taakbalk
en toepassingsaanwijzers.
Debian gebruikt libayatana-appindicator als opvolger voor
libappindicator. Raadpleeg voor technische achtergrond deze
aankondiging.
Debian biedt chef niet langer
aan. Indien u gebruikt maakt van Chef voor configuratiebeheer is
overschakelen op het gebruik van de pakketten die aangeboden worden door
Chef Inc waarschijnlijk het beste
opwaarderingspad.
Raadpleeg de vraag voor verwijdering voor achtergrondinformatie over het verwijderen van het pakket.
Python 2 is al voorbij het einde van zijn levensduur en zal geen
beveiligingsupdates ontvangen. Het wordt niet ondersteund om toepassingen
uit te voeren en pakketten die hierop steunden, zijn overgeschakeld naar
Python 3 of werden verwijderd. Debian bullseye bevat echter nog steeds een
versie van Python 2.7, evenals een klein aantal Python 2-bouwgereedschappen
zoals python-setuptools. Deze zijn
alleen aanwezig omdat ze nodig zijn voor een paar applicatie-bouwprocessen
die nog niet zijn omgezet naar Python 3.
Het pakket aufs-dkms maakt geen deel
uit van bullseye. De meeste gebruikers van aufs-dkms zouden in staat moeten zijn om over te
schakelen op overlayfs, dat vergelijkbare functionaliteit
biedt met kernelondersteuning. Het is echter mogelijk dat men een
Debian-installatie heeft op een bestandssysteem dat niet compatibel is met
overlayfs, bijv. xfs zonder
d_type. Gebruikers van aufs-dkms wordt aanbevolen om af te stappen van
aufs-dkms voor de opwaardering naar
bullseye.
Het programma voor het beheer van netwerkverbindingen wicd zal na het uitvoeren van de opwaardering
niet langer beschikbaar zijn. Om het gevaar op het uitvallen van de
verbinding te vermijden, wordt gebruikers aangeraden om voor de opwaardering
over te schakelen naar een alternatief, zoals network-manager of connman.
Met de volgende uitgave van Debian 12 (codenaam bookworm) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 12.
Daaronder valt de volgende functionaliteit:
De historische rechtvaardigingen voor de indeling van het bestandssysteem
met de mappen /bin, /sbin en
/lib gescheiden van hun equivalenten onder
/usr, zijn vandaag niet langer van toepassing; zie de
samenvatting
van Freedesktop.org. Debian bullseye zal de laatste Debian release
zijn met ondersteuning voor de indeling met een niet-samengevoegde /usr;
voor systemen met een oude indeling welke opgewaardeerd werden zonder
opnieuw geïnstalleerd te zijn, bestaat het pakket usrmerge om desgewenst de omzetting te doen.
bullseye is de laatste release van Debian die apt-key zal
bevatten. In de plaats daarvan zouden sleutels beheerd moeten worden door
plaatsen van bestanden in /etc/apt/trusted.gpg.d, in
binaire indeling, aangemaakt door gpg --export met de
extensie .gpg, of in de ASCII-armor indeling met een
extensie .asc.
Er is een vervanging voorzien voor apt-key list om de sleutelbos handmatig te onderzoeken, maar het werk eraan is nog niet begonnen.
De backends slapd-bdb(5),
slapd-hdb(5) en
slapd-shell(5)
van de database slapd worden met
pensioen gestuurd en zullen niet opgenomen worden in Debian
12. LDAP-databases die gebruik maken van de backends
bdb en hdb zouden moeten overschakelen
naar de backend slapd-mdb(5),
Bovendien zijn de backends slapd-perl(5) en slapd-sql(5) verouderd en deze kunnen uit een toekomstige uitgave verwijderd worden.
Het project OpenLDAP ondersteunt geen op pensioen gestuurde of verouderde backends. Ondersteuning voor deze backends zal in Debian 11 naar best vermogen gebeuren.
Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van bullseye, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen bullseye op het moment van vrijgeven en zijn het vermelden waard in dit document:
| Bugnummer | Pakket (broncode of binair) | Beschrijving |
|---|---|---|
| 922981 | ca-certificates-java | ca-certificates-java: /etc/ca-certificates/update.d/jks-keystore werkt /etc/ssl/certs/java/cacerts niet bij |
| 990026 | cron | cron: gereduceerde tekenset in MAILTO veroorzaakt een defect |
| 991081 | gir1.2-diodon-1.0 | vereisten voor gir1.2-diodon-1.0 ontbreken |
| 990318 | python-pkg-resources | python-pkg-resources: voeg a.u.b. Breaks toe tegen de python-pakketten zonder versienummer |
| 991449 | fail2ban | de oplossing voor CVE-2021-32749 maakt systemen met mail van bsd-mailx onklaar |
| 990708 | mariadb-server-10.5,galera-4 | mariadb-server-10.5: opwaarderingsproblemen door de overgang van galera-3 -> galera-4 |
| 980429 | src:gcc-10 | g++-10: valse c++17-modus-segmentatiefout in append_to_statement_list_1 (tree-iterator.c:65) |
| 980609 | src:gcc-10 | ontbrekende i386-cpuinfo.h |
| 984574 | gcc-10-base | gcc-10-base: voeg a.u.b. toe: Breaks gcc-8-base (<< 8.4) |
| 984931 | git-el | git-el,elpa-magit: installatie mislukt: /usr/lib/emacsen-common/packages/install/git emacs mislukte bij /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7. |
| 987264 | git-el | git-el: installatie mislukt met xemacs21 |
| 991082 | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 heeft een lege Depends |
| 948739 | gparted | gparted zou geen .mount-units mogen maskeren |
| 984714 | gparted | gparted zou exfatprogs moeten suggereren en er zou een backport moten gebeuren van de commit die exfat-utils verwerpt |
| 984760 | grub-efi-amd64 | grub-efi-amd64: opwaarderen werkt, opstarten mislukt (fout: symbool `grub_is_lockdown` niet gevonden) |
| 968368 | ifenslave | ifenslave: optie bond-master slaagt er niet in interface toe te voegen aan bond |
| 990428 | ifenslave | ifenslave: bonding werkt niet op bullseye (met de bond-slaves configuratie) |
| 991113 | libpam-chroot | libpam-chroot installeert pam_chroot.so in de verkeerde map |
| 989545 | src:llvm-toolchain-11 | libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - tijdelijke structuur maken om kopie zonder tegel vast te houden mislukte |
| 982459 | mdadm | mdadm --examine in een chroot zonder dat /proc,/dev,/sys aangekoppeld zijn, maakt het bestandssysteem van de hostcomputer defect |
| 981054 | openipmi | openipmi: het feit dat kmod vereist wordt, werd over het hoofd gezien |
| 948318 | openssh-server | openssh-server: sshd restart is niet in staat om te herstarten na een opwaardering naar versie 8.1p1-2 |
| 991151 | procps | procps: de optie reload werd uit het init-script weggehaald, waardoor corekeeper niet meer werkt |
| 989103 | pulseaudio | pulseaudio: er is een regressie bij de configuratie control=Wave |
| 984580 | libpython3.9-dev | libpython3.9-dev: het feit dat zlib1g-dev vereist wordt, werd over het hoofd gezien |
| 990417 | src:qemu | openjdk-11-jre-headless: java uitvoeren in qemu s390 geeft een SIGILL bij C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
| 859926 | speech-dispatcher | raakt defect met pulse-audio als uitvoer wanneer het wordt voortgebracht door speechd-up uit het init-systeem |
| 932501 | src:squid-deb-proxy | squid-deb-proxy: achtergronddienst start niet omdat het conf-bestand niet toegestaan wordt door apparmor |
| 991588 | tpm2-abrmd | tpm2-abrmd zou in zijn unit niet Requires=systemd-udev-settle.service mogen gebruiken |
| 991939 | libjs-bootstrap4 | libjs-bootstrap4: defecte symbolische koppelingen: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
| 991822 | src:wine | src:wine: dh_auto_clean verwijdert niet-gerelateerde bestanden buiten de broncode van het pakket |
| 988477 | src:xen | xen-hypervisor-4.14-amd64: xen dmesg toont (XEN) AMD-Vi: IO_PAGE_FAULT op sata pci-apparaat |
| 991788 | xfce4-settings | xfce4-settings: zwart scherm na slaapstand wanneer laptopdeksel wordt gesloten en opnieuw wordt geopend |
[6] Deze mechanismen worden in een aantal verschillende broncodepakketten beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze beschikbaar stellen. De bezorgdheid betreft ook de weergavemechanismen die hier niet expliciet vermeld worden, met uitzondering van webkit2gtk eb het nieuwe wpewebkit.
| | | |
| Hoofdstuk 4. Opwaarderen vanuit Debian 10 (buster) |  | Hoofdstuk 6. Bijkomende informatie over Debian |