Tabla de contenidos
Algunas veces los cambios tienen efectos colaterales que no podemos evitar, o aparecen fallos en otro lugar. A continuación se documentan los problemas que conocemos. Puede leer también la fe de erratas, la documentación de los paquetes relevantes, los informes de fallos y otra información mencionada en Sección 6.1, “Para leer más”.
Esta sección cubre los elementos relacionados con la actualización de buster a bullseye
Se ha eliminado el soporte para las opciones de montaje
barrier
y nobarrier
del sistema de
ficheros XFS. Es recomendable revisar si se utilizan estas opciones en la
configuración de /etc/fstab
y eliminarlas si es el
caso. Las particiones que utilicen estos parámetros no podrán montarse.
For bullseye, the security suite is now named
bullseye-security
instead of
and users
should adapt their APT source-list files accordingly when upgrading.
codename
/updates
La línea de seguridad en su configuración de APT puede ser similar a la siguiente:
deb https://deb.debian.org/debian-security bullseye-security main contrib
If your APT configuration also involves pinning or
APT::Default-Release
, it is likely to require adjustments
as the codename of the security archive no longer matches that of the
regular archive. An example of a working
APT::Default-Release
line for bullseye looks like:
APT::Default-Release "/^bullseye(|-security|-updates)$/";
which takes advantage of APT's support for regular expressions (inside
/
).
El hash por omisión de contraseñas para cuentas del sistema locales se ha modificado de SHA-512 a yescrypt (consulte crypt(5)). Se espera que este cambio mejore la seguridad contra ataques de fuerza bruta de diccionario, tanto desde el punto de vista de la complejidad del espacio de claves y del tiempo necesario para llevar a cabo este tipo de ataques.
Para aprovecharse de esta mejora de seguridad, ha de modificar las contraseñas locales. Por ejemplo, puede utilizar la orden passwd.
Las contraseñas antiguas seguirán utilizando el hash de contraseña que se utilizó cuando éstas se crearon.
No hay soporte de «yescrypt» en Debian 10 (buster). Como consecuencia de
esto, no pueden copiarse los archivos de contraseñas shadow en
(/etc/shadow
) de un sistema bullseye a un sistema
buster. Si se copian estos archivos, las contraseñas que se han modificado
en el sistema bullseye no funcionarán en el sistema buster system. De forma
similar, los hashes de contraseñas no pueden cortar y copiarse de un sistema
bullseye a un sistema buster.
Si necesita compatibilidad para los hashes de contraseña entre bullseye y
buster, modifique /etc/pam.d/common-password
. Debe
buscar la línea que sea parecida a:
password [success=1 default=ignore] pam_unix.so obscure yescrypt
y reemplazar yescrypt
con sha512
.
El soporte de NSS NIS y NIS+ se ha
movido a paquetes separados nombrados libnss-nis
y libnss-nisplus
. Desgraciadamente, glibc
no puede depender de esos paquetes, por lo
que son sólo recomendados.
Por tanto es recomendable en aquellos sistemas que utilicen NIS o NIS+ que esos paquetes están correctamente instalados antes de la actualización.
El gestor de DNS unbound
ha
modificado la forma en la que gestiona archivos de fragmentos de
configuración. Si depende de la directiva include:
para
unir varios fragmentos en un archivo de configuración válido debería leer
el
archivo NEWS.
The rsync
parameter
--noatime
has been renamed
--open-noatime
. The old form is no longer supported; if
you are using it you should see the
NEWS file. Transfer processes between systems running different
Debian releases may require the buster side to be upgraded to a version of
rsync
from the backports repository. The
version of rsync
in the initial
release of bullseye also deprecated --copy-devices
in
favor of --write-devices
, but version 3.2.3-4+deb11u1
(included in bullseye point release 11.1) reverts this deprecation and
supports both options.
Los complementos para vim
que
anteriormente se proporcionaban en vim-scripts
se gestionan ahora de forma nativa a
través de la funcionalidad nativa de Vim de “paquetes” en lugar
de a través de vim-addon-manager
. Los usuarios de Vim deberían
prepararse antes de la actualización siguiendo las instrucciones descritas
en el
archivo NEWS.
OpenStack Victoria (publicado in bullseye) requiere cgroup v1 para QoS de
los dispositivos de bloque. Dado que bullseye también cambia y utiliza
cgroupv2 por omisión (consulte Sección 2.2.4, “Grupos de control v2”), el arbol sysfs
en /sys/fs/cgroup
no incluye funcionalidades de cgroup
v1 como /sys/fs/cgroup/blkio
. Como consecuencia de ésto
la ejecución de cgcreate -g blkio:foo fallará. En
aquellos nodos OpenStack que estén ejecutando nova-compute
o cinder-volume
es muy recomendable añadir los
parámetros systemd.unified_cgroup_hierarchy=false
y
systemd.legacy_systemd_cgroup_controller=false
a la línea
de órdenes del núcleo. Esto hará que se deje de utilizar el valor por
omisión y se restaure la jerarquía antigua de cgroup.
Siguiendo las recomendaciones de los desarrolladores originales, la versión
Victoria de OpenStack que se publica en bullseye cambia la API de OpenStack
para utilizar el nuevo formato YAML. Como consecuencia de ésto, la mayor
parte de los servicios de OpenStack (como Nova, Glance, y Keystone) parecen
rotos con todos los archivos de políticas de API escritos de forma explícita
en archivos policy.json
. Los paquetes ahora incluyen un
directorio /etc/PROJECT/policy.d
que contiene un
archivo 00_default_policy.yaml
. Este archivo tiene
todas las políticas comentadas por omisión.
Para impedir que el antiguo fichero policy.json
esté
activo, los paquetes de OpenStack en Debian renombran este archivo a
disabled.policy.json.old
. En aquellos casos en los que
no se podía hacer nada mejor antes de la publicación el archivo
policy.json
simplemente se borra. Antes de actualizar
se recomienda encarecidamente hacer una copia de seguridad de los archivos
policy.json
en su despliegue.
Puede encontrar más detalles en la documentación original del producto.
A diferencia de las actualizaciones normales de sendmail
, el servicio de sendmail se parará
durante la actualización de buster a bullseye the sendmail. Esto causará que
el servicio no esté disponible durante más tiempo del habitual. Puede leer
algunos consejos genéricos para reducir los tiempos de indisponibilidad en
Sección 4.1.3, “Prepararse para la indisponibilidad de servicios” .
Algunos paquetes se han movido a FUSE 3, esto incluye algunos paquetes como
gvfs-fuse
, kio-fuse
, y sshfs
. Esto provocará que durante la
actualización se instale fuse3
y se
elimine fuse
.
En algunas circunstancias excepciones pueden retenerse los paquetes que
dependen de fuse3
durante la
actualización. Esto puede suceder, por ejemplo, si realiza la actualización
ejecutando sólamente apt-get dist-upgrade en lugar de los
pasos recomendados de actualización en Capítulo 4, Actualizaciones desde Debian 10 (buster). Se
puede resolver la situación si ejecuta de nuevo los pasos que se indican en
Sección 4.4.5, “Actualizar el sistema” con la versión de bullseye de apt
o si los actualiza manualmente.
Starting with version 2.2.27-1, per-user configuration of the
GnuPG
suite has completely moved to
~/.gnupg/gpg.conf
, and
~/.gnupg/options
is no longer in use. Please rename
the file if necessary, or move its contents to the new location.
From Linux
5.10, all users are allowed to create user
namespaces by default. This will allow programs such as web browsers and
container managers to create more restricted sandboxes for untrusted or
less-trusted code, without the need to run as root or to use a setuid-root
helper.
The previous Debian default was to restrict this feature to processes running as root, because it exposed more security issues in the kernel. However, as the implementation of this feature has matured, we are now confident that the risk of enabling it is outweighed by the security benefits it provides.
If you prefer to keep this feature restricted, set the sysctl:
user.max_user_namespaces = 0
Note that various desktop and container features will not work with this
restriction in place, including web browsers, WebKitGTK
,
Flatpak
and GNOME
thumbnailing.
The Debian-specific sysctl
kernel.unprivileged_userns_clone=0
has a similar effect,
but is deprecated.
From Linux
5.10, Debian disables unprivileged calls to
bpf() by default. However, an admin can still change this setting later on,
if needed, by writing 0 or 1 to the
kernel.unprivileged_bpf_disabled
sysctl.
If you prefer to keep unprivileged calls to bpf() enabled, set the sysctl:
kernel.unprivileged_bpf_disabled = 0
For background on the change as default in Debian see bug 990411 for the change request.
The package redmine
is not provided
in bullseye, as it was too late migrating over from the old version of
rails
which is at the end of
upstream support (receiving fixes for severe security bugs only) to the
version which is in bullseye. The Ruby Extras
Maintainers
are following upstream closely and will be releasing a version via backports as soon as it is
released and they have working packages. If you can't wait for this to
happen before upgrading, you can use a VM or container running buster to
isolate this specific application.
Please consider the version of Exim in bullseye a major
Exim upgrade. It introduces the concept of tainted data read from untrusted
sources, like e.g. message sender or recipient. This tainted data (e.g.
$local_part
or $domain
) cannot be
used among other things as a file or directory name or command name.
This will break configurations which are not updated accordingly. Old Debian Exim configuration files also will not work unmodified; the new configuration needs to be installed with local modifications merged in.
Typical nonworking examples include:
Delivery to /var/mail/$local_part
. Use
$local_part_data
in combination with
check_local_user
.
Using
data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
instead of
data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
for a virtual domain alias file.
The basic strategy for dealing with this change is to use the result of a lookup in further processing instead of the original (remote provided) value.
To ease upgrading there is a new main configuration option to temporarily downgrade taint errors to warnings, letting the old configuration work with the newer Exim. To make use of this feature add
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
to the Exim configuration (e.g. to
/etc/exim4/exim4.conf.localmacros
)
before upgrading and check the logfile for taint
warnings. This is a temporary workaround which is already marked for removal
on introduction.
Due to changes in the Linux kernel, the probing of SCSI devices is no longer
deterministic. This could be an issue for installations that rely on the
disk probing order. Two possible alternatives using links in
/dev/disk/by-path
or a udev
rule are suggested in this
mailing list post.
The network protocol of versions 1 and 2 of rdiff-backup
are incompatible. This means that
you must be running the same version (either 1 or 2) of rdiff-backup
locally and remotely. Since buster
ships version 1.2.8 and bullseye ships version 2.0.5, upgrading only the
local system or only the remote system from buster to bullseye will break
rdiff-backup
runs between the two.
Version 2.0.5 of rdiff-backup
is
available in the buster-backports archive, see backports. This enables users to
first upgrade only the rdiff-backup
package on their buster systems, and then independently upgrade systems to
bullseye at their convenience.
The intel-microcode
package
currently in bullseye and buster-security (see DSA-4934-1) is
known to contain two significant bugs. For some CoffeeLake CPUs this update
may
break network interfaces that use firmware-iwlwifi
, and for some Skylake R0/D0
CPUs on systems using a very outdated firmware/BIOS, the
system may hang on boot.
If you held back the update from DSA-4934-1 due to either of these issues,
or do not have the security archive enabled, be aware that upgrading to the
intel-microcode
package in bullseye
may cause your system to hang on boot or break iwlwifi. In that case, you
can recover by disabling microcode loading on boot; see the instructions in
the DSA, which are also in the intel-microcode
README.Debian
.
Packages that depend on libgc1c2
in
buster (e.g. guile-2.2-libs
) may be
held back during the first full upgrade run to bullseye. Doing a second
upgrade normally solves the issue. The background of the issue can be found
in bug #988963.
The fail2ban
package can be
configured to send out e-mail notifications. It does that using
mail, which is provided by multiple packages in Debian. A
security update (needed on systems that use mail from
mailutils
) just before the release
of bullseye broke this functionality for systems that have
mail provided by bsd-mailx
. Users of
fail2ban
in combination with
bsd-mailx
who wish
fail2ban
to send out e-mail should either switch to
a different provider for mail or manually unapply the
upstream commit (which inserted the string "-E 'set
escape'
" in multiple places under
/etc/fail2ban/action.d/
).
Although existing Secure Shell (SSH) connections should continue to work
through the upgrade as usual, due to unfortunate circumstances the period
when new SSH connections cannot be established is longer than usual. If the
upgrade is being carried out over an SSH connection which might be
interrupted, it's recommended to upgrade openssh-server
before upgrading the full system.
The openvswitch
upgrade may fail to
recover bridges after boot. The workaround is:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
For more info, see bug #989720.
Hay algunos paquetes para los que Debian no puede comprometerse a proporcionar versiones actualizadas resolviendo problemas de seguridad. La información de estos paquetes se cubre en las siguientes subsecciones.
Nota | |
---|---|
El paquete |
Debian 11 includes several browser engines which are affected by a steady stream of security vulnerabilities. The high rate of vulnerabilities and partial lack of upstream support in the form of long term branches make it very difficult to support these browsers and engines with backported security fixes. Additionally, library interdependencies make it extremely difficult to update to newer upstream releases. Therefore, browsers built upon e.g. the webkit and khtml engines[6] are included in bullseye, but not covered by security support. These browsers should not be used against untrusted websites. The webkit2gtk and wpewebkit engines are covered by security support.
Para la navegación web general se recomienda utilizar Firefox o Chromium. Se mantendrá actualizadas recompilando las versiones ESR más recientes para estable. La misma estrategia se aplicará a Thunderbird.
Debian bullseye incluye una versión temprana de OpenJDK
17
(la siguiente versión OpenJDK LTS
después de
OpenJDK 11
), para evitar el proceso tedioso de arranque
entre versiones. El plan es que OpenJDK 17
reciba una
actualización en bullseye a la versión que se publique en octubre de 2021. A
esto le seguirá la publicación de actualizaciones de seguridad según lo
permitan los recursos disponibles. Los usuarios no deberían tener la
expectativa de ver actualizaciones de seguridad para cada actualización
cuatrimestral de parches de seguridad.
The Debian infrastructure currently has problems with rebuilding packages of types that systematically use static linking. Before buster this wasn't a problem in practice, but with the growth of the Go ecosystem it means that Go-based packages will be covered by limited security support until the infrastructure is improved to deal with them maintainably.
If updates are warranted for Go development libraries, they can only come via regular point releases, which may be slow in arriving.
No hay una forma directa de cambiar la configuración en la aplicación de
Configuración de GNOME ofrecida por gnome-control-center
sin un dispositivo
apuntador. Como alternativa, puede navegar de la barra lateral al contenido
principal pulsando dos veces Flecha derecha. Para volver a
la barra lateral, puede empezar a escribir con Ctrl+F, escriba
algo y luego pulse Esc para cancelar la búsqueda. Ahora
puede utilizar las teclas Flecha arriba y Flecha
abajo para navegar a la barra lateral. No es posible seleccionar
resultados con el teclado.
El arranque con la opción rescue
requiere la contraseña
de root desde la implementación de sulogin
que se utiliza
desde since buster. El modo rescate no puede utilizarse si no se ha
configurado una contraseña. Sin embargo, aún es posible arrancar con el
párametro del núcleo init=/sbin/sulogin --force
Puede configurar systemd para hacer el equivalente a esto cuando se arranca en modo de rescate (también conocido como modo de un solo usuario, consulte: systemd(1)) ejecutando sudo systemctl edit rescue.service y crear un archivo diciendo simplemente:
[Service] Environment=SYSTEMD_SULOGIN_FORCE=1
También puede ser útil hacer ésto (o en su lugar) en la unidad de servicio
emergency.service
. Esta unidad se ejecuta
automáticamente cuando se producen ciertos errores
(consulte systemd.special(7)),
o cuando se añade la opción emergency
la línea de órdenes
del núcleo (p.ej. si el sistema no puede recuperarse utilizando el modo de
rescate).
Para conocer más del trasfondo de este cambio y leer una discusión sobre las implicaciones de seguridad puede consultar #802211.
The Linux kernel (from version 5.9) no longer supports 32-bit xen
virtual machines using PV
mode. Such virtual machines need to be converted to the
64-bit PC architecture.
You can check which mode a Xen guest is running (inside the virtual machine):
$ cat /sys/hypervisor/guest_type PV
Virtual machines that return, for example, PVH
or
HVM
are not affected.
A continuación se muestra una lista de los paquetes conocidos y notables que ahora están obsoletos (consulte Sección 4.8, “Paquetes obsoletos” para obtener una descripción).
La lista de paquetes obsoletos incluye:
Se ha eliminado el paquete lilo
de
bullseye. El sucesor como cargador de arranque de lilo grub2
.
El gestor de listas Mailman versión 3 es la única versión disponible de
Mailman de esta publicación. Se ha dividido Mailman en distintos
componentes: el componente core está disponible en el paquete mailman3
y el conjunto completo puede obtenerse
a través del metapaquete mailman3-full
.
La versión antigua de Mailman 2.1 ya no está disponible (este solía ser el
paquete mailman
). Esta versión
depende de Python 2 que ya no está disponible en Debian.
Puede consultar instrucciones para hacer la actualización en la documentación de migración del proyecto.
El núcleo Linux no provee soporte para isdn4linux
(i4l).
Como consecuencia de esto se han eliminado del archivo todos los paquetes
relacionados que proporcionan herramientas para el espacio de usuario:
isdnutils
, isdnactivecards
, drdsl
y ibod
.
Ya no se proveen las librerias antiguas libappindicator. Como consecuencia
de ésto ya no están disponibles los paquetes asociados libappindicator1
, libappindicator3-1
y libappindicator-dev
. Es de esperar que esto
cause problemas de dependencias para programas de terceros que siguen
dependiendo de libappindicator para mostrar notificaciones en la barra del
sistema o que necesitan soporte de indicaciones.
Debian utiliza libayatana-appindicator
para reemplazar a
libappindicator. Puede consultar el transfondo técnico en este
anuncio.
Debian ya no provee chef
. Si utiliza
Chef para la gestión de configuraciones, posiblemente el mejor camino de
actualización es utilizar los paquetes disponibles en Chef Inc.
Puede consultar las razones de su eliminación en la solicitud de eliminación.
Python 2 está fuera de su fin de vida y ya no recibe actualizaciones de
seguridad. No hay soporte en aplicaciones que se ejecuten en este intérprete
y los paquetes que dependían de éste se han migrado a Python 3 o se han
eliminado. Sin embargo, Debian bullseye aún incluye la versión de Python
2.7, así como un pequeño conjunto de herramientas de construcción de Python
2 como python-setuptools
. Estos
paquetes están disponibles solamente porque se requiere para los procesos de
construcción de algunos paquetes que aún no han migrado a Python 3.
The aufs-dkms
package is not part of
bullseye. Most aufs-dkms
users
should be able to switch to overlayfs
, which provides
similar functionality with kernel support. However, it's possible to have a
Debian installation on a filesystem that is not compatible with
overlayfs
, e.g. xfs
without
d_type
. Users of aufs-dkms
are advised to migrate away from
aufs-dkms
before upgrading to
bullseye.
The network connection manager wicd
will no longer be available after the upgrade, so to avoid the danger of
losing connectivity users are recommended to switch before the upgrade to an
alternative such as network-manager
or connman
.
Con la publicación de Debian 12 (nombre en clave bookworm) algunas funcionalidades estarán obsoletas. Los usuarios deben migrar a otras alternativas para evitar problemas al actualizar a Debian 12.
Esto incluye las siguientes funcionalidades:
Ya no aplican las justificaciones históricas que llevaban a la necesidad de
tener una organización del sistema de ficheros con directorios
/bin
, /sbin
, y
/lib
separados de sus directorios equivalentes bajo
/usr
. Consulte el resumen
de Freedesktop.org. Debian bullseye será la última publicación de
Debian que proporcione soporte para una organización del sistema de ficheros
en la que usr no está unido a los demás. Aquellos sistemas que tienen una
organización antigua que se han actualizado sin reinstalar pueden utilizar
el paquete usrmerge
para hacer la
conversión si fuera necesario.
bullseye es la última publicación de Debian que incluye la orden
apt-key. Las claves deberían gestionarse dejando los
ficheros en el directorio /etc/apt/trusted.gpg.d
,
utilizando el formato binario tal y como se crea con gpg
--export con la extensión .gpg
, o en formato
ASCII protegido con la extensión .asc
.
Se ha planeado un reemplazado para la orden apt-key list que permita investigar el anillo de claves manualmente, pero aún no se ha empezado a trabajar en éste.
The slapd
database backends slapd-bdb(5),
slapd-hdb(5),
and slapd-shell(5)
are being retired and will not be included in Debian 12. LDAP
databases using the bdb
or hdb
backends should be migrated to the slapd-mdb(5)
backend.
Additionally, the slapd-perl(5) and slapd-sql(5) backends are deprecated and may be removed in a future release.
The OpenLDAP Project does not support retired or deprecated backends. Support for these backends in Debian 11 is on a best effort basis.
Although Debian releases when it's ready, that unfortunately doesn't mean there are no known bugs. As part of the release process all the bugs of severity serious or higher are actively tracked by the Release Team, so an overview of those bugs that were tagged to be ignored in the last part of releasing bullseye can be found in the Debian Bug Tracking System. The following bugs were affecting bullseye at the time of the release and worth mentioning in this document:
Bug number | Package (source or binary) | Description |
---|---|---|
922981 | ca-certificates-java | ca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts |
990026 | cron | cron: Reduced charset in MAILTO causes breakage |
991081 | gir1.2-diodon-1.0 | gir1.2-diodon-1.0 lacks dependencies |
990318 | python-pkg-resources | python-pkg-resources: please add Breaks against the unversioned python packages |
991449 | fail2ban | fix for CVE-2021-32749 breaks systems with mail from bsd-mailx |
982794 | firefox-esr | firefox-esr/armhf: fails on non-NEON systems |
990708 | mariadb-server-10.5,galera-4 | mariadb-server-10.5: upgrade problems due to galera-3 -> galera-4 switch |
980429 | src:gcc-10 | g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65) |
980609 | src:gcc-10 | missing i386-cpuinfo.h |
984574 | gcc-10-base | gcc-10-base: please add Breaks: gcc-8-base (<< 8.4) |
984931 | git-el | git-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7. |
987264 | git-el | git-el: fails to install with xemacs21 |
991082 | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 has empty Depends |
948739 | gparted | gparted should not mask .mount units |
984714 | gparted | gparted should suggest exfatprogs and backport the commit that rejects exfat-utils |
968368 | ifenslave | ifenslave: Option bond-master fails to add interface to bond |
990428 | ifenslave | ifenslave: Bonding not working on bullseye (using bond-slaves config) |
991113 | libpam-chroot | libpam-chroot installs pam_chroot.so into the wrong directory |
989545 | src:llvm-toolchain-11 | libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy |
982459 | mdadm | mdadm --examine in chroot without /proc,/dev,/sys mounted corrupts host's filesystem |
981054 | openipmi | openipmi: Missing dependency on kmod |
948318 | openssh-server | openssh-server: Unable to restart sshd restart after upgrade to version 8.1p1-2 |
991151 | procps | procps: dropped the reload option from the init script, breaking corekeeper |
989103 | pulseaudio | pulseaudio regressed on control=Wave configuration |
984580 | libpython3.9-dev | libpython3.9-dev: missing dependency on zlib1g-dev |
990417 | src:qemu | openjdk-11-jre-headless: running java in qemu s390 gives a SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
859926 | speech-dispatcher | breaks with pulse-audio as output when spawned by speechd-up from init system |
932501 | src:squid-deb-proxy | squid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor |
991588 | tpm2-abrmd | tpm2-abrmd should not use Requires=systemd-udev-settle.service in its unit |
991939 | libjs-bootstrap4 | libjs-bootstrap4: broken symlinks: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
991822 | src:wine | src:wine: dh_auto_clean deletes unrelated files outside of package source |
988477 | src:xen | xen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device |
991788 | xfce4-settings | xfce4-settings: black screen after suspend when laptop lid is closed and re-opened |
[6] These engines are shipped in a number of different source packages and the concern applies to all packages shipping them. The concern also extends to web rendering engines not explicitly mentioned here, with the exception of webkit2gtk and the new wpewebkit.