第 5 章 bullseye 中需要注意的问题

目录

5.1. 升级到 bullseye 时可能出现的问题
5.1.1. XFS 文件系统不再支持 barrier/nobarrier 选项
5.1.2. 安全更新仓库的布局变化
5.1.3. 密码哈希默认使用 yescrypt
5.1.4. NSS NIS 和 NIS+ 支持需要新软件包
5.1.5. Unbound 对配置文件片段的处理
5.1.6. rsync 的废弃参数
5.1.7. Vim 插件处理
5.1.8. OpenStack 和 cgroups v1
5.1.9. OpenStack API 策略文件
5.1.10. 升级时 sendmail 将暂时停机
5.1.11. FUSE 3
5.1.12. GnuPG 选项文件
5.1.13. Linux 默认启用用户名字空间
5.1.14. Linux 默认禁用无特权的 bpf() 调用
5.1.15. redmine 在 bullseye 中缺失
5.1.16. Exim 4.94
5.1.17. SCSI 设备探测是非确定性的
5.1.18. rdiff-backup 需要服务器和客户端同步更新
5.1.19. Intel CPU 微码问题
5.1.20. 涉及 libgc1c2 的升级需要执行两次
5.1.21. fail2ban 无法使用来自 bsd-mailx 的 mail 工具发送电子邮件
5.1.22. 升级过程中无法建立新的 SSH 连接
5.1.23. Open vSwitch upgrade requires interfaces(5) change
5.1.24. 升级后在重启前需要做的事
5.2. 升级过程之外的注意事项
5.2.1. 安全支持上的局限性
5.2.2. 不使用鼠标来访问 GNOME 设置程序
5.2.3. rescue 启动选项在未设置 root 密码时不可用
5.2.4. 32-bit Xen PV guests are not supported
5.3. 废弃与过时内容
5.3.1. 值得注意的过时软件包
5.3.2. bullseye 的废弃组件
5.4. 已知的严重缺陷

有时,新发行版本引入的变化会产生一些我们无法有效避免的副作用,或者是会导致系统在其它地方暴露问题。我们在此记述了一些我们所知道的问题。请同时参阅勘误表,相关软件包之说明文件,错误报告及其它在第 6.1 节 “扩展阅读”中所提及的信息。

5.1. 升级到 bullseye 时可能出现的问题

本节介绍从 buster 升级到 bullseye 的相关问题。

5.1.1. XFS 文件系统不再支持 barrier/nobarrier 选项

XFS 文件系统已经移除对 barriernobarrier 挂载选项的支持。请查看系统中的 /etc/fstab 文件、查找是否存在这些关键词并移除它们。继续采用这些选项的分区将无法挂载。

5.1.2. 安全更新仓库的布局变化

对 bullseye 系统来说,安全更新套装已从 codename/updates 重命名为 bullseye-security;用户应该在升级的同时相应更改 APT source-list 文件。

您的 APT 配置文件中与安全更新相关的行应当设置为如下所示:

deb https://deb.debian.org/debian-security bullseye-security main contrib

如果您的 APT 配置还含有关于 pinning 或者 APT::Default-Release 的内容,则可能也需要进行调整,因为安全更新仓库的版本代号不再与普通仓库相同。对于 bullseye 而言,一个可行的 APT::Default-Release 行类似于:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

5.1.3. 密码哈希默认使用 yescrypt

用于本地系统帐号的默认密码哈希已从 SHA-512 变更yescrypt(参见 crypt(5))。预期这项修改将提供对基于字典的密码猜测攻击的更好保护,可以提升针对攻击的时间和空间复杂性。

如需应用这一项安全措施,仅需修改一次本地密码。例如,使用 passwd 命令。

旧密码将继续正常工作,并不受到创建密码时采用的密码哈希类型的影响。

Debian 10(Buster)不支持 yescrypt。因此,shadow 密码文件(/etc/shadow)不可从一个 bullseye 系统复制到另一个 buster 系统上。如果这样复制了文件,在 bullseye 系统上修改过的密码将无法在 buster 系统上正常使用。类似地,不能从 bullseye 系统复制并在 buster 系统上粘贴对应的密码哈希。

如果需要跨 bullseye 和 buster 系统密码哈希的兼容性,请手动修改 /etc/pam.d/common-password 文件。找到如下字样的行:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

并使用 sha512 替换 yescrypt

5.1.4. NSS NIS 和 NIS+ 支持需要新软件包

NSS NISNIS+ 支持已移动至单独的 libnss-nislibnss-nisplus 软件包中。令人遗憾的是 glibc 不能依赖这些软件包,所以它们仅被推荐安装。

在正在使用 NISNIS+ 的系统上,推荐在系统更新后检查这些软件包是否已经正确安装。

5.1.5. Unbound 对配置文件片段的处理

DNS 解析工具 unbound 更改了处理配置文件片段的方式。如果您依赖 include: 指令以将多个片段合并成一个有效的配置,请阅读 the NEWS file 了解具体信息。

5.1.6. rsync 的废弃参数

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.7. Vim 插件处理

历史上,vim 的插件由 vim-scripts 软件包提供;它们现在由 Vim 的原生 package 功能而非 vim-addon-manager 管理。Vim 用户应该按照 NEWS 文件 给出的步骤在升级前进行相应的准备。

5.1.8. OpenStack 和 cgroups v1

OpenStack Victoria(随 bullseye 提供)需要 cgroup v1 以用于块设备 QoS。因 bullseye 同时变更为默认使用 cgroupv2(参见 第 2.2.4 节 “控制组 v2”),在 /sys/fs/cgroup 中的 sysfs 树将不再包含 cgroup v1 的功能,如 /sys/fs/cgroup/blkio;这将导致 cgcreate -g blkio:foo 命令运行失败。对正在运行 nova-computecinder-volume 软件包的 OpenStack 节点,强烈建议将 systemd.unified_cgroup_hierarchy=falsesystemd.legacy_systemd_cgroup_controller=false 的参数加入内核命令行中以覆盖默认配置并恢复旧有的 cgroup 层级结构。

5.1.9. OpenStack API 策略文件

跟随上游的建议,随 bullseye 发布的 OpenStack Victoria 将 OpenStack API 切换到了使用新的 YAML 格式。这导致大多数 OpenStack 服务,包括 Nova、Glance 和 Keystone,将无法和以 policy.json 格式文件编写的 API 策略共同工作。因此,软件包现在提供了 /etc/PROJECT/policy.d 文件夹和其中的 00_default_policy.yaml 文件,其中所有策略内容都默认处于注释状态。

为了免旧有的 policy.json 文件处于活动状态,Debian 的 OpenStack 软件包会将该文件重命名为 disabled.policy.json.old。在某些没有更好的升级策略的场景下,升级甚至会直接删除 policy.json 文件。所以在升级系统之前,我们强烈建议您事先备份已部署机器上的 policy.json 文件。

更多详细信息可以在上游文档中找到。

5.1.10. 升级时 sendmail 将暂时停机

sendmail 软件包的普通升级有所不同,本次系统从 buster 升级为 bullseye 的过程中将停止 sendmail 服务,导致比通常情况更长的服务暂停。如需了解缩短停机时间的通用建议,请参考第 4.1.3 节 “准备服务停机”

5.1.11. FUSE 3

包括 gvfs-fusekio-fusesshfs 在内的部分软件包已经切换至使用 FUSE 3。在升级过程中,这将导致系统自动安装 fuse3 并卸载 fuse 软件包。

在某些特殊场景下,例如仅运行 apt-get dist-upgrade 命令进行系统升级而非按照第 4 章 从 Debian 10(buster)升级一节所描述的步骤升级的情况下,依赖 fuse3 的软件包可能在升级时维持在就版本。这时,使用 bullseye 提供的 apt 工具再次运行第 4.4.5 节 “升级系统”一节所描述的步骤或者手动升级相关的软件包可以解决这一问题。

5.1.12. GnuPG 选项文件

从 2.2.27-1 版本开始,GnuPG 套件的用户配置文件已移动至 ~/.gnupg/gpg.conf,且 ~/.gnupg/options 已不再使用。如有必要,请重命名文件,或者将其内容移动至新位置。

5.1.13. Linux 默认启用用户名字空间

Linux 5.10 版本之后,所有用户默认可以创建用户名字空间。此项功能可帮助网页浏览器和容器管理器等程序为不受信任的或可信程度较低的代码创建更加严格的沙盒环境,而无需以 root 身份运行或者使用 setuid-root 帮助程序。

先前版本的 Debian 默认只允许 root 身份的进程使用该项功能,因其暴露了内核中更多的安全问题。然而随着这项功能实现的成熟,我们现在有信心认为启用它的风险小于其带来的提升系统安全的好处。

如果您想要仍然限制这项特性,请设置如下 sysctl 参数:

user.max_user_namespaces = 0
      

请注意一些桌面和容器的特性在这项功能受限的情况下将无法工作,包括网页浏览器、WebKitGTKFlatpakGNOME 缩略图。

Debian 特有的 sysctl kernel.unprivileged_userns_clone=0 也能起到类似的作用,但该配置方式已经弃用。

5.1.14. Linux 默认禁用无特权的 bpf() 调用

Linux 5.10 开始,Debian 默认禁用非特权用户的 bpf() 调用。然而,如有需要,管理员仍可通过向 kernel.unprivileged_bpf_disabled sysctl 写入 0 或者 1 来改变此设定。

如果您希望仍然启用无特权的 bpf() 调用,请设置如下 sysctl 参数:

kernel.unprivileged_bpf_disabled = 0
      

如需了解该项默认值变更在 Debian 中的背景信息,请参见 #990411

5.1.15. redmine 在 bullseye 中缺失

软件包 redmine 不在 bullseye 主源中提供,因没有足够时间从上游停止支持(只接受对严重安全问题修复的 bug)的旧版 rails 软件包到 bullseye 中的对应软件包迁移。Ruby Extras 团队的维护者计划跟随上游的更新并稍后通过 backports 途径在 bullseye 中提供可用的软件包。如果您无法等待 backports 提供的版本,您可以先使用运行 buster 系统的虚拟机或容器单独处理这个应用程序。

5.1.16. Exim 4.94

请将 bullseye 中的 Exim 更新视为一次重大的 Exim 更新。这次更新引入了受污染数据(tainted data)的概念,也就是从不受信任的来源(例如消息发送方或者接收方)读取的数据。这类受污染的数据(例如 $local_part 或者 $domain)将无法和其他字符串共同作为文件名、目录名,或者命令名使用。

未进行针对性更新的配置将无法工作。旧的 Debian Exim 配置文件在未经修改的情况下也将无法工作;用户需要安装新的配置文件,并合并本地改动。

典型的无法工作的例子包括:

  • 投递到 /var/mail/$local_part。请使用 $local_part_data 以及 check_local_user

  • 使用

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    代替

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    作为虚拟域的别名文件。

处理这一改变的基本策略是使用 lookup 的结果进行进一步处理,而不是原本的(由远程提供的)值。

为了方便升级,有一个新的主配置选项,可以临时将 taint error 降为 warning,使得旧的配置能够在新的 Exim 中工作。要使用这个功能,在升级前添加

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

到 Exim 配置文件中(例如 /etc/exim4/exim4.conf.localmacros),并检查日志文件中是否有 taint warning。这是一个临时的解决方法,该功能在引入时就已经被标记为待删除了。

5.1.17. SCSI 设备探测是非确定性的

由于 Linux 内核的改动,对 SCSI 设备的探测不再是确定性的。这可能给依赖磁盘探测顺序的安装带来问题。两个可能的替代方案是使用 /dev/disk/by-path 中的链接,或者使用这个邮件列表帖子中的 udev 规则。

5.1.18. rdiff-backup 需要服务器和客户端同步更新

rdiff-backup 版本 1 和 2 的网络协议不兼容。这意味着本地和远程的 rdiff-backup 必须是相同版本(1 或者 2)。鉴于 buster 中的版本是 1.2.8 而 bullseye 中的版本是 2.0.5,仅将本地或远程的系统从 buster 升级到 bullseye 将使得 rdiff-backup 无法在二者间通讯。

可以从 buster-backports 仓库安装 rdiff-backup 2.0.5,参见 backports。这使得用户能够在 buster 系统上先仅升级 rdiff-backup 软件包,然后在方便的时候将各个系统独立地升级到 bullseye。

5.1.19. Intel CPU 微码问题

当前位于 bullseye 和 buster-security(参见 DSA-4934-1)中的 intel-microcode 软件包存在两个已知的严重问题。 对某些 CoffeeLake 处理器,这次更新可能导致使用 firmware-iwlwifi 的网络设备无法正常工作,另外,对于某些使用 Skylake R0/D0 处理器以及非常老旧的固件/BIOS 的系统,系统可能在启动时挂起

如果您因为以上问题之一而没有安装来自 DSA-4934-1 的更新,或者您没有启用安全更新仓库,请注意,将 intel-microcode 软件包升级到 bullseye 可能导致您的系统在启动时挂起,或者导致 iwlwifi 无法使用。如果出现这种情况,您可以通过禁止在启动时加载微码来解决;参见 DSA 中的指引,或者阅读 intel-microcodeREADME.Debian

5.1.20. 涉及 libgc1c2 的升级需要执行两次

在 buster 中依赖 libgc1c2 的软件包(例如 guile-2.2-libs)可能在升级到 bullseye 时的首次 full upgrade 的过程中被阻止升级。进行第二次升级通常会解决问题。此问题的背景可以在缺陷 #988963 中找到。

5.1.21. fail2ban 无法使用来自 bsd-mailx 的 mail 工具发送电子邮件

fail2ban 软件包可以配置为启用邮件通知。它通过调用 mail 实现此功能,此命令通过 Debian 中的多个软件包提供。Bullseye 发布前的一项安全更新(对于使用 mailutils 中的 mail 命令的系统是必需的)破坏了使用 bsd-mailx 中的 mail 命令的系统的此项功能。使用 fail2banbsd-mailx 且需要 fail2ban 发送邮件通知的用户需要切换提供 mail 的软件包,或者手动撤销此上游提交(即在 /etc/fail2ban/action.d/ 中的多个文件中加入字符串"-E 'set escape'")带来的变更。

5.1.22. 升级过程中无法建立新的 SSH 连接

由于某些不幸的因素,虽然和以往一样,现有的 Secure Shell(SSH)连接可以在升级过程中继续工作,但是在升级过程中,无法建立新的 SSH 连接的时间比以往要长。如果升级是通过可能被中断的 SSH 连接进行的,建议在进行全系统升级前升级 openssh-server 软件包。

5.1.23. Open vSwitch upgrade requires interfaces(5) change

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

5.1.24. 升级后在重启前需要做的事

apt full-upgrade 完成时,形式上的升级就完成了。对于向 bullseye 的升级而言,重启前没有什么特别的操作需要完成。

5.2. 升级过程之外的注意事项

5.2.1. 安全支持上的局限性

有一些软件包,Debian 不能保证针对安全漏洞提供最小的向后移植。这些将在以下小节中介绍。

[注意]注意

debian-security-support 软件包可帮助跟踪已安装软件包的安全支持状态。

5.2.1.1. 网页浏览器及其渲染引擎的安全支持状态

Debian 11 包含几个浏览器引擎,长期以来安全漏洞断续发生。高比例的漏洞,加上上游对长期分支支持不力,使得向后移植这些浏览器的安全补丁非常困难。此外,库的相互依赖性使得无法更新到较新的上游版本。因此,构建在(包括但不限于)webkit 和 khtml 引擎[6]上的浏览器在 bullseye 中有包含,但不提供安全支持。这些浏览器不应用于不受信任的网站。webkit2gtk 和 wpewebkit 引擎提供安全支持。

对于通用网页浏览器,我们推荐 Firefox 和 Chromium。这些软件将使用最新的 ESR 版本持续在 stable 中予以更新。这同样适用于 Thunderbird。

5.2.1.2. OpenJDK 17

Debian bullseye 提供了 OpenJDK 17 的一个预先发布版本(这是预期的下一个 OpenJDK LTS 版本,上一个版本则是 OpenJDK 11)以避免冗杂的自举流程。当前的计划是在 bullseye 中持续更新 OpenJDK 17 直至上游在 2021 年 10 月发布最终正式版本,之后则尽力提供安全更新,但并不会保证跟随每个季度发布的安全更新。

5.2.1.3. 基于 Go 的软件包

Debian 当前的基础架构在重新构建系统化使用静态链接的软件包时存在一些问题。在 buster 之前这在实际操作中並不算是问题;但随着 Go 生态系统的成长,基于 Go 的软件包将只能得到有限的安全支持,直到基础架构得到改进使得这些软件包更加易于维护。

如果 Go 开发库需要更新,这些更新只能通过定期的小版本更新提供,整个更新周期将会拉长。

5.2.2. 不使用鼠标来访问 GNOME 设置程序

如果没有指针设备,用户不能直接改变 gnome-control-center 提供的 GNOME 设置的配置。备用方案是按下右方向键两次以从侧边栏导航至主内容。如需回到侧边栏,您可以使用 Ctrl+F 的键位组合启动搜索,随便输入一些内容,然后按下 Esc 键取消搜索。这时,您可以使用上方向键下方向键在侧边栏中导航。使用键盘无法选中搜索结果。

5.2.3.  rescue 启动选项在未设置 root 密码时不可用

在 buster 及之后的系统上使用的 sulogin 实现导致使用 rescue 选项的系统引导总是需要 root 密码。如果系统未设置 root 密码,救援(rescue)模式将实质上无法使用。然而,用户仍然可以改用 init=/sbin/sulogin --force 内核参数进行引导

要配置 systemd 在进入救援模式(也称作单用户(single)模式,参见 systemd(1))时做出和上述修改等价的操作,运行 sudo systemctl edit rescue.service 并创建一个内容如下的文件:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

您可能也需要(或仅需要)对 emergency.service 单元启用该功能,因为该单元会在出现某些错误时自动启动(参见 systemd.special(7)),也会在内核命令行中添加了 emergency 时(例如无法使用救援模式恢复系统时)启动。

如需了解背景信息以及安全方面的意义,请参见 #802211

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. 废弃与过时内容

5.3.1. 值得注意的过时软件包

以下是已知的和值得注意的过时软件包的列表(有关过时软件包的描述,请参阅第 4.8 节 “过时的软件包”)。

过时的软件包包括:

  • lilo 软件包已从 bullseye 移除。它作为系统引导工具的后继软件是 grub2

  • Mailman 邮件列表管理器套件的版本 3 是本次发布的 Debian 中唯一可用的版本。Mailman 已经被分割成了不同组件;核心组件在软件包 mailman3 中,完整的套装可以通过 mailman3-full 元软件包获得。

    旧的 2.1 版 Mailman 已不可用(它曾经使用 mailman 这个软件包名称)。该分支依赖的 Python 2 支持已从 Debian 中去除。

    如需查阅升级指导,请参考项目的迁移文档。

  • Linux 内核已不再提供 isdn4linux(i4l)支持。相应地,有关的用户软件包 isdnutilsisdnactivecardsdrdslibod 已从软件仓库中删除。

  • 系统不再提供过时的 libappindicator 软件库。相应地,有关的软件包如 libappindicator1libappindicator3-1libappindicator-dev 将不可用。这可能会导致一些仍然依赖 libappindicator 提供系统托盘和指示器支持的第三方软件出现依赖错误。

    Debian 将使用 libayanata-appindicator 作为 libappindicator 的替代品。如需了解技术背景,请阅读此公告

  • Debian 不再提供 chef 软件包。如果您使用 Chef 进行配置管理,最佳的升级路径可能是切换到使用由 Chef Inc 提供的软件包。

    如需了解软件包移除的背景,请阅读该移除请求

  • Python 2 的生命周期已经结束,它也不会得到更多的安全更新。其作为供用户运行的程序已不受支持,且依赖它的软件包均已切换至 Python 3 或被移除。但是,Debian bullseye 仍然包含了某个版本的 Python 2.7 以及一小部分 Python 2 的构建用工具,例如 python-setuptools。提供的这些工具纯粹用于某些尚未转换到 Python 3 的应用程序的构建流程。

  • aufs-dkms 软件包将不作为 bullseye 的一部分出现。大多数 aufs-dkms 用户应当切换至 overlayfs,后者提供了相似的功能且具有内核的支持。然而,某些 Debian 安装实例可能使用了不兼容 overlayfs 的文件系统,如不带有 d_typexfs。我们建议需要使用 aufs-dkms 的用户在升级至 bullseye 之前先进行迁移。

  • 网络连接管理器 wicd 在升级后将不再可用,因此为了避免失去网络连接的风险,建议用户在升级前切换到替代方案,例如 network-manager 或者 connman

5.3.2. bullseye 的废弃组件

随着下一个版本 Debian 12(代号为 Bookworm)的发布,某些功能将被弃用。用户需要迁移到其他替代方案,以防止在更新到 Debian 12 时出现问题。

这包括以下特性:

  • 历史上的一些采用将 /bin/sbin/lib 目录与 /usr 下相应目录区分开来的文件系统布局的理由现在已不成立;请参见 Freedesktop.org 的相应总结。Debian bullseye 将会是最后一个支持 non-merged-usr 布局的 Debian 发布版本;对于采用了历史布局并在升级时并未重装的系统,Debian 提供了 usrmerge 软件包以方便用户在需要的时候进行布局转换。

  • bullseye 是最后一个提供 apt-key 命令的 Debian 版本。今后密钥应当以在 /etc/apt/trusted.gpg.d 目录下存放文件的形式进行提供,密钥文件可以是 gpg --export 命令导出的带有 .gpg 扩展名的二进制格式,也可以是 ASCII 编码的带有 .asc 扩展名的文本文件。

    计划中将会提供替代 apt-key list 命令的手动查询密钥环的新工具,但具体工作尚未开始。

  • slapd 数据库后端 slapd-bdb(5)slapd-hdb(5),以及 slapd-shell(5) 即将被废弃,并且不会被包含于 Debian 12。使用 bdb 或者 hdb 后端的 LDAP 数据库应当被迁移到 slapd-mdb(5) 后端。

    此外,slapd-perl(5) 以及 slapd-sql(5) 后端已被标记为过时,并且可能在未来的某个发布版本中被删除。

    OpenLDAP 项目不支持废弃的或过时的后端。Debian 11 仅对这些后端提供尽力而为的支持。

5.4. 已知的严重缺陷

虽然 Debian 在准备好后发布,不幸的是,这并不意味着不存在已知的缺陷。作为发布过程的一部分,所有严重程度为 serious 及以上的缺陷都受到发布团队的密切跟踪,所以您可以在 Debian 缺陷跟踪系统中找到在 bullseye 发布过程的最后阶段被标记为“已忽略”的缺陷概览。截至发布时,有以下值得在本文档中提及的缺陷影响 bullseye:

缺陷编号软件包(源码包或二进制包)描述
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts
990026croncron: Reduced charset in MAILTO causes breakage
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 lacks dependencies
990318python-pkg-resourcespython-pkg-resources: please add Breaks against the unversioned python packages
991449fail2banfix for CVE-2021-32749 breaks systems with mail from bsd-mailx
982794firefox-esrfirefox-esr/armhf: fails on non-NEON systems
990708mariadb-server-10.5,galera-4mariadb-server-10.5: upgrade problems due to galera-3 -> galera-4 switch
980429src:gcc-10g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10missing i386-cpuinfo.h
984574gcc-10-basegcc-10-base: please add Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264git-elgit-el: fails to install with xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 has empty Depends
948739gpartedgparted should not mask .mount units
984714gpartedgparted should suggest exfatprogs and backport the commit that rejects exfat-utils
968368ifenslaveifenslave: Option bond-master fails to add interface to bond
990428ifenslaveifenslave: Bonding not working on bullseye (using bond-slaves config)
991113libpam-chrootlibpam-chroot installs pam_chroot.so into the wrong directory
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy
982459mdadmmdadm --examine in chroot without /proc,/dev,/sys mounted corrupts host's filesystem
981054openipmiopenipmi: Missing dependency on kmod
948318openssh-serveropenssh-server: Unable to restart sshd restart after upgrade to version 8.1p1-2
991151procpsprocps: dropped the reload option from the init script, breaking corekeeper
989103pulseaudiopulseaudio regressed on control=Wave configuration
984580libpython3.9-devlibpython3.9-dev: missing dependency on zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: running java in qemu s390 gives a SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherbreaks with pulse-audio as output when spawned by speechd-up from init system
932501src:squid-deb-proxysquid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor
991588tpm2-abrmdtpm2-abrmd should not use Requires=systemd-udev-settle.service in its unit
991939libjs-bootstrap4libjs-bootstrap4: broken symlinks: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean deletes unrelated files outside of package source
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: black screen after suspend when laptop lid is closed and re-opened


[6] 这些引擎在多个不同的源软件包中提供,该问题适用于提供这些引擎的所有包。该问题也适用于此处未明确提及的网页渲染引擎,但 webkit2gtk 以及新增的 wpewebkit 除外。