Inhaltsverzeichnis
Manchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Abschnitt 6.1, „Weitere Lektüre“.
Dieser Abschnitt behandelt Themen, die für ein Upgrade von Buster auf Bullseye relevant sind.
Für Intel-GPUs auf Broadwell-Chips oder neuer wird die API für
Hardwarebeschleunigung (VA-API) jetzt standardmäßig über intel-media-va-driver
abgewickelt, um
hardware-beschleunigte Videos zu dekodieren. Systeme, auf denen va-driver-all
installiert ist, werden
automatisch auf den neuen Treiber hochgerüstet.
Das ursprüngliche Treiberpaket i965-va-driver
ist ebenfalls noch verfügbar und
bietet Support bis zur Cannon Lake Mikroarchitektur. Um diesen alten Treiber
gegenüber dem neuen zu bevorzugen, setzen Sie die Umgebungsvariable
LIBVA_DRIVER_NAME
auf i965
, z.B. indem
Sie die Variable in /etc/environment
definieren. Weitere Informationen finden Sie im Wiki unter Hardware Video
Acceleration.
Die Unterstützung für die mount-Optionen barrier
und
nobarrier
wurde aus dem XFS-Dateisystem entfernt. Es wird
empfohlen, zu überprüfen, ob diese Optionen in
/etc/fstab
enthalten sind, und sie in diesem Fall zu
entfernen. Bei Partitionen, für die diese Optionen verwendet werden, wird
das Einbinden (mount) fehlschlagen.
Für Bullseye ist die Security-Suite des Archivs jetzt mit
bullseye-security
benannt (statt dem früheren
; Benutzer
sollten ihre APT source-list-Dateien beim Upgrade entsprechend anpassen.
codename
/updates
Die Security-Zeile in Ihrer APT-Konfiguration könnte für Bullseye so aussehen:
deb https://deb.debian.org/debian-security bullseye-security main contrib
Falls Ihr APT-Konfiguration auch Pinning oder
APT::Default-Release
enthält, sind dabei wahrscheinlich
Anpassungen erforderlich, da der Codename im Security-Archiv nicht mehr mit
dem im regulären Archiv übereinstimmt. Ein Beispiel für eine funktionierende
APT::Default-Release
-Zeile für Bullseye sieht aus wie
folgt:
APT::Default-Release "/^bullseye(|-security|-updates)$/";
which takes advantage of APT's support for regular expressions (inside
/
).
Der Passwort-Hash für lokale Systemkonten wurde geändert und nutzt standardmäßig statt SHA-512 jetzt yescrypt (nähere Infos unter crypt(5)). Wir erwarten, dass dies die Sicherheit gegen wörterbuchbasierte Angriffe zum Erraten von Passwörter erhöht (sowohl was den benötigten Speicher wie auch die für solch einen Angriff nötige Zeit anbetrifft).
Um von diesem Sicherheitsvorteil zu profitieren, sollten Sie Ihre lokalen Passwörter ändern, z.B. mit dem passwd-Befehl.
Alte Passwörter werden weiter funktionieren, unabhängig davon, welcher Passwort-Hash zu deren Erstellung verwendet wurde.
Yescrypt wird nicht von Debian 10 (Buster) unterstützt. Aufgrunddessen
können shadow-Passwortdateien (/etc/shadow
) nicht von
einem Bullseye-System zurück auf ein Buster-System kopiert werden. In einem
solchen Fall würden Passwörter, die unter Bullseye erstellt wurden, unter
Buster nicht funktionieren. Vergleichbar dazu können Passwörter auch nicht
via Kopieren&Einfügen von einem Bullseye- auf ein Buster-System
übertragen werden.
Falls solch eine Kompatibilität zwischen Bullseye und Buster benötigt wird,
müssen Sie /etc/pam.d/common-password
anpassen. Suchen
Sie die folgende Zeile:
password [success=1 default=ignore] pam_unix.so obscure yescrypt
und ersetzen Sie yescrypt
durch
sha512
.
Die Unterstützung für NSS, NIS und
NIS+ wurde in separate Pakete namens libnss-nis
bzw. libnss-nisplus
verschoben. Unglücklicherweise
kann bei glibc
keine Abhängigkeit
auf diese neuen Pakete festgelegt werden, sie werden jetzt von glibc
lediglich empfohlen.
Auf Systemen, die NIS oder NIS+ verwenden, sollte daher nach dem Upgrade kontrolliert werden, ob diese Pakete korrekt installiert sind.
Der DNS-Resolver unbound
hat die Art
geändert, wie mit Konfigurationsdatei-Fragmenten umgegangen wird. Falls Sie
include:
-Regeln verwenden, um einzelne Fragmente in eine
gültige Konfiguration zusammenzuführen, sollten Sie die NEWS-Datei
lesen.
The rsync
parameter
--noatime
has been renamed
--open-noatime
. The old form is no longer supported; if
you are using it you should see the
NEWS file. Transfer processes between systems running different
Debian releases may require the buster side to be upgraded to a version of
rsync
from the backports repository. The
version of rsync
in the initial
release of bullseye also deprecated --copy-devices
in
favor of --write-devices
, but version 3.2.3-4+deb11u1
(included in bullseye point release 11.1) reverts this deprecation and
supports both options.
Die Addons für vim
, bereitgestellt
vom Paket vim-scripts
, werden jetzt
von vim's nativer „package“-Funktionalität verwaltet, statt von
vim-addon-manager
. Vim-Benutzer
sollten sich vor dem Upgrade darauf vorbereiten, Instruktionen dazu sind in
der NEWS-Datei
zu finden.
OpenStack Victoria (enthalten in Bullseye) erfordert cgroup v1 für die
Block-Device QoS-Funktionalität. Da seit Bullseye die Verwendung von
cgroupv2 das Standardverhalten ist (Näheres in Abschnitt 2.2.4, „Control groups v2“),
enthält der sysfs-Verzeichnisbaum in /sys/fs/cgroup
keine cgroupv1-Funktionen wie /sys/fs/cgroup/blkio
, und
aufgrunddessen wird cgcreate -g blkio:foo
fehlschlagen. Für OpenStack-Nodes, auf denen nova-compute
oder cinder-volume
läuft, wird dringend empfohlen,
die Parameter systemd.unified_cgroup_hierarchy=false
und
systemd.legacy_systemd_cgroup_controller=false
zur
Kernel-Befehlszeile hinzuzufügen, um die Standardeinstellungen zu
überschreiben und die alte cgroup-Hierarchie weiter zu verwenden.
Gemäß den Empfehlungen von Upstream wurde die OpenStack API von OpenStack
Victoria (die in Bullseye enthaltene Version) dahingehend geändert, dass
jetzt für Regel-Dateien das neue YAML-Format verwendet wird. Aufgrunddessen
scheinen die meisten OpenStack-Dienste (inklusive Nova, Glance und Keystone)
beschädigt zu sein, wenn die API-Regeln explizit in
policy.json
-Dateien definiert sind. Daher enthalten die
Pakete jetzt ein Verzeichnis /etc/PROJEKTNAME/policy.d
mit einer Datei namens 00_default_policy.yaml
, die alle
Regeln als (standardmäßig) auskommentierte Zeilen enthält.
Um zu vermeiden, dass die alten policy.json
-Dateien
aktiv bleiben, benennen Debian's OpenStack-Pakete diese Datei jetzt um in
disabled.policy.json.old
. In einigen Fällen, für die
zeitnah keine bessere Lösung gefunden werden konnte, wird die
policy.json
sogar einfach gelöscht. Es wird daher
dringend empfohlen, dass Sie vor dem Upgrade Sicherungen der
policy.json
-Dateien auf Ihrem System erstellen.
Weitere Details finden Sie in der Upstream-Dokumentation.
Anders als bei normalen Aktualisierungen von sendmail
wird während des Upgrades von Buster
auf Bullseye der sendmail-Dienst für eine längere Zeit als gewöhnlich
gestoppt. Grundsätzliche Informationen, wie Sie diese Downtime reduzieren
können, finden Sie in Abschnitt 4.1.3, „Vorbereitung auf die Deaktivierung von Diensten“.
Einige Pakete wie gvfs-fuse
,
kio-fuse
und sshfs
haben auf FUSE 3 umgestellt. Das führt
dazu, dass bei diesem Upgrade fuse3
installiert und fuse
vom System
entfernt wird.
Unter besonderen Umständen, z.B. wenn Sie das Upgrade einfach nur durch
Ausführen von apt-get dist-upgrade durchführen, statt
durch die in Kapitel 4, Upgrade von Debian 10 (Buster) dokumentierte Vorgehensweise,
könnten Pakete, die von fuse3
abhängen, zurückgehalten werden. Sie können dies Problem beheben, indem Sie
die Schritte in Abschnitt 4.4.5, „Upgrade des Systems“ mit der apt
-Version aus Bullseye erneut ausführen oder
indem Sie die Pakete händisch aktualisieren.
Beginnend mit Version 2.2.27-1 wurde die benutzerspezifische Konfiguration
der GnuPG
-Suite vollständig auf
~/.gnupg/gpg.conf
umgestellt; die Datei
~/.gnupg/options
wird nicht mehr verwendet. Bitte
benennen Sie die Datei - falls notwendig - um, oder verschieben Sie deren
Inhalt an den neuen Ort.
Ab Linux
5.10 sind alle Benutzer standardmäßig
berechtigt, nutzerspezifische Namensräume (User Namespaces) anzulegen. Dies
erlaubt es Programmen wie Webbrowsern oder Container-Managern, restriktivere
Sandbox-Umgebungen für nicht oder weniger vertrauenswürdigen Code zu
erzeugen, ohne dass sie dabei als root laufen oder ein
setuid-root-Hilfsskript verwenden müssen.
Früher war Debians Standardeinstellung hierbei, diese Funktionalität nur Prozessen zu erlauben, die als root laufen, weil sie weitere Sicherheitsprobleme im Linux-Kernel freigelegt hat. Da die Implementierung dieser Funktion in der Zwischenzeit aber ausgereift ist, sind wir jetzt zuversichtlich, dass das Risiko der allgemeinen Freigabe aufgewogen wird durch den Sicherheitsgewinn, den diese Funktionalität bietet.
Falls Sie es vorziehen, diese Funktion nur auf root beschränkt zu halten, setzen Sie dieses sysctl:
user.max_user_namespaces = 0
Beachten Sie aber, dass verschiedene Desktop- und Containerfunktionalitäten
nicht funktionieren werden, wenn diese Einschränkung in Kraft ist, unter
anderem bei Webbrowsern, WebKitGTK
,
Flatpak
und der Erstellung von Vorschaubildern in
GNOME
.
Das Debian-spezifische sysctl
kernel.unprivileged_userns_clone=0
hat einen ähnlichen
Effekt, ist aber überholt.
Ab Linux
5.10 unterbindet Debian standardmäßig
unpriviligierte Aufrufe von bpf(). Allerdings kann ein Admin dies - falls
erforderlich - später anpassen, indem der Sysctl
kernel.unprivileged_bpf_disabled
auf 0 oder 1 gesetzt
wird.
Falls Sie unpriviligierte Aufrufe von bpf() weiter erlauben möchten, setzen Sie diesen Sysctl:
kernel.unprivileged_bpf_disabled = 0
Hintergrundinformationen zur dieser Änderung der Standardeinstellung finden Sie im Fehlerbericht #990411, in dem diese Änderung angefordert wurde.
Das Paket redmine
wird in Bullseye
nicht angeboten, da es zu spät war, um von der alten rails
-Version (die das Ende der Unterstützung
durch die Upstream-Autoren erreicht hat und nur noch begrenzt Korrekturen
für Sicherheitsprobleme erhält) auf die neue, in Bullseye enthaltene Version
zu migrieren. Die Betreuer von Ruby Extras
sind dicht an
den Upstream-Autoren dran und werden eine neue Version über backports veröffentlichen,
sobald sie freigegeben ist und die Pakete funktionieren. Falls Sie mit einem
Upgrade darauf nicht warten möchten, können Sie eine VM (virtuelle Maschine)
oder einen Container nutzen, in dem Buster läuft, um diese spezielle
Anwendung zu isolieren.
Bitte sehen Sie die Bullseye-Version von Exim als
großes Exim-Upgrade an. Sie führt ein Konzept ein, das
von nicht-vertrauenswürden Quellen empfangene Daten als unrein ansieht, wie
z.B. Nachrichtenabsender oder Empfänger. Solche unreinen Daten
(z.B. $local_part
oder $domain
) können
nicht als Teil von Datei- oder Verzeichnisname oder Befehlsnamen genutzt
werden.
Dies wird Konfigurationen unbrauchbar machen, die nicht entsprechend angepasst werden. Alte Exim-Konfigurationsdateien werden unverändert auch nicht mehr funktionieren; die neue Konfiguration muss installiert und lokale Änderungen dann erneut eingepflegt werden.
Typische Beispiele, die nicht mehr funktionieren werden:
Auslieferung an /var/mail/$local_part
. Verwenden Sie
stattdessen $local_part_data
in Kombination mit
check_local_user
.
die Verwendung von
data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
statt
data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
für die Alias-Datei einer virtuellen Domain.
Die zugrunde liegende Strategie, mit dieser Änderung umzugehen ist, das Ergebnis einer zusätzlicher Abfrage zu verwenden, statt dem (von extern empfangenen) Originalwert.
Um das Upgrade zu erleichtern, gibt es eine neue Haupt-Konfigurationsoption, die solche Unreine-Daten-Fehler auf Warnungen herabstuft, und die es somit ermöglicht, die alte Konfiguration mit der neuen Exim-Version laufen zu lassen. Um diese Funktion zu nutzen, fügen Sie
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
zu Ihrer Exim-Konfiguration (z.B. zu
/etc/exim4/exim4.conf.localmacros
) hinzu,
bevor Sie das Upgrade starten, und schauen Sie in der
Logdatei nach solchen Warnungen. Dies ist nur ein vorübergehender
Workaround, der bereits wieder zur Löschung vorgesehen ist.
Aufgrund von Änderungen im Linux-Kernel ist das Ergebnis der Erkennung von
SCSI-Geräten nicht mehr deterministisch (sicher vorhersagbar). Dies könnte
ein Problem sein für Installationen, die sich auf die Reihenfolge der
erkannten Geräte verlassen. Zwei mögliche Alternativen sind die Verwendung
von Links in /dev/disk/by-path
oder einer udev
-Regel, wie in diesem
Mailinglisten-Beitrag empfohlen.
Die Netzwerk-Protokolle der Versionen 1 und 2 von rdiff-backup
sind inkompatibel. Das bedeutet,
dass Sie lokal und fern die gleiche Version (entweder 1 oder 2) von
rdiff-backup
verwenden müssen. Da
Buster die Version 1.2.8 enthält und Bullseye die Version 2.0.5, werden
rdiff-backup
-Läufe nicht mehr
funktionieren, wenn Sie nur das lokale System oder nur das ferne System von
Buster auf Bullseye hochrüsten.
Die Version 2.0.5 von rdiff-backup
ist im buster-backports-Archiv verfügbar, siehe backports. Dies gibt Ihnen die
Möglichkeit, zuerst nur das rdiff-backup
-Paket auf Ihren Buster-Systemen
hochzurüsten, und dann unabhängig voneinander die Systeme auf Bullseye
hochzuziehen.
Das aktuell in bullseye und buster-security enthaltene intel-microcode
-Paket (schauen Sie unter DSA-4934-1) hat
bekanntermaßen zwei gravierende Fehler. Für einige CoffeeLake-CPUs könnte
dieses Update Netzwerkschnittstellen
außer Funktion setzen , die firmware-iwlwifi
verwenden, und bei einigen
Skylake-R0/D0-CPUs auf Systemen mit stark veralteter Firmware (BIOS) könnte
das System beim Booten hängen bleiben.
Wenn Sie das Update von DSA-4934-1 wegen eines dieser Probleme
zurückgehalten haben, oder das Security-Archiv nicht aktiviert haben, seien
Sie gewarnt, dass beim Upgrade des intel-microcode
-Pakets auf die Bullseye-Version
Ihr System beim Booten hängen könnte oder iwlwifi-Schnittstellen nicht mehr
funktionieren könnten. In diesem Fall können Sie das System
wiederherstellen, indem Sie das Laden von Microcode beim Booten
deaktivieren; schauen Sie in die Anweisungen in der DSA (oder in die
README.Debian
-Datei im intel-microcode
-Paket).
Pakete, die in Buster von libgc1c2
abhängen (z.B. guile-2.2-libs
),
könnten beim ersten vollständigen Upgrade-Durchlauf auf Bullseye
zurückgehalten werden. Das Upgrade ein weiteres Mal zu starten, sollte das
Problem beheben. Hintergrundinfos zu diesem Problem finden Sie im Fehlerbericht #988963.
Das fail2ban
-Paket kann konfiguriert
werden, E-Mail-Benachrichtigungen zu versenden. Es verwendet dazu
mail, das von verschiedenen Paketen in Debian
bereitgestellt wird. Eine Sicherheitsaktualisierung direkt vor der
Veröffentlichung von Bullseye (erforderlich auf Systemen, die
mail aus dem Paket mailutils
nutzen) hat diese Funktionalität für
Systeme beschädigt, die mail aus dem bsd-mailx
-Paket verwenden. Nutzer von
fail2ban
in Kombination mit
bsd-mailx
, die möchten, dass
fail2ban
E-Mails versendet, sollten entweder auf
ein anderes Paket wechseln, das mail bereitstellt, oder
den
Upstream commit rückgängig machen, der die Zeichenfolge "-E
'set escape'
" an mehreren Stellen in
/etc/fail2ban/action.d/
hinzugefügt hat.
Obwohl bereits vorhandene Secure-Shell- (SSH) Verbindungen während des
Upgrades wie gewohnt weiter funktionieren sollten, ist aufgrund
unglücklicher Umstände die Zeitspanne, während derer keine neuen
SSH-Verbindungen aufgebaut werden können, länger wie sonst. Falls das
Upgrade über eine SSH-Verbindung ausgeführt wird, die währenddessen unter
Umständen unterbrochen werden könnte, wird empfohlen, das Paket openssh-server
separat zu aktualisieren, bevor
das vollständige System-Upgrade gestartet wird.
The openvswitch
upgrade may fail to
recover bridges after boot. The workaround is:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
For more info, see bug #989720.
Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass minimale Rückportierungen zur Behebung von Sicherheitslücken in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.
Anmerkung | |
---|---|
Das Paket |
Debian 11 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf Engines wie „webkit“, „qtwebkit“ und „khtml“[6] aufbauen, sind daher in Bullseye zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen. Die webkit2gtk- und wpewebkit-Engines sind jedoch von der Sicherheitsunterstützung abgedeckt.
Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.
Debian Bullseye enthält eine Vorabversion von OpenJDK 17
(die nächste zu erwartende LTS
-Version nach
OpenJDK 11
), um den ziemlich lästigen Bootstrap-Prozess
zu vermeiden. Der Plan für Debian Bullseye ist, für OpenJDK
17
eine Aktualisierung auf die finale Upstream-Version zu
bekommen, die für Oktober 2021 angekündigt ist. Anschließend beabsichtigen
wir, soweit möglich Sicherheitsaktualisierungen hierfür bereitzustellen,
aber Benutzer sollten keine regelmäßigen quartalsmäßigen Updates erwarten.
Debian's Infrastruktur hat derzeit Probleme beim Neubau von Paketentypen, die systematischen Gebrauch von statischer Verlinkung machen. Vor Buster war dies in der Praxis noch kein Thema, aber das Anwachsen des Go-Ecosystems bedeutet, dass Go-basierte Pakete jetzt nur noch eingeschränkt von Debians Sicherheitsunterstützung abgedeckt sein werden, bis die Infrastruktur dahingehend entsprechend verbessert wurde.
Falls Aktualisierungen für Go-Development-Bibliotheken zugesichert werden, können diese nur im Rahmen von Zwischenveröffentlichungen ausgeliefert werden, was solche Updates zeitlich verzögern können.
Ohne Zeigegerät/Maus gibt es keinen direkten Weg, um Einstellungen im
GNOME-Einstellungen-Programm (aus dem gnome-control-center
-Paket) durchzuführen. Um
dieses Problem zu umgehen, können Sie von der Seitenleiste (links) zum
Hauptfenster navigieren, indem Sie zweimal die Taste Pfeil
rechts drücken. Um zurück zur Seitenleiste zu gelangen, öffnen Sie
eine Suche mittels Strg+F, tippen
irgendetwas ein, und drücken dann Esc, um die Suche
abzubrechen. Jetzt können Sie die Tasten Pfeil hoch und
Pfeil runter benutzen, um in der Seitenleiste zu
navigieren. Es ist leider nicht möglich, Suchergebnisse über die Tastatur
auszuwählen.
Mit der Implementation von sulogin
, die seit Buster
genutzt wird, erfordert das Booten mit der rescue
-Option
immer ein root-Passwort. Falls keins festgelegt wurde, führt dies dazu, dass
der Rescue-Modus letztlich nicht nutzbar ist. Allerdings ist es trotzdem
möglich, mit dem Kernel-Parameter init=/sbin/sulogin
--force
zu booten.
Um etwas vergleichbares zu erreichen, wann immer systemd im Rescue-Modus bootet, (auch bekannt als Single-Mode; siehe systemd(1)), führen Sie sudo systemctl edit rescue.service aus und erstellen eine Datei, die folgendes enthält:
[Service] Environment=SYSTEMD_SULOGIN_FORCE=1
Es könnte aber auch (oder stattdessen) nützlich sein, dies für die
emergency.service
-Unit durchzuführen, die im Falle
bestimmter Fehler (siehe systemd.special(7))
automatisch gestartet wird, oder falls
emergency
zur Kernel-Befehlszeile hinzugefügt wird (also
z.B. in Fällen, wenn das System nicht über den Rescue-Modus wiederbelebt
werden kann).
Hintergrundinformationen und eine Diskussion über diesbezügliche Sicherheitsaspekte finden Sie unter #802211.
The Linux kernel (from version 5.9) no longer supports 32-bit xen
virtual machines using PV
mode. Such virtual machines need to be converted to the
64-bit PC architecture.
You can check which mode a Xen guest is running (inside the virtual machine):
$ cat /sys/hypervisor/guest_type PV
Virtual machines that return, for example, PVH
or
HVM
are not affected.
Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).
Zu diesen Paketen gehören:
Das lilo
-Paket wurde aus Bullseye
entfernt. Sein Nachfolger als Bootloader ist grub2
.
Die Version 3 des Mailinglisten-Managers Mailman ist die einzige verfügbare
in dieser Veröffentlichung. Mailman wurde in mehrere Komponenten
aufgesplittet; der Kern ist im mailman3
-Paket enthalten, während über das
Metapaket mailman3-full
die
komplette Suite installiert werden kann.
Die alte Mailman-Version 2.1 ist nicht mehr verfügbar (dies war das Paket
mailman
). Diese Version hat eine
Abhängigkeit von Python 2, welches nicht mehr in Debian enthalten ist.
Für Instruktionen zur Aktualisierung lesen Sie Mailman's Migrationsdokumentation.
Der Linux-Kernel bietet keine Unterstützung mehr für
isdn4linux
(i4l). Daher wurden auch die Userland-Pakete
isdnutils
, isdnactivecards
, drdsl
und ibod
aus den Archiven entfernt.
Die veralteten libappindicator-Bibliotheken werden nicht länger
angeboten. Als Ergebnis sind die zugehörigen Pakete libappindicator1
, libappindicator3-1
und libappindicator-dev
ebenfalls nicht mehr
verfügbar. Dies wird vermutlich zu Paketabhängigkeits-Problemen bei
Fremdsoftware führen, die noch von libappindicator abhängen, um
Benachrichtigungen oder Systemanzeigen (system tray) zu unterstützen.
Debian verwendet libayatana-appindicator
als Nachfolger für
libappindicator. Für weitere technische Hintergrundinformationen lesen Sie
diese
Ankündigung.
Debian bietet das Paket chef
nicht
mehr an. Wenn Sie chef für Ihr Konfigurations-Management verwenden, ist die
beste Variante für ein Upgrade vermutlich die, auf Pakete von Chef Inc hochzurüsten.
Hintergrundinformationen zur Entfernung finden Sie im Removal request.
Python 2 hat das Ende seiner Lebenszeit bereits überschritten, und wird
keine Sicherheitsaktualisierungen mehr erhalten. Es wird nicht mehr
unterstützt, um Anwendungen laufen zu lassen und Pakete, die darauf
aufbauen, sind entweder auf Python 3 konvertiert oder entfernt
worden. Allerdings enthält Debian Bullseye noch die Version Python 2.7,
sowie eine kleinere Anzahl von Bauwerkzeugen für Python 2, wie
z.B. python-setuptools
. Diese sind
jedoch nur vorhanden, da sie noch benötigt werden, um einige wenige
Anwendungen zu bauen, die noch nicht auf Python 3 konvertiert wurden.
Das aufs-dkms
-Paket ist nicht Teil
von Bullseye. Die meisten aufs-dkms
-Nutzer sollten nach
overlayfs
wechseln können, das eine ähnliche
Funktionalität mit Kernel-Unterstützung bietet. Allerdings kann es
Debian-Installationen geben, die auf einem Dateisystem liegen, welches nicht
mit overlayfs
kompatibel ist, z.B. xfs
ohne d_type
. Nutzer von aufs-dkms
werden daher aufgefordert, vor dem
Upgrade auf Bullseye von aufs-dkms
zu einer Alternative zu migrieren.
The network connection manager wicd
will no longer be available after the upgrade, so to avoid the danger of
losing connectivity users are recommended to switch before the upgrade to an
alternative such as network-manager
or connman
.
Mit der nächsten Veröffentlichung von Debian 12 (Codename Bookworm) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 12 zu vermeiden.
Dazu gehören folgende Funktionalitäten:
Die alten Rechtfertigungen für das Dateisystem-Layout mit den Verzeichnissen
/bin
, /sbin
und
/lib
getrennt von ihren Äquivalenten in
/usr
gelten heutzutage nicht mehr; lesen Sie dazu
Freedesktop.org
summary. Debian Bullseye wird die letzte Debian-Veröffentlichung
sein, die das alte Layout unterstützt, in dem oben erwähnte Verzeichnisse
nicht unter /usr zusammengeführt sind (non-merged-usr layout). Für Systeme,
die dieses alte Layout verwenden, und die ohne Neuinstallation auf Bullseye
hochgerüstet werden, gibt es das usrmerge
-Paket, das - falls gewünscht - die
Umstellung durchgeführt.
Bullseye ist die letzte Debian-Version, die apt-key
enthält. Die Schlüsselverwaltung sollte stattdessen über Dateien erfolgen,
die in /etc/apt/trusted.gpg.d
abgelegt werden (in
binärer Form, wie sie von gpg --export mit einer
.gpg
-Dateierweiterung erzeugt werden, oder in
verschlüsseltem ASCII mit .asc
-Erweiterung.
Ein Ersatz für apt-key list, um den Schlüsselring händisch untersuchen zu können, ist in Planung, aber die Arbeit dafür hat noch nicht begonnen.
Die slapd
Datenbank-Backends slapd-bdb(5),
slapd-hdb(5)
und slapd-shell(5)
sind zurückgezogen worden und werden nicht in Debian 12
enthalten sein. LDAP-Datenbanken, die das bdb
- oder das
hdb
-Backend verwenden, sollten nach slapd-mdb(5)
migriert werden.
Desweiteren sind die slapd-perl(5)- und slapd-sql(5)-Backends veraltet und könnten in zukünftigen Veröffentlichungen entfernt werden.
Das OpenLDAP-Projekt unterstützt keine zurückgezogenen oder veralteten Backends. Die Unterstützung für diese Backends in Debian 11 erfolgt lediglich auf Best-Effort-Basis (wir tun, was wir können).
Obwohl Debian-Veröffentlichungen nur freigegeben werden, wenn sie fertig sind, heißt dies unglücklicherweise nicht, dass keine bekannten Fehler existieren. Als Teil des Release-Prozesses werden alle Fehler mit Schweregrad serious oder höher aktiv vom Release-Team verfolgt, daher gibt es in Debians Fehlerdatenbank einen Überblick all der Fehler, die im letzten Schritt der Freigabe von bullseye als "zu ignorieren" gekennzeichnet wurden. Folgende Fehler betreffen bullseye zum Zeitpunkt der Veröffentlichung und sollten hier erwähnt werden:
Fehlernummer | Quell- oder Binärpaket | Beschreibung |
---|---|---|
922981 | ca-certificates-java | ca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts |
990026 | cron | cron: Reduced charset in MAILTO causes breakage |
991081 | gir1.2-diodon-1.0 | gir1.2-diodon-1.0 lacks dependencies |
990318 | python-pkg-resources | python-pkg-resources: please add Breaks against the unversioned python packages |
991449 | fail2ban | fix for CVE-2021-32749 breaks systems with mail from bsd-mailx |
990708 | mariadb-server-10.5,galera-4 | mariadb-server-10.5: upgrade problems due to galera-3 -> galera-4 switch |
980429 | src:gcc-10 | g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65) |
980609 | src:gcc-10 | missing i386-cpuinfo.h |
984574 | gcc-10-base | gcc-10-base: please add Breaks: gcc-8-base (<< 8.4) |
984931 | git-el | git-el,elpa-magit: fails to install: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7. |
987264 | git-el | git-el: fails to install with xemacs21 |
991082 | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 has empty Depends |
948739 | gparted | gparted should not mask .mount units |
984714 | gparted | gparted should suggest exfatprogs and backport the commit that rejects exfat-utils |
968368 | ifenslave | ifenslave: Option bond-master fails to add interface to bond |
990428 | ifenslave | ifenslave: Bonding not working on bullseye (using bond-slaves config) |
991113 | libpam-chroot | libpam-chroot installs pam_chroot.so into the wrong directory |
989545 | src:llvm-toolchain-11 | libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy |
982459 | mdadm | mdadm --examine in chroot without /proc,/dev,/sys mounted corrupts host's filesystem |
981054 | openipmi | openipmi: Missing dependency on kmod |
948318 | openssh-server | openssh-server: Unable to restart sshd restart after upgrade to version 8.1p1-2 |
991151 | procps | procps: dropped the reload option from the init script, breaking corekeeper |
989103 | pulseaudio | pulseaudio regressed on control=Wave configuration |
984580 | libpython3.9-dev | libpython3.9-dev: missing dependency on zlib1g-dev |
990417 | src:qemu | openjdk-11-jre-headless: running java in qemu s390 gives a SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
859926 | speech-dispatcher | breaks with pulse-audio as output when spawned by speechd-up from init system |
932501 | src:squid-deb-proxy | squid-deb-proxy: daemon does not start due to the conf file not being allowed by apparmor |
991588 | tpm2-abrmd | tpm2-abrmd should not use Requires=systemd-udev-settle.service in its unit |
991939 | libjs-bootstrap4 | libjs-bootstrap4: broken symlinks: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
991822 | src:wine | src:wine: dh_auto_clean deletes unrelated files outside of package source |
988477 | src:xen | xen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device |
991788 | xfce4-settings | xfce4-settings: black screen after suspend when laptop lid is closed and re-opened |
[6] Diese Engines sind in einer ganzen Reihe von Quellpaketen enthalten und die aufgeführten Bedenken gelten für all diese Pakete. Sie gelten auch für solche Pakete, die die Engine enthalten, aber hier nicht explizit aufgeführt sind, mit Ausnahme von webkit2gtk und dem neuen wpewebkit.