Table des matières
barrier
et nobarrier
Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter sans nous exposer à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire l'errata, la documentation des paquets concernés, les rapports de bogues et les autres sources d'informations mentionnées en Section 6.1, « Lectures pour aller plus loin ».
Cette section concerne les éléments liés à la mise à niveau de Buster vers Bullseye
Pour les GPU Intel disponibles de génération Broadwell ou plus récents,
l’implémentation par défaut de VA-API (« Video Acceleration
API ») est maintenant intel-media-va-driver
pour le décodage vidéo
accéléré matériellement. Les systèmes ayant va-driver-all
installé seront automatiquement
mis à niveau vers le nouveau pilote.
L’ancien paquet de pilote i965-va-driver
est toujours disponible et
propose la prise en charge jusqu’à l’architecture Cannon Lake. Pour
favoriser l’ancien pilote à la place du nouveau, configurez la variable
d’environnement LIBVA_DRIVER_NAME
à
i965
, par exemple en mettant la variable dans
/etc/environment
. Pour plus d’informations, veuillez
consulter la page du wiki sur l’accélération vidéo
matérielle.
La prise en charge des options de montage barrier
et
nobarrier
a été supprimée du système de fichiers XFS. Il
est recommandé de vérifier la présence d’un de ces mots-clés dans
/etc/fstab
et de les supprimer. Les partitions
utilisant ces options ne pourront pas être montées.
Pour Bullseye, la suite de sécurité s’appelle maintenant
bullseye-security
au lieu de
et les
utilisateurs devraient adapter leurs fichiers de liste de sources APT en
conséquence lors de la mise à niveau.
codename
/updates
La ligne de sécurité dans votre configuration APT devrait ressembler à :
deb https://deb.debian.org/debian-security bullseye-security main contrib
Si votre configuration d'APT comprend également l'épinglage ou la ligne
APT::Default-Release
, il est vraisemblable qu'elle
nécessite aussi des adaptations dans la mesure où le nom de code de
l'archive security ne correspond plus à celui de l'archive ordinaire. Voici
un exemple de ligne APT::Default-Release
qui fonctionne
avec Bullseye :
APT::Default-Release "/^bullseye(|-security|-updates)$/";
which takes advantage of APT's support for regular expressions (inside
/
).
La fonction de hachage de mot de passe par défaut pour les comptes locaux du système a été changée pour yescrypt (voir crypt(5)). Ce changement devrait fournir une meilleure sécurité contre les attaques de mot de passe basées sur des dictionnaires, à la fois en matière de complexité en espace et en temps de l’attaque.
Pour bénéficier de cette sécurité améliorée, modifiez les mots de passe locaux ; par exemple, utilisez la commande passwd.
Les anciens mots de passe continueront de fonctionner quelle que soit la fonction de hachage utilisée pour les créer.
Yescrypt n’est pas pris en charge par Debian 10 (Buster). Ainsi, les
fichiers de mot de passe shadow (/etc/shadow
) ne
peuvent être copiés d’un système Bullseye vers un système Buster. Si ces
fichiers sont copiés, les mots de passe ayant été modifiés sur un système
Bullseye ne fonctionneront pas sur le système Buster. De façon similaire,
les empreintes de mots de passe ne peuvent pas être copiés et collés d’un
système Bullseye vers un système Buster.
Si la compatibilité des empreintes de mots de passe entre Bullseye et Buster
est requise, modifiez
/etc/pam.d/common-password
. Trouvez la ligne qui
ressemble à :
password [success=1 default=ignore] pam_unix.so obscure yescrypt
et remplacez yescrypt
par sha512
.
La prise en charge de NSS NIS et NIS+
a été déplacée dans des paquets séparés appelés libnss-nis
et libnss-nisplus
. Malheureusement, glibc
ne peut pas dépendre de ces paquets. Ils
ne sont donc que recommandés.
Sur les systèmes utilisant NIS ou NIS+, il est donc recommandé de vérifier que ces paquets sont correctement installés après la mise à niveau.
Le résolveur DNS unbound
a changé sa
façon de gérer les fragments de fichiers de configuration. Si vous utilisez
une directive include:
pour fusionner plusieurs fragments
en une configuration valable, vous devriez lire le
fichier NEWS.
The rsync
parameter
--noatime
has been renamed
--open-noatime
. The old form is no longer supported; if
you are using it you should see the
NEWS file. Transfer processes between systems running different
Debian releases may require the buster side to be upgraded to a version of
rsync
from the backports repository. The
version of rsync
in the initial
release of bullseye also deprecated --copy-devices
in
favor of --write-devices
, but version 3.2.3-4+deb11u1
(included in bullseye point release 11.1) reverts this deprecation and
supports both options.
Les greffons de vim
historiquement
fournis par vim-scripts
sont
maintenant gérés grâce à la fonctionnalité native « package » de
Vim plutôt que par vim-addon-manager
. Les utilisateurs de Vim
devraient se préparer avant la mise à niveau en suivant les instructions du
fichier
NEWS.
OpenStack Victoria (publiée dans Bullseye) nécessite cgroup v1 pour la
qualité de service des périphériques en mode bloc. Comme Bullseye utilise
maintenant cgroup v2 par défaut (voir Section 2.2.4, « Control groups v2 »), l’arbre
sysfs dans /sys/fs/cgroup
n’inclura pas les
fonctionnalités de cgroup v1 telles que
/sys/fs/cgroup/blkio
. Ainsi, cgcreate -g
blkio:toto échouera. Pour les nœuds OpenStack exécutant
nova-compute
ou cinder-volume
, il est fortement recommandé
d’ajouter les paramètres
systemd.unified_cgroup_hierarchy=false
et
systemd.legacy_systemd_cgroup_controller=false
à la ligne
de commande du noyau afin de surcharger les valeurs par défaut et restaurer
l’ancienne hiérarchie de cgroup.
Suivant les recommandations amont, OpenStack Victoria, telle que publiée
dans Bullseye, change l’API OpenStack pour utiliser le nouveau format
YAML. Il en résulte que la plupart des services OpenStack, dont Nova, Glance
et Keystone, apparaissent cassés avec toutes les politiques d’API écrites
explicitement dans les fichiers policy.json
. Par
conséquent, les paquets sont maintenant fournis avec un répertoire
/etc/PROJECT/policy.d
contenant un fichier
00_default_policy.yaml
avec toutes les politiques
commentées par défaut.
Pour éviter que l’ancien fichier policy.json
ne reste
actif, les paquets Debian OpenStack renomment maintenant ce fichier en
disabled.policy.json.old
. Dans certains cas où rien de
mieux n’a pu être fait à temps pour la publication, le fichier
policy.json
est même simplement supprimé. Avant de
mettre à niveau, il est donc fortement recommandé de sauvegarder les
fichiers policy.json
de vos déploiements.
Plus de détails sont disponibles dans la documentation amont.
Contrairement aux mises à niveau habituelles de sendmail
, le service sendmail sera arrêté
pendant la mise à niveau de Buster vers Bullseye, causant une interruption
de service plus longue que d’habitude. Veuillez consulter Section 4.1.3, « Préparez-vous à un arrêt des services » pour des conseils généraux sur la réduction
des interruptions de service.
Certains paquets, dont gvfs-fuse
,
kio-fuse
et sshfs
, ont migré vers FUSE 3. Pendant les mises
à niveau, cela provoquera l’installation de fuse3
et la suppression de fuse
.
Dans quelques circonstances exceptionnelles, comme lorsque la mise a niveau
n’est faite qu’en lançant apt-get dist-upgrade au lieu
des étapes de mise à niveau recommandées dans Chapitre 4, Mises à niveau depuis Debian 10 (Buster), les paquets dépendant de fuse3
pourraient ne pas être mis à
niveau. Suivre les étapes présentées dans Section 4.4.5, « Mettre à niveau le système »
avec le apt
de Bullseye ou mettre
les paquets à niveau manuellement résoudra le problème.
Depuis la version 2.2.27-1, la configuration par utilisateur de la suite
GnuPG
a été entièrement déplacée dans
~/.gnupg/gpg.conf
, et
~/.gnupg/options
n’est plus utilisé. Veuillez renommer
le fichier si nécessaire ou déplacer son contenu au nouvel emplacement.
Depuis Linux
5.10, tous les utilisateurs ont le droit de
créer des espaces de noms utilisateur par défaut. Cela permet à des
programmes comme les navigateurs web et les gestionnaires de conteneurs de
créer des bacs à sable plus restreints pour le code non digne de confiance
ou peu digne de confiance, sans nécessiter d’être lancés en tant que root ou
d’utiliser un assistant setuid-root.
Le paramétrage par défaut de Debian était de restreindre cette fonctionnalité aux processus exécutés en tant que root, car elle expose plus de problèmes de sécurité dans le noyau. Cependant, l’implémentation de cette fonctionnalité a gagné en maturité et nous sommes maintenant convaincus que le risque de l’activer est compensé par les bénéfices de sécurité qu’elle apporte.
Si vous préférez conserver la restriction de cette fonctionnalité, paramétrez le sysctl :
user.max_user_namespaces = 0
Veuillez noter que diverses fonctionnalités de bureau et de conteneur ne
fonctionneront pas avec cette restriction, notamment les navigateurs web,
WebKitGTK
, Flatpak
et la fabrication
d'images miniatures par GNOME
.
L’option sysctl kernel.unprivileged_userns_clone=0
spécifique à Debian a un effet similaire, mais elle est dépréciée.
Depuis Linux
5.10, Debian désactive les appels non
privilégiés à bpf() par défaut. Néanmoins, l'administrateur peut toujours
modifier ce réglage ultérieurement, si nécessaire, en écrivant 0 ou 1 sur la
ligne kernel.unprivileged_bpf_disabled
de systcl
Si vous préférez conserver les appels non privilégiés à bpf() activés, paramétrez le sysctl :
kernel.unprivileged_bpf_disabled = 0
Pour des information sur la modification du réglage par défaut, consultez le bogue nº 990411 pour la demande de modification.
Le paquet redmine
n’est pas fourni
par Bullseye, car il était trop en retard dans sa migration depuis
l’ancienne version de rails
qui
atteint la fin de la prise en charge amont (ne recevant des correctifs que
pour les bogues de sécurité sévères) vers la version incluse dans
Bullseye. Les mainteneurs de Ruby Extras
suivent l’amont
de près et publieront une version à l’aide de rétroportages dès qu’elle
sera publiée en amont et qu’un paquet fonctionnel sera prêt. Si vous ne
pouvez pas attendre cela avant de faire la mise à niveau, vous pouvez
utiliser une machine virtuelle ou un conteneur exécutant Buster pour isoler
cette application spécifique.
Veuillez considérer la version d’Exim livrée dans Bullseye comme une mise à
niveau majeure d’Exim. Celle-ci introduit le concept de
lecture de données corrompues depuis des sources non dignes de confiance,
comme l’expéditeur ou le destinataire du message. Cette donnée corrompue
(par exemple $local_part
ou $domain
)
ne peut pas être utilisée entre autres comme un nom de fichier ou de
répertoire ni comme un nom de commande.
Cela cassera les configurations qui ne seront pas mises à jour en conséquence. Les anciens fichiers de configuration Debian pour Exim ne fonctionneront pas non plus sans modification ; la nouvelle configuration doit être installée en la fusionnant avec les modifications locales.
Les exemples non fonctionnels typiques incluent :
Livraison vers /var/mail/$local_part
. Utilisez
$local_part_data
en combinaison avec
check_local_user
.
Utiliser
data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
au lieu de
data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
pour un fichier d’alias de domaine virtuel.
La stratégie de base pour gérer ce changement est d’utiliser le résultat d’une recherche dans un traitement ultérieur au lieu de la valeur d’origine (fournie à distance).
Pour faciliter la mise à niveau, une nouvelle option de configuration permet de temporairement abaisser les erreurs de corruption en avertissements, ce qui permet à l’ancienne configuration de fonctionner avec le nouvel Exim. Pour utiliser cette fonctionnalité, utilisez :
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
à la configuration Exim (comme
/etc/exim4/exim4.conf.localmacros
)
avant de mettre à niveau et de vérifier le fichier de
journalisation à la recherche d’avertissements de corruption. Il s’agit d’un
contournement temporaire qui est déjà marqué pour suppression.
Suite à des changements dans le noyau Linux, le sondage des périphériques
SCSI n’est plus déterministe. Cela pourrait poser problème pour les
installations se basant sur l’ordre de sondage des disques. Deux
alternatives utilisant des liens dans /dev/disk/by-path
ou une règle udev
sont suggérées
dans ce
message de liste de diffusion.
Les versions 1 et 2 du protocole réseau rdiff-backup
sont incompatibles. Cela signifie
que vous devez exécuter la même version (1 ou 2) de rdiff-backup
localement et à distance. Comme
Buster fournit la version 1.2.8 et que Bullseye fournit la version 2.0.5, ne
mettre à jour que le système local ou que le système distant de Buster vers
Bullseye ne permettra pas à rdiff-backup
de fonctionner entre les deux.
La version 2.0.5 de rdiff-backup
est
disponible dans l’archive buster-backports, veuillez consulter le site des rétroportages. Cela
permet aux utilisateurs de ne mettre à jour que le paquet rdiff-backup
sur leurs systèmes Buster dans un
premier temps, puis de mettre leurs systèmes à niveau vers Bullseye
indépendamment comme ils l’entendent.
Le paquet intel-microcode
actuellement dans les archives de Bullseye et buster-security (voir la
DSA-4934-1) est
connu pour renfermer deux bogues importants. Pour certains processeurs
CoffeeLake, cette mise à jour peut
casser les interfaces réseau qui utilisent firmware-iwlwifi
, et, pour certains processeurs
Skylake R0/D0 sur des machines dotées d'un BIOS ou d'un micrologiciel très
obsolète, le
système peut bloquer pendant le démarrage.
Si vous retardez la mise à jour venant de la DSA-4934-1 à cause d'un de ces
problèmes ou parce que l'archive security n'est pas activée, gardez à
l'esprit que la mise à niveau vers le paquet intel-microcode
de Bullseye peut provoquer le
blocage de votre système au démarrage ou casser iwlwifi. Dans ce cas, vous
pouvez récupérer votre système en désactivant le chargement du microcode au
démarrage ; consultez les instructions de la DSA qui sont aussi dans le
README.Debian
du paquet intel-microcode
.
La mise à jour des paquets qui dépendent de libgc1c2
dans Buster (par exemple guile-2.2-libs
) peut être retardée lors de la
première exécution de full-upgrade vers Bullseye. Réaliser une seconde mise
à niveau résout normalement le problème. Les informations sur ce problème
sont disponibles dans le bogue
nº 988963.
Le paquet fail2ban
peut être
configuré pour envoyer des notifications par courriel. Il le fait en
utilisant la commande mail fournie par plusieurs paquets
dans Debian. Une mise à jour de sécurité (indispensable sur les systèmes qui
utilisent mail provenant de mailutils
), survenue juste avant la publication
de Bullseye casse cette fonctionnalité pour les systèmes où
mail est fournie par bsd-mailx
. Les utilisateurs de
fail2ban
en combinaison avec
bsd-mailx
qui souhaitent que
fail2ban
envoie des courriels devraient soit passer
à un autre paquetfournissant mail ou annuler manuellement
l'application du correctif
amont (qui introduit à plusieurs endroits dans
/etc/fail2ban/action.d/
la chaîne "-E 'set
escape'
").
Bien que les connexions Secure Shell (SSH) existantes devraient continuer à
fonctionner pendant la mise à niveau comme d'habitude, du fait de
circonstances malheureuses, la période durant laquelle de nouvelles
connexions SSH ne peuvent pas être établies est plus longue que
d'habitude. Si la mise à niveau est effectuée à travers une connexion SSH
qui pourrait être interrompue, il est recommandé de procéder à la mise à
niveau du paquet openssh-server
avant d'effectuer la mise à niveau complète du système.
The openvswitch
upgrade may fail to
recover bridges after boot. The workaround is:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
For more info, see bug #989720.
Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour les problèmes de sécurité. Cela est développé dans les sous-sections suivantes.
Note | |
---|---|
Le paquet |
Debian 11 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches maintenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent impossible la mise à niveau vers une nouvelle version. Par conséquent les navigateurs basés par exemple sur les moteurs webkit, qtwebkit et khtml[6] sont inclus dans Bullseye, mais ne sont pas couverts par une prise en charge complète de la sécurité. Ces navigateurs ne devraient pas être utilisés sur des sites web non fiables. Les moteurs webkit2gtk et wpewebkit sont couverts par une prise en charge complète de la sécurité.
Pour une utilisation classique, nous recommandons les navigateurs Firefox ou Chromium. Ceux-ci seront maintenus à jour en recompilant les versions ESR actuelles pour stable. La même stratégie sera appliquée pour Thunderbird.
Debian Bullseye vient avec une version anticipée
d’OpenJDK 17
(la prochaine version OpenJDK
LTS
attendue après OpenJDK 11
), pour éviter le
fastidieux processus d’amorçage (bootstrap). Il est prévu que
OpenJDK 17
reçoive une mise à jour dans Bullseye vers la
publication amont finale annoncée pour octobre 2021, suivie des mises à jour
de sécurité dès que possible, mais les utilisateurs ne devraient pas
s’attendre à avoir des mises à jour pour chaque mise à jour de sécurité
trimestrielle.
L’infrastructure de Debian a actuellement des problèmes pour recompiler correctement les types de paquets qui ont systématiquement recours aux liens statiques. Avant Buster, cela n’a pas été un problème en pratique, mais avec la croissance de l’écosystème de Go cela signifie que les paquets basés sur Go seront couverts par une prise en charge de sécurité limitée jusqu’à ce que l’infrastructure soit améliorée pour pouvoir les gérer durablement.
Si les mises à jour sont justifiées pour les bibliothèques de développement Go, elles ne peuvent venir que des mises à jour intermédiaires normales, ce qui pourrait mettre du temps à arriver.
Sans dispositif de pointage, il n’y a pas de moyen direct de modifier les
réglages dans l’application GNOME Settings fournie par gnome-control-center
. Pour contourner cela, il
est possible de naviguer de la barre latérale vers le contenu principal en
appuyant deux fois sur Flèche droite. Pour revenir à la
barre latérale, vous pouvez commencer une recherche avec Ctrl+F, taper
quelque chose, puis appuyer sur Echap. pour annuler la
recherche. Maintenant, vous pouvez utiliser Flèche haut et
Flèche bas pour naviguer dans la barre latérale. Il est
n’est pas possible de sélectionner les résultats de recherche au clavier.
Avec l’implémentation de sulogin
depuis Buster, le
démarrage avec l’option rescue
nécessite toujours le mot
de passe root. S’il n’a pas été paramétré, cela rend le mode de secours
inutilisable. Cependant, il est toujours possible de démarrer en utilisant
le paramètre du noyau init=/sbin/sulogin --force
.
Pour configurer systemd afin de faire la même chose que cela à chaque fois qu’il démarre en mode secours (aussi connu sous le nom de mode mono-utilisateur : voir systemd(1)), lancez sudo systemctl edit rescue.service et créez un fichier disant juste :
[Service] Environment=SYSTEMD_SULOGIN_FORCE=1
Il pourrait aussi être utile de faire cela pour l’unité
emergency.service
qui est démarrée
automatiquement quand certaines erreurs se produisent
(voir systemd.special(7)),
ou si emergency
est ajouté à la ligne de commande du
noyau (par exemple, si le système ne peut pas être récupéré avec le mode de
secours).
Pour davantage d’informations et une discussion au sujet des implications en matière de sécurité, consultez le bogue nº 802211.
The Linux kernel (from version 5.9) no longer supports 32-bit xen
virtual machines using PV
mode. Such virtual machines need to be converted to the
64-bit PC architecture.
You can check which mode a Xen guest is running (inside the virtual machine):
$ cat /sys/hypervisor/guest_type PV
Virtual machines that return, for example, PVH
or
HVM
are not affected.
La liste suivante contient des paquets connus et obsolètes (voir Section 4.8, « Paquets obsolètes » pour une description).
La liste des paquets obsolètes contient :
Le paquet lilo
a été supprimé de
Bullseye. Le successeur de lilo en tant que chargeur de démarrage est
grub2
.
La version 3 de la suite de gestion de listes de diffusion Mailman est la
seule version de Mailman disponible dans cette publication. Mailman a été
séparé en divers composants ; le cœur est disponible dans le paquet
mailman3
et la suite complète peut
être obtenue grâce au métapaquet mailman3-full
.
L’ancienne version 2.1 de Mailman n’est plus disponible (il s’agissait du
paquet mailman
). Cette branche
dépend de Python 2 qui n’est plus disponible dans Debian.
Pour les instructions de mise à niveau, veuillez consulter la documentation de migration du projet.
Le noyau Linux ne fournit plus la prise en charge de
isdn4linux
(i4l). Ainsi, les paquets liés en espace
utilisateur isdnutils
, isdnactivecards
, drdsl
et ibod
ont été supprimés des archives.
Les bibliothèques dépréciées libappindicator ne sont plus fournies. Par
conséquent, les paquets liés libappindicator1
, libappindicator3-1
et libappindicator-dev
ne sont plus
disponibles. Cela devrait causer des erreurs de dépendances dans des
logiciels tiers qui dépendent toujours de libappindicator pour fournir une
prise en charge des notifications système.
Debian utilise libayatana-appindicator
comme successeur de
libappindicator. Pour des informations techniques, consultez l’annonce
à ce sujet.
Debian ne fournit plus chef
. Si vous
utilisez Chef pour la gestion de configuration, le meilleur chemin de mise à
niveau consiste probablement à utiliser les paquets fournis par Chef Inc.
Pour des informations au sujet de cette suppression, veuillez consulter la demande de suppression.
Python 2 a déjà dépassé sa fin de vie et ne recevra pas de mise à jour de
sécurité. Il n’est pas pris en charge pour exécuter des applications et les
paquets qui s’en servent ont soit été migrés vers Python 3, soit
supprimés. Cependant, Debian Bullseye comprend toujours une version de
Python 2.7, ainsi qu’un petit nombre d’outils de compilation Python 2 tels
que python-setuptools
. Ceux-ci ne
sont présents que parce qu’ils sont nécessaires à certains processus de
construction d’application qui n’ont pas encore été convertis en Python 3.
Le paquet aufs-dkms
ne fait pas
partie de Bullseye. La plupart des utilisateurs de aufs-dkms
devraient être capables de migrer vers
overlayfs
qui fournit des fonctionnalités similaires avec
prise en charge par le noyau. Cependant, il est possible d’avoir une
installation de Debian sur un système de fichiers qui ne soit pas compatible
avec overlayfs
, comme xfs
sans
d_type
. Il est recommandé aux utilisateurs de aufs-dkms
de migrer vers un autre système de
fichiers avant la mise à niveau vers Bullseye.
The network connection manager wicd
will no longer be available after the upgrade, so to avoid the danger of
losing connectivity users are recommended to switch before the upgrade to an
alternative such as network-manager
or connman
.
Avec la prochaine publication de Debian 12 (nom de code Bookworm), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des alternatives pour éviter les problèmes lors de la mise à jour vers Debian 12.
Cela comprend les fonctionnalités suivantes :
Les raisons historiques de l’organisation du système de fichiers avec des
répertoires /bin
, /sbin
et
/lib
séparés de leurs équivalents dans
/usr
ne s’appliquent plus aujourd’hui ; veuillez
consulter le résumé
de Freedesktop.org. Debian Bullseye sera la dernière publication de
Debian prenant en charge cette organisation non fusionnée ; pour les
systèmes utilisant une organisation à l’ancienne et ayant été mis à niveau
sans faire de réinstallation, le paquet usrmerge
permet de faire la conversion.
Bullseye est la dernière publication de Debian à livrer
apt-key. Les clés devraient à la place être gérées en
déposant les fichiers dans /etc/apt/trusted.gpg.d
, au
format binaire tel que créé par gpg --export avec une
extension .gpg
, ou une version ASCII avec une extension
.asc
.
Il est prévu de remplacer apt-key list pour parcourir manuellement le trousseau de clés, mais aucun travail n’a pour le moment commencé.
Les dorsaux pour la base de données slapd
slapd-bdb(5),
slapd-hdb(5) et
slapd-shell(5)
sont arrêtés et ne seront pas inclus dans Debian 12. Les bases
de données LDAP utilisant les dorsaux bdb
ou
hdb
devraient être migrées vers le dorsal slapd-mdb(5).
De plus, les dorsaux slapd-perl(5) et slapd-sql(5) sont dépréciés et pourraient être supprimés dans une publication future.
Le projet OpenLDAP ne prend pas en charge les dorsaux arrêtés ou dépréciés. Leur prise en charge dans Debian 11 se fait au mieux de nos possibilités.
Bien que Debian ne publie que quand elle est prête, cela ne signifie pas malheureusement qu'il n'y a pas de bogues connus. Dans le cadre du processus de publication, tous les bogues de sévérité sérieuse ou plus élevée sont activement suivis par l'équipe de publication, aussi une vue d'ensemble de ces bogues qui ont été marqués comme devant être ignorés dans la partie finale du processus de publication de Bullseye est disponible dans le système de suivi de bogues de Debian. Les bogues suivants affectent Bullseye au moment de la publication et méritent d'être mentionnés dans ce document :
Numéro de bogue | Paquet (source ou binaire) | Description |
---|---|---|
922981 | ca-certificates-java | ca-certificates-java : /etc/ca-certificates/update.d/jks-keystore ne met pas à jour /etc/ssl/certs/java/cacerts |
990026 | cron | cron : un jeu de caractères réduit dans MAILTO casse les installations de cron |
991081 | gir1.2-diodon-1.0 | gir1.2-diodon-1.0 : dépendances manquantes |
990318 | python-pkg-resources | python-pkg-resources : veuillez ajouter le champ Breaks à l'encontre des paquets de Python sans numéro de version |
991449 | fail2ban | la correction du CVE-2021-32749 casse les systèmes avec mail provenant de bsd-mailx |
990708 | mariadb-server-10.5, galera-4 | mariadb-server-10.5 : problèmes de mise à niveau dus au passage de galera-3 -> galera-4 |
980429 | src:gcc-10 | g++-10 : erreur de segmentation fallacieuse du mode c++17 dans append_to_statement_list_1 (tree-iterator.c:65) |
980609. | src:gcc-10 | absence de i386-cpuinfo.h |
984574 | gcc-10-base | gcc-10-base : veuillez ajouter Breaks: gcc-8-base (<< 8.4) |
984931. | git-el | git-el, elpa-magit : échec d'installation : /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7. |
987264. | git-el | git-el : échec d'installation avec xemacs21 |
991082. | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 a un champ Depends vide |
948739. | gparted | gparted ne devrait pas masquer les unités .mount |
984714. | gparted | gparted devrait suggérer exfatprogs et rétroporter le correctif qui rejette exfat-utils |
968368. | ifenslave | ifenslave : l'option bond-master échoue à ajouter une interface pour lier |
990428. | ifenslave | ifenslave : l'utilisation de lien ne fonctionne pas sur Bullseye (avec la configuration de bond-slaves) |
991113. | libpam-chroot | libpam-chroot installe pam_chroot.so dans le mauvais répertoire |
989545. | src:llvm-toolchain-11 | libgl1-mesa-dri : si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy |
982459. | mdadm | mdadm --examine dans un chroot quand /proc, /dev et /sys ne sont pas montés corrompt le système de fichiers de l'hôte |
981054. | openipmi | openipmi : dépendance à kmod manquante |
948318. | openssh-server | openssh-server : incapable de redémarrer sshd après la mise à niveau vers la version 8.1p1-2 |
991151. | procps | procps : abandon de l'option de rechargement du script de démarrage, cassant corekeeper |
989103. | pulseaudio | pulseaudio a régressé sur la configuration de control=Wave |
984580. | libpython3.9-dev | libpython3.9-dev : dépendance à zlib1g-dev manquante |
990417. | src:qemu | openjdk-11-jre-headless : l'exécution de java dans qemu s390 envoie un signal SIGILL à C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
859926. | speech-dispatcher | casse avec pulse-audio comme sortie lorsqu'il est engendré par speechd-up du système de démarrage |
932501. | src:squid-deb-proxy | squid-deb-proxy : le démon ne démarre pas à cause du fichier de configuration qui n'est pas autorisé par apparmor |
991588. | tpm2-abrmd | tpm2-abrmd ne devrait pas utiliser Requires=systemd-udev-settle.service dans son unité |
991939. | libjs-bootstrap4 | libjs-bootstrap4 : liens symboliques cassés : /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
991822. | src:wine | src:wine : dh_auto_clean détruit des fichiers sans rapport en dehors du source du paquet |
988477 | src:xen | xen-hypervisor-4.14-amd64 : la commande dmesg de xen affiche (XEN) AMD-Vi: IO_PAGE_FAULT sur un périphérique PCI sata |
991788. | xfce4-settings | xfce4-settings : écran noir après la mise en veille lorsque le portable est fermé puis rouvert |
[6] Ces moteurs sont fournis dans un certain nombre de paquets source différents et le problème s'applique à tous les paquets qui les fournissent. Il s'étend aussi à tous les moteurs de rendu web qui ne sont pas explicitement mentionnés ici, à l'exception de webkit2gtk et du nouveau wpewebkit.