Chapitre 5. Problèmes à connaître pour Bullseye

Table des matières

5.1. Mise à niveau d'éléments spécifiques pour Bullseye
5.1.1. Nouveau pilote VA-API par défaut pour les GPU Intel
5.1.2. Le système de fichiers XFS ne prend plus en charge les options barrier et nobarrier
5.1.3. Changement de l’organisation de l’archive security
5.1.4. Les empreintes de mot de passe utilisent yescrypt par défaut
5.1.5. La prise en charge de NSS NIS et NIS+ nécessite de nouveaux paquets
5.1.6. Gestion des fragments de fichiers de configuration dans unbound
5.1.7. Dépréciation de paramètres de rsync
5.1.8. Gestion des greffons de Vim
5.1.9. OpenStack et les cgroups v1
5.1.10. Fichiers de politique d’API OpenStack
5.1.11. Interruption de service de sendmail pendant la mise à niveau
5.1.12. FUSE 3
5.1.13. Fichier d’options GnuPG
5.1.14. Linux active les espaces de noms utilisateur par défaut
5.1.15. Linux désactive les appels non privilégiés à bpf() par défaut
5.1.16. Redmine manquant dans Bullseye
5.1.17. Exim 4.94
5.1.18. Le sondage de périphérique SCSI est non déterministe
5.1.19. rdiff-backup nécessite une mise à niveau synchronisée entre serveur et client
5.1.20. Problèmes avec le micrologiciel des processeurs Intel
5.1.21. Les mises à niveau impliquant libgc1c2 nécessitent deux exécutions
5.1.22. fail2ban ne peut pas envoyer de message en utilisant mail du paquet bsd-mailx
5.1.23. Impossible d'établir de nouvelles connexions SSH durant la mise à niveau
5.1.24. Open vSwitch upgrade requires interfaces(5) change
5.1.25. Choses à faire avant de redémarrer après la mise à niveau
5.2. Éléments non limités au processus de mise à niveau
5.2.1. Limitations de la prise en charge de sécurité
5.2.2. Accéder à GNOME Settings sans souris
5.2.3. L’option de démarrage rescue n’est pas utilisable sans mot de passe root
5.2.4. 32-bit Xen PV guests are not supported
5.3. Obsolescence et dépréciation
5.3.1. Paquets obsolètes
5.3.2. Composants dépréciés pour Bullseye
5.4. Bogues sévères connus

Parfois, des changements ont des effets de bord que nous ne pouvons pas raisonnablement éviter sans nous exposer à des bogues à un autre endroit. Cette section documente les problèmes que nous connaissons. Veuillez également lire l'errata, la documentation des paquets concernés, les rapports de bogues et les autres sources d'informations mentionnées en Section 6.1, « Lectures pour aller plus loin ».

5.1. Mise à niveau d'éléments spécifiques pour Bullseye

Cette section concerne les éléments liés à la mise à niveau de Buster vers Bullseye

5.1.1. Nouveau pilote VA-API par défaut pour les GPU Intel

Pour les GPU Intel disponibles de génération Broadwell ou plus récents, l’implémentation par défaut de VA-API (« Video Acceleration API ») est maintenant intel-media-va-driver pour le décodage vidéo accéléré matériellement. Les systèmes ayant va-driver-all installé seront automatiquement mis à niveau vers le nouveau pilote.

L’ancien paquet de pilote i965-va-driver est toujours disponible et propose la prise en charge jusqu’à l’architecture Cannon Lake. Pour favoriser l’ancien pilote à la place du nouveau, configurez la variable d’environnement LIBVA_DRIVER_NAME à i965, par exemple en mettant la variable dans /etc/environment. Pour plus d’informations, veuillez consulter la page du wiki sur l’accélération vidéo matérielle.

5.1.2. Le système de fichiers XFS ne prend plus en charge les options barrier et nobarrier

La prise en charge des options de montage barrier et nobarrier a été supprimée du système de fichiers XFS. Il est recommandé de vérifier la présence d’un de ces mots-clés dans /etc/fstab et de les supprimer. Les partitions utilisant ces options ne pourront pas être montées.

5.1.3. Changement de l’organisation de l’archive security

Pour Bullseye, la suite de sécurité s’appelle maintenant bullseye-security au lieu de codename/updates et les utilisateurs devraient adapter leurs fichiers de liste de sources APT en conséquence lors de la mise à niveau.

La ligne de sécurité dans votre configuration APT devrait ressembler à :

deb https://deb.debian.org/debian-security bullseye-security main contrib

Si votre configuration d'APT comprend également l'épinglage ou la ligne APT::Default-Release, il est vraisemblable qu'elle nécessite aussi des adaptations dans la mesure où le nom de code de l'archive security ne correspond plus à celui de l'archive ordinaire. Voici un exemple de ligne APT::Default-Release qui fonctionne avec Bullseye :

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

5.1.4. Les empreintes de mot de passe utilisent yescrypt par défaut

La fonction de hachage de mot de passe par défaut pour les comptes locaux du système a été changée pour yescrypt (voir crypt(5)). Ce changement devrait fournir une meilleure sécurité contre les attaques de mot de passe basées sur des dictionnaires, à la fois en matière de complexité en espace et en temps de l’attaque.

Pour bénéficier de cette sécurité améliorée, modifiez les mots de passe locaux ; par exemple, utilisez la commande passwd.

Les anciens mots de passe continueront de fonctionner quelle que soit la fonction de hachage utilisée pour les créer.

Yescrypt n’est pas pris en charge par Debian 10 (Buster). Ainsi, les fichiers de mot de passe shadow (/etc/shadow) ne peuvent être copiés d’un système Bullseye vers un système Buster. Si ces fichiers sont copiés, les mots de passe ayant été modifiés sur un système Bullseye ne fonctionneront pas sur le système Buster. De façon similaire, les empreintes de mots de passe ne peuvent pas être copiés et collés d’un système Bullseye vers un système Buster.

Si la compatibilité des empreintes de mots de passe entre Bullseye et Buster est requise, modifiez /etc/pam.d/common-password. Trouvez la ligne qui ressemble à :

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

et remplacez yescrypt par sha512.

5.1.5. La prise en charge de NSS NIS et NIS+ nécessite de nouveaux paquets

La prise en charge de NSS NIS et NIS+ a été déplacée dans des paquets séparés appelés libnss-nis et libnss-nisplus. Malheureusement, glibc ne peut pas dépendre de ces paquets. Ils ne sont donc que recommandés.

Sur les systèmes utilisant NIS ou NIS+, il est donc recommandé de vérifier que ces paquets sont correctement installés après la mise à niveau.

5.1.6. Gestion des fragments de fichiers de configuration dans unbound

Le résolveur DNS unbound a changé sa façon de gérer les fragments de fichiers de configuration. Si vous utilisez une directive include: pour fusionner plusieurs fragments en une configuration valable, vous devriez lire le fichier NEWS.

5.1.7. Dépréciation de paramètres de rsync

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

5.1.8. Gestion des greffons de Vim

Les greffons de vim historiquement fournis par vim-scripts sont maintenant gérés grâce à la fonctionnalité native « package » de Vim plutôt que par vim-addon-manager. Les utilisateurs de Vim devraient se préparer avant la mise à niveau en suivant les instructions du fichier NEWS.

5.1.9. OpenStack et les cgroups v1

OpenStack Victoria (publiée dans Bullseye) nécessite cgroup v1 pour la qualité de service des périphériques en mode bloc. Comme Bullseye utilise maintenant cgroup v2 par défaut (voir Section 2.2.4, « Control groups v2 »), l’arbre sysfs dans /sys/fs/cgroup n’inclura pas les fonctionnalités de cgroup v1 telles que /sys/fs/cgroup/blkio. Ainsi, cgcreate -g blkio:toto échouera. Pour les nœuds OpenStack exécutant nova-compute ou cinder-volume, il est fortement recommandé d’ajouter les paramètres systemd.unified_cgroup_hierarchy=false et systemd.legacy_systemd_cgroup_controller=false à la ligne de commande du noyau afin de surcharger les valeurs par défaut et restaurer l’ancienne hiérarchie de cgroup.

5.1.10. Fichiers de politique d’API OpenStack

Suivant les recommandations amont, OpenStack Victoria, telle que publiée dans Bullseye, change l’API OpenStack pour utiliser le nouveau format YAML. Il en résulte que la plupart des services OpenStack, dont Nova, Glance et Keystone, apparaissent cassés avec toutes les politiques d’API écrites explicitement dans les fichiers policy.json. Par conséquent, les paquets sont maintenant fournis avec un répertoire /etc/PROJECT/policy.d contenant un fichier 00_default_policy.yaml avec toutes les politiques commentées par défaut.

Pour éviter que l’ancien fichier policy.json ne reste actif, les paquets Debian OpenStack renomment maintenant ce fichier en disabled.policy.json.old. Dans certains cas où rien de mieux n’a pu être fait à temps pour la publication, le fichier policy.json est même simplement supprimé. Avant de mettre à niveau, il est donc fortement recommandé de sauvegarder les fichiers policy.json de vos déploiements.

Plus de détails sont disponibles dans la documentation amont.

5.1.11. Interruption de service de sendmail pendant la mise à niveau

Contrairement aux mises à niveau habituelles de sendmail, le service sendmail sera arrêté pendant la mise à niveau de Buster vers Bullseye, causant une interruption de service plus longue que d’habitude. Veuillez consulter Section 4.1.3, « Préparez-vous à un arrêt des services » pour des conseils généraux sur la réduction des interruptions de service.

5.1.12. FUSE 3

Certains paquets, dont gvfs-fuse, kio-fuse et sshfs, ont migré vers FUSE 3. Pendant les mises à niveau, cela provoquera l’installation de fuse3 et la suppression de fuse.

Dans quelques circonstances exceptionnelles, comme lorsque la mise a niveau n’est faite qu’en lançant apt-get dist-upgrade au lieu des étapes de mise à niveau recommandées dans Chapitre 4, Mises à niveau depuis Debian 10 (Buster), les paquets dépendant de fuse3 pourraient ne pas être mis à niveau. Suivre les étapes présentées dans Section 4.4.5, « Mettre à niveau le système » avec le apt de Bullseye ou mettre les paquets à niveau manuellement résoudra le problème.

5.1.13. Fichier d’options GnuPG

Depuis la version 2.2.27-1, la configuration par utilisateur de la suite GnuPG a été entièrement déplacée dans ~/.gnupg/gpg.conf, et ~/.gnupg/options n’est plus utilisé. Veuillez renommer le fichier si nécessaire ou déplacer son contenu au nouvel emplacement.

5.1.14. Linux active les espaces de noms utilisateur par défaut

Depuis Linux 5.10, tous les utilisateurs ont le droit de créer des espaces de noms utilisateur par défaut. Cela permet à des programmes comme les navigateurs web et les gestionnaires de conteneurs de créer des bacs à sable plus restreints pour le code non digne de confiance ou peu digne de confiance, sans nécessiter d’être lancés en tant que root ou d’utiliser un assistant setuid-root.

Le paramétrage par défaut de Debian était de restreindre cette fonctionnalité aux processus exécutés en tant que root, car elle expose plus de problèmes de sécurité dans le noyau. Cependant, l’implémentation de cette fonctionnalité a gagné en maturité et nous sommes maintenant convaincus que le risque de l’activer est compensé par les bénéfices de sécurité qu’elle apporte.

Si vous préférez conserver la restriction de cette fonctionnalité, paramétrez le sysctl :

user.max_user_namespaces = 0
      

Veuillez noter que diverses fonctionnalités de bureau et de conteneur ne fonctionneront pas avec cette restriction, notamment les navigateurs web, WebKitGTK, Flatpak et la fabrication d'images miniatures par GNOME.

L’option sysctl kernel.unprivileged_userns_clone=0 spécifique à Debian a un effet similaire, mais elle est dépréciée.

5.1.15. Linux désactive les appels non privilégiés à bpf() par défaut

Depuis Linux 5.10, Debian désactive les appels non privilégiés à bpf() par défaut. Néanmoins, l'administrateur peut toujours modifier ce réglage ultérieurement, si nécessaire, en écrivant 0 ou 1 sur la ligne kernel.unprivileged_bpf_disabled de systcl

Si vous préférez conserver les appels non privilégiés à bpf() activés, paramétrez le sysctl :

kernel.unprivileged_bpf_disabled = 0
      

Pour des information sur la modification du réglage par défaut, consultez le bogue nº 990411 pour la demande de modification.

5.1.16. Redmine manquant dans Bullseye

Le paquet redmine n’est pas fourni par Bullseye, car il était trop en retard dans sa migration depuis l’ancienne version de rails qui atteint la fin de la prise en charge amont (ne recevant des correctifs que pour les bogues de sécurité sévères) vers la version incluse dans Bullseye. Les mainteneurs de Ruby Extras suivent l’amont de près et publieront une version à l’aide de rétroportages dès qu’elle sera publiée en amont et qu’un paquet fonctionnel sera prêt. Si vous ne pouvez pas attendre cela avant de faire la mise à niveau, vous pouvez utiliser une machine virtuelle ou un conteneur exécutant Buster pour isoler cette application spécifique.

5.1.17. Exim 4.94

Veuillez considérer la version d’Exim livrée dans Bullseye comme une mise à niveau majeure d’Exim. Celle-ci introduit le concept de lecture de données corrompues depuis des sources non dignes de confiance, comme l’expéditeur ou le destinataire du message. Cette donnée corrompue (par exemple $local_part ou $domain) ne peut pas être utilisée entre autres comme un nom de fichier ou de répertoire ni comme un nom de commande.

Cela cassera les configurations qui ne seront pas mises à jour en conséquence. Les anciens fichiers de configuration Debian pour Exim ne fonctionneront pas non plus sans modification ; la nouvelle configuration doit être installée en la fusionnant avec les modifications locales.

Les exemples non fonctionnels typiques incluent :

  • Livraison vers /var/mail/$local_part. Utilisez $local_part_data en combinaison avec check_local_user.

  • Utiliser

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    au lieu de

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    pour un fichier d’alias de domaine virtuel.

La stratégie de base pour gérer ce changement est d’utiliser le résultat d’une recherche dans un traitement ultérieur au lieu de la valeur d’origine (fournie à distance).

Pour faciliter la mise à niveau, une nouvelle option de configuration permet de temporairement abaisser les erreurs de corruption en avertissements, ce qui permet à l’ancienne configuration de fonctionner avec le nouvel Exim. Pour utiliser cette fonctionnalité, utilisez :

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

à la configuration Exim (comme /etc/exim4/exim4.conf.localmacros) avant de mettre à niveau et de vérifier le fichier de journalisation à la recherche d’avertissements de corruption. Il s’agit d’un contournement temporaire qui est déjà marqué pour suppression.

5.1.18. Le sondage de périphérique SCSI est non déterministe

Suite à des changements dans le noyau Linux, le sondage des périphériques SCSI n’est plus déterministe. Cela pourrait poser problème pour les installations se basant sur l’ordre de sondage des disques. Deux alternatives utilisant des liens dans /dev/disk/by-path ou une règle udev sont suggérées dans ce message de liste de diffusion.

5.1.19. rdiff-backup nécessite une mise à niveau synchronisée entre serveur et client

Les versions 1 et 2 du protocole réseau rdiff-backup sont incompatibles. Cela signifie que vous devez exécuter la même version (1 ou 2) de rdiff-backup localement et à distance. Comme Buster fournit la version 1.2.8 et que Bullseye fournit la version 2.0.5, ne mettre à jour que le système local ou que le système distant de Buster vers Bullseye ne permettra pas à rdiff-backup de fonctionner entre les deux.

La version 2.0.5 de rdiff-backup est disponible dans l’archive buster-backports, veuillez consulter le site des rétroportages. Cela permet aux utilisateurs de ne mettre à jour que le paquet rdiff-backup sur leurs systèmes Buster dans un premier temps, puis de mettre leurs systèmes à niveau vers Bullseye indépendamment comme ils l’entendent.

5.1.20. Problèmes avec le micrologiciel des processeurs Intel

Le paquet intel-microcode actuellement dans les archives de Bullseye et buster-security (voir la DSA-4934-1) est connu pour renfermer deux bogues importants. Pour certains processeurs CoffeeLake, cette mise à jour peut casser les interfaces réseau qui utilisent firmware-iwlwifi, et, pour certains processeurs Skylake R0/D0 sur des machines dotées d'un BIOS ou d'un micrologiciel très obsolète, le système peut bloquer pendant le démarrage.

Si vous retardez la mise à jour venant de la DSA-4934-1 à cause d'un de ces problèmes ou parce que l'archive security n'est pas activée, gardez à l'esprit que la mise à niveau vers le paquet intel-microcode de Bullseye peut provoquer le blocage de votre système au démarrage ou casser iwlwifi. Dans ce cas, vous pouvez récupérer votre système en désactivant le chargement du microcode au démarrage ; consultez les instructions de la DSA qui sont aussi dans le README.Debian du paquet intel-microcode.

5.1.21. Les mises à niveau impliquant libgc1c2 nécessitent deux exécutions

La mise à jour des paquets qui dépendent de libgc1c2 dans Buster (par exemple guile-2.2-libs) peut être retardée lors de la première exécution de full-upgrade vers Bullseye. Réaliser une seconde mise à niveau résout normalement le problème. Les informations sur ce problème sont disponibles dans le bogue nº 988963.

5.1.22. fail2ban ne peut pas envoyer de message en utilisant mail du paquet bsd-mailx

Le paquet fail2ban peut être configuré pour envoyer des notifications par courriel. Il le fait en utilisant la commande mail fournie par plusieurs paquets dans Debian. Une mise à jour de sécurité (indispensable sur les systèmes qui utilisent mail provenant de mailutils), survenue juste avant la publication de Bullseye casse cette fonctionnalité pour les systèmes où mail est fournie par bsd-mailx. Les utilisateurs de fail2ban en combinaison avec bsd-mailx qui souhaitent que fail2ban envoie des courriels devraient soit passer à un autre paquetfournissant mail ou annuler manuellement l'application du correctif amont (qui introduit à plusieurs endroits dans /etc/fail2ban/action.d/ la chaîne "-E 'set escape'").

5.1.23. Impossible d'établir de nouvelles connexions SSH durant la mise à niveau

Bien que les connexions Secure Shell (SSH) existantes devraient continuer à fonctionner pendant la mise à niveau comme d'habitude, du fait de circonstances malheureuses, la période durant laquelle de nouvelles connexions SSH ne peuvent pas être établies est plus longue que d'habitude. Si la mise à niveau est effectuée à travers une connexion SSH qui pourrait être interrompue, il est recommandé de procéder à la mise à niveau du paquet openssh-server avant d'effectuer la mise à niveau complète du système.

5.1.24. Open vSwitch upgrade requires interfaces(5) change

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

5.1.25. Choses à faire avant de redémarrer après la mise à niveau

Lorsque apt full-upgrade a terminé, la mise à niveau « formelle » est terminée. Pour la mise à niveau vers Bullseye il n'y a rien de particulier à faire avant de redémarrer.

5.2. Éléments non limités au processus de mise à niveau

5.2.1. Limitations de la prise en charge de sécurité

Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour les problèmes de sécurité. Cela est développé dans les sous-sections suivantes.

[Note]Note

Le paquet debian-security-support aide à suivre l’état de la prise en charge du suivi de sécurité des paquets installés.

5.2.1.1. État de sécurité des navigateurs web et de leurs moteurs de rendu

Debian 11 inclut plusieurs moteurs de navigateur web qui sont affectés par un flot continu de vulnérabilités de sécurité. Ce taux élevé de vulnérabilités ainsi que le manque partiel de prise en charge amont sous la forme de branches maintenues à long terme rendent difficiles les corrections de sécurité rétroportées. De plus, les interdépendances des bibliothèques rendent impossible la mise à niveau vers une nouvelle version. Par conséquent les navigateurs basés par exemple sur les moteurs webkit, qtwebkit et khtml[6] sont inclus dans Bullseye, mais ne sont pas couverts par une prise en charge complète de la sécurité. Ces navigateurs ne devraient pas être utilisés sur des sites web non fiables. Les moteurs webkit2gtk et wpewebkit sont couverts par une prise en charge complète de la sécurité.

Pour une utilisation classique, nous recommandons les navigateurs Firefox ou Chromium. Ceux-ci seront maintenus à jour en recompilant les versions ESR actuelles pour stable. La même stratégie sera appliquée pour Thunderbird.

5.2.1.2. OpenJDK 17

Debian Bullseye vient avec une version anticipée d’OpenJDK 17 (la prochaine version OpenJDK LTS attendue après OpenJDK 11), pour éviter le fastidieux processus d’amorçage (bootstrap). Il est prévu que OpenJDK 17 reçoive une mise à jour dans Bullseye vers la publication amont finale annoncée pour octobre 2021, suivie des mises à jour de sécurité dès que possible, mais les utilisateurs ne devraient pas s’attendre à avoir des mises à jour pour chaque mise à jour de sécurité trimestrielle.

5.2.1.3. Paquets basés sur Go

L’infrastructure de Debian a actuellement des problèmes pour recompiler correctement les types de paquets qui ont systématiquement recours aux liens statiques. Avant Buster, cela n’a pas été un problème en pratique, mais avec la croissance de l’écosystème de Go cela signifie que les paquets basés sur Go seront couverts par une prise en charge de sécurité limitée jusqu’à ce que l’infrastructure soit améliorée pour pouvoir les gérer durablement.

Si les mises à jour sont justifiées pour les bibliothèques de développement Go, elles ne peuvent venir que des mises à jour intermédiaires normales, ce qui pourrait mettre du temps à arriver.

5.2.2. Accéder à GNOME Settings sans souris

Sans dispositif de pointage, il n’y a pas de moyen direct de modifier les réglages dans l’application GNOME Settings fournie par gnome-control-center. Pour contourner cela, il est possible de naviguer de la barre latérale vers le contenu principal en appuyant deux fois sur Flèche droite. Pour revenir à la barre latérale, vous pouvez commencer une recherche avec Ctrl+F, taper quelque chose, puis appuyer sur Echap. pour annuler la recherche. Maintenant, vous pouvez utiliser Flèche haut et Flèche bas pour naviguer dans la barre latérale. Il est n’est pas possible de sélectionner les résultats de recherche au clavier.

5.2.3.  L’option de démarrage rescue n’est pas utilisable sans mot de passe root

Avec l’implémentation de sulogin depuis Buster, le démarrage avec l’option rescue nécessite toujours le mot de passe root. S’il n’a pas été paramétré, cela rend le mode de secours inutilisable. Cependant, il est toujours possible de démarrer en utilisant le paramètre du noyau init=/sbin/sulogin --force.

Pour configurer systemd afin de faire la même chose que cela à chaque fois qu’il démarre en mode secours (aussi connu sous le nom de mode mono-utilisateur : voir systemd(1)), lancez sudo systemctl edit rescue.service et créez un fichier disant juste :

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Il pourrait aussi être utile de faire cela pour l’unité emergency.service qui est démarrée automatiquement quand certaines erreurs se produisent (voir systemd.special(7)), ou si emergency est ajouté à la ligne de commande du noyau (par exemple, si le système ne peut pas être récupéré avec le mode de secours).

Pour davantage d’informations et une discussion au sujet des implications en matière de sécurité, consultez le bogue nº 802211.

5.2.4. 32-bit Xen PV guests are not supported

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

5.3. Obsolescence et dépréciation

5.3.1. Paquets obsolètes

La liste suivante contient des paquets connus et obsolètes (voir Section 4.8, « Paquets obsolètes » pour une description).

La liste des paquets obsolètes contient :

  • Le paquet lilo a été supprimé de Bullseye. Le successeur de lilo en tant que chargeur de démarrage est grub2.

  • La version 3 de la suite de gestion de listes de diffusion Mailman est la seule version de Mailman disponible dans cette publication. Mailman a été séparé en divers composants ; le cœur est disponible dans le paquet mailman3 et la suite complète peut être obtenue grâce au métapaquet mailman3-full.

    L’ancienne version 2.1 de Mailman n’est plus disponible (il s’agissait du paquet mailman). Cette branche dépend de Python 2 qui n’est plus disponible dans Debian.

    Pour les instructions de mise à niveau, veuillez consulter la documentation de migration du projet.

  • Le noyau Linux ne fournit plus la prise en charge de isdn4linux (i4l). Ainsi, les paquets liés en espace utilisateur isdnutils, isdnactivecards, drdsl et ibod ont été supprimés des archives.

  • Les bibliothèques dépréciées libappindicator ne sont plus fournies. Par conséquent, les paquets liés libappindicator1, libappindicator3-1 et libappindicator-dev ne sont plus disponibles. Cela devrait causer des erreurs de dépendances dans des logiciels tiers qui dépendent toujours de libappindicator pour fournir une prise en charge des notifications système.

    Debian utilise libayatana-appindicator comme successeur de libappindicator. Pour des informations techniques, consultez l’annonce à ce sujet.

  • Debian ne fournit plus chef. Si vous utilisez Chef pour la gestion de configuration, le meilleur chemin de mise à niveau consiste probablement à utiliser les paquets fournis par Chef Inc.

    Pour des informations au sujet de cette suppression, veuillez consulter la demande de suppression.

  • Python 2 a déjà dépassé sa fin de vie et ne recevra pas de mise à jour de sécurité. Il n’est pas pris en charge pour exécuter des applications et les paquets qui s’en servent ont soit été migrés vers Python 3, soit supprimés. Cependant, Debian Bullseye comprend toujours une version de Python 2.7, ainsi qu’un petit nombre d’outils de compilation Python 2 tels que python-setuptools. Ceux-ci ne sont présents que parce qu’ils sont nécessaires à certains processus de construction d’application qui n’ont pas encore été convertis en Python 3.

  • Le paquet aufs-dkms ne fait pas partie de Bullseye. La plupart des utilisateurs de aufs-dkms devraient être capables de migrer vers overlayfs qui fournit des fonctionnalités similaires avec prise en charge par le noyau. Cependant, il est possible d’avoir une installation de Debian sur un système de fichiers qui ne soit pas compatible avec overlayfs, comme xfs sans d_type. Il est recommandé aux utilisateurs de aufs-dkms de migrer vers un autre système de fichiers avant la mise à niveau vers Bullseye.

  • The network connection manager wicd will no longer be available after the upgrade, so to avoid the danger of losing connectivity users are recommended to switch before the upgrade to an alternative such as network-manager or connman.

5.3.2. Composants dépréciés pour Bullseye

Avec la prochaine publication de Debian 12 (nom de code Bookworm), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des alternatives pour éviter les problèmes lors de la mise à jour vers Debian 12.

Cela comprend les fonctionnalités suivantes :

  • Les raisons historiques de l’organisation du système de fichiers avec des répertoires /bin, /sbin et /lib séparés de leurs équivalents dans /usr ne s’appliquent plus aujourd’hui ; veuillez consulter le résumé de Freedesktop.org. Debian Bullseye sera la dernière publication de Debian prenant en charge cette organisation non fusionnée ; pour les systèmes utilisant une organisation à l’ancienne et ayant été mis à niveau sans faire de réinstallation, le paquet usrmerge permet de faire la conversion.

  • Bullseye est la dernière publication de Debian à livrer apt-key. Les clés devraient à la place être gérées en déposant les fichiers dans /etc/apt/trusted.gpg.d, au format binaire tel que créé par gpg --export avec une extension .gpg, ou une version ASCII avec une extension .asc.

    Il est prévu de remplacer apt-key list pour parcourir manuellement le trousseau de clés, mais aucun travail n’a pour le moment commencé.

  • Les dorsaux pour la base de données slapd slapd-bdb(5), slapd-hdb(5) et slapd-shell(5) sont arrêtés et ne seront pas inclus dans Debian 12. Les bases de données LDAP utilisant les dorsaux bdb ou hdb devraient être migrées vers le dorsal slapd-mdb(5).

    De plus, les dorsaux slapd-perl(5) et slapd-sql(5) sont dépréciés et pourraient être supprimés dans une publication future.

    Le projet OpenLDAP ne prend pas en charge les dorsaux arrêtés ou dépréciés. Leur prise en charge dans Debian 11 se fait au mieux de nos possibilités.

5.4. Bogues sévères connus

Bien que Debian ne publie que quand elle est prête, cela ne signifie pas malheureusement qu'il n'y a pas de bogues connus. Dans le cadre du processus de publication, tous les bogues de sévérité sérieuse ou plus élevée sont activement suivis par l'équipe de publication, aussi une vue d'ensemble de ces bogues qui ont été marqués comme devant être ignorés dans la partie finale du processus de publication de Bullseye est disponible dans le système de suivi de bogues de Debian. Les bogues suivants affectent Bullseye au moment de la publication et méritent d'être mentionnés dans ce document :

Numéro de boguePaquet (source ou binaire)Description
922981ca-certificates-javaca-certificates-java : /etc/ca-certificates/update.d/jks-keystore ne met pas à jour /etc/ssl/certs/java/cacerts
990026croncron : un jeu de caractères réduit dans MAILTO casse les installations de cron
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 : dépendances manquantes
990318python-pkg-resourcespython-pkg-resources : veuillez ajouter le champ Breaks à l'encontre des paquets de Python sans numéro de version
991449fail2banla correction du CVE-2021-32749 casse les systèmes avec mail provenant de bsd-mailx
990708mariadb-server-10.5, galera-4mariadb-server-10.5 : problèmes de mise à niveau dus au passage de galera-3 -> galera-4
980429src:gcc-10g++-10 : erreur de segmentation fallacieuse du mode c++17 dans append_to_statement_list_1 (tree-iterator.c:65)
980609.src:gcc-10absence de i386-cpuinfo.h
984574gcc-10-basegcc-10-base : veuillez ajouter Breaks: gcc-8-base (<< 8.4)
984931.git-elgit-el, elpa-magit : échec d'installation : /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7.
987264.git-elgit-el : échec d'installation avec xemacs21
991082.gir1.2-gtd-1.0gir1.2-gtd-1.0 a un champ Depends vide
948739.gpartedgparted ne devrait pas masquer les unités .mount
984714.gpartedgparted devrait suggérer exfatprogs et rétroporter le correctif qui rejette exfat-utils
968368.ifenslaveifenslave : l'option bond-master échoue à ajouter une interface pour lier
990428.ifenslaveifenslave : l'utilisation de lien ne fonctionne pas sur Bullseye (avec la configuration de bond-slaves)
991113.libpam-chrootlibpam-chroot installe pam_chroot.so dans le mauvais répertoire
989545.src:llvm-toolchain-11libgl1-mesa-dri : si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy
982459.mdadmmdadm --examine dans un chroot quand /proc, /dev et /sys ne sont pas montés corrompt le système de fichiers de l'hôte
981054.openipmiopenipmi : dépendance à kmod manquante
948318.openssh-serveropenssh-server : incapable de redémarrer sshd après la mise à niveau vers la version 8.1p1-2
991151.procpsprocps : abandon de l'option de rechargement du script de démarrage, cassant corekeeper
989103.pulseaudiopulseaudio a régressé sur la configuration de control=Wave
984580.libpython3.9-devlibpython3.9-dev : dépendance à zlib1g-dev manquante
990417.src:qemuopenjdk-11-jre-headless : l'exécution de java dans qemu s390 envoie un signal SIGILL à C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926.speech-dispatchercasse avec pulse-audio comme sortie lorsqu'il est engendré par speechd-up du système de démarrage
932501.src:squid-deb-proxysquid-deb-proxy : le démon ne démarre pas à cause du fichier de configuration qui n'est pas autorisé par apparmor
991588.tpm2-abrmdtpm2-abrmd ne devrait pas utiliser Requires=systemd-udev-settle.service dans son unité
991939.libjs-bootstrap4libjs-bootstrap4 : liens symboliques cassés : /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822.src:winesrc:wine : dh_auto_clean détruit des fichiers sans rapport en dehors du source du paquet
988477src:xenxen-hypervisor-4.14-amd64 : la commande dmesg de xen affiche (XEN) AMD-Vi: IO_PAGE_FAULT sur un périphérique PCI sata
991788.xfce4-settingsxfce4-settings : écran noir après la mise en veille lorsque le portable est fermé puis rouvert


[6] Ces moteurs sont fournis dans un certain nombre de paquets source différents et le problème s'applique à tous les paquets qui les fournissent. Il s'étend aussi à tous les moteurs de rendu web qui ne sont pas explicitement mentionnés ici, à l'exception de webkit2gtk et du nouveau wpewebkit.