| Capítulo 5. Problemas a estar atento em bullseye | ||
|---|---|---|
 |  | |
| Capítulo 5. Problemas a estar atento em bullseye | ||
|---|---|---|
| | | |
Índice
Por vezes, as alterações introduzidas num novo lançamento têm efeitos secundários que não podemos evitar razoavelmente, ou irão pôr a descoberto bugs noutro lado. Esta secção documenta os problemas que conhecemos. Por favor leia a errata, a documentação dos pacotes relevantes, relatórios de bugs e outra informação mencionada na Secção 6.1, “Leitura adicional”.
Esta secção cobre itens relacionados com a actualização de buster para bullseye.
Para GPUs disponíveis com Broadwell e mais recentes, a implementação de
Video Accelearation API (VA-API) tem agora predefinido o intel-media-va-driver para descodificação de
vídeo acelerado por hardware. Sistemas que tenham instalado o va-driver-all irão ser atualizados
automaticamente para o novo controlador.
O antigo driver ainda está disponível no pacote i965-va-driver e suporta até à micro
arquitectura Cannon Lake. Para preferir o driver antigo em vez do
predefinido, tem de definir a variável de ambiente
LIBVA_DRIVER_NAME para i965, por
exemplo pode definir a variável em
/etc/environment. Para mais informação, por favor veja
a página Wiki aceleração de vídeo
por hardware.
Foi removido o suporte para as opções de mount barrier e
nobarrier do sistema de ficheiros XFS. É recomendado
verificar em /etc/fstab pela presença de alguma dessas
palavras-chave e removê-las. As partições que utilizem estas opções irão
falhar o mount.
Para bullseye, o conjunto de segurança é agora chamado
bullseye-security em vez de
codename/updates
A linha do security na sua configuração do APT pode parecer assim:
deb https://deb.debian.org/debian-security bullseye-security main contrib
Se a sua configuração do APT também involver pinning ou
APT::Default-Release, é provável que necessite de ajustes
já que o nome de código do arquivo de segurança já não coincide com o do
arquivo normal. Um exemplo de uma linha funcional de
APT::Default-Release para bullseye parece-se com:
APT::Default-Release "/^bullseye(|-security|-updates)$/";
which takes advantage of APT's support for regular expressions (inside
/).
A hash predefinida das palavras-passe para as contas de sistema locais foi alterada de SHA-512 para yescrypt (ver crypt(5)). Isto é esperado que melhore a segurança contra ataques de tentativa de adivinhar palavras-passe com recurso a dicionário, em termos de espaço e complexidade de tempo para o ataque.
Para tomar partido da melhoria desta segurança, altere as palavras-passe locais; por exemplo utilize o comando passwd.
As palavras-passe antigas irão continuar a funcionar, qualquer que tenha sido a hash de palavras-passe utilizada para as criar.
Yescript não é suportado em Debian 10 (Buster). Por isso, os ficheiros de
shadow password (/etc/shadow) não podem ser copiados de
um sistema Bullseye para um sistema Buster. Se esses ficheiros forem
copiados, as palavras-passe que foram alteradas no sistema Bullseye não irão
funcionar no sistema Buster. Similarmente, não se pode fazer
cortar&colar às hashes de palavra-passe de um sistema Bullseye para um
Buster.
Se for necessária a compatibilidade entre sistemas Bullseye e Buster, então
modifique /etc/pam.d/common-password. Encontre a linha
que se parece com:
password [success=1 default=ignore] pam_unix.so obscure yescrypt
e substitua yescrypt por sha512.
O suporte para NSS NIS e NIS+ foi
movido para pacotes separados chamados libnss-nis e libnss-nisplus. Infelizmente, glibc não pode depender desses pacotes, pois
agora são apenas recomendados.
Em sistemas que utilizem NIS ou NIS+, é por isso recomendado verificar se esses pacotes estão correctamente instalados após a atualização.
O DNS resolver unbound foi alterado
na forma como lida com ficheiros de fragmentos de configuração. Se depende
da directiva include: para juntar os vários fragmentos
para uma configuração válida, deve ler o ficheiro
NEWS.
The rsync parameter
--noatime has been renamed
--open-noatime. The old form is no longer supported; if
you are using it you should see the
NEWS file. Transfer processes between systems running different
Debian releases may require the buster side to be upgraded to a version of
rsync from the backports repository. The
version of rsync in the initial
release of bullseye also deprecated --copy-devices in
favor of --write-devices, but version 3.2.3-4+deb11u1
(included in bullseye point release 11.1) reverts this deprecation and
supports both options.
Os addons para vim eram
disponibilizados historicamente por vim-scripts, agora são geridos pela
funcionalidade nativa “package” do Vim em vez do vim-addon-manager. Os utilizadores de Vim
devem-se preparar antes de atualizar seguindo as instruções no ficheiro
NEWS.
O OpenStack Victoria (lançado em bullseye) necessita de cgroup v1 para QoS
de dispositivos de bloco. Já que a partir de bullseye também muda para a
utilização de cgroupv2 por predefinição (veja a Secção 2.2.4, “Control groups v2”), a árvore sysfs em /sys/fs/cgroup
não irá incluir as funcionalidades de cgroup v1, tais como
/sys/fs/cgroup/blkio, e como resultado
cgcreate -g blkio:foo irá falhar. Para nós de OpenStack
que corram nova-compute ou
cinder-volume, é altamente
recomendado acrescentar os parâmetros
systemd.unified_cgroup_hierarchy=false e
system.legacy_systemd_cgroup_controller=false à linha de
comandos do kernel de modo a ultrapassar a predefinição e restaurar a antiga
hierarquia cgroup.
Seguindo as recomendações dos autores, o OpenStack Victoria conforme é
lançado em bullseye muda a API OpenStack para utilizar o novo formato
YAML. Como resultado, a maioria dos serviços de OpenStack, incluindo Nova,
Glance e Keystone parecem estragados com todas as políticas de API escritas
explicitamente nos ficheiros policy.d. Por isso, os
pacotes agora vêm com um directório
/etc/PROJECT/policy.d contendo um ficheiro
00_default_policy.yaml, com todas as políticas
comentadas, por predefinição.
Para evitar que o antigo ficheiro policy.json se
mantenha ativo, os pacotes OpenStack em Debian agora renomeiam esse ficheiro
como disabled.policy.json. Em alguns casos onde não
pode ser feito nada melhor a tempo do lançamento o
policy.json é simplesmente apenas apagado. Por isso
antes de atualizar, é fortemente aconselhado fazer uma cópia de segurança
aos ficheiros policy.json das suas instalações.
Estão disponíveis mais detalhes na documentação dos autores.
Em contraste com as atualizações normais de sendmail, durante a atualização de buster para
bullseye, o serviço sendmail irá ser parado, causando uma paragem mais longa
do que é normal. Para conselhos genéricos acerca de como reduzir o tempo de
paragem veja a Secção 4.1.3, “Preparar para desligar temporariamente os serviços”.
Alguns pacotes que incluem gvfs-fuse, kio-fuse, e sshfs mudaram para FUSE 3. Durante as
atualizações isto irá fazer com que fuse3 seja instalado e que fuse seja removido.
Nalgumas circunstâncias excepcionais, e.g. quando se atualiza apenas
correndo apt-get dist-upgrade em vez dos passos de
atualização recomendados na Capítulo 4, Actualizações a partir de Debian 10 (buster), os pacotes que
dependam de fuse3 podem ser mantidos
durante as atualizações. Correr os passos discutidos na Secção 4.4.5, “Actualizar o sistema” contra o apt de bullseye ou atualizado manualmente irá
resolver a situação.
A partir da versão 2.2.27-1, a configuração por utilizador do conjunto
GnuPG foi completamente movida para
~/gnupg/gpg.conf, e
~/gnupg/options deixou de ser utilizado. Por favor
renomeie o ficheiro se necessário, ou mova o seu conteúdo para a nova
localização.
A partir de Linux 5.10, é permitido, por predefinição, a
todos os utilizadores criarem user namespaces. Isto irá permitir a programas
tais como navegadores web e gestores de containers criar sandboxes mais
restringidas para código não-confiável ou menos-confiável, sem a necessidade
de correr como root ou utilizar a ajuda de setuid-root.
A anterior predefinição de Debian era restringir esta funcionalidade a processos que corressem como root, porque expunham mais problemas de segurança no kernel. No entanto, como a implementação desta funcionalidade amadureceu, agora estamos confiantes que o risco de a habilitar é ultrapassado pelos beneficios de segurança que disponibiliza.
Se preferir manter esta funcionalidade restrita, defina o sysctl:
user.max_user_namespaces = 0
Note que várias funcionalidades de desktop e de containers não irão
funcionar com esta restrição, incluindo navegadores web,
WebKitGTK, Flatpak e miniaturas de
GNOME.
O sysctl específico de Debian,
kernel.unprivileged_userns_clone=0tem um efeito similar,
mas foi descontinuado.
A partir do Linux 5.10, Debian desabilita chamadas não
privilegiadas a bpf() por predefinição. No entanto, um administrador pode
mesmo assim alterar esta definição posteriormente, caso seja necessário, ao
escrever 0 ou 1 em sysctl
kernel.unprivileged_bpf_disabled.
Se preferir manter ativas as chamadas não privilegiadas a bpf(), defina o sysctl:
kernel.unprivileged_bpf_disabled = 0
Para enquadramento da alteração da predefinição em Debian veja o bug 990411 para ver o pedido de alteração.
O pacote redmine não é
disponibilizado em bullseye já que era tarde demais para migrar da antiga
versão de rails que está no final do
suporte pelos autores (apenas recebe correções para bugs de segurança
sérios) para a versão que está em bullseye. Os Maintainers de Ruby
Extras seguem o original de perto e irão lançar uma versão através
de backports assim que
for lançado e tenham pacotes funcionais. Se não puder esperar por isto
acontecer antes da atualização, pode utilizar uma VM ou um container a
correr buster para isolar esta aplicação específica.
Por favor tenha em conta que a versão de Exim em bullseye é uma
grande atualização de Exim. Introduz o conceito de
dados contaminados (tainted) lidos a partir de fontes não-confiáveis, como
e.g. o remetente da mensagem ou o destinatário. Estes dados contaminados
(e.g. $local_part ou $domain) não
podem ser utilizados, entre outras coisas, como nome de ficheiro, ou de
directório ou de comando.
Isto irá estragar configurações que não sejam atualizadas de acordo. Os ficheiros de Debian antidos da configuração de Exim também não irão funcionar sem serem modificados; a nova configuração tem de ser instalada com as modicficações locais acrescentadas.
Exemplos típicos não-funcionais incluem:
Entrega em /var/mail/$local_part. Use
$local_part_data em combinação com
check_local_user.
Utilizando
data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
em vez de
data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
para um ficheiro de alias de domínio virtual.
A estratégia básica para lidar com esta alteração é utilizar o resultado de lookup em processamento adicional em vez do valor (disponibilizado remotamente) original.
Para facilitar a atualização, há uma nova opção de configuração para fazer temporariamente downgrade de erros de taint para avisos, deixando a antiga configuração funcionar com o novo Exim. Para utilizar esta funcionalidade acrescente
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
à configuração do Exim (e.g. para
/etc/exim4/exim4.conf.localmacros)
antes de atualizar e verificar o ficheiro log por
avisos de taint. Isto é um subterfúgio temporário o qual já está marcado
para remoção após a introdução.
Devido a alterações no kernel Linux, a deteção de dispositivos SCSI já não é
determinística. Isto pode ser um problema para instalações que se baseiam na
ordem de deteção de discos. Duas alternativas possíveis utilizando links em
/dev/disk/by-path ou é sugerida uma regra de
udev em esta
publicação na mailing list.
O protocolo de rede com versões 1 e 2 do rdiff-backup são incompatíveis. Isto significa
que terá de correr localmente e remotamente a mesma versão (ou 1 ou 2) do
rdiff-backup. Já que o buster
distribui a versão 1.2.8 e bullseye distribui a versão 2.0.5, atualizar de
buster para bullseye apenas o sistema local ou apenas o sistema remoto irá
estragar a execução do rdiff-backup
entre os dois.
Está disponível no arquivo buster-backports a versão 2.0.5 de rdiff-backup, veja backports. Isto permite aos
utilizadores primeiro atualizar apenas o pacote rdiff-backup nos seus sistemas buster, e depois
atualizar independentemente os sistemas bullseye na sua conveniência.
Atualmente o pacote intel-microcode
em bullseye e em buster-security (veja DSA-4934-1) é
conhecido por conter dois bugs significativos. Para alguns CPUs CoffeeLake
esta atualização pode
fazer deixar de funcionar placas de rede que utilizem firmware-iwlwifi, e para alguns CPUs Skylake
R0/D0 em sistemas com firmware/BIOS antigos, o
sistema pode bloquear no arranque.
Se reteve a atualização do DSA-4934-1 devido a algum destes problemas, ou se
não tiver o arquivo de segurança, tenha em atenção que ao atualizar o pacote
intel-microcode em bullseye pode
fazer o seu sistema bloquear no arranque ou deixar de funcionar o
iwlwifi. Nesse caso, pode recuperar ao desabilitar o carregamento de
microcode no arranque; veja as instruções no DSA, que também estão no
README.Debian do intel-microcode.
Os pacotes em buster que dependem de libgc1c2 (e.g. guile-2.2-libs) poderão ser mantidos durante a
execução da primeira atualização completa para bullseye. Fazer uma segunda
atualização normalmente resolve o problema. O enquadramento do problema pode
ser encontrado no bug #988963.
O pacote fail2ban pode ser
configurado para enviar notificações por e-mail. Faz isso utilizando o
comando mail, que é disponibilizado por vários pacotes em
Debian. Uma atualização de segurança (necessária em sistemas que utilizam
mail de mailutils) feita mesmo antes do lançamento de
bullseye estragou esta funcionalidade em sistemas que tenham o
mail disponibilizado por bsd-mailx. Os utilizadores de
fail2ban em combinação com
bsd-mailx que desejem que o
fail2ban envie e-mails devem ou mudar para um
provedor de mail diferente ou manualmente desfazer a
aplicação
do commit original (que inseriu a string "E 'set
escape" em vários lugares de
/etc/fail2ban/action.d.
Apesar das ligações existes de Secure Shell (SSH) continuarem a funcionar
durante a atualização como é normal, devido a circunstâncias desafortunadas
o período em que não podem ser establecidas novas ligações SSH é mais longo
do que o normal. Se a atualização estiver a ser feita através de uma ligaão
SSH que possa ser interrompida, é recomendado atualizar o openssh-server antes de atualizar o sistema
completo.
The openvswitch upgrade may fail to
recover bridges after boot. The workaround is:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
For more info, see bug #989720.
Existem alguns pacotes onde Debian não pode prometer disponibilizar backports mínimos para problemas de segurança. Estes estão cobertos nas seguintes subsecções.
![[Nota]](images/note.png) | Nota |
|---|---|
O pacote |
Debian 11 inclui vários motores de navegador da internet que são afectados por um fluxo regular de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a falta parcial de suporte dos autores sob a forma de branches por períodos de tempo longos torna muito difícil suportar estes navegadores e motores com backports de correcções de segurança. Além disso, as interdependências entre bibliotecas tornam extremamente difícil actualizar para novos lançamentos de orginais mais recentes. Por isso, os navegadores compilados sob os motores webkit e khtml[6] estão incluidos em bullseye, mas não estão cobertos pelo suporte de segurança. Estes navegadores não devem ser utilizados para aceder a sites que não sejam de confiança. Os motores webkit2gtk e wpewebkit são cobertos pelo suporte de segurança.
Como navegador da web recomendamos Firefox ou Chromium. Estes irão manter-se atualizados ao recompilar os atuais lançamentos ESR para a stable. A mesma estratégia pode ser aplicada para o Thunderbird.
Debian bullseye vem com um acesso antecipado à versão OpenJDK
17 (a próxima versão esperada de OpenJDK LTS
após OpenJDK 11, para evitar um processo de arranque
bastante fastidioso o plano é OpenJDK 17 receber uma
atualização em bullseye no lançamento oficial final anunciado para Outubro
de 2021, seguido de atualizações de segurança numa base do melhor esforço,
os utilizadores não devem esperar ver atualizações em cada atualização de
segurança trimestral oficial.
A infraestrutura Debian atualmente tem problemas com a recompilação de pacotes de tipos que utilizem sistematicamente static linking. Até ao buster, na prática, isto não era um problema, mas com o crescimento do ecosistema Go isto significa que os pacotes baseados em Go serão cobertos por um suporte de segurança limitado até a infraestrutura ser melhorada para lidar com estes com manutenção sustentável.
Se houverem atualizações às bibliotecas de desenvolvimento de Go, estas apenas poderão vir através dos lançamentos pontuais, os quais poderão ser lentos a chegar.
Sem um dispositivo apontador, não há forma directa de alterar as definições
na aplicação de definições do GNOME, disponibilizada por gnome-control-center. Como forma de contornar
isto, pode navegar desde a barra lateral para o conteúdo principal
carregando duas vezes na Seta Direita. Para voltar à barra
lateral, pode iniciar uma pesquisa com Ctrl+F, escreva
qualquer coisa e depois carregue em Esc para cancelar a
pesquisa. Agora pode utilizar a Seta Cima e Seta
Baixo para navegar pela barra lateral. Não é possível seleccionar
resultados de pesquisa com o teclado.
Com a implementação de sulogin utilizado desde o buster,
arrancar com a opção rescue necessita sempre da
palavra-passe de root. Se não foi definida nenhuma, isto torna o modo rescue
efectivamente inutilizavel. No entanto ainda é possível arrancar utilizando
o parâmetro do kernel init=/sbin/sulogin --fore.
Para configurar systemd para fazer o equivalente a isto sempre que arrancar para o modo rescue (também conhecido como single mode: veja systemd(1)), corra sudo systemctl edit rescue.service e criar um ficheiro com apenas:
[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
Também pode (ou em vez disso) ser útil para fazer isto para o unit
emergency.service, o qual é iniciado
automaticamente no caso de certos erros (veja systemd.special(7)),
ou se emergency for acrescentado à linha de comandos do
kernel (e.g. se o sistema não poder ser recuperado ao utilizar o modo modo
rescue).
Para enquadramento e uma discussão das implicações de segurança veja #802211.
The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV
mode. Such virtual machines need to be converted to the
64-bit PC architecture.
You can check which mode a Xen guest is running (inside the virtual machine):
$ cat /sys/hypervisor/guest_type
PV
Virtual machines that return, for example, PVH or
HVM are not affected.
Os seguintes são uma lista de pacotes conhecidos e relevantes que são obsoletos (para uma descrição, veja a Secção 4.8, “Pacotes obsoletos” ).
A lista de pacotes obsoletos inclui:
O pacote lilo foi removido de
bullseye. O sucessor de lilo como gestor de arranque é o grub2.
A versão 3 do pacote de gestão de listas de correio Mailman é a única versão
do Mailman neste lançamento. O Mailman foi dividido em vários componentes; o
core está disponível no pacote mailman3 e o conjunto completo pode ser obtido
através do metapacote mailman3-full.
O antigo Mailman versão 2.1 já não está disponível (costuma ver o pacote
mailman. Este branch depende de
Python 2, que já não está disponível em Debian.
Para instruções de atualização, por favor veja a documentação de migração do projecto.
O kernel Linux já não disponibiliza suporte isdn4linux
(i4l). Consequentemente, os pacotes de utilizador relacionados, isdnutils, isdnactivecards, drdsl e ibod foram removidos dos arquivos.
As bibliotecas libappindicator descontinuadas já não são
disponibilizadas. Como resultado, os pacotes libappindicator1, libappindicator3-1 e libappindicator-dev já não estão
disponíveis. Isto é esperado causar erros de dependências a software de
terceiros que ainda dependa de libappindicator para disponibilizar suporte
para a bandeja do sistema e indicadores.
Debian utiliza libayatana-appindicator como o sucessor de
libappindicator. Para o enquadramento histórico veja este
anúncio.
Debian já não disponibliza chef. Se
utilizar Chef para gestão de configuração, o melhor caminho para o
atualização é provavelmente mudar para os pacotes disponibilizados por
Chef Inc.
Para o enquadramento da remoção, veja o pedido de remoção.
Python 2 já ultrapassou o seu fim de vida e não irá receber atualizações de
segurança. Não é suportado para correr aplicações e os pacotes em que se
baseavam, ou mudaram para Python 3 ou foram removidos. No entanto, Debian
bullseye ainda inclui a versão 2.7 de Python, assim como um número reduzido
de ferramentas de compilação em Python 2, tais como python-setuptools. Estas estão presentes apenas
porque são necessárias para alguns processos de compilação de aplicações que
ainda não foram convertidos para Python 3.
O pacote aufs-dkms não faz parte de
bullseye. A maioria dos utilizadores de aufs-dkms deve ser capaz de mudar para
overlayfs, que disponibiliza funcionalidades semelhantes
com suporte do kernel. No entanto, é possível ter uma instalação de Debian
num sistema de ficheiros que não seja compatível com
overlayfs, e.g. xfs sem
d_type. Os utilizadores de aufs-dkms são aconselhados a migrar de
aufs-dkms antes de atualizar para
bullseye.
The network connection manager wicd
will no longer be available after the upgrade, so to avoid the danger of
losing connectivity users are recommended to switch before the upgrade to an
alternative such as network-manager
or connman.
Com o próximo lançamento de Debian 12 (nome de código bookworm) serão depreciadas algumas funcionalidades. Os utilizadores irão necessitar de migrar para outras alternativas para prevenir problemas ao actualizar para 12.
Isto inclui as seguintes funcionalidades:
As justificações históricas para esta disposição do sistema de ficheiros,
com os directórios /bin, /sbin, e
/lib separados dos seus equivalentes em
/usr já não se aplicam atualmente; veja o resumo
em Freedesktop.org. Debian bullseye irá ser o último lançamento de
Debian que suporta o layout non-merged-usr; para sistemas com o layout
antigo que tenham sido atualizados sem serem reinstalados, existe o pacote
usrmerge para fazer a conversão,
caso seja desejado.
Bullseye é o último lançamento de Debian a incluir
apt-key. Em vez disso, as chaves devem ser geridas ao
largar ficheiros em /etc/apt/trusted.gpg, em formato
binário conforme criadas por gpg --export com uma
extensão .gpg, ou codificado em ASCII com uma extensão
.asc.
Está planeado um substituto para apt-key list para investigar o chaveiro manualmente, mas o trabalho ainda não iniciou.
Os backends de base de dados, de slapd, slapd-bdb(5),
slapd-hdb(5) e
slapd-shell(5)
estão a ser retirados e não serão incluidos em Debian 12. As
bases de dados LDAP que utilizem backends bdb ou
hdb devem ser migrados para o backend slapd-mdb(5).
Além disso, os backends slapd-perl(5) e slapd-sql(5) estão descontinuados e poderão ser removidos num lançamento futuro.
O Projecto OpenLDAP não suporta backends retirados ou descontinuados. O suporte a estes backends em Debian 11 é numa base de melhor esforço.
Apesar de Debian lançar quando estiver pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento, todos os bugs com severidade séria ou ainda mais alta são seguidos ativamente pela Equipa de Lançamento, por isso pode ser encontrada uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento bullseye no sistema de sistema de seguimento de bugs. Os seguintes bugs estavam a afectar bullseye na altura do lançamento e é importante serem mencionados neste documento.
| Número do bug | Pacote (source ou binário) | Descrição |
|---|---|---|
| 922981. | ca-certificates-java | ca-certificates-java: /etc/ca-certificates/update.d/jks-keystore não atualiza /etc/ssl/certs/java/cacerts |
| 990026 | cron | cron: charset reduzido em MAILTO causa problemas |
| 991081 | gir1.2-diodon-1.0 | gir1.2-diodon-1.0 lacks dependencies |
| 990318 | python-pkg-resources | python-pkg-resources: por favor acresente Breaks contra pacotes python sem versão |
| 991449 | fail2ban | correção para CVE-2021-32749 estraga sistemas com mail de bsd-mailx |
| 990708 | mariadb-server-10.5,galera-4 | mariadb-server-10.5: problemas na atualização devido à mudança de galera-3 -> galera-4 |
| 980429 | src:gcc-10 | g++-10: falha spurious c++17 mode segmentation em append_to_statement_list_1 (tree-iterator.c:65) |
| 980609 | src:gcc-10 | falta i386-cpuinfo.h |
| 984574 | gcc-10-base | gcc-10-base: por favor acrescente Breaks: gcc-8-base (<< 8.4) |
| 984931 | git-el | git-el,elpa-magit: falha a instalação: /usr/lib/emacsen-common/packages/install/git emacs failed at /usr/lib/emacsen-common/lib.pl line 19, <TSORT> line 7. |
| 987264 | git-el | git-el: falha a instalação com xemacs21 |
| 991082 | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 tem Depends vazio |
| 948739 | gparted | gparted não deve mascarar .mount units |
| 984714 | gparted | gparted deve sugerir exfatprogs e fazer backport do commit que rejeita exfat-utils |
| 968368 | ifenslave | ifenslave: a opção bond-master falha acrescentar o interface a ligar |
| 990428 | ifenslave | ifenslave: Bonding não funciona em bullseye (utilizando configuração bond-slaves) |
| 991113 | libpam-chroot | libpam-chroot instala pam_chroot.so no directório errado |
| 989545 | src:llvm-toolchain-11 | libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy |
| 982459 | mdadm | mdadm --examine em chroot sem /proc,/dev,/sys montados, corrompe o sistema de ficheiros do anfitrião |
| 981054 | openipmi | openipmi: Falta dependência de kmod |
| 948318 | openssh-server | openssh-server: não consegur reiniciar sshd restart após atualização para a versão 8.1p1-2 |
| 991151 | procps | procps: abandonada a opção reload do script de init, estragando corekeeper |
| 989103 | pulseaudio | pulseaudio regressão na configuração control=Wave |
| 984580 | libpython3.9-dev | libpython3.9-dev: falta dependência de zlib1g-dev |
| 990417 | src:qemu | openjdk-11-jre-headless: correr java em qemu s390 dá SIGILL em C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
| 859926 | speech-dispatcher | deixa de funcionar com pulse-audio como saída quando lançado por speechd-up do sistema init |
| 932501 | src:squid-deb-proxy | squid-deb-proxy: o daemon não inicia porque o ficheiro de configuração não é permitido pelo apparmor. |
| 991588 | tpm2-abrmd | tpm2-abrmd não deve utilizar Requires=systemd-udev-settle.service na sua unit |
| 991939 | libjs-bootstrap4 | libjs-bootstrap4: symlinks não funcionam: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
| 991822 | src:wine | src:wine: dh_auto_clean apaga ficheiros não relacionados fora da fonte do pacote |
| 988477 | src:xen | xen-hypervisor-4.14-amd64: xen dmesg mostra (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device |
| 991788 | xfce4-settings | xfce4-settings: ecrã preto após suspenção quando se fecha a tampa do portátil e se volta a abrir |
[6] Estes motores são distribuidos num número de pacotes fonte diferentes e a preocupação aplica-se a todos os pacotes que os distribuem. A preocupação também se estende a motores de web rendering que não explicitamente mencionados aqui, com a excepção do novo webkit2gtk.
| | | |
| Capítulo 4. Actualizações a partir de Debian 10 (buster) |  | Capítulo 6. Mais informação acerca de Debian |