Chapitre 5. Problèmes à connaître pour Bullseye

Pour les GPU Intel disponibles de génération Broadwell ou plus récents, l’implémentation par défaut de VA-API (« Video Acceleration API ») est maintenant intel-media-va-driver pour le décodage vidéo accéléré matériellement. Les systèmes ayant va-driver-all installé seront automatiquement mis à niveau vers le nouveau pilote.

L’ancien paquet de pilote i965-va-driver est toujours disponible et propose la prise en charge jusqu’à l’architecture Cannon Lake. Pour favoriser l’ancien pilote à la place du nouveau, configurez la variable d’environnement LIBVA_DRIVER_NAME à i965, par exemple en mettant la variable dans /etc/environment. Pour plus d’informations, veuillez consulter la page du wiki sur l’accélération vidéo matérielle.

La prise en charge des options de montage barrier et nobarrier a été supprimée du système de fichiers XFS. Il est recommandé de vérifier la présence d’un de ces mots-clés dans /etc/fstab et de les supprimer. Les partitions utilisant ces options ne pourront être montées.

For bullseye, the security suite is now named bullseye-security instead of codename/updates and users should adapt their APT source-list files accordingly when upgrading.

La ligne de sécurité dans votre configuration APT devrait ressembler à :

deb https://deb.debian.org/debian-security bullseye-security main contrib

If your APT configuration also involves pinning or APT::Default-Release, it is likely to require adjustments as the codename of the security archive no longer matches that of the regular archive. An example of a working APT::Default-Release line for bullseye looks like:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of the undocumented feature of APT that it supports regular expressions (inside /).

La fonction de hachage de mot de passe par défaut pour les comptes locaux du système a été changée pour yescrypt (voir crypt(5)). Ce changement devrait fournir une meilleure sécurité contre les attaques de mot de passe basées sur des dictionnaires, à la fois en matière de complexité en espace et en temps de l’attaque.

Pour bénéficier de cette sécurité améliorée, modifiez les mots de passe locaux ; par exemple, utilisez la commande passwd.

Les anciens mots de passe continueront de fonctionner quelle que soit la fonction de hachage utilisée pour les créer.

Yescrypt n’est pas pris en charge par Debian 10 (Buster). Ainsi, les fichiers de mot de passe shadow (/etc/shadow) ne peuvent être copiés d’un système Bullseye vers un système Buster. Si ces fichiers sont copiés, les mots de passe ayant été modifiés sur un système Bullseye ne fonctionneront pas sur le système Buster. De façon similaire, les empreintes de mots de passe ne peuvent pas être copiés et collés d’un système Bullseye vers un système Buster.

Si la compatibilité des empreintes de mots de passe entre Bullseye et Buster est requise, modifiez /etc/pam.d/common-password. Trouvez la ligne qui ressemble à :

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

et remplacez yescrypt par sha512.

La prise en charge de NSS NIS et NIS+ a été déplacée dans des paquets séparés appelés libnss-nis et libnss-nisplus. Malheureusement, glibc ne peut dépendre de ces paquets. Ils ne sont donc que recommandés.

Sur les systèmes utilisant NIS ou NIS+, il est donc recommandé de vérifier que ces paquets sont correctement installés après la mise à niveau.

Le résolveur DNS unbound a changé sa façon de gérer les fragments de fichiers de configuration. Si vous utilisez une directive include: pour fusionner plusieurs fragments en une configuration valable, vous devriez lire le fichier NEWS.

Les paramètres --copy-devices et --noatime de rsync ont été renommés --write-devices et --open-noatime. Les anciennes formes ne sont plus prises en charge ; si vous les utilisez, vous devriez consulter le fichier NEWS. Les processus de transfert entre les systèmes fonctionnant avec des versions de Debian différentes pourraient nécessiter que la machine sous Buster ait sa version de rsync mise à niveau grâce au dépôt backports.

Les greffons de vim historiquement fournis par vim-scripts sont maintenant gérés grâce à la fonctionnalité native « package » de Vim plutôt que par vim-addon-manager. Les utilisateurs de Vim devraient se préparer avant la mise à niveau en suivant les instructions du fichier NEWS.

OpenStack Victoria (publiée dans Bullseye) nécessite cgroup v1 pour la qualité de service des périphériques en mode bloc. Comme Bullseye utilise maintenant cgroup v2 par défaut (voir Section 2.2.4, « Control groups v2 »), l’arbre sysfs dans /sys/fs/cgroup n’inclura pas les fonctionnalités de cgroup v1 telles que /sys/fs/cgroup/blkio. Ainsi, cgcreate -g blkio:toto échouera. Pour les nœuds OpenStack exécutant nova-compute ou cinder-volume, il est fortement recommandé d’ajouter les paramètres systemd.unified_cgroup_hierarchy=false et systemd.legacy_systemd_cgroup_controller=false à la ligne de commande du noyau afin de surcharger les valeurs par défaut et restaurer l’ancienne hiérarchie de cgroup.

Suivant les recommandations amont, OpenStack Victoria, telle que publiée dans Bullseye, change l’API OpenStack pour utiliser le nouveau format YAML. Il en résulte que la plupart des services OpenStack, dont Nova, Glance et Keystone, apparaissent cassés avec toutes les politiques d’API écrites explicitement dans les fichiers policy.json. Par conséquent, les paquets sont maintenant fournis avec un répertoire /etc/PROJECT/policy.d contenant un fichier 00_default_policy.yaml avec toutes les politiques commentées par défaut.

Pour éviter que l’ancien fichier policy.json ne reste actif, les paquets Debian OpenStack renomment maintenant ce fichier en disabled.policy.json.old. Dans certains cas où rien de mieux n’a pu être fait à temps pour la publication, le fichier policy.json est même simplement supprimé. Avant de mettre à niveau, il est donc fortement recommandé de sauvegarder les fichiers policy.json de vos déploiements.

Plus de détails sont disponibles dans la documentation amont.

Contrairement aux mises à niveau habituelles de sendmail, le service sendmail sera arrêté pendant la mise à niveau de Buster vers Bullseye, causant une interruption de service plus longue que d’habitude. Veuillez consulter Section 4.1.3, « Préparez-vous à un arrêt des services » pour des conseils généraux sur la réduction des interruptions de service.

Certains paquets, dont gvfs-fuse, kio-fuse et sshfs, ont migré vers FUSE 3. Pendant les mises à niveau, cela provoquera l’installation de fuse3 et la suppression de fuse.

Dans quelques circonstances exceptionnelles, comme lorsque la mise a niveau n’est faite qu’en lançant apt-get dist-upgrade au lieu des étapes de mise à niveau recommandées dans Chapitre 4, Mises à niveau depuis Debian 10 (Buster), les paquets dépendant de fuse3 pourraient ne pas être mis à niveau. Suivre les étapes présentées dans Section 4.4.5, « Mettre à niveau le système » avec le apt de Bullseye ou mettre les paquets à niveau manuellement résoudra le problème.

Depuis la version 2.2.27-1, la configuration par utilisateur de la suite GnuPG a été entièrement déplacée dans ~/.gnupg/gpg.conf, et ~/.gnupg/options n’est plus utilisé. Veuillez renommer le fichier si nécessaire ou déplacer son contenu au nouvel emplacement.

Depuis Linux 5.10, tous les utilisateurs ont le droit de créer des espaces de noms utilisateur par défaut. Cela permet à des programmes comme les navigateurs web et les gestionnaires de conteneurs de créer des bacs à sable plus restreints pour le code non digne de confiance ou peu digne de confiance, sans nécessiter d’être lancés en tant que root ou d’utiliser un assistant setuid-root.

Le paramétrage par défaut de Debian était de restreindre cette fonctionnalité aux processus exécutés en tant que root, car elle expose plus de problèmes de sécurité dans le noyau. Cependant, l’implémentation de cette fonctionnalité a gagné en maturité et nous sommes maintenant convaincus que le risque de l’activer est compensé par les bénéfices de sécurité qu’elle apporte.

Si vous préférez conserver la restriction de cette fonctionnalité, paramétrez le sysctl :

user.max_user_namespaces = 0
      

Veuillez noter que diverses fonctionnalités de bureau et de conteneur ne fonctionneront pas avec cette restriction, notamment les navigateurs web, WebKitGTK, Flatpak et fabrication d'images miniatures par GNOME.

L’option sysctl kernel.unprivileged_userns_clone=0 spécifique à Debian a un effet similaire, mais elle est dépréciée.

From Linux 5.10, Debian disables unprivileged calls to bpf() by default. However, an admin can still change this setting later on, if needed, by writing 0 or 1 to the kernel.unprivileged_bpf_disabled sysctl.

If you prefer to keep unprivileged calls to bpf() enabled, set the sysctl:

kernel.unprivileged_bpf_disabled = 0
      

For background on the change as default in Debian see bug 990411 for the change request.

Le paquet redmine n’est pas fourni par Bullseye, car il était trop en retard dans sa migration depuis l’ancienne version de rails qui atteint la fin de la prise en charge amont (ne recevant des correctifs que pour les bogues de sécurité sévères) vers la version incluse dans Bullseye. Les mainteneurs de Ruby Extras suivent l’amont de près et publieront une version à l’aide de rétroportages dès qu’elle sera publiée en amont et qu’un paquet fonctionnel sera prêt. Si vous ne pouvez pas attendre cela avant de faire la mise à niveau, vous pouvez utiliser une machine virtuelle ou un conteneur exécutant Buster pour isoler cette application spécifique.

Veuillez considérer la version d’Exim livrée dans Bullseye comme une mise à niveau majeure d’Exim. Celle-ci introduit le concept de lecture de données corrompues depuis des sources non dignes de confiance, comme l’expéditeur ou le destinataire du message. Cette donnée corrompue (par exemple $local_part ou $domain) ne peut pas être utilisée entre autres comme un nom de fichier ou de répertoire ni comme un nom de commande.

Cela cassera les configurations qui ne seront pas mises à jour en conséquence. Les anciens fichiers de configuration Debian pour Exim ne fonctionneront pas non plus sans modification ; la nouvelle configuration doit être installée en la fusionnant avec les modifications locales.

Les exemples non fonctionnels typiques incluent :

La stratégie de base pour gérer ce changement est d’utiliser le résultat d’une recherche dans un traitement ultérieur au lieu de la valeur d’origine (fournie à distance).

Pour faciliter la mise à niveau, une nouvelle option de configuration permet de temporairement abaisser les erreurs de corruption en avertissements, ce qui permet à l’ancienne configuration de fonctionner avec le nouvel Exim. Pour utiliser cette fonctionnalité, utilisez :

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

à la configuration Exim (comme /etc/exim4/exim4.conf.localmacros) avant de mettre à niveau et de vérifier le fichier de journalisation à la recherche d’avertissements de corruption. Il s’agit d’un contournement temporaire qui est déjà marqué pour suppression.

Suite à des changements dans le noyau Linux, le sondage des périphériques SCSI n’est plus déterministe. Cela pourrait poser problème pour les installations se basant sur l’ordre de sondage des disques. Deux alternatives utilisant des liens dans /dev/disk/by-path ou une règle udev sont suggérées dans ce message de liste de diffusion.

Les versions 1 et 2 du protocole réseau rdiff-backup sont incompatibles. Cela signifie que vous devez exécuter la même version (1 ou 2) de rdiff-backup localement et à distance. Comme Buster fournit la version 1.2.8 et que Bullseye fournit la version 2.0.5, ne mettre à jour que le système local ou que le système distant de Buster vers Bullseye ne permettra pas à rdiff-backup de fonctionner entre les deux.

La version 2.0.5 de rdiff-backup est disponible dans l’archive buster-backports, veuillez consulter le site des rétroportages. Cela permet aux utilisateurs de ne mettre à jour que le paquet rdiff-backup sur leurs systèmes Buster dans un premier temps, puis de mettre leurs systèmes à niveau vers Bullseye indépendamment comme ils l’entendent.

The intel-microcode package currently in bullseye and buster-security (see DSA-4934-1) is known to contain two significant bugs. For some CoffeeLake CPUs this update may break network interfaces that use firmware-iwlwifi, and for some Skylake R0/D0 CPUs on systems using a very outdated firmware/BIOS, the system may hang on boot.

If you held back the update from DSA-4934-1 due to either of these issues, or do not have the security archive enabled, be aware that upgrading to the intel-microcode package in bullseye may cause your system to hang on boot or break iwlwifi. In that case, you can recover by disabling microcode loading on boot; see the instructions in the DSA, which are also in the intel-microcode README.Debian.

Packages that depend on libgc1c2 in buster (e.g. guile-2.2-libs) may be held back during the first full upgrade run to bullseye. Doing a second upgrade normally solves the issue. The background of the issue can be found in bug #988963.

The fail2ban package can be configured to send out e-mail notifications. It does that using mail, which is provided by multiple packages in Debian. A security update (needed on systems that use mail from mailutils) just before the release of bullseye broke this functionality for systems that have mail provided by bsd-mailx. Users of fail2ban in combination with bsd-mailx who wish fail2ban to send out e-mail should either switch to a different provider for mail or manually unapply the upstream commit (which inserted the string "-E 'set escape'" in multiple places under /etc/fail2ban/action.d/).

Although existing Secure Shell (SSH) connections should continue to work through the upgrade as usual, due to unfortunate circumstances the period when new SSH connections cannot be established is longer than usual. If the upgrade is being carried out over an SSH connection which might be interrupted, it's recommended to upgrade openssh-server before upgrading the full system.

Lorsque apt full-upgrade a terminé, la mise à niveau « formelle » est terminée. Pour la mise à niveau vers Bullseye il n'y a rien de particulier à faire avant de redémarrer.

Il existe certains paquets pour lesquels Debian ne peut pas garantir de rétroportages minimaux pour les problèmes de sécurité. Cela est développé dans les sous-sections suivantes.

	Note
	Le paquet debian-security-support aide à suivre l’état de la prise en charge du suivi de sécurité des paquets installés.

Sans dispositif de pointage, il n’y a pas de moyen direct de modifier les réglages dans l’application GNOME Settings fournie par gnome-control-center. Pour contourner cela, il est possible de naviguer de la barre latérale vers le contenu principal en appuyant deux fois sur Flèche droite. Pour revenir à la barre latérale, vous pouvez commencer une recherche avec Ctrl+F, taper quelque chose, puis appuyer sur Echap. pour annuler la recherche. Maintenant, vous pouvez utiliser Flèche haut et Flèche bas pour naviguer dans la barre latérale. Il est n’est pas possible de sélectionner les résultats de recherche au clavier.

Avec l’implémentation de sulogin depuis Buster, le démarrage avec l’option rescue nécessite toujours le mot de passe root. S’il n’a pas été paramétré, cela rend le mode de secours inutilisable. Cependant, il est toujours possible de démarrer en utilisant le paramètre du noyau init=/sbin/sulogin --force.

Pour configurer systemd afin de faire la même chose que cela à chaque fois qu’il démarre en mode secours (aussi connu sous le nom de mode mono-utilisateur : voir systemd(1)), lancez sudo systemctl edit rescue.service et créez un fichier disant juste :

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Il pourrait aussi être utile de faire cela pour l’unité emergency.service qui est démarrée automatiquement quand certaines erreurs se produisent (voir systemd.special(7)), ou si emergency est ajouté à la ligne de commande du noyau (par exemple, si le système ne peut être récupéré avec le mode de secours).

Pour davantage d’informations et une discussion au sujet des implications en matière de sécurité, consultez le bogue nº 802211.

La liste suivante contient des paquets connus et obsolètes (voir Section 4.8, « Paquets obsolètes » pour une description).

La liste des paquets obsolètes contient :

Avec la prochaine publication de Debian 12 (nom de code Bookworm), certaines fonctionnalités seront déconseillées. Les utilisateurs devront migrer vers des alternatives pour éviter les problèmes lors de la mise à jour vers Debian 12.

Cela comprend les fonctionnalités suivantes :