5. Dinge, die Sie über trixie wissen sollten

Manchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Weitere Lektüre.

5.1. Upgrade-spezifische Themen für trixie

Dieser Abschnitt behandelt Themen, die für ein Upgrade von bookworm auf trixie relevant sind.

5.1.1. openssh-server no longer reads ~/.pam_environment

The Secure Shell (SSH) daemon provided in the openssh-server package, which allows logins from remote systems, no longer reads the user's ~/.pam_environment file by default; this feature has a history of security problems and has been deprecated in current versions of the Pluggable Authentication Modules (PAM) library. If you used this feature, you should switch from setting variables in ~/.pam_environment to setting them in your shell initialization files (e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism instead.

Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Vorbereitungen für eine Systemwiederherstellung.

5.1.2. OpenSSH no longer supports DSA keys

Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell (SSH) protocol, are inherently weak: they are limited to 160-bit private keys and the SHA-1 digest. The SSH implementation provided by the openssh-client and openssh-server packages has disabled support for DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9 ("stretch"), although it could still be enabled using the HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options for host and user keys respectively.

The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.

As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with the above configuration options. If you have a device that you can only connect to using DSA, then you can use the ssh1 command provided by the openssh-client-ssh1 package to do so.

In the unlikely event that you are still using DSA keys to connect to a Debian server (if you are unsure, you can check by adding the -v option to the ssh command line you use to connect to that server and looking for the "Server accepts key:" line), then you must generate replacement keys before upgrading. For example, to generate a new Ed25519 key and enable logins to a server using it, run this on the client, replacing username@server with the appropriate user and host names:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Dinge, die vor dem Neustart erledigt werden sollten

Wenn apt full-upgrade beendet ist, sollte das "formale" Upgrade abgeschlossen sein. Nach dem Upgrade auf trixie gibt es keine besonderen Maßnahmen, die vor dem nächsten Neustart erledigt werden müssen.

5.2.1. Dinge, die nicht auf den Upgrade-Prozess beschränkt sind

5.2.2. Einschränkungen bei der Sicherheitsunterstützung

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass minimale Rückportierungen zur Behebung von Sicherheitslücken in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

Bemerkung

Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

5.2.2.1. Sicherheitsstatus von Webbrowsern und deren Rendering-Engines

Debian 13 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf neuere Upstream-Versionen hochzurüsten. Applikationen, die das webkit2gtk-Quellpaket nutzen (z.B. epiphany) sind von der Sicherheitsunterstützung abgedeckt, andere, die qtwebkit verwenden (Quellpaket qtwebkit-opensource-src) jedoch nicht.

Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.

Wenn eine Debian-Veröffentlichung zu oldstable wird, könnten offiziell unterstützte Webbrowser innerhalb des eigentlich unterstützen Zeitraums keine Updates mehr erhalten. Chromium zum Beispiel wird in oldstable nur noch für 6 Monate Sicherheits-Updates erhalten statt für die typischen 12 Monate.

5.2.2.2. Go-und Rust-basierte Pakete

Debian's Infrastruktur hat derzeit Probleme beim Neubau von Paketentypen, die systematischen Gebrauch von statischer Verlinkung machen. Das Anwachsen des Go und Rust Eco-Systems bedeutet, dass diese Pakete nur eingeschränkt von Debians Sicherheitsunterstützung abgedeckt sein werden, bis die Infrastruktur dahingehend entsprechend verbessert wurde.

In den meisten Fällen, wenn Aktualisierungen für Go- oder Rust-Development-Bibliotheken zugesichert werden, können diese nur im Rahmen von Zwischenveröffentlichungen ausgeliefert werden.

5.2.3. Python-Interpreter jetzt als extern verwaltet markiert

Die von Debian angebotenen Python3-Interpreter-Pakete (python3.11 und pypy3) sind jetzt gemäß PEP-668 als extern verwaltet markiert. Die Version von python3-pip, die Debian bereitstellt, folgt diesem Konzept und wird es verweigern, Pakete für Debians Python-Interpreter zu installieren, außer die Option --break-system-packages ist angegeben.

Wenn Sie eine Python-Applikation (oder -Version) installieren müssen, die nicht in Debian paketiert ist, empfehlen wir, dass Sie es mit pipx (aus dem Debian-Paket pipx) installieren. pipx wird eine Umgebung einrichten, die von anderen Applikationen und systemgebundenen Python-Modulen isoliert ist, und die zusätzliche Python-Applikation wird mit samt ihren Abhängigkeiten in dieser Umgebung installiert.

Falls Sie ein Modul (oder eine Version) einer Python-Bibliothek installieren müssen, das nicht in Debian paketiert ist, empfehlen wir, es wenn möglich in eine virtualenv-Umgebung zu installieren. Sie können eine solche Umgebung mit Pythons stdlib-Modul venv (aus Debians python3-venv-Paket) erzeugen oder mit dem Drittanbieter-Werkzeug virtualenv (aus dem Paket virtualenv). Statt also zum Beispiel pip install --user foo auszuführen, verwenden Sie jetzt: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo, um das Modul in eine dedizierte virtualenv-Umgebung zu installieren.

Weitere Details finden Sie in /usr/share/doc/python3.11/README.venv.

5.2.4. Limitierte Unterstützung für hardware-beschleunigtes Encoding/Decoding in VLC

Der VLC-Videoplayer unterstützt grundsätzlich hardware-beschleunigtes Encoding/Decoding über VA-API und VDPAU. Allerdings hängt VLC's Unterstützung für VA-API stark von der Version von FFmpeg ab. Da FFmpeg auf den 5.x-Zweig aktualisiert wurde, wurde die Unterstützung für VA-API in VLC deaktiviert. Nutzer von GPUs mit nativer VA-API-Unterstützung (z.B. Intel- und AMD-GPUs) könnten eine erhöhte CPU-Nutzung beim Abspielen und Codieren von Videos bemerken.

Nutzer, deren GPUs native Unterstützung über VDPAU bieten (z.B. NVIDIA mit nicht-freien Treibern) sind von diesem Problem nicht betroffen.

Ob VA-API und VDPAU unterstützt werden, kann mittels vainfo und vdpauinfo (jeweils aus dem gleichnamigen Debian-Paket) kontolliert werden.

5.2.5. systemd-resolved in separates Paket ausgegliedert

Das neue systemd-resolved-Paket wird bei Hochrüstungen nicht automatisch installiert. Falls Sie den systemd-resolved-Systemdienst genutzt haben, installieren Sie dieses neue Paket nach dem Upgrade bitte manuell, und beachten Sie, dass bis dahin die DNS-Namensauflösung nicht mehr funktionieren wird, da der Dienst auf dem System nicht mehr existiert. Die Installation dieses Pakets gibt systemd-resolved automatisch die Kontrolle über /etc/resolv.conf. Weitere Informationen über systemd-resolved finden Sie in der offiziellen Dokumentation. Beachten Sie, dass systemd-resolved in der Vergangenheit nicht der standardmäßige DNS-Namensauflöser-Dienst war, und es auch in Zukunft nicht ist. Wenn Sie Ihr System also nicht manuell angepasst haben, um systemd-resolved als DNS-Resolver zu nutzen, sind keine Maßnahmen erforderlich.

5.2.6. systemd-boot in separates Paket ausgegliedert

Das neue systemd-boot-Paket wird bei Hochrüstungen nicht automatisch installiert. Falls Sie systemd-boot genutzt haben, installieren Sie dieses neue Paket nach dem Upgrade bitte manuell, und beachten Sie, dass bis dahin die ältere Version von systemd-boot weiter als Bootloader genutzt wird. Die Installation dieses Pakets wird automatisch systemd-boot als Bootloader des Rechners konfigurieren. Der Standard-Bootloader in Debian ist immer noch GRUB. Wenn Sie Ihr System nicht manuell angepasst haben, um systemd-boot als Bootloader zu nutzen, sind keine Maßnahmen erforderlich.

5.2.7. systemd-journal-remote nutzt nicht mehr GnuTLS

Die optionalen Dienste systemd-journal-gatewayd und systemd-journal-remote werden jetzt ohne GnuTLS-Unterstützung gebaut, was bedeutet, dass die --trust-Option von beiden Programmen nicht mehr bereitgestellt wird und ein Fehler wird ausgegeben beim Versuch, diese Option zu nutzen.

5.2.8. Umfangreiche Änderungen in adduser für Bookworm

Es gab eine Reihe von Änderungen in adduser. Die herausragendste Änderung ist, dass --disabled-password und --disabled-login jetzt funktional identisch sind. Weitere Details finden Sie in /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Vorhersehbare Namen für Xen-Netzwerkschnittstellen

Die vorhersehbare Namenslogik in systemd für Netzwerkschnittstellen wurde erweitert, um auch stabile Namen von Xen-netfront-Geräteinformationen zu erstellen. Das bedeutet, dass statt des alten Systems, bei dem die Namen vom Kernel zugewiesen wurden, den Schnittstellen jetzt Namen gemäß der Form enX# zugewiesen werden. Bitte passen Sie Ihr System entsprechend an, bevor Sie es nach der Hochrüstung neu starten. Einige weitere Informationen finden Sie auf der NetworkInterfaceName-Wikiseite.

5.2.10. Änderung in dash bezüglich der Handhabung des Akzents circumflex

dash, which by default provides the system shell /bin/sh in Debian, has switched to treating the circumflex (^) as a literal character, as was always the intended POSIX-compliant behavior. This means that in bookworm [^0-9] no longer means "not 0 to 9" but "0 to 9 and ^".

5.2.11. netcat-openbsd unterstützt abstrakte Sockets

Das netcat-Werkzeug zum Lesen und Schreiben von Daten über Netzwerkverbindungen unterstützt abstrakte Sockets (siehe unix.7.html#Abstract_sockets), und nutzt diese unter gewissen Umständen standardmäßig.

In der Standardeinstellung wird netcat vom Paket netcat-traditional bereitgestellt. Wenn es jedoch von netcat-openbsd bereitgestellt wird und und Sie einen AF_UNIX-Socket verwenden, dann greift diese neue Funktionalität. In diesem Fall wird die Option -U den nc-Befehl anweisen, ein Argument, das mit @ beginnt, als Anfrage eines abstrakten Sockets zu interpretieren, statt als mit einem @ beginnenden Dateinamen im aktuellen Verzeichnis. Dies kann sicherheitsrelevante Auswirkungen haben, da Dateisystemberechtigungen jetzt nicht mehr genutzt werden können, um den Zugriff auf einen abstrakten Socket zu steuern. Wenn Sie wie früher mit @ beginnende Dateinamen verwenden möchten, müssen Sie diesem entweder ein ./ voranstellen oder einen absoluten Pfad angeben.

5.3. Überalterungen und Missbilligungen

5.3.1. Nennenswerte veraltete Pakete

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Veraltete Pakete).

Zu diesen Paketen gehören:

  • Das libnss-ldap-Paket wurde aus trixie entfernt. Seine Funktionalitäten werden jetzt durch libnss-ldapd und libnss-sss abgedeckt.

  • Das libpam-ldap-Paket wurde aus trixie entfernt. Sein Nachfolger ist libpam-ldapd.

  • Das fdflush-Paket wurde aus trixie entfernt. Verwenden Sie stattdessen bitte blockdev --flushbufs aus dem Paket util-linux.

  • Das Paket libgdal-perl wurde aus trixie entfernt, da die Perl-Bindung für GDAL von upstream nicht mehr unterstützt wird. Falls Sie Perl-Unterstützung für GDAL benötigen, können Sie zum FFI-Interface aus dem Geo::GDAL::FFI-Paket (verfügbar auf CPAN) migrieren. Sie müssen dazu Ihre eigenen Binärdateien bauen, wie auf der BookwormGdalPerl-Wikiseite dokumentiert.

5.3.2. Missbilligte Komponenten für trixie

Mit der nächsten Veröffentlichung von Debian 14 (Codename forky) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 14 zu vermeiden.

Dazu gehören folgende Funktionalitäten:

  • Die Entwicklung des NSS-Service gw_name endete 2015. Das zugehörige Paket libnss-gw-name könnte in zukünftigen Debian-Veröffentlichungen entfernt werden. Der Originalautor empfiehlt stattdessen die Verwendung von libnss-myhostname.

  • Seit Ende 2010 gibt es für dmraid keine Aktivität von Upstream mehr, und in Debian galt Life Support. Bookworm wird die letzte Veröffentlichung sein, in der dmraid enthalten ist, planen Sie daher bitte entsprechende Umstellungen, falls Sie dmraid verwenden.

  • request-tracker4 wurde in dieser Veröffentlichung durch request-tracker5 abgelöst und wird in der Zukunft komplett entfernt werden. Wir empfehlen, dass Sie während der Lebenszeit dieser Veröffentlichung von request-tracker4 auf request-tracker5 migrieren.

  • Die isc-dhcp-Suite wurde von der ISC abgekündigt. Das Debian Wiki enthält eine Liste alternativer Implementierungen für DHCP-Clients und DHCP-Server. Wenn Sie NetworkManager oder systemd-networkd verwenden, können Sie das isc-dhcp-client-Paket problemlos entfernen, da beide jeweils ihre eigene Implementation mitbringen. Falls Sie das ifupdown-Paket nutzen, können Sie mit udhcpc als Ersatz experimentieren. Das ISC empfiehlt als Ersatz für DHCP-Server das Kea-Paket.

    Debian's Security-Team wird das isc-dhcp-Paket während der Lebenszeit von Bookworm noch weiter unterstützen, aber das Paket wird wahrscheinlich in der nächsten Stable-Veröffentlichung nicht mehr unterstützt werden; nähere Details finden Sie im Fehlerbericht #1035972 (isc-dhcp EOL'ed).

5.4. Bekannte gravierende Fehler

Obwohl Debian-Veröffentlichungen nur freigegeben werden, wenn sie fertig sind, heißt dies unglücklicherweise nicht, dass keine bekannten Fehler existieren. Als Teil des Release-Prozesses werden alle Fehler mit Schweregrad serious oder höher aktiv vom Release-Team verfolgt, daher gibt es in Debians Fehlerdatenbank eine Übersicht über all diese Fehler. Folgende Fehler betreffen trixie zum Zeitpunkt der Veröffentlichung und sollten hier erwähnt werden:

Fehlernummer

Quell- oder Binärpaket

Beschreibung

1032240

akonadi-backend-mysql

akonadi server fails to start since it cannot connect to mysql database

1032177

faketime

faketime doesn't fake time (on i386)

918984

src:fuse3

provide upgrade path fuse -> fuse3 for bookworm

1016903

g++-12

tree-vectorize: Wrong code at O2 level (-fno-tree-vectorize is working)

1020284

git-daemon-run

fails to purge: deluser -f: Unknown option: f

919296

git-daemon-run

fails with 'warning: git-daemon: unable to open supervise/ok: file does not exist'

1034752

src:gluegen2

embeds non-free headers