Kapitel 5. Dinge, die Sie über Stretch wissen sollten

Inhaltsverzeichnis

5.1. Upgrade-spezifische Themen für Stretch
5.1.1. Spätes Einbinden von /usr wird nicht mehr unterstützt
5.1.2. FTP-Zugriff auf von Debian betriebene Spiegelserver wird eingestellt
5.1.3. Nennenswerte veraltete Pakete
5.1.4. Missbilligte Komponenten für Stretch
5.1.5. Dinge, die vor dem Neustart erledigt werden sollten
5.1.6. Ausführbare Dateien werden jetzt standardmäßig als »position independent executables« (positionsunabhängig, PIE) kompiliert.
5.1.7. Die meisten LSB-Kompatibilitäts-Pakete wurden entfernt
5.2. Einschränkungen bei der Sicherheitsunterstützung
5.2.1. Sicherheitsstatus von Webbrowsern
5.2.2. Fehlende Sicherheitsunterstützung rund um das Ecosystem von libv8 und Node.js
5.3. Eingriffe bei einigen spezifischen Paketen
5.3.1. Ältere Cipher und SSH1-Protokoll in OpenSSH standardmäßig deaktiviert
5.3.2. Möglicherweise nicht rückwärts kompatible Änderungen in APT
5.3.3. Änderungen an der grafischen Xorg-Umgebung
5.3.4. Upstart entfernt
5.3.5. Das debhelper-Werkzeug erzeugt jetzt standardmäßig dbgsym-Pakete
5.3.6. OpenSSL-betreffende Änderungen
5.3.7. Perl-Änderungen, die Drittanbieter-Software stören könnten
5.3.8. Inkompatibilität von PostgreSQL PL/Perl
5.3.9. net-tools wird zugunsten von iproute2 missbilligt
5.3.10. Die mount-Option _netdev wird empfohlen, wenn AoE-(ATA over ethernet)Geräte eingesetzt werden
5.3.11. Harmlose Warnungen Unespaced ... in regex is deprecated, ... während des Upgrades

Manchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Abschnitt 6.1, „Weitere Lektüre“.

5.1. Upgrade-spezifische Themen für Stretch

Dieser Abschnitt behandelt Themen, die für ein Upgrade von Jessie auf Stretch relevant sind.

5.1.1. Spätes Einbinden von /usr wird nicht mehr unterstützt

[Anmerkung]Anmerkung

Dieser Abschnitt ist nur für Systeme relevant, die einen selbst angepassten Kernel verwenden und auf denen /usr ein separater Einbindungspunkt, getrennt von / ist. Wenn Sie die von Debian bereit gestellten Kernel-Pakete nutzen, sind Sie hiervon nicht betroffen.

Das Einbinden von /usr mit Werkzeugen, die nur in / existieren, wird nicht mehr unterstützt. Dies hat nur für einige spezielle Konfigurationen in der Vergangenheit funktioniert, und wird jetzt explizit nicht mehr unterstützt.

Das bedeutet, dass Sie auf Stretch-Systemen, auf denen /usr eine separate Partition ist, einen initramfs-Generator verwenden müssen, der /usr einbindet. Alle initramfs-Generatoren in Stretch unterstützen dies.

5.1.2. FTP-Zugriff auf von Debian betriebene Spiegelserver wird eingestellt

Durch Debian betriebene Spiegelserver werden keinen FTP-Zugriff mehr anbieten. Wenn Sie das ftp:-Protokoll in Ihrer sources.list nutzen, migrieren Sie bitte auf http:. Sie können das folgende Beispiel für die Migration in Betracht ziehen:

deb http://deb.debian.org/debian          stretch         main
deb http://deb.debian.org/debian-security stretch/updates main

# Variante für tor (erfordert apt-transport-tor):
# deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            main
# deb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

Die obigen Beispiele enthalten weder non-free noch contrib. Denken Sie daran, diese hinzuzufügen, falls Sie diese Komponenten aktiviert haben.

Weitere Informationen finden Sie in dieser Ankündigung: Öffentliche FTP-Dienste werden abgeschaltet.

5.1.3. Nennenswerte veraltete Pakete

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

  • Die meisten -dbg-Pakete wurden aus dem main-Archiv entfernt und durch -dbgsym-Pakete ersetzt, die jetzt im debian-debug-Archiv zu finden sind. Lesen Sie dazu Abschnitt 2.2.7, „Neues Archiv für debug-Symbole“.

  • Die Passwort-Manager fpm2 und kedpm werden von den Upstream-Autoren nicht mehr betreut. Bitte nutzen Sie einen anderen Passwort-Manager wie pass, keepassx oder keepass2. Stellen Sie sicher, dass Sie Ihre Passwörter aus fpm2 und kedpm extrahieren, bevor Sie die Pakete entfernen.

  • Das net-tools-Paket zugunsten von iproute2 für veraltet erklärt worden. Lesen Sie Abschnitt 5.3.9, „net-tools wird zugunsten von iproute2 missbilligt“ oder die Debian Referenz, wenn Sie weitere Informationen benötigen.

5.1.4. Missbilligte Komponenten für Stretch

Mit der nächsten Veröffentlichung von Debian 10 (Codename Buster) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 10 zu vermeiden.

Dazu gehören folgende Funktionalitäten:

  • TODO: Add items if any

5.1.5. Dinge, die vor dem Neustart erledigt werden sollten

Wenn apt-get dist-upgrade beendet ist, sollte das formale Upgrade abgeschlossen sein, aber es gibt ein paar andere Dinge, um die Sie sich vor dem nächsten Neustart kümmern sollten.


      add list of items here
      
    

5.1.6. Ausführbare Dateien werden jetzt standardmäßig als »position independent executables« (positionsunabhängig, PIE) kompiliert.

Standardmäßig wird der GNU-GCC-6-Kompiler aus Debian Stretch alle ausführbaren Dateien als positionsunabhängig kompilieren. Dies entschärft eine ganze Klasse von Verwundbarkeiten.

Unglücklicherweise hat der Linux-Kernel in Debian 8 (bis 8.7) einen Fehler, der dazu führen kann, dass Programme, die als »position independent executables« kompiliert sind, ohne nähere Angabe der Ursache abstürzen (es wird z.B. nur segmentation fault angezeigt). Dieses Problem wurde in der Linux-Version in Debian 8.8 (Version 3.16.43 oder später) und in dem Kernel in Debian 9 (Version 4.9 oder später) behoben.

Wir empfehlen, dass Sie Ihren Kernel auf eine korrigierte Version aktualisieren und dann den Rechner neu starten, bevor Sie das Upgrade auf Stretch starten. Wenn Sie den Kernel aus Debian 8.8 oder neuer laufen haben, sind Sie von diesem Problem nicht betroffen.

Falls Sie während des Upgrades einen Kernel laufen haben, der von diesem Problem betroffen ist, empfehlen wir dringend, dass Sie direkt nach dem Upgrade einen Neustart auf den Stretch-Kernel durchführen, um dies Problem zu beheben.

5.1.6.1. Verhaltensänderungen durch PIE für Systemadministratoren und Entwickler

[Anmerkung]Anmerkung

Dieser Abschnitt ist überwiegend für Entwickler oder Systemadministrator gedacht. Desktop-Benutzer werden wahrscheinlich hiervon nicht betroffen sein.

Die oben erwähnte Änderung führt zu weiteren Veränderungen, denen Sie sich bewußt sein sollten:

  • Das Werkzeug file wird (neben anderen) solche Binärdateien als LSB shared object klassifizieren statt als executable. Wenn Sie Filter verwenden, die auf Binärdateien basieren (z.B. Spamfilter), müssen diese unter Umständen aktualisiert werden.

  • Statische Bibliotheken, die in eine Binärdatei einkompiliert werden, müssen jetzt auch als positionsunabhängiger Code kompiliert werden. Folgende Fehlermeldung vom Linker ist ein Symptom hierfür:

    relocation ... against '[SYMBOL]' can not be used when making a shared object; recompile with -fPIC
    

    Beachten Sie: obwohl in der Fehlermeldung »-fPIC« genannt wird, ist es ausreichend, mit »-fPIE« neu zu kompilieren (dies ist der Standard in den GCC6-Paketen, die Teil von Stretch sind).

  • In der Vergangenheit wurden positionsunabhängige Binärdateien auf bestimmter Hardware mit Performance-Verlust in Verbindung gebracht, speziell auf Debians i386-Architektur (32-Bit Intel-Maschinen). Während GCC 5 und GCC 6 eine großartige Performance-Optimierung für positionsunabhängige Binärdateien auf 32-Bit Intel-Hardware erreichen konnten, treffen diese Optimierungen unter Umständen nicht für alle Architekturen zu. Sie sollten vielleicht die Performance Ihres Programmcodes beobachten, wenn Sie für Architekturen mit einer sehr begrenzten Anzahl von Registern programmieren.

5.1.7. Die meisten LSB-Kompatibilitäts-Pakete wurden entfernt

Mangels Interesse und Möglichkeiten zum Testen hat Debian die große Mehrheit der LSB-(Linux Standard Base)Kompatibilitäts-Pakete aus dem Archiv entfernt.

Debian wird trotzdem noch eine gewisse Auswahl an LSB-Werkzeugen für interne und externe Verwendung bereitstellen, wie lsb-release und die sysvinit-Init-Funktionen in lsb-base. Desweiteren ist Debian immer noch konform mit dem Filesystem Hierarchy Standard (FHS) der Version 2.3, mit Ausnahme der im Debian Policy Manual beschriebenen Abweichungen.

5.2. Einschränkungen bei der Sicherheitsunterstützung

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass zur Behebung von Sicherheitslücken nicht minimale Rückportierungen in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

5.2.1. Sicherheitsstatus von Webbrowsern

Debian 9 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken unmöglich, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf den Engines webkit, qtwebkit und khtml aufbauen, sind daher in Stretch zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen.

Für die normale Nutzung empfehlen wir Firefox oder Chromium.

Das Chromium-Paket - basierend auf der Webkit-Codebasis - wird aktuell gehalten, indem die aktuellen Chromium-Veröffentlichungen für Stable neu gebaut werden. Firefox und Thunderbird werden ebenfalls über ein Neubauen der aktuellen ESR-Veröffentlichungen für Stable aktuell gehalten.

5.2.2. Fehlende Sicherheitsunterstützung rund um das Ecosystem von libv8 und Node.js

Die Node.js-Plattform wird basierend auf libv8-3.14 gebaut, das wiederum unter einer hohen Anzahl an Sicherheitslücken leidet. Innerhalb des Projekts oder des Sicherheitsteams gibt es jedoch derzeit keine Freiwilligen, die bereit sind, den hohen Zeitaufwand zu investieren, der nötig ist, um diese immer wieder neu hereinkommenden Probleme zu beheben.

Das bedeutet unglücklicherweise, dass die libv8-3.14-, nodejs- und weitere zugehörige Pakete aus dem node-*-Ecosystem nicht für vertrauensunwürdige Inhalte, wie möglicherweise belastete Daten aus dem Internet, verwendet werden sollten.

Auch wird es während der Lebenszeit von Stretch für diese Pakete keine Sicherheitsaktualisierungen geben.

5.3. Eingriffe bei einigen spezifischen Paketen

In den meisten Fällen sollten Pakete problemlos von Jessie nach Stretch aktualisiert werden. Es gibt jedoch eine kleine Anzahl von Paketen, bei denen manuelle Eingriffe erforderlich sein könnten, entweder vor oder während dem Upgrade; hier eine detaillierte Liste solcher Pakete.

5.3.1. Ältere Cipher und SSH1-Protokoll in OpenSSH standardmäßig deaktiviert

In der OpenSSH-7-Veröffentlichung wurden einige ältere Cipher (kryptographische Verschlüsselungsverfahren) sowie das SSH1-Protokoll standardmäßig deaktiviert. Seien Sie vorsichtig beim Upgrade von Maschinen, die Sie nur per SSH erreichen können.

Lesen Sie die OpenSSH-Dokumentation bezüglich weiterer Informationen.

5.3.2. Möglicherweise nicht rückwärts kompatible Änderungen in APT

Dieser Abschnitt behandelt einige inkompatible Änderungen in APT, die Ihr System betreffen können.

5.3.2.1. APT lädt jetzt Dateien als unpriviligierter Benutzer (_apt) herunter

APT wird jetzt versuchen, alle root-Privilegien abzugeben, bevor Dateien von Spiegelservern heruntergeladen werden. APT kann einige häufiger auftretende Situationen erkennen, in denen dies fehlschlägt; es wird dann eine Warnung anzeigen und die alte Variante wählen, Dateien als root herunterzuladen. Allerdings könnte es einige exotische Setups (z.B. UID-spezifische Firewall-Regeln) geben, in denen dies nicht erkannt wird.

Sollten Sie Probleme mit dieser Funktionalität feststellen, melden Sie sich bitte als Nutzer _apt an und überprüfen Sie, ob dieser:

  • Lesezugriff auf die Dateien /var/lib/apt/lists und /var/cache/apt/archives hat,

  • Lesezugriff auf den APT Trust Store (/etc/apt/trusted.gpg und /etc/apt/trusted.gpg.d/) hat,

  • DNS-Namen auflösen und Dateien herunterladen kann. Beispielmethoden, um dies zu testen:

    # Aus dem Paket dnsutils (wenn Sie tor verwenden, prüfen Sie stattdessen mit tor-resolve):
    $ nslookup debian.org >/dev/null || echo "debian.org kann nicht aufgelöst werden"
    $ wget -q https://debian.org/ -O- > /dev/null || echo "Index-Seite von debian.org kann nicht heruntergeladen werden"
    

    Bei DNS-Problemen stellen Sie sicher, dass /etc/resolv.conf lesbar ist.

5.3.2.2. Neue APT-Pinning-Engine

APT 1.1 führt eine neue Pinning-Engine ein, die nun auch zu der Beschreibung in der Handbuchseite passt.

Die alte Engine hat je eine Pin-Priorität pro Paket zugewiesen, die neue weist Pin-Prioritäten pro Paketversion zu. Sie wählt dann die Version mit der höchsten Pin-Priorität aus, die kein Downgrade ist oder ein Pin größer als 1000 hat.

Dies ändert die Auswirkungen einiger Pin-Einstellungen, speziell der negativen. Früher hat eine Pin-Einstellung von -1 effektiv die Installation des Pakets verhindert (das Paket hatte ein Pin von -1); jetzt wird nur die Installation dieser Version des Pakets verhindert.

5.3.2.3. Neue Voraussetzungen für APT-Repositories

[Anmerkung]Anmerkung

Dieser Abschnitt ist für Sie nur relevant, wenn Sie Drittanbieter-Repositories aktiviert haben (bzw. dies beabsichtigen) oder wenn Sie ein APT-Repository betreuen.

Um die Download-Stabilität zu verbessern und die Sicherheit der heruntergeladenen Inhalte zu gewährleisten, stellt APT jetzt folgende Anforderungen an die Repositories:

  • Die Datei InRelease muss verfügbar sein.

  • Alle Metadaten müssen als Minimum SHA256-Prüfsummen aller Einträge enthalten. Dazu gehört auch die GPG-Signatur der InRelease-Datei.

  • Signaturen der InRelease-Datei sollten mit einer Schlüsselgröße von 2048 Bit oder größer erstellt werden.

Wenn Sie ein Drittanbieter-Repository benötigen, dass nicht mit obigen Anforderungen konform ist, fordern Sie die Betreiber bitte auf, ihr Repository zu aktualisieren. Weitere Informationen über die InRelease-Datei finden Sie im Debian Wiki.

5.3.3. Änderungen an der grafischen Xorg-Umgebung

Dieser Abschnitt beschreibt einige größere Änderungen an der grafischen Xorg-Umgebung. Er ist überwiegend für Arbeitsplatzsysteme relevant oder für andere Systeme, die eine grafische Oberfläche für die Benutzer bereitstellt.

5.3.3.1. Der Xorg-Server ist standardmäßig nicht mehr setuid-root

[Anmerkung]Anmerkung

Diese Änderung betrifft Sie nur, wenn Ihr X-Display-Manager es unterstützt, ohne root-Rechte zu laufen (oder wenn Sie X manuell über startx starten). Derzeit ist der einzige Display-Manager, der dies unterstützt, gdm. Andere Display-Manager starten X nach wie vor als root, ungeachtet dieser Änderung.

Durch diese Änderung wird das Risiko einer Rechteausweitung über Fehler im X-Server reduziert. Allerdings gibt es einige Voraussetzungen, damit dies funktionieren kann:

  • Die Pakete logind und libpam-systemd werden benötigt.

  • Ein Kernel-Grafiktreiber wird benötigt (da Xorg nicht mehr direkt mit der Hardware kommunizieren kann).

  • X muss auf der virtuellen Konsole laufen, von der es gestartet wurde.

Wenn X als regulärer Benutzer läuft, ist die Xorg-Logdatei unter ~/.local/share/xorg/ verfügbar.

Können diese Voraussetzungen nicht erfüllt werden, installieren Sie bitte das Paket xserver-xorg-legacy, um die alte Situation eines setuid-Xorg wiederherzustellen.

5.3.3.2. Desktop-Umgebungen werden zum libinput-Xorg-Treiber migriert

[Anmerkung]Anmerkung

Dieser Abschnitt ist für Sie nur relevant, wenn Sie die standardmäßige Xorg-Input-Konfiguration angepasst haben bzw. ändern mussten.

In Jessie ist evdev der Standard-Input-Treiber für Xorg. In Stretch wurde dies in libinput geändert. Falls Sie eine Xorg-Konfiguration haben, die auf dem evdev beruht, müssen Sie sie entweder auf den libinput-Treiber konvertieren, oder Ihr System neu konfigurieren, so dass der evdev-Treiber wieder benutzt wird.

Hier folgt ein Beispiel einer Konfiguration für libinput, um die Emulate3Buttons-Funktionalität zu aktivieren:

Section "InputClass"
        Identifier "mouse"
        MatchIsPointer "on"
        Driver "libinput"
        Option "MiddleEmulation" "on"
EndSection

Fügen Sie es in /etc/X11/xorg.conf.d/41-middle-emulation.conf ein und starten Sie den Rechner (oder den X-Server) neu; die Funktion sollte nun aktiviert sein.

Der evdev-Treiber ist immer noch in dem Paket xserver-xorg-input-evdev enthalten.

5.3.4. Upstart entfernt

Aufgrund von mangelnder Unterstützung durch die Upstream-Betreuer wurde das Upstart-Init-System aus der Stretch-Veröffentlichung entfernt. Wenn Ihr System dieses Paket verwendet, sollten Sie beachten, dass es während der Lebenszeit von Debian 9 nicht aktualisiert wird; beginnend mit der Veröffentlichung von Debian 10 (Buster) könnten Upstart-Jobs aus den Paketen entfernt werden.

Bitte ziehen Sie einen Wechsel zu einem anderen, unterstützten Init-System, wie systemd oder OpenRC, in Erwägung.

5.3.5. Das debhelper-Werkzeug erzeugt jetzt standardmäßig dbgsym-Pakete

[Anmerkung]Anmerkung

Dieser Abschnitt ist hauptsächlich für Entwickler und Organisationen gedacht, die eigene Debian-Pakete bauen.

Die debhelper-Werkzeuge werden jetzt standardmäßig dbgsym-Pakete für ELF-Binärdateien erzeugen. Wenn Sie Binärdateien entwickeln und paketieren, überprüfen Sie bitte, ob Ihre Vorgehensweise diese zusätzlichen automatisch-generierten Pakete unterstützt.

Wenn Sie reprepro einsetzen, sollten Sie es zumindest auf die Version 4.17.0 aktualisieren. Für aptly benötigen Sie mindestens Version 1.0.0, das aber unglücklicherweise nicht in Debian Stretch enthalten ist.

Falls Ihre Arbeitsweise nicht mit dbgsym-Paketen klarkommt, können Sie debhelper anweisen, diese Funktionalität zu deaktivieren, indem Sie noautodbgsym zur DEB_BUILD_OPTIONS-Variable Ihres Build-Service hinzufügen. Weitere Informationen finden Sie in der dh_strip-Handbuchseite.

5.3.6. OpenSSL-betreffende Änderungen

Das openssl-Programm erwartet jetzt, dass Options-Argumente vor Nicht-Options-Argumenten angegeben werden. Dies funktioniert zum Beispiel nicht mehr:

openssl dsaparam 2048 -out file

Dies jedoch wohl:

openssl dsaparam -out file 2048

Bei dem openssl enc-Befehl wurde die Standard-Hashfunktion (wird benutzt, um einen Schlüssel aus einer Passphrase zu generieren) von MD5 in SHA256 geändert. Die Hashfunktion kann über die -md-Option festgelegt werden, falls alte Dateien mit einer neuen OpenSSL-Version entschlüsselt werden müssen (oder umgekehrt).

Die Cipher 3DES und RC4 sind nicht mehr für TLS-/SSL-Kommunikation verfügbar. Server, die gegen OpenSSL gelinkt sind, können diese nicht mehr bereitstellen und Clients können sich nicht mehr mit Servern verbinden, die ausschließlich diese Cipher bereitstellen. Das bedeutet, dass OpenSSL und Windows XP sich keine allgemeinen Cipher mehr teilen.

Das Paket libssl-dev enthält Header-Dateien, um ein Kompilieren gegen OpenSSL 1.1.0 zu ermöglichen. Die API hat sich maßgeblich verändert, und es besteht die Möglichkeit, dass sich die Software nicht mehr kompilieren lässt. Es existiert eine Übersicht über die Änderungen. Falls Sie Ihre Software nicht aktualisieren können, gibt es auch noch das Paket libssl1.0-dev, das Header für OpenSSL 1.0.2 enthält.

5.3.7. Perl-Änderungen, die Drittanbieter-Software stören könnten

[Anmerkung]Anmerkung

Dieser Abschnitt gilt für Software, die außerhalb von Debian betreut wird - lokale, Drittanbieter- oder althergebrachte (legacy) Perl-Skripte und -Module.

  • Einige Module wurden aus dem Perl-Kern entfernt und werden jetzt als separate Pakete ausgeliefert. Erwähnenswerte Beispiele sind CGI, jetzt verfügbar in dem Paket libcgi-pm-perl, sowie Module::Build, jetzt im Paket libmodule-build-perl enthalten.

  • Das aktuelle Arbeitsverzeichnis (.) wurde aus der Standardliste der enthaltenen Verzeichnisse (@INC) entfernt. Dies könnte die Nutzung von require(), do() usw. beeinflussen, wenn die Argumente dabei Dateien im aktuellen Verzeichnis sind.

    Alle Perl-Programme und -Module in Debian sollten entsprechend korrgiert worden sein, um durch obige Änderungen verursachte Inkompatibilitäten zu beheben; bitte senden Sie uns einen Fehlerbericht, falls dies nicht der Fall sein sollte. Da diese Änderung jetzt in Perl 5.26.0 eingepflegt wurde, sollte auch für Drittanbieter-Software damit begonnen werden, die Inkompatibilitäten zu korrigieren. Informationen für Entwickler hierzu sind in den Release Notes zu Perl 5.26 zu finden (lesen Sie dort den Abschnitt SECURITY).

    Falls erforderlich, können Sie vorübergehend global . wieder zu @INC hinzufügen, indem Sie die Zeile in /etc/perl/sitecustomize.pl auskommentieren; allerdings sollten Sie dies nur tun, wenn Sie die potentiellen Risiken dabei verstehen. Dieser Workaround wird in Debian 10 entfernt werden. Sie können in entsprechendem Kontext auch die Umgebungsvariable PERL_USE_UNSAFE_INC setzen, was denselben Effekt hätte.

  • Eine vollständige Liste der Änderungen in Perl seit der Version in Debian 8 ist unter perl522delta und perl524delta verfügbar.

5.3.8. Inkompatibilität von PostgreSQL PL/Perl

Die Version der verfahrensorientierten Programmiersprache PostgreSQL PL/Perl in Jessie ist inkompatibel mit der Perl-Version in Stretch. Das Paket postgresql-plperl-9.4 wird während des Upgrade-Prozesses entfernt, somit werden server-seitige Perl-Prozeduren funktionslos. Ein Upgrade auf PostgreSQL 9.6 sollte unkritisch sein; die Prozeduren werden in einem neuen PostgreSQL-Cluster weiter funktionieren, wenn das postgresql-plperl-9.6-Paket installiert ist. Falls Sie unsicher sind, erstellen Sie vor dem Upgrade auf Stretch ein Backup Ihrer PostgreSQL-9.4-Cluster.

5.3.9. net-tools wird zugunsten von iproute2 missbilligt

Das Paket net-tools ist nicht mehr Teil neuer Standardinstallationen, da seine Priorität von »important« auf »optional« herabgesetzt wurde. Benutzer wird stattdessen nahegelegt, die moderneren Werkzeuge aus dem iproute2-Paket zu verwenden (das bereits seit mehreren Debian-Veröffentlichungen Teil der Installation ist). Falls Sie trotzdem die Programme aus net-tools benutzen möchten, können Sie diese einfach installieren mit

apt install net-tools

[Warnung]Warnung

Bitte denken Sie daran, dass net-tools während des Upgrades entfernt werden könnte, falls es nur installiert wurde, um eine Abhängigkeit zu erfüllen. Sollten Sie auf net-tools angewiesen sein, vergessen Sie nicht, es vor dem Upgrade mittels folgendem Befehl als »Händisch installiert« zu markieren:

apt-mark manual net-tools

Hier eine Zusammenfassung der net-tools-Befehle mit dem entsprechenden iproute2-Befehl:

alte net-tools-Befehleiproute2-Ersatz
arpip n (ip neighbor)
ifconfigip a (ip addr), ip link, ip -s (ip -stats)
iptunnelip tunnel
nameifip link
netstatss, ip route (für netstat -r), ip -s link (für netstat -i), ip maddr (für netstat -g)
routeip r (ip route)

5.3.10. Die mount-Option _netdev wird empfohlen, wenn AoE-(ATA over ethernet)Geräte eingesetzt werden

[Anmerkung]Anmerkung

Dies betrifft nur Systeme, die ATA-over-ethernet- (AoE) Geräte eingebunden haben. Wenn auf Ihrem System keinerlei Netzwerkfreigaben eingebunden sind, können Sie diesen Abschnitt problemlos überspringen.

Aufgrund von Bereinigungen in der Handhabung von Netzwerk-Dekonfigurationen werden im Einsatz befindliche AoE-Geräte beim Herunterfahren des Systems nicht mehr korrekt behandelt, was möglicherweise zu Hängenbleiben und/oder Datenverlust führen kann. Um die Situation zu entschärfen, wird empfohlen, solche Geräte mit der mount-Option _netdev einzubinden. Diese Option ist auch verfügbar, wenn Sie Swap über AoE nutzen.

5.3.11. Harmlose Warnungen Unespaced ... in regex is deprecated, ... während des Upgrades

Beim Upgrade könnte Ihnen eine Warnung wie diese angezeigt werden:

Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/^(.*?)(\\)?\${ <-- HERE ([^{}]+)}(.*)$/ at /usr/share/perl5/Debconf/Question.pm line 72.
Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/\${ ≶-- HERE ([^}]+)}/ at /usr/share/perl5/Debconf/Config.pm line 30.

Dies ist harmlos und tritt auf, wenn perl-base vor dem debconf-Paket aktualisiert wird.