Kapitel 5. Dinge, die Sie über Buster wissen sollten

Inhaltsverzeichnis

5.1. Upgrade-spezifische Themen für Buster
5.1.1. Mount-Option hidepid für procfs nicht mehr unterstützt
5.1.2. Start von ypbind mit -no-dbus schlägt fehl
5.1.3. Authentifizierung von sshd schlägt fehl
5.1.4. Daemon-Prozesse starten nicht mehr oder das System scheint während des Boot-Vorgangs zu hängen
5.1.5. Migration von altbekannten Netzwerkschnittstellen-Namen
5.1.6. Module configuration for bonding and dummy interfaces
5.1.7. OpenSSL-Standard-Version und erhöhtes Sicherheits-Level
5.1.8. Einige Anwendungen funktionieren nicht in GNOME mit Wayland
5.1.9. WebKit2GTK (initially) requires SSE2 support
5.1.10. Nennenswerte veraltete Pakete
5.1.11. Missbilligte Komponenten für Buster
5.1.12. Dinge, die vor dem Neustart erledigt werden sollten
5.1.13. SysV-init betreffende Pakete nicht länger benötigt
5.2. Einschränkungen bei der Sicherheitsunterstützung
5.2.1. Sicherheitsstatus von Webbrowsern und deren Rendering-Engines
5.2.2. Go based packages
5.3. Eingriffe bei einigen spezifischen Paketen
5.3.1. Glibc erfordert Linux-Kernel 3.2 oder höher
5.3.2. Semantik für die Nutzung von Umgebungsvariablen durch su geändert
5.3.3. Neuindexierung vorhandener PostgreSQL-Datenbanken erforderlich
5.3.4. mutt und neomutt
5.3.5. Accessing GNOME Settings app without mouse
5.3.6. gnome-disk-utility fails to change LUKS password causing permanent data loss
5.3.7. evolution-ews has been dropped, and email inboxes using Exchange, Office365 or Outlook server will be removed
5.3.8. Calamares installer leaves disk encryption keys readable

Manchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Abschnitt 6.1, „Weitere Lektüre“.

5.1. Upgrade-spezifische Themen für Buster

Dieser Abschnitt behandelt Themen, die für ein Upgrade von Stretch auf Buster relevant sind.

5.1.1. Mount-Option hidepid für procfs nicht mehr unterstützt

Die mount-Option hidepid für /proc ist bekannt dafür, Probleme mit aktuellen Versionen von systemd zu verursachen, und wird von den Systemd-Autoren als nicht unterstützte Konfiguration angesehen. Benutzer, die ihre /etc/fstab-Datei modifiziert haben, um diese Option zu aktivieren, werden aufgefordert, diese vor dem Upgrade zu deaktivieren, um sicherzustellen, dass Login-Sitzungen mit Buster funktionieren. (Ein möglicher Weg, um dies wieder zu aktivieren, wird auf der Hardening-Seite im Wiki erklärt.)

5.1.2. Start von ypbind mit -no-dbus schlägt fehl

Die Standardoptionen von ypbind wurden geändert. Wenn Sie selbst jedoch diese Datei verändert haben, werden die alten Optionen nicht aktualisiert und Sie müssen sicherstellen, dass die Option YPBINDARGS= in /etc/default/nis nicht mehr -no-dbus enthält. Falls -no-dbus enthalten ist, wird der Start von ypbind fehlschlagen, und Sie können sich möglicherweise nicht mehr anmelden. Weitere Informationen finden Sie im Fehlerbericht #906436.

5.1.3. Authentifizierung von sshd schlägt fehl

Die Semantik von PubkeyAcceptedKeyTypes sowie die verwandten HostbasedAcceptedKeyTypes-Optionen für sshd wurden geändert. Sie legen jetzt Signatur-Algorithmen fest, die für die jeweiligen Authentifizierungsmechanismen akzeptiert werden. Früher hingegen wurden dort die akzeptierten Schlüsseltypen angegeben. Dieser Unterschied ist relevant, wenn die RSA/SHA2-Signatur-Algorithmen rsa-sha2-256, rsa-sha2-512 sowie deren Zertifikats-Gegenstücke verwendet werden. Konfigurationen, die diese Optionen überschreiben, aber dabei diese Algorithmus-Bezeichnungen nicht enthalten, können zu unerwarteten Fehlern bei der Authentifizierung führen.

Bei Konfigurationen, die den Standardwert für diese Optionen verwenden, besteht kein Handlungsbedarf.

5.1.4. Daemon-Prozesse starten nicht mehr oder das System scheint während des Boot-Vorgangs zu hängen

Da systemd für den Boot-Vorgang eine gewisse Menge an Entropy benötigt und der Kernel entsprechende Aufrufe blockiert, wenn nicht genügend Entropy zur Verfügung steht, kann das System während des Bootens hängen bleiben, bis das Randomness-Subsystem korrekt initialisiert ist (random: crng init done). Auf amd64-Systemen, die die RDRAND-Anweisung unterstützen, wird dieses Problem durch den Debian-Kernel umgangen, indem diese Anweisung standardmäßig verwendet wird (CONFIG_RANDOM_TRUST_CPU).

Auf Nicht-amd64-Systemen und einigen Arten virtueller Maschinen muss eine andere Entropy-Quelle bereitgestellt werden, um weiterhin schnell booten zu können. Hierfür wurde innerhalb des Debian-Projekts haveged ausgewählt; es kann eine gute Option sein, wenn Hardware-Entropy auf dem System nicht verfügbar ist. Auf virtuellen Maschinen können Sie in Erwägung ziehen, Entropy mittels virtio_rng vom Host an die virtuelle Maschine durchzureichen.

Falls Sie dies erst lesen, nachdem das Upgrade eines fernen Systems auf buster bereits durchgeführt wurde, pingen Sie das System über das Netzwerk fortwährend an, da hierdurch Entropy zum Randomness-Pool des Systems hinzugefügt wird und das System dann eventuell wieder per SSH erreichbar wird.

Weitere Details finden Sie im Wiki; für zusätzliche verfügbare Optionen besuchen Sie DLange's overview of the issue.

5.1.5. Migration von altbekannten Netzwerkschnittstellen-Namen

If your system was upgraded from an earlier release, and still uses the old-style network interface names that were deprecated with stretch (such as eth0 or wlan0), you should be aware that the mechanism of defining their names via /etc/udev/rules.d/70-persistent-net.rules is officially not supported by udev in buster (while it may still work in some cases). To avoid the danger of your machine losing networking after the upgrade to buster, it is recommended that you migrate in advance to the new naming scheme (usually meaning names like enp0s1 or wlp2s5, which incorporate PCI bus- and slot-numbers). Take care to update any interface names hard-coded in configuration for firewalls, ifupdown, and so on.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Um die neuen Namen zu erfahren, die nach der Migration verwendet würden, suchen Sie zunächst die alten Namen der entsprechenden Schnittstellen heraus:

$ echo /sys/class/net/[ew]*
    

Prüfen Sie jeden dieser Namen, ob er in irgendwelchen Konfigurationsdateien verwendet wird, und welchen Namen das udev-System dafür vergeben würde:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

So sollten Sie genügend Informationen erhalten, um einen Plan für eine Migration erstellen zu können. (Wenn die Ausgabe von udevadm einen onboard-Namen enthält, wird dieser bevorzugt; MAC-basierte Namen werden normalerweise nur als Ausweichlösung verwendet, für USB-Netzwerk-Hardware hingegen könnten Sie manchmal trotzdem erforderlich sein.)

Sobald sie bereit sind für die Umstellung, deaktivieren Sie 70-persistent-net.rules, entweder indem Sie diese Datei umbenennen oder entsprechende Zeilen darin auskommentieren. Bei virtuellen Maschinen müssen Sie die Datei /etc/systemd/network/99-default.link und (falls Sie virtio-Netzwerkgeräte benutzen) /etc/systemd/network/50-virtio-kernel-names.link entfernen. Bauen Sie danach die initrd neu mit

$ sudo update-initramfs -u
    

und starten Sie das System neu. Es sollte nun Netzwerk-Schnittstellen-Namen nach dem neuen Namensschema nutzen. Passen Sie verbleibende Konfigurationsdateien an und testen Sie Ihr System.

Weitere Informationen finden Sie in der Upstream-Dokumentation sowie in der README.Debian von udev.

5.1.6. Module configuration for bonding and dummy interfaces

Systems using channel bonding and/or dummy interfaces, for instance to configure a machine as a router, may encounter problems upgrading to buster. New versions of systemd install a file /lib/modprobe.d/systemd.conf (intended to simplify configuration via systemd-networkd) which contains the lines

 options bonding max_bonds=0
 options dummy numdummies=0
    

Admins who were depending on different values will need to ensure they are set in the correct way to take precedence. A file in /etc/modprobe.d will override one with the same name under /lib/modprobe.d, but the names are processed in alphabetical order, so /lib/modprobe.d/systemd.conf follows and overrides (for instance) /etc/modprobe.d/dummy.conf. Make sure that any local configuration file has a name that sorts after systemd.conf, such as /etc/modprobe.d/zz-local.conf.

5.1.7. OpenSSL-Standard-Version und erhöhtes Sicherheits-Level

Verschiedenen Sicherheitsempfehlungen folgend, wurde die standardmäßig als Minimum erforderliche TLS-Version von TLSv1 auf TSLv1.2 erhöht.

Das als Standard eingestellte Sicherheits-Level für TLS-Verbindungen wurde ebenfalls von Level 1 auf Level 2 erhöht. Dies bedeutet einen Umstieg vom 80-Bit Sicherheits-Level auf ein 112-Bit Sicherheits-Level und erfordert RSA- und DHE-Schlüssel mit mindestens 2048 Bit Länge, ECC-Schlüssel mit mindestens 224 Bit Länge sowie SHA-2.

Die systemweiten Einstellungen können in /etc/ssl/openssl.cnf geändert werden. Anwendungen können auch spezielle Möglichkeiten verwenden, um die Standardeinstellungen zu überschreiben.

In the default /etc/ssl/openssl.cnf there is a MinProtocol and CipherString line. The CipherString can also set the security level. Information about the security levels can be found in the SSL_CTX_set_security_level(3ssl) manpage. The list of valid strings for the minimum protocol version can be found in SSL_CONF_cmd(3ssl). Other information can be found in ciphers(1ssl) and config(5ssl).

Die systemweiten Standardeinstellungen in /etc/ssl/openssl.cnf können mittels folgender Einträge auf die vorherigen Werte zurückgestellt werden:

        MinProtocol = None
        CipherString = DEFAULT
      

Es wird empfohlen, dass Sie die Verantwortlichen der anderen, fernen Seite der Verbindung kontaktieren, falls diese Standardwerte Probleme verursachen.

5.1.8. Einige Anwendungen funktionieren nicht in GNOME mit Wayland

GNOME in Debian Buster verwendet als Standard-Display-Server jetzt nicht mehr Xorg, sondern Wayland (siehe Abschnitt 2.2.11, „GNOME defaults to Wayland“). Einige Anwendungen (wie der populäre Paketmanager synaptic, die Standard-Eingabemethode für vereinfachtes Chinesisch fcitx, sowie die meisten Programme zur Aufzeichnung von Bildschirminhalten wurden noch nicht passend aktualisiert, so dass sie noch nicht korrekt mit Wayland funktionieren. Um solche Pakete nutzen zu können, müssen Sie sich mit einer GNOME on Xorg-Sitzung anmelden.

5.1.9. WebKit2GTK (initially) requires SSE2 support

Due to changes in the upstream code, webkit2gtk has been built requiring SSE2 support. Fixes for this in the Debian code came too late to be incorporated in the initial buster release. This means that systems without SSE2 support built into their CPU (older or embedded processors such as Pentium III or Geode) can't run applications which use libwebkit2gtk-* (e.g. liferea or zenity). These applications will crash, most likely with an Illegal instruction error message.

The first update of webkit2gtk in buster is expected to restore support for these systems, in either a point release or security update. Users of a modern desktop environment on an affected CPU may wish to delay upgrading until then. It is also intended that the buster-backports archive will receive an updated package once that archive opens up for uploads, so an alternative would be to install updated packages from there once available.

5.1.10. Nennenswerte veraltete Pakete

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

  • Das Paket mcelog wird von Kernel-Versionen über 4.12 nicht mehr unterstützt. Stattdessen kann rasdaemon verwendet werden.

  • Revelation, das verwendet wird, um Passwörter zu speichern, ist in Debian Buster nicht mehr enthalten. Wenn Sie Ihre Passwörter vorher mit revelation in eine XML-Dateien exportiert haben, kann keepass2 diese importieren. Bitte stellen Sie sicher, dass Sie vor dem Upgrade Ihre Daten in solch eine Datei exportieren, um den Verlust Ihrer Passwörter zu vermeiden.

  • Das Paket phpmyadmin ist in in Buster nicht mehr enthalten.

  • ipsec-tools und racoon wurden aus Buster entfernt, da ihr Quellcode weit hinterher hing bei der Adaption neuer Bedrohungsmuster.

    Benutzern wird empfohlen, zu libreswan zu migrieren, da es eine breitere Protokollkompatibilität bietet und von den Originalautoren aktiv weiterentwickelt wird.

    libreswan sollte bezüglich der Kommunikationsprotokolle vollständig kompatibel sein, da es die Obermenge der von racoon unterstützten Protokolle ebenfalls implementiert hat.

  • Der einfache MTA ssmtp wurde aus buster entfernt. Der Grund hierfür ist, dass er derzeit keine TLS-Zertifikate validiert; Näheres im Fehlerbericht #662960.

  • The ecryptfs-utils package is not part of buster due to an unfixed serious bug (#765854). At the time of writing this paragraph, there was no clear advice for users of eCryptfs, except not to upgrade.

5.1.11. Missbilligte Komponenten für Buster

Mit der nächsten Veröffentlichung von Debian 11 (Codename Bullseye) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 11 zu vermeiden.

Dazu gehören folgende Funktionalitäten:

  • debianPython 2 wird von den Originalautoren ab dem 01. Januar 2020 nicht mehr unterstützt. Debian hofft, das python-2.7-Paket in Debian 11 entfernen zu können. Falls Nutzer Funktionalitäten haben, die auf python beruhen, sollten sie sich darauf vorbereiten, auf python3 zu migrieren.

  • Icinga 1.x hat am 31.12.2018 bei den Upstream-Autoren sein Lebensende erreicht. In Debian ist das icinga-Paket zwar noch enthalten, Nutzer sollten aber während des Lebenszyklus von Debian Buster nach Icinga 2 (im icinga2-Paket) und Icinga Web 2 (im icingaweb2-Paket) migrieren. Das icinga2-classicui-Paket kann genutzt werden, um das Icinga-CGI-Web-Interface der Version 1.x mit Icinga 2 zu verwenden, aber dies wird mit der Icinga-Version 2.11 entfallen. Stattdessen sollte Icinga Web 2 eingesetzt werden.

  • Die Version 3 des Mailinglilsten-Managers Mailman ist in dieser Veröffentlichung neu verfügbar. Mailman wurde in mehrere Komponenten aufgesplittet; der Kern ist im mailman3-Paket enthalten, während über das Metapaket mailman3-full die komplette Suite installiert werden kann.

    Die alte Version Mailman 2.1 bleibt in dieser Debian-Veröffentlichung im Paket mailman enthalten, so dass Sie vorhandene Installationen nach eigenem Ermessen auf die neue Version migrieren können. Mailman 2.1 wird für absehbare Zeit funktionsfähig gehalten, allerdings keine größeren Änderungen oder Verbesserungen mehr bekommen. Sobald die Upstream-Autoren diesen Zweig nicht mehr unterstützen, wird er mit der nächsten darauf folgenden Debian-Veröffentlichung auch aus Debian verschwinden.

    Alle werden aufgefordert, auf die moderne und in aktueller Entwicklung stehende Version Mailman 3 hochzurüsten.

  • Die Pakete spf-milter-python und dkim-milter-python werden von den Originalautoren nicht mehr aktiv weiterentwickelt, aber die Nachfolgepakete pyspf-milter und dkimpy-milter (die auch neue zusätzliche Funktionalitäten enthalten), sind in Debian Buster enthalten. Nutzer sollten auf die neuen Pakete migrieren, bevor die alten in Debian Bullseye entfernt werden.

5.1.12. Dinge, die vor dem Neustart erledigt werden sollten

Wenn apt full-upgrade beendet ist, sollte das formale Upgrade abgeschlossen sein. Nach dem Upgrade auf Buster gibt es keine besonderen Aktionen, die vor dem nächsten Neustart erledigt werden müssen.

5.1.13. SysV-init betreffende Pakete nicht länger benötigt

[Anmerkung]Anmerkung

Dieser Abschnitt betrifft Sie nicht, wenn Sie sich entschieden haben, sysvinit-core zu verwenden.

Nach dem Umstieg auf systemd als Standard-init-System in Jessie und weiteren Anpassungen in Stretch sind verschiedene SysV-betreffende Pakete jetzt nicht mehr erforderlich und können gefahrlos entfernt werden; verwenden Sie dazu

apt purge initscripts sysv-rc insserv startpar

5.2. Einschränkungen bei der Sicherheitsunterstützung

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass zur Behebung von Sicherheitslücken nicht minimale Rückportierungen in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

[Anmerkung]Anmerkung

Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

5.2.1. Sicherheitsstatus von Webbrowsern und deren Rendering-Engines

Debian 10 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf Engines wie webkit, qtwebkit und khtml[6] aufbauen, sind daher in Buster zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen. Das Quellpaket webkit2gtk ist jedoch von der Sicherheitsunterstützung abgedeckt.

Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.

5.2.2. Go based packages

The Debian infrastructure currently doesn't properly enable rebuilding packages that statically link parts of other packages on a large scale. Until buster that hasn't been a problem in practice, but with the growth of the Go ecosystem it means that Go based packages won't be covered by regular security support until the infrastructure is improved to deal with them maintainably.

If updates are warranted, they can only come via regular point releases, which may be slow in arriving.

5.3. Eingriffe bei einigen spezifischen Paketen

In den meisten Fällen sollten Pakete problemlos von Stretch nach Buster aktualisiert werden. Es gibt jedoch eine kleine Anzahl von Paketen, bei denen manuelle Eingriffe erforderlich sein könnten, entweder vor oder während dem Upgrade; hier eine detaillierte Liste solcher Pakete.

5.3.1. Glibc erfordert Linux-Kernel 3.2 oder höher

Beginnend mit glibc 2.26 ist ein Linux-Kernel der Version 3.2 oder höher erforderlich. Um eine Beschädigung des Systems zu vermeiden, führt das preinst-Skript des libc6-Pakets eine Überprüfung durch. Schlägt diese fehl, wird die Paketinstallation abgebrochen, was zu einem unvollständigen Upgrade führt. Falls das System mit einem Kernel vor 3.2 läuft, sollten Sie diesen aktualisieren, bevor Sie das Debian-Upgrade starten.

5.3.2. Semantik für die Nutzung von Umgebungsvariablen durch su geändert

su hat mit der Version in Buster die Semantik geändert und behält nicht mehr die Umgebungsvariablen DISPLAY und XAUTHORITY. Sie müssen sie explizit setzen und so bewußt den Zugriff auf Ihr Display erlauben, wenn Sie grafische Anwendungen mit su nutzen möchten. Im Fehlerbericht #905409 finden Sie eine umfangreiche Diskussion zu diesem Thema.

5.3.3. Neuindexierung vorhandener PostgreSQL-Datenbanken erforderlich

Wenn Sie von Debian Stretch auf Buster hochrüsten, werden dabei die glibc-Locale-Daten aktualisiert. Im speziellen ändert sich dabei die Art, wie PostgreSQL die Daten in Text-Index-Beständen sortiert. Um Beschädigungen zu vermeiden, müssen solche Indexe mit REINDEX neu generiert werden, unmittelbar nachdem das locales- oder locales-all-Paket aktualisiert wurde und bevor die Datenbank zurück in den Produktionsstatus geht.

Empfohlener Befehl:

sudo -u postgres reindexdb --all

Alternativ können Sie die Datenbanken mit pg_upgradecluster auf PostgreSQL 11 hochrüsten. (Dabei wird standardmäßig pg_dump verwendet, was zu einer Neuindexierung aller Indexe führt. Die Verwendung von -m upgrade oder pg_upgrade ist nicht sicher, da dabei die jetzt inkorrekte Sortierreihenfolge erhalten bleibt.)

Lesen Sie das PostgreSQL Wiki, wenn Sie weitere Informationen benötigen.

5.3.4. mutt und neomutt

In Debian Stretch enthielt mutt Patches aus dem Quellcode von https://neomutt.org. Ab Debian Buster wird das Paket, welches /usr/bin/mutt bereitstellt, jedoch wieder auf dem reinen Mutt-Quellcode von http://www.mutt.org beruhen, und ein separates neomutt-Paket wird zur Verfügung gestellt, welches /usr/bin/neomutt enthält.

Dies bedeutet, dass einige Funktionalitäten, die bisher in mutt enthalten waren, jetzt nicht mehr verfügbar sind. Falls dies Ihre Konfiguration unbrauchbar macht, können Sie stattdessen neomutt installieren.

5.3.5. Accessing GNOME Settings app without mouse

Without a pointing device, there is no direct way to change settings in the GNOME Settings app provided by gnome-control-center. As a work-around, you can navigate from the sidebar to the main content by pressing the Right Arrow twice. To get back to the sidebar, you can start a search with Ctrl+F, type something, then hit Esc to cancel the search. Now you can use the Up Arrow and Down Arrow to navigate the sidebar. It is not possible to select search results with the keyboard.

5.3.6. gnome-disk-utility fails to change LUKS password causing permanent data loss

Users should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster has a very nasty bug (#928893) when used to change the LUKS password: it deletes the old password but fails to correctly set the new one, making all data on the disk inaccessible.

5.3.7. evolution-ews has been dropped, and email inboxes using Exchange, Office365 or Outlook server will be removed

Users using evolution as their email client and connecting to a server running Exchange, Office365 or Outlook using the evolution-ews plugin should not upgrade to buster without backing up data and finding an alternative solution beforehand, as evolution-ews has been dropped due to bug #926712 and their email inboxes, calendar, contact lists and tasks will be removed and will no longer be accessible with Evolution.

5.3.8. Calamares installer leaves disk encryption keys readable

When installing Debian from live media using the Calamares installer (Abschnitt 2.2.13, „News from Debian Live team“) and selecting the full disk encryption feature, the disk's unlock key is stored in the initramfs which is world readable. This allows users with local filesystem access to read the private key and gain access to the filesystem again in the future.

This can be worked around by adding UMASK=0077 to /etc/initramfs-tools/conf.d/initramfs-permissions and running update-initramfs -u. This will recreate the initramfs without world-readable permissions.

A fix for the installer is being planned (see bug #931373) and will be uploaded to debian-security. In the meantime users of full disk encryption should apply the above workaround.



[6] Diese Engines sind in einer ganzen Reihe von Quellpaketen enthalten und die aufgeführten Bedenken gelten für all diese Pakete. Sie gelten auch für solche Pakete, die die Engine enthalten, aber hier nicht explizit aufgeführt sind (mit Ausnahme von webkit2gtk).