LN-Waschpress

Schlagwort: Debian GNU/Linux

  • Release von Debian 10 »Buster« am 6. Juli erwartet

    Release von Debian 10 »Buster« am 6. Juli erwartet

    Die Veröffentlichung von Debian 10 »Buster« ist für den 6. Juli 2019 geplant. Das geht aus einem Eintrag auf der Entwickler-Mailingliste von Debian hervor. Damit erscheint Debian 10 rund zwei Jahre nach dem derzeit stabilen Debian 9 »Stretch«, das am 17. Juni 2017 veröffentlicht wurde.

    Stichtag 25. Juni

    Seit einigen Jahren gibt das Release-Team einen geplanten Veröffentlichungstermin einige Wochen im Voraus bekannt, um damit den Entwicklern einen Zeitrahmen für letzte Anpassungen zu geben. Niels Thykier vom Debian-Release-Team erklärt in der Ankündigung den 25. Juni zum spätesten Termin, um einen sogenannten Unblock-Request zur Genehmigung letzter Änderungen einzureichen.

    Seit Januar eingefroren

    Bereits Mitte Januar begann der Freeze zu Debian 10, der die letzte Phase der Entwicklung einer neuen Debian-Version einleitet. Dieses Einfrieren der Paketbasis wurde jeweils in Monatsabständen über den Soft-Freeze zum Full-Freeze ausgeweitet, der seit rund drei Monaten die letzten Release-Vorbereitungen ermöglicht.

    Während des Einfrierens der Paketbasis im Testing-Zweig, dem Repository, in dem neue Versionen entwickelt werden, herrschen andere Bedingungen als sonst, was das Hochladen von Paketen ins Debian-Archiv angeht.

    Strenger geregelt

    So werden ab dem 25. Juni Unblock-Requests noch strenger gehandhabt als sonst. Solche Anfragen werden nur noch für releasekritische Bugs, für Patches, die Abstürze oder Speicherlecks beheben, Upgrade-Probleme von »Stretch« zu »Buster« und für Änderungen an Dokumentation und Übersetzungen angenommen. Wer den Termin verpasst, muss auf Debian 10.1 warten, um seine Änderungen einzubringen.

    Das Release von Debian 10 wird für zehn Architekturen veröffentlicht. Diese sind amd64, AArch64, armel, armhf, i386, MIPS (Big und Little Endian), Mips64 (Little Endian), Power und IBMSystem Z.

    Viel Neues

    Darüber hinaus bietet Debian 10 viele Änderungen und Neuerungen unter der Haube und auf dem Desktop. Als Kernel kommt Linux 4.19 zum Einsatz, den Desktop bestimmt Gnome 3.30 als Standard. Darüber hinaus sind unter anderem KDE Plasma 5.14, Xfce 4.12 und Mate 1.20 verfügbar.

    Mit dem Release von Debian 10 wird unter der Haube der lange geplante UsrMerge umgesetzt. Die Sicherheitssoftware AppArmor ist standardmäßig aktiv, Secure Boot wird erstmals unterstützt. NFtables ersetzt endgültig iptables.

    Python 2.7 wird zwar in Debian 10 noch vorhanden sein, jedoch setzt die Distribution auf Python 3.x. Sobald alle entsprechenden Pakete auf Python 3 umgestellt sind, wird Python 2 aus der Distribution entfernt.

    Live mit Calamares-Installer

    Die Debian-Live-Medien werden erstmals einen grafischen Installer auf der Basis des Calamares Installer-Framework anstatt dem etwas spröden Debian-Installer bieten. Live-Medien werden wöchentlich erneuert und stehen zum Test auf Debians Downloadserver bereit.

  • MiniDebConf in Hamburg, Dev Day in Berlin

    Logo: Debian

    Vom 5. bis 9. Juni 2019 findet in Hamburg zum zweiten Mal eine MiniDebConf mit Vorträgen und gemeinsamem Entwickeln im Hackspace statt.

    Zum zweiten Mal

    Der Debian-Entwickler Holger Levsen richtet federführend in diesem Jahr zum zweiten Mal eine MiniDebConf in Hamburg aus. Die Konferenz, die das jährliche Entwicklertreffen DebConf in kleinerem Maßstab zum Vorbild hat, fand bereits 2018 an gleicher Stelle statt.

    Fünf Tage Hacking und Vorträge

    Das Programm sieht vom 5.6 – 9.6 drei Tage Hacking im MiniDebCamp und anschließend zwei Tage mit Vorträgen und weiterem Hacking bei der MiniDebConf vor. Konferenzort ist, wie im Vorjahr das FUX, einem Produktionsort für Kunst, Kultur und Bildung in der ehemaligen Victoria-Kaserne in Hamburg-Altona. Dort befindet sich neben den Seminarräumen des dock europe, in dem die Vorträge gehalten werden, auch der CCC Hamburg Hackerspace, der den Besuchern der MiniDebConf offensteht.

    Vorträge gesucht


    Derzeit können noch Vorträge eingereicht werden, wie Levsen jetzt in seinem Blog berichtet. Für Verpflegung und Unterbringung stehen auf dem Gelände eine Cantina und insgesamt 34 Betten für 27 Euro pro Nacht bereit, von denen derzeit noch 14 frei sind. Frühstück steht für fünf Euro ebenfalls bereit.

    Als Themen für Vorträge sind Themen wie Packaging, Sicherheit, Benutzerfreundlichkeit, Cloud und Container, Automatisierung, Debian Social sowie neue Technologien und Infrastruktur innerhalb Debians angedacht. Es sind aber auch alle anderen Themen willkommen, solange sie einen Bezug zu Debian haben. Das DebConf-Videoteam wird vor Ort sein, um die Vorträge für die Nachwelt zu sichern.

    Jetzt registrieren

    Wer an der MiniDebConf in Hamburg teilnehmen möchte, sollte sich jetzt kostenfrei registrieren, damit das Team die Kapazitäten entsprechend planen kann. Zur finanziellen Unterstützung ist eine Registrierung für Unternehmen für 250 Euro verfügbar. Derzeit haben sich 54 Teilnehmer registriert. Fragen zur Veranstaltung werden im IRC-Raum #debconf-hamburg auf OFTC sowie auf der Mailingliste beantwortet.

    Dev Day 2019

    Bereits am 25. Mai findet in Berlin Kreuzberg und zeitgleich, via Livestream übertragen, in Faro, Portugal der sechste Dev Day statt. Unter dem Motto »Coding & Beyond« tauschen sich Entwickler zu den neuesten Trends und Entwicklungen in der Branche aus. Gastgeber der Veranstaltung ist die Berliner Digitalagentur Turbine Kreuzberg.

    Es werden Vorträge zu verschiedenen Themen sowie eine Podiumsdiskussion zur »Zukunft der Software-Entwicklung« geboten. Der Dev Day 2019 findet am 25 Mai 2019, 9:30-18:00 Uhr mit anschließendem Networking im Festsaal Kreuzberg statt. Tickets kosten €20, ermäßigt €8, eine Anmeldung ist erforderlich.

  • Debian wählt erstmals ein DPL-Team

    Debian wählt erstmals ein DPL-Team

    Debian 10 »Buster«
    Vorschlag für Buster-Artwork

    Debian hat am Wochenende erstmals ein Debian-Project-Leader-Team (DPL) aus vier Entwicklern als Leitungsgremium bestimmt. Bisher wurde bei Debian immer nur eine Person zum DPL gewählt. Dieser konnte zwar Aufgaben delegieren, war aber dem Projekt gegenüber verantwortlich.

    Erst kein Kandidat…

    Während der ursprünglichen Nominierungsphase zu den alljährlich im Frühjahr abgehaltenen Wahlen zum DPL fand sich erstmals in der Projekthistorie nicht ein einziger Kandidat. Die Richtlinien sehen in einem solchen Fall vor, dass jeweils um eine Woche verlängert wird, bis zumindest ein Kandidat auf der Liste steht.

    …dann gleich fünf

    Zum Erstaunen vieler im Projekt meldeten sich in der Verlängerungswoche gleich fünf Entwickler, die das Amt für ein Jahr übernehmen wollten. Die Kandidaten sind Joerg Jaspert, Sam Hartman, Martin Michlmayr, Jonathan Carter und Simon Richter. Davon können zumindest die ersten drei als Schwergewichte in Debian gelten. Sie sind schon sehr lange im Projekt und haben ihm in mannigfaltigen Rollen gedient.

    Wahlkampf

    Nachdem die Kandidaten ihre Wahlplattformen bereits veröffentlicht hatten, zog sich Simon Richter aus persönlichen Gründen zurück. Die vier verbleibenden Anwärter verteidigten zunächst ihre Plattformen auf der Mailingliste und beantworteten die Fragen der Kollegen zu ihrer Kandidatur.

    Gute Ergänzung

    Nachdem dann die Kandidaten auch die teils umfangreichen Plattformen der Mitanwärter gelesen hatten, ergab sich die Erkenntnis, dass die vier recht unterschiedlichen Plattformen einander ideal ergänzen. Sind Michlmayr und Jaspert eher technisch und programmatisch ausgerichtet, so geht es Sam Hartman zum Beispiel mehr darum, den Spaß bei der Projektarbeit zu erhalten und die Diskussionskultur und den generellen Umgang miteinander zu verbessern. Er sieht sich dabei in der Rolle des Mediator.

    DPL-Team

    So kam es am Freitag zu der Entscheidung, dass man sich an einen kürzlich gemachten Vorschlag des ehemaligen DPL Lucas Nussbaum erinnerte und sich entschloss, gemeinsam als Team bei der am 31.März abgehaltenen Wahl anzutreten. Die Kürze der Bekanntgabe der Entscheidung ließ keine lange Diskussion zu, was aber nichts daran änderte, dass bei der Wahl von den 458 teilnehmenden Entwicklern 334 für den Vorschlag stimmten.

    Zwei Jahre im Amt

    Anders als bisher nimmt das gewählte Team den Posten für zwei Jahre ein, um die Effizienz eines solchen Teams besser beurteilen zu können. Gleich nach der Wahl stellte das DPL-Team auch bereits einen ersten brisanten Ansatz zur Lösung einiger der Probleme im Projekt vor.

    Bezahlte Entwickler?

    Aufgrund einer Spende von 300.000 US-Dollar, die das Projekt kürzlich von der Handshake Foundation erhielt, möchte das DPL-Team einen Teil dieser Summe dazu verwenden, um interne oder externe Entwickler zu bezahlen, um einige der Probleme der überalterten Infrastruktur Debians zu beheben.

    Dunc-Tank anyone?

    Die Brisanz dieses Vorschlags liegt darin, dass das Projekt vor 13 Jahren bereits einmal einen solchen Vorstoß unternahm, punktuell Entwickler für bestimmte Aufgaben zu bezahlen. Das heute noch unter dem Namen Dunc-Tank. Damals ging es darum, das Release-Team zu bezahlen um die Veröffentlichung von Debian GNU/Linux 4 »Etch« zu beschleunigen.

    Projekt gespalten

    Dunc-Tank wurde von vielen Entwicklern als Experiment befürwortet, von einer Minderheit aber vehement bekämpft, die der Meinung waren, Debian 4 solle veröffentlicht werden wenn es fertig sei. Eine Meinung, die sich später durchsetzen sollte und zum Mantra von Debian wurde. Der Protest reichte bis hin zu einer Parodie namens Dunc-Bank. Im Rahmen der Diskussion, die das Projekt bis zum Zerreißen anspannte, wurde unter anderem die Entfernung des damaligen DPL Anthony Towns, der Dunc-Tank erdacht hatte, aus dem Amt gefordert.

    Neuer Versuch?

    Die Bezahlung zweier Release-Manager führte allerdings nicht dazu, dass Debian 4 zum projektierten Termin fertig wurde. Das dauerte dann noch fast ein halbes Jahr länger. Nun soll das Experiment, die Entwicklung Freier Software mit Geld zu beschleunigen, nach 13 Jahren wiederholt werden, wenn es nach dem Willen des neuen DPL-Teams geht. Ob das diesmal gutgeht?

  • Debian vor vielen Herausforderungen

    Debian vor vielen Herausforderungen

    Debian Probleme
    Bild: Debian | Quelle Mohd Sohail | Lizenz: CC BY-SA-2.0

    Die letzten Wochen haben an einigen Stellen gezeigt, dass sich das Debian-Projekt einer Reihe von schwierigen Herausforderungen gegenüber sieht. Dabei wird das Meistern dieser Probleme nicht einfacher dadurch, dass Debian eine demokratische Ausrichtung hat, beziehungsweise den Prinzipien einer Do-ocracy folgt, ohne dass jemand an der Spitze die Marschrichtung vorgibt.

    Veraltete Werkzeuge

    Zunächst kritisierte der Entwickler Michael Stapelberg, der mehr als zehn Jahre lang eine Reihe von Paketen innerhalb von Debian betreut hatte, das Projekt. In einem Blogeintrag, in dem er seinen Rückzug erklärte, mahnte er, Debians Werkzeuge seinen veraltet und nicht effektiv genug.

    Auch die Tatsache, dass sich in den ersten beiden Wochen der Wahlperiode kein Bewerber gemeldet hatte ist ein Novum. Dass sich dann in der Verlängerungswoche gleich fünf Kandidaten bereit erklärten, das stressige Ehrenamt zu übernehmen, lässt dagegen Hoffnung zu.

    Nachlassende Relevanz

    In seiner Plattform zur Wahl zum Debian Projekt Leader (DPL) kritisiert Langzeit-Debianer Martin Michlmayr das Projekt in ähnlicher Weise. Vor 10 – 15 Jahren sei Debian in einer existentiellen Krise gewesen, was seine Relevanz im Reigen der Linux-Distributionen angeht. Das sei zum einen durch die Einführung von Ubuntu, andererseits durch eine Abwanderung zu macOS bedingt gewesen.

    Wie vor 20 Jahren

    Michlmayr bestätigt Stapelbergs Analyse, sieht die Probleme aber als noch größer an. Die Open-Source-welt habe sich in den letzten 5 – 10 Jahren in vielerlei Hinsicht verändert. Trotzdem agiere Debian in weiten Teilen wie vor 20 Jahren.

    Kaum Innovation

    In dieser Zeit sei Debian ständiger Innovator gewesen und habe für die damalige Zeit aufregende Dinge wie Paketmanager und automatische Upgrades eingeführt und Pakete für mehr als 10 Architekturen bereit gestellt. Als einzige bedeutende Innovation der letzten Jahre bei Debian nennt Michlmayr reproduzierbare Builds. Diese lösten ein wichtiges Problem und die Idee habe sich über Debian hinaus auf die gesamte FOSS-Welt ausgebreitet.

    Nicht entscheidungsfreudig

    Das schreibt Michlmayr, der bereits in 2003 und 2004 das Amt des DPL innehatte, der Unfähigkeit des Projekts zu, in der schnelllebigen Zeit Entscheidungen zeitig zu treffen und umzusetzen. Projektmitglieder hätten Angst, weitreichende Änderungen auch nur vorzuschlagen, weil die oft toxische Diskussionskultur und die resultierenden Flamewars die Umsetzung von gefundenen Lösungen zu sehr erschweren. Michlmayr ist der Meinung, dass Debian im Laufe der Jahre eine Reihe von Anti-Verhaltensmustern entwickelt hat, von denen das Projekt weggehen muss.

    Probleme lösbar

    Dabei sei Debian in der Welt der Server, bei Containern und in der Cloud so relevant wie nie. Deshalb glaubt er, die Probleme seien lösbar und sieht die Rolle des DPL dabei als Vermittler, der Leute zusammenbringt. Joerg Jaspert, Mitbewerber und ebenfalls Debian-Urgestein, sieht das ähnlich, wenn er schreibt: »Die Aufgabe des DPL ist es nicht, technische Lösungen für die Probleme des Projekts zu finden, sondern anderen zu ermöglichen, Herausforderungen zu meistern.

    Die Wahlplattformen aller Kandiaten sind auf der Webseite zur Wahl des DPL einsehbar. Es bleibt zu hoffen, dass nach vielen Anregungen der letzten Zeit das Amt des DPL nicht länger als One-Man-Show begriffen wird, sondern ein Team die Aufgaben unter sich aufteilt und effektiv angeht.

  • KNOPPIX 8.5 vorgestellt

    Logo: Rugby471 | Lizenz: GPL

    Klaus Knopper hat gerade auf den Chemnitzer Linuxtagen 2019 die neueste Version seiner Distribution Knoppix vorgestellt, die es derzeit exklusiv in der DELUG-Ausgabe des Linux-Magazins gibt.

    Viele kennen Klaus Knopper vielleicht von seinen eloquenten Vorträgen vergangener Jahre auf der Open-Source-Bühne der CeBit in Hannover. Das neue Knoppix 8.5 wurde, da diese Plattform nun nicht mehr existiert, jetzt auf den CLT 2019 vorgestellt.

    Üppige Softwareauswahl

    Knoppix 8.5 basiert wie üblich auf Debian Testing mit einigen Beigaben aus Debian Unstable. Die aktuelle Version, die erstmals als Hybrid-Image vorliegt, ist wieder einmal prall gefüllt mit rund 4.000 Paketen, darunter neben LXDE mit Compiz als Standard-Desktop auch Gnome 3, Plasma 5 und der Adriane-Desktop.

    Adriane steht für Audio Desktop Reference Implementation and Networking Environment und ist ein von Knopper entwickeltes sprechendes Desktop-System mit optionaler Braille-Unterstützung für sehbehinderte oder blinde Menschen.

    Aktuelle Pakete

    Einige der weiteren Zutaten sind Linux Kernel 4.20.6, Xorg 7.7, Chromium 72, Firefox ESR 60.5.0 mit Werbeblocker Ublock Origin und Noscript, LibreOffice 6.1.5, Gimp 2.10, OwnCloud 2.5.1 und NextCloud 2.5.1 Clients sowie die Game Engine Godot3 3.0.6. Knoppix 8.5 bietet erstmals auch Unterstützung für UEFI Secure Boot und bringt ein Remaster-Werkzeug mit.

    Von DVD auf Flash

    Mit dem Tool flash-knoppix lässt sich das Image direkt von einer Heft-DVD bootfähig auf einen USB-Stick legen, der dann auch in einem persistenten Modus laufen kann, der die Speicherung von installierter Software und erstellten Daten über den Reboot hinaus ermöglicht.

    Godfather of Live-Linux

    Knoppix reicht weit zurück und wurde erstmals 2002 veröffentlicht. Damals wie heute ist es dazu gedacht, im Live-Betrieb von DVD oder vom USB-Stick oder anderen Flash-Medien zu laufen. Klaus Knopper ist unbestritten der Godfather of Live-Linux, auch wenn es bereits ab 1993 mit Yggdrasil eine erste Live-CD gab.

    Die älteste noch existierende Live-Distribution ist Finnix, das erstmals im Jahr 2000 erschien. Die weiteste Verbreitung jedoch fand Knoppix, das auch vielen anderen Distributionen als Grundlage diente. Die bekanntesten noch existenten dieser Derivate, die zunächst auf Knoppix aufsetzten, sind Kanotix und GRML.

    Wegbereiter

    Knoppix hat bereits vor Ubuntu viele Menschen an Linux herangeführt. Das Live-Medium erlaubte das Ausprobieren ohne bestehende Installationen zu verändern. Heute kommt Knoppix außer zum Ausprobieren Bedeutung zu, da Knopper großen Wert auf Hardwareerkennung legt. Schwierige Hardware ist bei Knoppix immer gut aufgehoben. Auch als Live-System für unterwegs und für Rettungsarbeiten ist Knoppix dank seiner vielen Werkzeuge bestens geeignet.

  • Debian wählt neuen Projektleiter

    Debian wählt neuen Projektleiter

    Debian wählt neuen Projektleiter
    Bild: Debian | Quelle Mohd Sohail | Lizenz: CC BY-SA-2.0

    Debian hatte in diesem Jahr einige Mühe, Kandidaten für die immer im Frühjahr anstehende Wahl des Debian Project Leader (DPL) zu finden. Während der zweiwöchigen Nominierungsphase fand sich kein Entwickler bereit, zu kandidieren. Daraufhin wurde, wie vorgesehen, um eine 3. Woche bis zum 16.3. verlängert, in der sich nun drei Kandidaten bereit gefunden haben, Debian für mindestens ein Jahr nach innen und nach außen zu vertreten.

    Eher repräsentativ

    Das Amt des DPL gleicht eher dem des Bundespräsidenten als dem des Bundeskanzlers. Die Aufgaben umfassen unter anderem die Mediation in Teams oder zwischen Teams oder Mitgliedern des Projekts, die Vertretung des Projekts in der Öffentlichkeit bei Vorträgen und Präsentationen, die Übersicht über Finanzen und legale Angelegenheiten und ganz viel tägliches Klein-Klein.

    Der Wahlkampf

    Der anstehende Wahlkampf reicht vom 17. März bis 6. April, wenn diese Phase nicht um eine Woche verschoben wird. In dieser Zeit stellen die Kandidaten ihre Wahlplattformen vor und stellen sich den Fragen der anderen Entwickler, die versuchen, den besten Kandidaten zu finden. Die Abstimmung per E-Mail ist bisher für den Zeitraum vom 7. April bis 20. April geplant. Wahlberechtigt ist jeder offizielle Debian Developer (DD)

    Die Kandidaten

    Jörg Jaspert, der als Systemadministrator arbeitet, war der erste Kandidat, der seine Bereitschaft für das Ehrenamt erklärte. Er ist im Projekt bekannt, da er seit 2002 offizieller Debian-Entwickler ist und an verschiedenen Stellen Aufgaben in der Infrastruktur übernimmt. So ist er im Team der FTP-Master, die dafür sorgen, dass neue Pakete den Vorschriften von Debian entsprechen und nach außen juristisch nicht angreifbar sind. Zudem halten sie das Archiv und die Infrastruktur zum Bau und der Verteilung von Paketen am Laufen. Er ist zudem einer der Debian Account Manager, kümmert sich um die LDAP- und Salsa-Administration.

    Jonathan Carter ist der zweite Kandidat und seit zwei Jahren Debian-Entwickler. Er arbeitet im Live-Team und betreut unter anderem das Installer-Framework Calamares sowie viele GNOME-Extensions. Der dritte im Bunde ist Sam Hartman und seit 2000 Debian-Entwickler. Er betreut unter anderem das Authentifizierungsprotokoll Kerberos und dessen Implementierung.

    Neue Konzepte nötig!?

    In der nächsten Woche wird sich herausstellen, wo die Kandidaten die Schwerpunkte für die angestrebte Amtszeit setzen und was ihre Vision für Debian ist. Die schwierige Kandidatensuche hatte auch ihr Gutes. In der Diskussion wurde ein Überdenken des sehr fordernden Jobs des DPL angeregt. Eine Idee ist es, ein Team anstatt eine Person zu wählen. Bereits bisher kann der DPL Aufgaben an andere Entwickler delegieren. Derzeitiger DPL ist Chris Lamb, dessen zweite Amtszeit sich dem Ende zuneigt.

  • Debian-Paketbetreuer kritisiert die Distribution

    Debian-Paketbetreuer kritisiert die Distribution

    Der Schweizer Entwickler Michael Stapelberg hat über mehr als zehn Jahre eine Reihe von Paketen innerhalb von Debian betreut. Zudem ist er der Initiator des Fenstermanagers i3, der Code-Suchmaschine Debian Code Search und dem verteilten IRC-Netzwerk RobustIRC.

    Debian kritisiert

    In einem Blogeintrag erklärt er jetzt, dass er sein Engagement in Debian auf ein Minimum zurückfährt. Er verbindet diese Erklärung mit einer heftigen Kritik an Debians Strukturen, die ihm die Freude an der Arbeit für Debian verderbe. Zu Beginn seines Engagements für Debian war Stapelberg noch Student, nun steht er seit fünf Jahren im Berufsleben, er arbeitet derzeit bei Google.

    In fünf Jahren Berufstätigkeit in einem großen Team habe er viel über Software-Entwicklung in großen Projekten gelernt, so Stapelberg. Er vergleicht seine dort gesammelten Erfahrungen mit der gängigen Praxis in Debian und kommt zu der Erkenntnis, dass viele Praktiken und Werkzeuge in Debian und die Gepflogenheiten der rund 1.000 Entwickler und vieler weiterer Beitragender untereinander die Entwicklung des Projekts insgesamt weit mehr behindern als fördern.

    Debian Policy hinderlich

    So behindern laut Stapelberg die in der Debian Policy festgelegten und von Lintian forcierten Richtlinien die Umsetzung notwendiger technischer Änderungen über Gebühr. Er mahnt mehr Freiheiten für die Maintainer an, sie sollen auch Änderungen an Paketen anderer Maintainer vornehmen dürfen, ohne einen langwierigen Prozess zu starten, der einen oder mehrere andere Betreuer involviert.

    Zu wenig effektive Werkzeuge

    Debian fehlten zudem effiziente Werkzeuge, um umfassende Änderungen zeitnah umzusetzen. Viele der vorhandenen Werkzeuge seien veraltet oder ineffektiv. Zudem liege dabei zu viel manuelle Arbeit bei den einzelnen Betreuern. Es genügt ein nicht reagierender Betreuer, um den Prozess aufzuhalten.

    Uploads zu langsam

    Auch der Prozess des Uploads von neuen oder aktualisierten Paketen steht in der Kritik, da der Weg vom Betreuer bis zum Endanwender mehrere Stunden in Anspruch nehme. Weiterhin stehen der Bug-Tracker und das Archiv der Mailing-Liste auf Stapelbergs Zettel.

    Stapelberg wird versuchen, für seine Pakete neue Betreuer oder ein Team zu finden. Er bleibt weiterhin erreichbar und will für die minimale Pflege von Codesearch und den Debian Manpages sorgen. Ansonsten sieht er sich als permanent auf Urlaub.

    Probleme nicht neu

    Die von Stapelberg angesprochenen Probleme und Defizite sind nicht neu und er ist nicht der erste, der sie anspricht. Aussicht auf kurzfristige Änderung besteht trotzdem nicht. Das Projekt verwaltet sich selbst, es gibt keinen noch so wohlwollenden Dikatator, der die Richtung vorgibt. Ob die kritisierten Zustände Debian am Ende zur bloßen Basis für die vielen darauf basierenden Distributionen degradieren oder ob vorher kollektiv die Reißleine gezogen wird und die Probleme angegangen werden, bleibt offen.

  • GNU/Linux Debian 9.8 »Stretch« freigegeben

    GNU/Linux Debian 9.8 »Stretch« freigegeben

    Debian 9.8
    Screenshot: ft

    Nicht einmal einen Monat nach Debian 9.7 hat das Debian-Release-Team mit Debian 9.8 »Stretch« das achte Punkt-Release für die Stable-Veröffentlichung Debian 9 freigegeben.

    Im Plan

    Ging es bei der außerplanmäßigen Aktualisierung auf 9.7 hauptsächlich um den kurz zuvor aufgefundenen Fehler im Paketmanager APT, so behebt das jetzige Update hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme in verschiedenen Paketen.

    Durchschnittliche Aktualisierung

    Die Aktualisierung auf Debian 9.8 ist vom Umfang her durchschnittlich groß, lediglich die Zahl der entfernten Pakete ist mit 22 diesmal relativ hoch. Insgesamt erhielten 87 Pakete eine Fehlerbereinigung und es wurden Sicherheitsprobleme aus 48 »Debian Security Advisories« (DSA) behoben. Alle Änderungen an Paketen beschränken sich wie immer auf das absolut Notwendige, um Regressionen zu vermeiden.

    Viel Python

    Bei den Paketkorrekturen wurden viele Pakete für Python neu gebaut, um die Sperrung der Domainvalidierung per TLS-SNI-01 durch Let’s Encrypt nachzuvollziehen. Samba wurde aktualisiert, um ein Speicherleck zu stopfen.

    Im Paket Wayland wurde ein möglicher Ganzzahl-Überlauf behoben. Fehler wurden zudem unter anderem in Linux, Postfix und Openvpn bereinigt. Ein neuer Nvidia-Treiber wurde integriert. Der Intel-Microcode erhielt gesammelte Korrekturen. Auch der Debian-Installer wurde erneuert, um die Sicherheitskorrekturen zu reflektieren.

    Bei den Paketen mit behobenen Sicherheitsproblemen liegt Chromium-Browser diesmal vor Firefox-ESR und Thunderbird. Weitere Sicherheitslücken betrafen unter anderem Openvpn, LibreOffice, Systemd und Wireshark.

    Firefox-Erweiterungen entfernt

    Beim Löwenanteil der entfernten Pakete handelt es sich um Firefox-Erweiterungen, die mit neueren Firefox-ESR-Versionen nicht mehr kompatibel sind. Zwei weitere entfernte Pakete sind API-Änderungen bei Twitter und Flickr geschuldet.

    Frische Installationsmedien

    Eine Liste aller Änderungen kann der Ankündigung entnommen werden. Aktualisierte Installationsmedien werden auf den Download-Servern in den nächsten Stunden und Tagen bereitgestellt. Bestandsanwender aktualisieren über das Paketmanagement.

  • DebianGNU/Linux 9.7 »Stretch« freigegeben

    DebianGNU/Linux 9.7 »Stretch« freigegeben

    Debian 9.7
    Screenshot: ft

    Normalerweise deckt ein Punkt-Release bei Debian sowohl die Sicherheitslücken als auch Fehler in Paketen aus den letzten Monaten ab. Zuletzt so geschehen vor rund zwei Monaten mit Debian GNU/Linux 9.6.

    Außerplanmäßig

    Damals wurden 84 Fehlerbereinigungen und 88 Sicherheits-Updates gebündelt. Debian 9.7 stellt eine Ausnahme dar, es wird außerplanmäßig lediglich der vor einigen Tagen entdeckte Fehler in APT, dem Frontend des Paketmanagers DPKG, behoben, der bei Debian intern als DSA-4371-1 und international als CVE-2019-3462 katalogisiert wurde.

    Frische Installationen schützen

    Dieser ist zwar bereits in allen Zweigen der Distribution seit Debian »Jessie« behoben, das gilt allerdings nicht für die Installationsmedien. Somit entschloss sich das Debian Release-Team zu einem außerplanmäßigen Release, um bei neuen Installationen sicherzustellen, dass der Fehler erst gar nicht erst auf der Festplatte landet.

    Neben apt 1.4.9 ist das Paket base-files 9.9+deb9u7 die einzige weitere Änderung im Point-Release Debian 9.7. Damit wird bei einer Abfrage von /etc/debian_version die korrekte Version 9.7 angezeigt.

    Frische Images

    Einige aktualisierte Installationsmedien stehen bereits auf den Download-Servern des Projekts zur Verfügung, weitere werden in den nächsten Stunden und Tagen folgen. So ist bereits ein Netinstall-Image sowie ein komplettes Image mit Xfce verfügbar.

  • Fehler im Debian-Paketmanager behoben

    Fehler im Debian-Paketmanager behoben

    Quelle: Chris Lamb | Lizenz: GPLv3

    Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und andere Distributionen für die Auslieferung ihrer Pakete an die Nutzer HTTP anstatt HTTPS nutzen. Durch HTTP-Redirects konnte per Man-in-the-Middle-Angriff dem Paketmanager APT ein Paket untergeschoben und sogar mit einer vermeintlich korrekten Signatur versehen werden.

    Schwieriger mit HTTPS

    Der letzte Teil wäre mit der Verwendung von HTTPS schwieriger zu bewerkstelligen. Das solcherart untergeschobene Paket konnte dann beliebigen Schadcode ausführen wenn es gestartet wurde. Entdeckt wurde die Lücke von Max Justicz, der sie in seinem Blog näher beschreibt. Betroffen waren neben Debian, Ubuntu und Linux Mint auch alle anderen Derivate.

    Bitte aktualisieren

    Die Debian-Entwickler wurden einige Tage vor der Veröffentlichung der Lücke informiert, sodass Patches für verschiedene Versionen von Debian und Ubuntu zu dem Zeitpunkt bereits zur Verfügung standen. Anwender sind dringend dazu aufgerufen, die aktualisierten Pakete zeitnah zu installieren.

    Auf der sicheren Seite

    Um, dabei gänzlich sicher zu sein, dass das System beim Upgrade nicht kompromittiert wird, empfiehlt Debian das Abschalten von Redirects während der Aktualisierung. Das kann mit folgenden Zeilen erreicht werden:

    apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

    Ironischerweise wurde der Fehler zu einem Zeitpunkt veröffentlicht, in dem eine schon öfter geführte Diskussion darüber, ob es Sinn ergibt, Pakete aus Repositories per HTTPS auszuliefern, wieder aufflammt.

    Für und gegen

    Die Argumente, die bisher gegen HTTPS für die Auslieferung von Debian-Paketen ins Feld geführt wurden, verweisen auf die Komplexität der Bereitstellung eines riesigen weltweiten Mirror-Netzwerks, das über SSL verfügbar ist. Ein Wechsel zu HTTPS würde auch bedeuten, dass die Vorteile lokaler Proxy-Server zur Beschleunigung des Zugriffs nicht mehr genutzt werden könnten. Der Sicherheitsgewinn durch HTTPS wird kontrovers diskutiert.