Vor ziemlich genau drei Wochen wurde Debian 13 mit dem Codenamen "trixie" veröffentlicht. Da Debian einen wichtigen Architekturzweig unter Linux bildet, von dem viele Derivate wie z. B. Ubuntu abzweigen, werfen wir heute einen kleinen Blick auf die Veränderungen.
Zahlen, Daten, Fakten
Schaut man in die Veröffentlichungsmeldung, bekommt man einen Überblick, was sich in diesem Release getan hat:
Das Release umfasst nach gut zwei Jahren Entwicklung 69.830 Pakete, wobei 14.100 Zugänge, 8.840 Abgänge und 44.326 Aktualisierungen zu verzeichnen sind. Als Kernel kommt Linux 6.12 LTS zum Einsatz. Gebaut wird mit GCC 14.2 und LLVM 19. Systemd wird in Version 257 genutzt. Bei den Desktopumgebungen sind wir bei GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1.0 und Xfce 4.20 angekommen. Python wird in Version 3.13, Rust in Version 1.85, OpenSSL in Version 3.5 und PHP in Version 8.4 ausgeliefert. Das gesamte Paketarchiv umfasst 403 GB, wovon auf den meisten Systemen nur ein Bruchteil installiert sein sollte.
Zu den Architekturen:
- Die offizielle 32-Bit-Unterstützung (i386) entfällt ab diesem Release. Verbleibende i386-Pakete für Anwendungen sind nur zur Nutzung auf einem 64-Bit-System mit entsprechendem 64-Bit-Kernel vorgesehen, Stichwort multiarch.
- Für ARM-Nutzer alter Architekturen vor Arm v7, die auf die armel (ARM EABI) zurückgegriffen haben, ist Debian 13 das letztmögliche Release. Installationsabbilder werden schon jetzt nicht mehr bereitgestellt.
- Die Unterstützung für mipsel und mips64el entfällt mit diesem Release komplett.
Besonderheiten
Aus Entwicklersicht wurden erste Vorkehrungen für Lösungen gegen das Jahr-2038-Problem unternommen. Im Jahr 2038 wird der für Linux-Systeme integrale Unix-Timestamp (Sekunden ab 01.01.1970) nicht mehr allein durch 32-Bit darstellbar sein. time_t wurde auf 64-Bit umgestellt und in mühevoller Arbeit auf die verschiedenen Pakete ausgerollt. Gleichzeitig werden auch Anwendungen wie lastlog aus Debian 13 entfernt, da der 32-Bit-Timestamp so tief verankert ist, dass eine Umstellung neue Programme erfordert. Ersatz in Form von lslogins, lastlog2 oder wtmpdb steht bereit, falls benötigt.
Aus administrativer Sicht ist das /tmp-Verzeichnis in diesem Release spannend, da es nicht mehr auf dem Dateisystem liegt, sondern über tmpfs gemounted wird. Die Daten liegen somit im RAM. Dadurch teilen sich die Daten im temporären Verzeichnis einerseits mit den Anwendungen und dem Cache nun den Arbeitsspeicher, andererseits sind nach Neustart die Daten auch gelöscht. Bei einem Upgrade auf Version 13 sei zu bedenken, dass das neue tmpfs das alte /tmp-Verzeichnis im Dateisystem, sofern vorhanden, überdeckt. Wer nach dem Upgrade auf alte Daten noch zurückgreifen möchte, muss das Dateisystem per bind-mount in z. B. das Verzeichnis /mnt einhängen (mount --bind / /mnt) und kann anschließend die alten Daten aus dem Verzeichnis retten.
OpenSSH ist nun in Version 10 verfügbar und fährt weiter den Support alter Cipher zurück. Diesmal sind die veralteten DSA-Schlüssel an der Reihe. Wer sich noch auf alte Geräte wie Router oder Switches verbinden muss, benötigt nun das Zusatzpaket openssh-client-ssh1, da sich DSA auch über Konfigurationsoptionen nicht mehr aktivieren lässt.
Aus Security-Sicht ist eine Neuerung bei ping ganz interessant. Da dieses Programm ICMP-Pakete senden muss, die bisher nicht über reguläre Sockets abbildbar waren, lief es bisher nur unter erhöhten Rechten, da ein Zugriff auf Raw Sockets erforderlich war. Das wird bislang mit File Capabilities umgesetzt, ganz früher kam sogar noch setuid zum Einsatz. Da potentielle Sicherheitslücken in der Ping-Binary damit unnötig viel Angriffsfläche auf einem System eröffnen würden und der Ping nicht das volle Potential von Raw Sockets benötigt, können Anwendungen nun die Datagramme über ICMP_PROTO-Sockets versenden. Ping nutzt unter Debian 13 nun diese Variante. Durch die Umstellung entfällt das Erfordernis der erweiterten Rechte. Die ICMP_PROTO-Sockets können wiederum durch z. B. net.ipv4.ping_group_range eingeschränkt werden.
Auch für Security interessant: das neue Paket debian-security-support ermöglicht es, den Supportstatus der installierten Pakete zu überprüfen.
Hinweise für das Upgrade
Wer Debian 13 per SSH aktualisiert, sollte aufpassen: OpenSSH sollte erst mindestens auf Version 1:9.2p1-2+deb12u7 (Debian 12) aktualisiert werden, da sonst Unterbrechungen während des Upgrades auftreten können.
Auch Administratoren, die viel virtualisieren, sollten auf libvirt achten: Das bisher monolithische Paket wurde umfangreich aufgespalten und es sollte vorab untersucht werden, welche weiteren Pakete nun benötigt werden, damit nach dem Update keine Funktionalität verloren geht.
Unterstützung und EoL
Stand August 2025 gibt es nun drei unterstützte Debian-Versionen:
- Debian 13 (stable, trixie) bis August 2028, verlängert per LTS bis Juni 2030
- Debian 12 (oldstable, bookworm) bis Juni 2026, verlängert per LTS bis Juni 2028
- Debian 11 (oldoldstable, bullseye) nur noch als LTS bis August 2026
Administratoren sollten nun beginnen, ihre Migration von Debian 11 anzugehen. LTS-Versionen werden nicht mehr vom regulären Security- und Release-Team, sondern durch das LTS-Team gepflegt, um einen fünfjährigen Support sicherzustellen. Der Übergang ist fließend, aber durch den immensen Aufwand können nicht alle Pakete mit der gleichen Aufmerksamkeit betreut werden.
Die vollständigen Hinweise zum neuen Release sind in den Debian 13 Release Notes zu finden.
Anmelden
