Jornal Semanal Gentoo: 07 de Abril de 2003

1.  Noticias Gentoo

Resumo

• Sim, era uma piada
• Portage muda para um novo, e mais seguro formato

Sim, era uma piada

Na edição da semana passada, que foi convenientemente atrasada um dia para chegar no dia Primeiro de Abril, contém uma história sobre a adoção do formato RPM para gerenciamento de pacotes. O resultado desta Mentira de Primeiro de Abril obteve muito mais sucesso do que imaginávamos. (Alguns dizem que teve sucesso demais). Desnecessário dizer, isto foi uma piada e a equipe de desenvolvimento do Gentoo não tem nenhum plano para mudar do formato ebuild como o seu método padrão de gerenciar pacotes.

Agora, por favor, parem de nos mandar emails raivosos.

Portage muda para um novo, e mais seguro formato

Como parte de um esforço geral para promover a segurança do Gentoo Linux, a equipe de desenvolvimento do Portage esta começando a implementar algumas novas caracteristicas no Portage que permitirão aumentar a segurança de nossa administração de pacotes e sistemas de distribuição. Uma das primeiras caracteristicas que os usuários perceberão é o comentário de cada arquivo envolvido no processo de merge, incluindo ebuilds, patches e os tarballs fontes. Adicionalmente à oferta de segurança, estes comentários ajudarão a isolar e encontrar ebuilds corrompidos ou outros arquivos em nosso rsync ou nos espelhos.

O próximo passo do processo é assinatura destes arquivos de comentários com uma chave GPG para garantir o não repudio. Enquanto existe alguma discussão entre a equipe de desenvolvedores sobre a melhor maneira de arquivar isto, a solução mais bem vista envolve cada desenvolvedor assinar os ebuilds individualmente através de chaves públicas, assim como no uma "super chave" mestra do Gentoo assinando todos os desenvolvedores para estabelecer uma "teia de confiança" Gentoo. As chaves dos desenvolvedores estarão disponiveis através de chaves públicas, assim como no www.gentoo.org

O objetivo do que será chamado de "Portage Seguro" é prover um robusto sistema de gerenciamento de pacotes que oferece de ponta a ponta segurança no processo de emerge. Ainda não existe nenhuma previsão de tempo confirmada ou quando todo o sistema estará disponivel, mas a parte de criar os relatórios esta em testes agora e o resto vem na sequência em breve.

2.  Segurança Gentoo

Resumo

• GLSA: sendmail
• GLSA: krb5 and mit-krb5
• GLSA: openafs
• GLSA: dietlibc
• Anúncio de Novos Bugs de Segurança
• gentoo-security

GLSA: sendmail

O MTA do sendmail tem uma vulnerabilidade de stack overflow na maneira de checar os endereços de email. Esta vulnerabilidade pode ser explorada remotamente para executar um ataque DOS, conquistando o controle do servidor sendmail, ou potencialmente executando um código arbitrário com os privilégios do servidor (tipicamente root).

• Gravidade: Critico - Comprometimento root remoto em potencial.
• Pacotes Afetados: net-mail/sendmail versões até a sendmail-8.12.9
• Correção: Synchronize and emerge sendmail, emerge clean.
• GLSA Announcement
• Advisory

GLSA: krb5 and mit-krb5

Multiplas vulnerabilidades no krb5 e mit-krb5 na implementação do protocolo de autenticação Kerberos foram identificados. Estes incluem um buffer underrun que permite o ataque DOS no daemon de administração Kerberos, ataque com texto plano escolhido que permite a penetração de outro principal, e problemas de buffer overrun e underrun que permitem nomes e hosts não usuais (que podem ser usados em outros ataques).

• Gravidade: Critico - Comprometimento da autenticação.
• Pacotes Afetados: app-crypt/krb5 versões até a krb5-1.2.7-r2 and app-crypt/mit-krb5 versões até a mit-krb5-1.2.7
• Correção: Synchronize and emerge krb5 and/or mit-krb5, emerge clean.
• GLSA Announcement
• Advisory

GLSA: openafs

Uma deficiência criptográfica no Kerberos 4 permite um ataque de texto plano escolhido para penetração de outro principal. O sistema de arquivos distribuidos openafs usa Kerberos 4, e em consequência é vulnerável a um ataque.

• Gravidade: Critico - Comprometimento da autenticação.
• Pacotes Afetados: net-fs/openafs versões até a openafs-1.3.2-r1
• Correção: Synchronize and emerge openafs, emerge clean.
• GLSA Announcement
• Advisory

GLSA: dietlibc

A funçao xdrmem_getbytes() incluida no dietlibc contém uma vulnerabilidade de integer overflow que pode ser usada pelo atacante remoto para executrar uma chamada rpc que permite explorar o serviço vulnerável.

• Gravidade: Alta - Exploit remoto de serviço.
• Pacotes Afetados: dev-libs/dietlibc versões até a dietlibc-0.22-r1
• Correção: Synchronize and emerge dietlibc, emerge clean.
• GLSA Announcement
• Advisory

Anúncio de Novos Bugs de Segurança

Não há nenhum bug de segurança esta semana que seja destacado

gentoo-security

Marcus Martin postou uma idéia sobre incluir a função "emerge security" que automaticamente atualizaria os pacotes lançados pelo GLSA. Isto gerou uma certa discussão, com o consenso de que é uma boa idéia. (entretanto uma que não deve ser tão fácil de implementar) e já foi documentada em bug #5835.

Chris Frey postou um script para prover um conjunto de md5sums no servidor master do portage que permite os gentoistas checar por ebuilds troianos. Isto foi proposto como uma medida preventiva enquanto esperamos por ebuilds assinados. O post iniciou alguma discussão, incluindo criticas de sobrecarregar servidores e seus administradores, assim como de direcionar recursos para uma solução final mais robusta no portage. Esta discussão gerou uma conclusão através do post de Nicholas Jones que apontou que o problema é amplo porque não consegue ver uma solução tão cedo como o portage-2.0.47.

3.  Desenvolvedor da Semana

Seth Chandler

Figure 3.1: Seth Chandler, aka sethbc

Todos gostam de reclamar o quão lento o OpenOffice é, mas continua a ser uma das mais completas suites compativeis com o MS-Office até agora. O desenvolvedor desta semana, Seth Chandler, esta encarregado dos pacotes do openoffice e openoffice-bin, e também mantem keychain, escreve alguma documentação, e também é um dos três co-lideres do PPC. Sua função primária é corrigir bugs que aparecem no Open Office, isto toma muito tempo, mas ele também ajuda a preencher lacunas quando algum desenvolvedor esta faltando. Seth iniciou-se com o Gentoo a dois anos atrás, e foi convidado pela equipe de desenvolvedores do Gentoo a cinco meses através de Spanky, que ele conhece da escola, porque necessitavam alguém para o Open Office. Através deste trabalho com o Gentoo, ele tornou-se um frequentador do canal de IRC e de listas de mailing relacionadas ao Open Office, e esta contribuindo com o IssueZilla do Open Office porque a natureza de topo de linha do Gentoo permite que os problemas apareçam primeiro que em outras distribuições.

Durante o dia, Seth é um estudante na Worcester Polytechnic Institute, e irá para a Cornell Law School quando graduar-se. Seus três computadores (um Dual P3, um Dual Athlon MP 2100, e um 15.2-inch Powerbook) todos usam Gentoo, entretanto o Mac é dual boot com o OS X. Ele usa Waimea-cvs e qmail em todas as suas máquinas, e seus favoritos incluem gaim-cvs, xchat-2, kmail, aterm e gkrellm.  As duas x86 usam as últimas fontes do kernel, que durante a entrevista era 2.5.65-mm2, mas quando sente problemas ele usa o BitKeeper repo.

Seth é membro do time de baseball Atlanta Braves e esta gostando deste trabalho, nestes últimos 15 anos. O seu pai é o médico da equipe. Ele diz que vai para a escola só nas férias.

4.  Ouvimos na Comunidade

Web Forums

Na crista da onda

O desenvolvimento do kernel 2.6 do Linux está avançando rapidamente, e várias seções do forum estão mostrando claramente que os Gentooistas estão acompanhando o desenvolvimento bem de perto. Não sem alguns problemas ocasionais, pelo que parece...

• kernel de desenvolvimento 2.5.66 o que funciona / o que não funciona pra você?
• Patches para mm-sources 2.5.66r3

A melhor piada de Primeiro de Abril de todos os tempos

Veja o primeiro link da nossa lista: Nos forums já se tinha previsto que ia acontecer... Mas a ameaça do desaparecimento do Portage acertou em cheio nos nervos de muitos fiéis usuários Gentoo; muitos entram em choque, alguns por frações de segundo, outros por muitas horas. Gritaram absurdos para suas telas ou para seu companheiros, ameaçaram apagar o diretório do portage antes mesmo do amanhecer: Esses caíram direitinho... E no meio dessa fúria sobre o Gentoo adotar o formato RPM, apenas alguns poucos alemães perceberam que também era mentira a segunda falsa notícia do GWN.

• No GWN today?
• Portage 2.1 moving to RPM
• emerge -> rpm? (German)
• Portage 2.1 e lsb (Italian)
• Gentoo basé sur les rpm ??? (French)

Grupo de usuários Gentoo de New Jersey

Usuários Gentoo de New Jersey podem estar interessados na mensagem enviada por dweigert no Gentoo Chat essa semana sobre criar um Grupo de Usuários de New Jersey. O foco é New Jersey central por enquanto, e todos os residentes de NJ residentes estão convidados. Veja o forum abaixo para mais informações.

• New Jersey Gentoo Users?

gentoo-user

Uso de Gentoo nas Corporações?

Com mais de 69 respostas até agora, o assunto mais falado em gento-user da semana foi sobre empresas (de preferência grandes empresas) que estejam usando Gentoo em áreas produtivas. Muita gente respondeu dizendo que não acha que o Gentoo é apropriado para uso empresarial, apontando muitos problemas que têm com seus computadores pessoais. Outros mostram que Gentoo roda muito bem, servindo mais de 150,000 clientes. As respostas são claramente diversas e, em muitos casos fora do assunto, mas a discussão tem vários "insights" bem interessantes sobre os esforços e tribulações de se usar Gentoo Linux no meio produtivo.

• Survey: Gentoo Corporate Usage?

Administração de Pacotes para sotware não-ebuild

Jan Drugowitsch perguntou sobre a administração de pacotes instalados fora do Portage em um sistema Gentoo Linux. As respostas foram variadas e úteis, apontando para vários projétos de software aberto que tem uma resposta para a questão.

• Package management for non-ebuild software

gentoo-dev

Programando Portage

Robin H. Johnson perguntou da disponibilidade de documentação do Portage DB API, e ficou surpreso quando lhe foi dito para digitar: python [RETURN] help() [RETURN] portage e assim utilizar a ajuda interativa do Python.

Equivalente para ACCEPT_KEYWORDS="~arch"?

Jani Monoses estava imaginando se existiria uma maneira mais fácil do que a de ter que usar ACCEPT_KEYWORDS="~arch" emerge package_name. Thomas M. Beaudry mandou a sugestão to usar um Bash alias (veja em man bash). E um outro Thomas contribuiu com o alias que usa alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'.

5.  Gentoo Internacional

Um Meta-Projeto Francês para a Meta-Distribuição

Gentoo da França esta se reemergendo: Depois de criar o gentoofr.org em Julho do ano passado (mantendo o bom relacionamento com o projeto antigo), a nova organização fundada por Baptiste Simon, Guillaume Morin and Mark Krauth chamada frgentoo.net está juntando colaboradores e ativistas para ajudar com a nova iniciativa de tradução da documentação e tutoriais Gentoo para o francês, organizando canais IRC e listas de email, numa tentativa de juntar mais gente aos já então conhecidos. O novo clube quer prover uma variedade de serviços em volta do Gentoo Linux da França, e está determinado a fazer isto junto à comunidade desde seu primeiro dia. As primeiras eleições para os cargos dentro da associação serão organizados para o fim do mes; candidaturas para coordenador e líder de projetos serão aceitas até o dia 11 de Abril, e a eleição será feita com voto eletrônico entre 14 e 20 Abril. Visite alpha.gentoo.org para maiores informações.

Calendário Internacional

Enquanto a comunidade Köln-Bonn ainda está publicamente discustindo a agenda para sua primeira reunião, dois outros acontecimentos emergiram nos USA:

• USA: A University of Southern Mississippi em Hattiesburg está tendo neste 12 de Abril um "Sábado Gentoo". A Performace do kernel de desenvolvimento e ajuda com instalação serão o centro do evento no campus da University, no prédio Bobby Chain Technology - sala 202, das 10:00 as 14:00. Veja o forum correspondente, e mais detalhes aqui.
• USA: Se você mora em Metuchen, Old Bridge ou Hackensack, a primeira reunião do New Jersey Gentoo Linux User Group pode ser o que você esta procurando pra fazer. Os participantes do NJ-GLUG elegeram o Cafe52 na Easton Avenue em New Brunswick para o primeiro encontro, dia 16 April às 20:00. A Coordenação do encontro é via esse forum.
• Alemanha: 14 de Maio é a data oficial para os usuário Gentoo de Köln/Bonn, que agora já decidiu também a hora (17:00) e o lugar: Hellers Brauhaus, Roonstrasse. Avise aos outros sua intenção de ir bem aqui.

6.  Portage Watch

Os seguintes pacotes estáveis foram adicionados ao portage esta semana

• app-games/tetrix : Um servidor GNU TetriNEThttp://tetrinetx.sourceforge.net/

Atualizações notáveis de pacotes

• sys-apps/portage - portage-2.0.47-r13.ebuild;
• sys-kernel/* - gs-sources-2.4.21_pre6.ebuild; hardened-sources-2.4.20.ebuild; mm-sources-2.5.66-r2.ebuild; mm-sources-2.5.66-r3.ebuild; ppc-sources-2.4.20-r4.ebuild; selinux-sources-2.4.20-r3.ebuild; sparc-sources-2.4.20-r7.ebuild;

Nova variável USE

• debug - Avisa o configure e makefiles a compilar para debugging. Os efeitos variam de pacote para pacote, e provavelmente vai pelo menos adicionar um -g à variável CFLAGS. Lembre-se de definir FEATURES+=nostrip.
• emacs - Adiciona suporte para o GNU Emacs

7.  Bugzilla

Resumo

• Estatísticas
• Ranking dos Bugs Fechados
• Ranking dos novos Bugs

Estatísticas

A comunidade Gentoo usa o Bugzilla (bugs.gentoo.org) para receber e rastrear bugs, notificações, sugestões e outras interações com a equipe de desenvolvimento. Nos últimos 7 dias, a atividade do site resultou em:

• 288 novos bugs esta semana
• 751 bugs fechados ou resolvidos esta semana
• 3 bugs previamente fechados reabertos esta semana.
• 2386 total bugs marcados 'new'
• 450 total bugs atribuídos a desenvolvedores

Existe atualmente 2895 bugs abertos no bugzilla. Destes: 63 estão marcados como 'blocker', 107 estão marcados como 'critical', e 227 estão marcados como 'major'.

Ranking dos Bugs Fechados

Os desenvolvedores e times que fecharam mais bugs esta semana

• The Gnome Team, com 64 bugs fechados
• Daniel Robbins, com 29 bugs fechados
• Nick Hadaway, com 28 bugs fechados
• George Shapovalov, com 26 bugs fechados
• Martin Schlemmer, com 21 bugs fechados
• Martin Holzer, com 21 bugs fechados

New Bug Ranking

Os desenvolvedores e times que receberam mais bugs novos essa semana:

• Nick Hadaway, com 23 novos bugs
• Martin Schlemmer, com 19 novos bugs
• The x86-kernel Team, com 17 novos bugs
• Matthew Kennedy, com 16 novos bugs
• Bob Johnson, com 15 novos bugs

8.  Dicas e Truques

Mudando Atributos de Arquivos

A dica da semana mostra como usar chattr para manter arquivos de sistema seguros. O comando "change attribute", ou chattr, pode ser usado para mudar os atributos para atualizações sincronizadas, maior segurança de arquivo e mais. Note que este comando só é disponível para partições ext2 e ext3.

Os atributos mais comuns e suas opções (flags) estão listadas a seguir. Para uma lista mais completai: man chattr.

• (A) Don't update atime
• (S) synchronous updates
• (a) append only
• (d) no dump
• (i) immutable
• (j) data journalling
• (t) no tail-merging

Primeiro tenha certeza de que tem o chattr instalado emergendo e2fsprogs.

# emerge e2fsprogs

Para mudar atributos de arquivos use o chattr, e para listar os atributos use o lsattr.

(Ative o bit imutável do arquivo para que este não possa ser modificado ou removido)
# chattr +i myfile
# lsattr myfile
----i-------- myfile
(Testando a propriedade imutável, tentativa de remover o arquivo)
# rm myfile
rm: cannot remove `myfile': Operation not permitted
(Faça que com o myfile só se possa adicionar conteúdo (append-only))
# chattr +a myfile
# lsattr myfile
-----a------- myfile
# echo testing > myfile
myfile: Operation not permitted
# echo testing >> myfile
(não há erros - conteúdo adicionado)

Isto pode ser útil para evitar que arquivos importantes sejam deletados. Lembre-se que mesmo root não pode deletar um arquivo que seja imutável ou append-only sem primeiro explicitamente remover estes atributos. Usando esses 'flags' com /etc/passwd e /etc/shadow os mantém seguros contra um rm -f e pode prevenir que novas contas sejam adicionas em caso de violação do sistema. Os arquivos em modo 'append-only' só podem ter conteúdo adicionado e portanto ficam com os dados existentes protegidos de serem modificados. Logs são bons candidatos para este atributo, protegendo-os de serem adulterados. Com chattr e lsattr, você agora tem novas ferramentas para manter seu sistema seguro.

9.  Moves, Adds and Changes

Moves

Os seguintes desenvolvedores recentemente deixaram a equipe Gentoo:

• Peter Brown (rendhalver)

Adds

Os seguintes desenvolvedores recentemente entraram para a equipe Gentoo:

• Makoto Yamakura (yakina) -- Japanese documentation
• Peter Bilitch (hsinhsin) -- Gentoo documentation
• John Mylchreest (johnm) -- Gentoo documentation
• Joe Kallar (blademan) -- Sparc documentation
• Ashton Mills (martigen) -- Gentoo documentation
• Thomas Pedley (shallax) -- Gentoo xbox
• Robin Johnson (robbat2) -- ufed, mysql, php

Changes

Os seguintes desenvolvedores recentemente mudaram de atividade no projeto Gentoo:

• nenhum esta semana

10.  Contribua com GWN (Jornal Semanal Gentoo)

Interessado em contribuir para o Jornal Semanal Gentoo? Nos envie um email.

11.  GWN Feedback

Por favor nos envie feedback e ajude a fazer o GWN melhor.

12.  Outras línguas

O Jornal Semanal Gentoo é também disponível nas seguintes línguas:

• Holandês
• Ingles
• Alemão
• Francês
• Japonês
• Italiano
• Português (Brazil)
• Português (Portugal)
• Espanhol