Jornal Semanal Gentoo: 06 de Outubro de 2003

1. Novidades Gentoo

Medidas de performance do Gentoo Linux

Em 23 de Setembro de 2003, Jose Alberto Suarez Lopez fez uma apresentação na HispaLinux 2003 onde ele demonstrou a performance do tempo de carga da versão oficial do Gentoo Linux 1.4. O Gentoo Linux 1.4 com um Pentium III, com e sem prelink, foi comparado com uma instalação padrão do Mandrake 9.1 em um Pentium III. Os resultados - o Gentoo Linux 1.4 com prelink foi melhor que o Mandrake 9.1, e até mesmo sem prelinking o Mozilla carregou quase duas vezes mais rápido no Gentoo, e o NetBeans carregou mais do que duas vezes mais rápido.

As conclusões que podemos tirar desse teste é que as otimizações padrão do Gentoo Linux para Pentium III fazem uma diferença significativa na performance das aplicações do "mundo real". Também, prelinking parece melhorar muito a performance das aplicações do KDE. O Gentoo Linux geralmente tem uma performance geral melhor do que as outras distribuições Linux porque tentamos oferecer as últimas e melhores tecnologias de software livre para os nossos usuários, como os últimos compiladores, e porque fornecemos pacotes binários pré-compilados que são otimizados para CPUs específicos (e também uma maneira fácil de fazer um "build from scratch." Para maiores informações, leia o resto da apresentação. Para pegar a sua versão apropriada do Gentoo, visite a Loja Gentoo.

2. Gentoo Security

Summary

GLSA: teapop
GLSA: mpg123
GLSA: net-ftp/proftpd
GLSA: media-video/mplayer
GLSA: openssl

GLSA: teapop

Description:

teapop suffers from a sql injection in the postgresql and mysql authentication module.

Severity: High - sql injection, remote exploit.
Packages Affected: <teapop-0.3.7
Rectification: emerge sync; emerge teapop; emerge clean
GLSA Announcement

GLSA: mpg123

Description:

mpg123 contains a heap based buffer overflow that would allow an remote attacker to execute arbitrary code on the victims machine.

Severity: High - buffer overflow.
Packages Affected: <0.59r-r3
Rectification: emerge sync; emerge mpg123; emerge clean
GLSA Announcement

GLSA: net-ftp/proftpd

Summary:

ISS X-Force discovered a vulnerability that could be triggered when a specially crafted file is uploaded to a proftpd server.

Severity: High - ASCII File Remote Compromise Vulnerability.
Packages Affected: <net-ftp/proftpd-1.2.9_rc2
Rectification: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
GLSA Announcement

GLSA: media-video/mplayer

Summary:

A remotely exploitable buffer overflow vulnerability was found in MPlayer. A malicious host can craft a harmful ASX header, and trick MPlayer into executing arbitrary code upon parsing that header.

Severity: High - Buffer Overflow Vulnerability
Packages Affected: <mplayer-0.91 =mplayer-1.0_pre1
Rectification: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
GLSA Announcement

GLSA: openssl

Quote from OpenSSL advisory:

"1. Certain ASN.1 encodings that are rejected as invalid by the parser can trigger a bug in the deallocation of the corresponding data structure, corrupting the stack. This can be used as a denial of service attack. It is currently unknown whether this can be exploited to run malicious code. This issue does not affect OpenSSL 0.9.6.

2. Unusual ASN.1 tag values can cause an out of bounds read under certain circumstances, resulting in a denial of service vulnerability.

3. A malformed public key in a certificate will crash the verify code if it is set to ignore public key decoding errors. Public key decode errors are not normally ignored, except for debugging purposes, so this is unlikely to affect production code. Exploitation of an affected application would result in a denial of service vulnerability.

4. Due to an error in the SSL/TLS protocol handling, a server will parse a client certificate when one is not specifically requested. This by itself is not strictly speaking a vulnerability but it does mean that *all* SSL/TLS servers that use OpenSSL can be attacked using vulnerabilities 1, 2 and 3 even if they don't enable client authentication."

Severity: Medium - remote exploit
Packages Affected: <0.9.6k
Rectification: emerge sync; emerge openssl; emerge clean
GLSA Announcement

New Security Bug Reports

The following new security bugs were posted in the past week:

Apache 2.0.47 & mod_cgi: denial of service

3. Desenvolvedor da Semana

Thomas Raschbacher

Figure 3.1: Thomas Raschbacher

Nessa semana, temos Thomas Raschbacher (LordVan), a cabeça do time de impressão do Gentoo e um contribuidor freqüente de consertos e ebuilds para python e DVB. Ele também ajuda o time de tradução alemão, sendo responsável pela tradução do nosso amado Jornal Semanal Gentoo. Ele basicamente desenvolve novos ebuilds e patches para ebuilds antigos. Além do seu trabalho no Gentoo, Thomas traduziu no projeto Gnome e fez patches para o Twisted, além de trabalhos em projetos menores. Ele tem orgulho do trabalho que completou usando o Twisted para desenvolvimento web, e planeja torná-lo livre.

Thomas é relativamente "velho" no Linux, usou pela primeira vez o Slackware em 1996. Ele trocou para o Gentoo quase imediatamente após ouvir sobre o projeto em Agosto de 2002. Thomas se tornou um desenvolvedor para o Gentoo em Dezembro daquele ano, após (como ele diz) "ter sido muito chato com os meus ebuilds e fixes enviados" para o Seemant Kulleen. Thomas descreve o Gentoo como "uma ótima distro que eu gostaria de ajudar mais".

Thomas mora em Judenau-Baumgarten, sul da Áustria. Ele completou os estudos em Técnico de Informática na Higher Technical School assim como o seu Matura (equivalente a A-Levels ou Matriculation). Ele é auto-empregado em consultoria de venda de computadores, incluindo web design e suporte a Linux. Ele é um ávido lutador de artes marciais, atualmente estudando Ninjutsu (e também estudando Japonês). Ele também gosta de coisas geeks tradicionais de Star Trek, Anime e Manga. Nesse assunto, a citação favorita dele é do clássico anime End of Evangelion (uma conversa entre os caracteres Shinji e Rei): "Então... onde é o meu sonho? Ele é a continuação da realidade. Onde é... minha realidade? É o final do seu sonho.". Finalmente, Thomas é um ativo participador e realizador de LAN parties.

Thomas realiza a maioria do seu trabalho num servidor Celeron, um workstation de desenvolvimento e um servidor web de produçao. Além disso, ele tem um laptop, um handheld Zaurus, e várias estações de teste e servidores. Suas principais ferramentas de desenvolvimento incluem python, sed e grep. Ele se comunica usando mutt, MozillaFirebird, Xchat-2 e MozillaThunderbird. Ele também usa gnotime, um time tracker. Como muitos de nós, sua primeira tarefa ao acordar é verificar o seu e-mail.

4. Heard in the Community

Latter Days PHP

Back in the days of just a few thousand Forum users it used to be excessive trigger-happiness whenever triplets or even more counts of the same post appeared in the Forums. But these days the reason for repetetive postings (vulgo: postorrhea) were sluggish to non-forthcoming responses from the database whenever someone hit the submit button under heavy traffic conditions, and yes, multiple posts can indeed occur even if the submit button is hit only once. While the moderators of the German forum, to alleviate the burden a little, have actually started asking people to point out useless, duplicate, very old and unresponded threads that may be deleted without anyone missing them, the hardly bearable performance issues have led site admin klieber to kick off an open discussion about possible alternatives to the current forum software, phpBB, soliciting opinions about commercial packages as a potential replacement:

Portage on the Web

With stable.gentoo.org being shelved for the time being, and the package database on the main Gentoo website somewhat tightlipped when it comes to comments and status overviews for packages, thrasher6670 had the idea to set up a semi-automated, yet interactive site keeping track of the content of the Portage tree and offering possibilities to add user impressions for each package. From what he says himself in the thread he started (repeated on site), thrasher6670 could use some help with the web design...

Non-English GWN Via Mail

Yes, it's possible, even without mailing lists for each individual language. Thanks to Ginko for his nice little Perl script that automatically downloads, converts and mails fresh GWN copies whenever they appear at the Gentoo website:

GWN automagically sent to your Mailbox

gentoo-user

Benchmarking/Tweaking your Videocard

Want to get that last FPS out of your ATI/Nvidia video adapter? Might want to check out this interesting thread on testing and configuring AGPGART .

Lightweight FileManagers for Gentoo

Many users were attracted to Gentoo because it offered a lightweight, "only what you want" type solution for their needs. Likewise some users enjoy the same kind of desktop. Take a look at this thread for a few suggestions of some.

gentoo-dev

The Great Gentoo Bug Hunt!

Don't bother with looking for easter eggs at easter, start looking for some gentoo bugs and win some free hardware! Interested in becoming a master sleuth for gentoo? Have a look here for the guidelines, and start sqashing!

5. Gentoo Internacional

Alemanha: Lembrando os eventos desta semana.

Esta para começar a semana mais ocupada com Gentoo do ano na Alemanha, aqui vai um lembrete para todos da área:

8 Outubro: Ruhrgebiet Gentoo User Meeting em Oberhausen(precise location description at the link)

9 Outubro: Köln/Bonn Gentoo User Meeting em Bonn

11 October: Practical Linux Day em Gießen(com um estande Gentoo e apresentações)

6. Portage Watch

Portage Watch está de férias esta semana também.

7. Bugzilla

Resumo

Estatisticas
Ranking dos Bugs Fechados
Ranking dos Novos Bugs

Estatisticas

A comunidade Gentoo usa o Bugzilla (bugs.gentoo.org) para gravar e rastrear bugs, notificações e sugestões e outras interações com a equipe de desenvolvimento. Entre 26 de setembro e 02 de outrubro de 2003 a atividade do site resultou em:

496 novos bugs
464 bugs fechados ou resolvidos
13 previamente fechados foram reabertos

Dos 4140 bugs abertos, 92 são blocker, 196 são critical e 335 são major.

Ranking dos Bugs Fechados

Os desenvolvedores ou equipes que mais fecharam bugs neste período foram:

George Shapovalov, com 37 bugs fechados
Gentoo Linux Gnome Desktop Team, com 26 bugs fechados
PHP Bugs Team, com 22 bugs fechados
Gentoo Games, com 20 bugs fechados
Gentoo Sound Team, com 14 bugs fechados

Ranking dos Novos Bugs

Os desenvolvedores ou equipes que mais assinalaram novos bugs durante este período foram:

Portage team, com 25 novos bugs
Martin Schlemmer, com 13 novos bugs
Gentoo Linux Gnome Desktop Team, com 11 novos bugs
x86 Kernel Team, com 10 novos bugs
Gentoo Sound Team, com 9 novos bugs

8. Dicas e Truques

Uma introdução ao sudo

A dica desta semana demonstra como o usuário comum pode executar comandos com privilégios mais elevados com o comando sudo. Esta semana vamos usar o sudo para fazer tarefas de administração.

Code Listing 8.1: Obtendo o sudo

% emerge app-admin/sudo

A primeira coisa para ser feito e ajustar o arquivo /etc/sudoers que controla todos os privilégios manuseados pelo sudo. Ao invés de editar este comando diretamente use o comando visudo. Para uma lista completa de opções, veja a man page do sudoers (man 5 sudoers).

Este arquivo é apenas um exemplo e demonstra como criar comando e alias de usuário.

Code Listing 8.2: /etc/sudoers

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# User alias specification
User_Alias      HELPDESK  = jfox, helpdesk
User_Alias      SYSADMINS = david, jc

# Cmnd alias specification
# Create aliases for all commands used in viewing files
Cmnd_Alias      VIEW = /bin/cat, /bin/grep, /bin/more, /usr/bin/head, \
                       /usr/bin/tail, /usr/bin/less 

# commands for user administration
Cmnd_Alias  USERADMIN = /usr/sbin/useradd, /usr/sbin/userdel, \
                        /usr/sbin/usermod

# User privilege specification
# Allow SYSADMINS to run any command as any user
SYSADMINS   ALL = ALL

# Allow  users in HELPDESK to use the user administration commands and
# to use the VIEW commands without a password
HELPDESK    ALL = USERADMIN, NOPASSWD:VIEW

# Allow users in the %users group to use the VIEW commands
%users      ALL = VIEW

Agora que o seu arquivo /etc/sudoers foi criado,você pode usar comandos com sudo comando.

Code Listing 8.3: Examplos

(Vendo /var/log/critical/current como usuário comum)
helpdesk@mybox% sudo tail /var/log/critical/current

(Adicionando um novo usuário como usuário jfox)
jfox@mybox% sudo useradd marcus
Password: password for jfox

Apesar de não ser tão amplo, isto deve intruduzi-lo a algumas possibilidades do sudo. Para mais exemplos e opções veja as man pages ou o site em http://www.courtesan.com/sudo/.

9. Saídas, Acréscimos e Alterações

Saídas

Nenhum desenvolvedor saiu recentemente da equipe Gentoo.

Acréscimos

Os seguintes desenvolvedores juntaram-se à equipe Gentoo:

Brad House (brad_mssw) -- amd64
Joel Hillster (hillster) -- miscellanious ebuilds
Rob Cakebread (pythonhead) -- python

Alterações

Nenhum desenvolvedor trocou recentemente de papel na equipe do projeto Gentoo Linux.

10. Contribua com o JSG

Interessado em contribuir com o Jornal Semanal Gentoo? Nos envie um email.

11. Retorno ao JSG

Por favor envie um email (em inglês) para feedback com sua opinião e ajude a fazer este JORNAL melhor.

12. Informações sobre Inscrição

Para assinar o Jornal Semanal Gentoo, versão em inglês somente, envie um email em branco para Gentoo-gwn-subscribe@Gentoo.org.

Para cancelar a assinatura do Jornal Semanal Gentoo, envie um email em branco para Gentoo-gwn-unsubscribe@Gentoo.org a partir do endereço de email em que está inscrito.

13. Outras línguas

O Jornal Semanal Gentoo também está disponível nas seguintes línguas: