Jornal Semanal do Gentoo: 10 de janeiro de 2005

1.  Notícias do Gentoo

Diminuindo o abuso do Fórum: confirmação visual de registro adicionada

Na última semana de dezembro de 2004, um indivídou malicioso registrou cerca de 8500 contas de usuário a partir de mais de 160 máquinas, em menos de uma hora. Enquanto os administradores do Forum estavam trabalhando em uma solução para bloquear esses registros, os usuários começaram a notificar registros de contas do fórum em massa. Algumas horas depois 15696 contas de usuários foram deletadas, levando junto algumas contas inativas já existentes.

Para impedir que essas tentativas de registro em massa aconteçam de novo, uma confirmação visual de registro foi adicionada ao processo de registro de contas nos fóruns. Esta funcionalidade foi originalmente implementada nas versões de desenvolvimento 2.2 do phpBB, com as mudanças sendo portadas para a versão 2.0.11 do phpBB. As mesmas mudanças foram agora aplicadas na versão personalizada do phpBB que é utilizada nos fóruns, forums.gentoo.org.

kernel 2.6.10 marcado estável

Quando você estiver lendo esta mensagem, a versão 2.6.10 do gentoo-dev-sources estará marcada como estável, ou nos estágios final de teste, nas arquiteturas de sistema suportadas. A versão 2.6.10 do Linux, lançada na véspera de natal, está mostrando ser a melhor versão do kernel em um bom período de tempo, consertando quase todos os problemas que sabemos existir nas versões 2.6.9 e anteriores. Relativamente poucos problemas novos foram notificados, e os mais graves já foram consertados. Recomenda-se que usuários da linha 2.6 atualizem o mais breve possível, uma vez que o lançamento também resolve algumas vulnerabilidades de segurança recentemente descobertas.

2.  Para o futuro

Metas de projeto para 2005

Um meta-tópico na lista de correspondência do gentoo-dev controla as metas estabelecidas para alguns projetos do Gentoo. Aqui está um resumo dos itens agendados para lançamento em breve:

Engenharia de Lançamentos

• Agenda de lançamentos bianual: O primeiro lançamento (2005.0) será em janeiro, e o segundo (2005.1) será em julho ou agosto. Cada lançamento irá incluir cds de instalação, estágios (stages) e GRP.
• LiveCDs: Está sendo planejado substituir o LiveCD universal atual com um XLiveCD parecido com o Knoppix. As mídias serão renomeadas igualmente; o LiveCD mínimo ainda existirá, mas será chamado de CD de instalação mínimo (minimal installCD).
• Plataforma de referência do Gentoo (GRP): Trabalhando em esforço conjunto com o projeto de instalação, a Engenharia de Lançamentos está trabalhando na redefinição do GRP. O plano atual, que está sujeito a mudanças, irá usar funcionalidade semelhante ao quickpkg, empacotando os pacotes instalados no XLiveCD e copiando eles no sistema de instalação.

Kernel

• Migrar todas ebuilds existentes para eclasses do kernel-2 e linux-*
• Usar a linha 2.6 como padrão para cabeçalhos (headers) e fontes (sources).
• Consolidar os pacotes de fonte apropriados, como dev-sources -> vanilla-sources
• Melhorar nosso modelo de eclass para kernéis diferentes (BSD, Darwin)

Gentoo/BSD

• Ter um estágio (stage) ou um conjunto de estágios para instalar o Gentoo/FBSD
• Ter um baselayout que funcione.
• Ter um CD de instalação (no momento o FreeSBIE pode ser usado)
• Ter um número razoável de ebuilds disponíveis
• Aplicar alguns de nossos patches específicos para *BSD no portage
• Terminar nosso profile, estabilizar nosso conjunto de tarballs

3.  Segurança do Gentoo

LinPopUp: Buffer overflow na resposta de mensagem

O LinPopUp contém um potencial buffer overflow que permite a execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

a2ps: Vulnerabilidades múltiplas

Os scripts fixps e psmandup do pacote a2ps estão vulneráveis a ataques de symlink, potencialmente permitindo que um usuário local sobre-escreva arquivos arbitrários. Uma vulnerabilidade do a2ps ao lidar com nomes de arquivos também pode levar à execução de comandos arbitrários.

Para mais informações, por favor veja o Anúncio do GLSA

Mozilla, Firefox, Thunderbird: Várias vulnerabilidades

Várias vulnerabilidades foram encontradas e consertadas nos produtos baseados no Mozilla, partindo de um potencial buffer overflow à abertura de arquivos temporários e a problemas com anti-spoofing.

Para mais informações, por favor veja o Anúncio do GLSA

Servidor do Shoutcast: Execução de código remoto

O servidor do Shoutcast contém um possível buffer overflow que pode levar à execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

mit-krb5: Heap overflow no libkadm5srv

A biblioteca de administração do MIT Kerberos 5 (libkadm5srv) contém um heap overflow que pode levar à execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

tiff: Novos overflows na decodificação de imagens

Um integer overflow foi encontrado nas rotinas da biblioteca de decodificação de imagens TIFF e o programa tiffdump, potencialmente permitindo a execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

xine-lib: Múltiplos overflows

O xine-lib contém múltiplos overflows potencialmente permitindo a execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

phpGroupWare: Várias vulnerabilidades

Múltiplas vulnerabilidades foram descobertas no phpGroupWare que podem levar à abertura de informações ou comprometimento remoto.

Para mais informações, por favor veja o Anúncio do GLSA

xzgv: Múltiplos overflows

O xzgv contém múltiplos overflows que podem levar à execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

Vilistextum: Vulnerabilidade de Buffer overflow

O Vilistextum está vulnerável a um buffer overflow que permite que um indivíduo malicioso execute código arbitrário através do uso de uma página da webpage maliciosa.

Para mais informações, por favor veja o Anúncio do GLSA

4.  Ouvido na comunidade

Fóruns da Web

X que some provoca leve dissabor

A decisão dos desenvolvedores do Gentoo para gentilmente fazer com que as pessoas usem o xorg-x11 não é novidade, mas deletar o XFree86 do Portage no dia primeiro de janeiro parece ter sido uma surpresa de mal gosto para algumas pessoas. Um tópico dentre muitos, para representá-los:

• Recuso-me a usar o xorg....é horrível! (deixe para lá, erro do usuário)

Novo moderador global Earthwings

Earthwings já serviu no subforum alemão por vários meses antes de ser promovido para lidar com o resto do fórum agora:

• [anúncio dos fóruns] Novo moderador global

usuário do gentoo

Sendo feliz com o Hardware?

Muitos usuários de laptops lidam com o mesmo quebra-cabeça: ter um computador portátil resulta em configurações diferentes. A maior parte das vezes elas são relacionadas com rede, por exemplo a diferença entre uma LAN do escritório e uma rede doméstica. Ocasionalmente, porém, o mesmo acontece com hardware. Muitos laptops tem estações de docagem tem placas de rede adicionais, adaptadores gráficos, e até SCSI. Isto representa uma situação especial para usuários de Linux uma vez que na maior parte das vezes, as várias configurações são editadas manualmente nos vários arquivos na pasta /etc. Curioso em encontrar seu paraíso portátil? Leia mais!

• gentoo e "inferno de rc"?

Argumentos do Bash

O que poderia ser mais típico do Linux que um debate sobre a maneira correta de deletar arquivos de um diretório? Existem xargs, find, até mesmo... for loops? Um tópico com muitas informações de respostas opinativas é o que temos esta semana!

• Pedido ao Bash? 'Lista de argumentos muito longa'

"Monitorando" uso da CPU

Em um comentário humorístico, um membro da lista postou um link "útil" para um artigo da newsforge sobre um pacote de monitoramento de CPU chamado "Hot Babe". Providenciamos para os leitores da GWN aqui um link para o tópico, e deixaremos o resto para o leitor.

• Hot Babe e Debian (GENTOO :-)

gentoo-dev

RFC: Conselhos para diminuir tempos de compilação

Stuart Herbert pergunta como reduzir tempos de compilação. Leia o tópico para diferentes possiblidades oferecidas para os usuários do Gentoo.

• RFC: Conselhos para diminuir tempos de compilação

o xfree desapareceu

Com este breve aviso o Gentoo oficialmente cessa de suportar o xfree. Pede-se que os usuários migrem para o xorg.

• o xfree desapareceu

2005.0: estágios (stages) de 2.4 & 2.6

John Davis pede, em nome do subprojeto de Engenharia de Lançamentos do Gentoo, que versões de cabeçalhos (headers) e fontes (sources) devem ser oferecidas na versão 2005.0. Ele escreve: "Nossas opções para construção incluem (a) só estágios de 2.6, (b) só estágios de 2.4, ou (c) uma combinação de estágios de 2.4 e 2.6." De um ponto de vista de lançamentos somente um conjunto é preferível, mas muitos usuários ainda dependem de kernéis 2.4. Este tópico demasiado longo explora os vários pequenos problemas que podem surgir e mostra como é difícil deixar todas pessoas felizes.

• 2005.0: estágios (stages) de 2.4 & 2.6

gentoo-server

De uma lista de e-mails freqüentada na sua maioria por pessoas usando o Gentoo para fins não voltados ao desktop, gentoo-server@gentoo.org, aqui está um tópico valioso que se originou de uma pergunta simples feita pelo contribuidor inicial:

• Quem usa o Gentoo em produção?

5.  Gentoo Internacional

EUA: Palestras sobre Gentoo no MIT, 10 e 24 Janeiro

Rajiv Manglani, membro do Time de Segurança do Gentoo Linux e desenvolvedor de PPC, dará uma aula introdutória (10 de janeiro) e uma avançada (24 de janeiro) sobre Gentoo Linux no Massachusetts Institute of Technology, MIT, em Cambridge, MA. Ambas as palestras são patrocinadas pela Student Information Processing Board (SIPB) do MIT e ocorrerão hoje e segunda-feira (24 de janeiro), iniciando às 20:00, na Building 4 sala 237 (hoje) e sala 231 (24 de janeiro) respectivamente. A primeira palestra terá como foco uma visão geral e demonstrar um sistema Gentoo funcional, enquanto que a palestra 'Advanced Gentoo Linux' no dia 24 trará discussões mais detalhadas do Portage e criação de ebuilds, e ferramentas do sistema como qpkg e etcat. Mais detalhes podem ser encontrados em Independent Activities Period Gentoo lecture announcements do Rajiv. Por favor responda ao Student Information Board se você planeja ir.

Canadá: Projeto Gentoo LTSP no primário

O Grupo de Usuários Linux de Prairie (Prairie Linux User Group) (PLUG) está planejando implementar o Gentoo Linux na Holy Cross Elementary School em Winnipeg. O projeto usará hardware reaproveitado, anteriormente rodando vários sabores de Windows que estão sendo substituídos devido aos altos custos de licenciamento para atualizações, preocupações sobre segurança fraca, crescentes requisitos de hardware se o Windows fosse escolhido como caminho para as atualizações, e o fato da plataforma atual não mais satisfazer or requisitos educacionais da escola. A instalação inclui uma implementação do Linux Terminal Server Project (LTSP) em 30 estações de trabalho, com Gentoo Linux rodando openmosix para o sistema de servidor de terminais. Na quinta-feira (20 de janeiro) o PLUG encontrará-se na University of Winnipeg (iniciando às 19:00 na sala 2M70) para acertar alguns detalhes antes de realizar seus testes reais na escola no domingo (23 de janeiro) a partir das 10:00. Trinta alunos do ensino elementar foram convidados para fazer um 'teste de stress' no sistema que eles ganharão se tudo funcionar como programado: "Se o sistema satisfizer os requisitos com sucesso ele será permanentemente instalado," diz o membro do PLUG Mike Crawford, um aspirante a desenvolvedor do dev-perl e mantenedor de um dos mirrors oficiais do Gentoo (gentoo.eliteitminds.com). Mais detalhes podem ser vistos no anúncio do encontro do PLUG.

6.  Gentoo na imprensa

Linux Journal (5 de janeiro de 2005)

Andrew Cowie do Linux Journal publicou um artigo bastante favorável em "Gentoo for all the unusual reasons," fornecendo uma cobertura extensa do Portage como uma ferramenta para uso profissional: "Você pode pensar que o Gentoo é uma distribuição super atualizada para estações de desenvolvimento, mas o simples gerenciamento de pacotes pode torná-lo uma boa escolha para qualquer sistema de produção que precisa se manter atualizado," escreve o autor na sua introdução, antes de explicar em grande detalhe os passos para instalar e atualizar software no Gentoo, tudo belamente acompanhado por screenshots. O bem pesquisado artigo estava entre os mais lidos do LJ e entre os artigos mais comentados da semana passada - mesmo sem o GWN aumentar sua popularidade mais uma vez...

7.  Bugzilla

Sumário

• Estatísticas
• Ranking de bugs finalizados
• Ranking de bugs novos

Estatísticas

A comunidade Gentoo usa o Bugzilla (bugs.gentoo.org) para gravar e rastrear bugs, notificações, sugestões e outras interações com a equipe de desenvolvimento. Entre 02 Janeiro de 2005 e 09 de Janeiro de 2005, a atividade no site resultou em:

• 815 novos bugs durante este período
• 528 bugs fechados ou resolvidos durante este período
• 23 bugs previamente fechados foram reabertos neste período

Dos 7862 bugs atualmente abertos: 117 são rotulados 'blocker', 229 são rotulados 'critical', e 568 são rotulados 'major'.

Ranking de bugs fechados

Os desenvolvedores e equipes que fecharam o maior número de bugs neste período foram:

• Gentoo's Team for Core System packages, com 32 bugs fechados
• Java team, com 26 bugs fechados
• AMD64 Porting Team, com 26 bugs fechados
• media-video herd, com 25 bugs fechados
• Gentoo Games, com 21 bugs fechados
• Gentoo X-windows packagers, com 15 bugs fechados
• Gentoo Security, com 15 bugs fechados
• Tim Yamin, com 13 bugs fechados

Ranking de novos bugs

Os desenvolvedores e equipes aos quais foram atribuídos o trabalho de resolução do maior número de bugs novos foram:

• Gentoo Sound Team, com 30 novos bugs
• AMD64 Porting Team, com 21 novos bugs
• media-video herd, com 20 novos bugs
• optical media herd, com 19 novos bugs
• Gentoo X-windows packagers, com 17 novos bugs
• Gentoo Linux Gnome Desktop Team, com 14 novos bugs
• Gentoo's Team for Core System packages, com 11 novos bugs
• Gentoo VMWare Bug Squashers, com 10 novos bugs

8.  Saídas, adições e mudanças

Saídas

Os seguintes desenvolvedores recentemente deixaram a equipe Gentoo:

• Nenhum esta semana

Adições

Os seguintes desenvolvedores recentemente se uniram à equipe do Gentoo Linux:

• Benedikt Böhm (hollow) - Apache
• Saleem Abdulrasool (compnerd) - Java

Mudanças

Os seguintes desenvolvedores recentemente mudaram de tarefas dentro do projeto Gentoo Linux:

• Lance Albertson (Ramereth) - Novo desenvolvedor para o netmon et al. (além da sua função normal na equipe de infraestrutura)
• Danny Van Dyk (Kugelfang) e Mike Doty (KingTaco) - operacional AMD64 co-leads (assumindo por Travis Tilley)
• Jeremy Huddleston (eradicator) - Co-líder de recrutamento

9.  Dicas e truques

Denu - um gerador de menu compatível com o Portage para gerenciadores de janela

Você muda muito de Fluxbox para Gnome para KDE? Você gostaria de experimentar ainda mais gerenciadores de janela, se não fosse pela falta das entradas dos aplicativos nos menus para mudar junto com você? A dica desta semana traz uma solução bacana: Denu é uma ferramenta nova para auxiliar na geração de menus. Ela pode gerar menus com estruturas semelhantes para vários gerenciadores de janela possibilitando transições fáceis de um para outro. O Denu sincroniza com um banco de dados online para permitir que definições sejam atualizadas sem um update do software, e o melhor de tudo: o próprio Portage fornece os dados ao programa instalado!

# cd $PORTDIR_OVERLAY/x11-misc/denu Crie o overlay necessário (Denu não está no Portage ainda)
# wget http://dl.sourceforge.net/sourceforge/denu/denu-2.1.2-r1.ebuild
# emerge denu

Antes de prosseguirmos faça backups de qualquer configuração de menu que você não quer que seja sobrescrita. Agora rode denu como usuário normal, Denu não é para ser rodado como root.

Figure 9.1: Screenshot da criação de menus com Denu

O primeiro passo depois de instalar o Denu é rodar Update (para definições do programa) e Sysupdate (para uma lista de programas atualmente instalados). Nenhum desses comandos rodam na inicialização, então depois de instalar um novo programa via Portage, Sysupdate precisará ser executado novamente.

Para criar um menu existem duas abordagens: escolha manualmente as entradas da Installed Tree e adicione-as, ou você pode pressionar Autofill, e o Denu automaticamente gerará um menu baseado nas informações que ele possui. Reorganizar um menu recém criado é tão simples quanto arrastar e soltar, sistemas de menu respeitarão a ordem das entradas, exceto pelo Gnome e KDE que organizam as coisas alfabeticamente. Clique em generate, e então em uma das caixas correspondentes ao seu gerenciador de janelas ou ambiente desktop desejado. Alguns gerenciadores de janelas como o Fluxbox poderão usar o menu imediatamente, outros podem precisar ser configurados novamente ou reiniciados.

O Denu ainda está em desenvolvimento, mas o autor Shux escaneou metade da árvore do Portage procurando por itens que possam já ser necessários em um menu de uma GUI. Para a metade remanescente (ou coisas que possam ser necessárias no futuro) o Denu fornece uma ferramenta para incluir aplicativos que ainda não estejam na sua base de dados. Adicionando programas e suas categorias, descrições, etc... É tão fácil quanto mudá-las de lugar. Para perguntas e respostas de todos os tipos verifique o ativo tópico Denu 2.0 nos Fóruns.

10.  Contribua para o JSG (GWN)

Interessado em contribuir para o Jornal Semanal do Gentoo? Envie-nos um email.

11.  Feedback do JSGk

Por favor envie-nos seu feedback e ajude a melhorar o JSG (GWN).

12.  Informações sobre assinaturas

Para assinar o Jornal Semanal do Gentoo (Gentoo Weekly Newsletter), envie um email em branco para gentoo-gwn-subscribe@gentoo.org.

Para cancelar sua assinatura, envie um email em branco para gentoo-gwn-unsubscribe@gentoo.org do endereço sob o qual você está inscrito.

13.  Outras línguas

O Jornal Semanal do Gentoo também está disponível nas seguintes línguas:

• Dinamarquês
• Holandês
• Inglês
• Alemão
• Francês
• Japonês
• Italiano
• Polonês
• Português (Brazil)
• Português (Portugal)
• Russo
• Espanhol
• Turco