Gentoo Weekly Newsletter: 10. Februar 2003

1.  Gentoo Neuigkeiten

Zusammenfassung

• Gentoo Linux beim FOSDEM
• Neuer Release Manager für 1.4
• Icons für Gentoo Linux

Gentoo Linux beim FOSDEM

Gentoo Linux war am vergangenen Wochenende beim FOSDEM (Free and Open source Software Developers European Meeting), einem Treffen von Entwicklern von Open Source Software, vertreten. Die Veranstaltung welche heuer in Brüssel, Belgien stattfand, konnte Entwickler von vielen der großen Open Source Projekte anlocken, unter anderem kamen Vertreter von KDE, GNOME, PostgreSQL, iptables und anderen. Auch Daniel Robbins war anwesend um Gentoo Linux zu präsentieren.

Neuer Release Manager für 1.4

Brad Cowan (bcowan) wurde unlängst zum Gentoo Release Coordinator ernannt und mit der Aufgabe betraut Gentoo Linux 1.4 sowie zukünftige Versionen releasefertig zu machen. Bis jetzt war Brad damit beschäftigt die Paketliste für die 1.4 Referenzplattform fertigzustellen, sowie die verschiedenen Development Manager zu koordinieren um festzustellen was noch fertiggestellt werden muß bevor 1.4 offiziell released werden kann.

Icons für Gentoo Linux

Nachdem letzte Woche in der Sektion Gehört in der Community darüber berichtet wurde, ist das Gentoo Iconset weiter angewachsen und wurde soweit verbessert daß das komplette Set jetzt auf der Hauptseite von Gentoo.orgverlinkt wurde. Mit zur Zeit über 160 Icons, zu denen wöchentlich neue hinzukommen, bietet dieses Iconset Benutzern weitreichende Möglichkeiten ihr Gentoo Linux System ihren eigenen Wünschen anzupassen.

2.  Gentoo Security

Zusammenfassung

• GLSA: bladeenc
• GLSA: qt-dcgui
• GLSA: slocate
• GLSA: Mail-SpamAssassin
• Neue Sicherheitslöcher

GLSA: bladeenc

Der bladeenc MPR encoder beinhaltet einen Adressabstand einer signed integer Variable, die von einer speziell veränderten wave Datei benutzt werden kann, um arbiträren Code auszuführen. Ein möglicher Angriff wurde bereits demonstriert.

• Klassifikation: mittel - Ausführen von fremden Code mögl., allerdings nur mit Beteiligung des Benutzers
• Betroffene(s) Paket(e): media-sound/bladeenc vor Version bladeenc-0.94.2-r1
• Lösung: Synchronisation und "emerge -u bladeenc", "emerge clean"
• GLSA Ankündigung
• weitere Infos

GLSA: qt-dcgui

Der qt-dcgui DirectConnect Client hat eine bedeutende Schwachstelle in der Verarbeitung der Verzeichnisnamen. Ein entfernter Angreifer kann durch diesen Fehler Dateien herunterladen, die nicht ausdrücklich freigegeben wurden.

• Klassifikation: hoch - Dateien könnten ausgelesen werden
• Betroffene(s) Paket(e): net-p2p/qt-dcgui vor Version qt-dcgui-0.2.4
• Lösung: Synchronisation und "emerge -u qt-dcgui", "emerge clean"
• GLSA Ankündigung
• weitere Infos

GLSA: slocate

Das slocate Werkzeug beinhaltet eine Verwundbarkeit durch einen Pufferüberlauf. Damit ist es möglich, dass sich ein Benutzer höhere Zugriffsrechte auf dem System aneignet. Ein möglicher Angriff wurde bereits demonstriert.

• Klassifikation: hoch - Übernahme höherer Zugriffsrechte
• Betroffene(s) Paket(e): sys-apps/slocate vor Version slocate-2.7
• Lösung: Synchronisation und "emerge -u slocate", "emerge clean"
• GLSA Ankündigung
• weitere Infos

GLSA: Mail-SpamAssassin

Die bekannte Applikation SpamAssassin kann Ziel eines Angriffs werden, da mittels Escape-Sequenzen bei '.' Zeichen der Stackzeiger verändert werden könnte. So ist es mittels einer speziell formatierten Email möglich, arbiträren Code auf dem betroffenen System auszuführen.

• Klassifikation: kritisch - Ausführen von fremden Code mögl.
• Betroffene(s) Paket(e): dev-perl/Mail-SpamAssassin vor Version Mail-SpamAssassin-2.44
• Lösung: Synchronisation und "emerge -u Mail-SpamAssassin", "emerge clean"
• GLSA Ankündigung
• weitere Infos

Neue Sicherheitslöcher

Folgende Sicherheitslöcher wurden diese Woche in der Bugzilla Datenbank registriert:

• net-mail/mailman

3.  Entwickler der Woche

Brandon Low

Abbildung 3.1: Brandon Low

Diese Woche wollen wir Brandon Low vorstellen, den Entwickler des gentoo-sources Kernel und dem Kernel eclass System, welches dazu benutzt wird, ebuilds für Kernelquellen zu erstellen. Wie die meisten wohl wissen entstehen die gentoo-sources durch Einspielen diverser Patches auf die vanilla-Quellen (der Kernelquellcode von http://www.kernel.org); Brandons Job dabei ist es, die verschiedenen Fehlerkorrekturen, Leistungssteigerungen und Hardware-Unterstützungen einzuspielen, die von Michael J. Cohen - Gentoos eigenen Kernel-Oberst - empfohlen werden. Diese werden von Benutzern gewünscht, oder von ihm selbst gefunden. Eine weitere Aufgabe besteht darin, die einzelnen Patches dahingehend anzupassen, dass sie untereinander und mit dem Kernel selbst harmonieren. Bevor die Veränderungen in die gentoo-sources Einzug halten, werden diese oft noch in den lolo-sources getestet, welche zuerst nur mit manchen Patches verändert werden und dann nach und nach zu den gentoo-sources werden. Die Kernel von Brandon beinhalten immer eine Dokumentation in der Datei patches.txt.gz, die im Doku-Ordner der Kernelquellen zu finden ist; da die Informationen aber nicht immer vollständig sind empfiehlt Brandon, das Einspielen der Patches beim merge-Prozess zu beobachten. Die aktuellen lolo-sources basieren auf dem Con Kolivas Patchset und neben den Gentoo spezifischen Dingen auch iptables-basierte und Optimierungs-Patches. Genauso wie Nicholas Jones, der begonnen hat Gentoo zu benutzen und mit seinen Vorschlägen zu unterstützen, hat Brandon begonnen für Gentoo zu entwickeln, als er im IRC war, ebuilds auf Bugzilla gemacht hat und bei der Behebung von diversen Programmfehler mitgeholfen hat. Da Brandon immer einen kühlen Kopf bewahrt und gut abschätzen kann, welche Patches zu viele Schwierigkeiten machen würden, hat er das letzte Wort bei den gentoo-sources. Als eifriger Ebuilder erstellt er aber auch weiterhin noch ebuilds für Applikationen die er benötigt und/oder noch nicht im Portage Baum zu finden sind.

Neben seinem Studium am "Illinois Institute of Technology" arbeitet Brandon auch als Technologie-Spezialist bei CopyTec - so gesehen ist es natürlich auch kein Wunder, das es schwierig ist, die verbleibende Zeit noch zwischen Gentoo und seiner Freundin aufzuteilen. Brandon hat zwei Rechner, lost and found: "lost" ist ein Athlon XP Arbeitsrechner, während "found" (Athlon T-Bird) als WWW/mail/DNS-Server fungiert. Hier ist eine lange Litanei der Programme, die er gern auf seinem Arbeitsrechner laufen lässt: Gaim, Enlightenment, Eterm, Xchat, XMMS, giFT, Midnight Commander, Mozilla, gkrellm2, lm_sensors, mutt, screen, pork, and bash. Im wirklichen Leben verbringt Brandon gerne seine Zeit mit Schwimmen, GameCube spielen und Rollerbladefahren.

4.  Gehört in der Community

Webforen

Was kann der Framebuffer?

Nennen wir es mal die "Framebuffer-Bewusstseinswoche". Es gab außergewöhnlich viel Interesse an den Möglichkeiten (und Beschränkungen) von Framebufferkonsolen, sei es unter X oder in ihrer "normalen" Form, sowie an den Möglichkeiten bei der Verwendung von TV-out. Auch andere sehr nützliche Informationen sind in ungewöhnlicher Häufigkeit aufgetaucht.

• What exactally can i do with the framebuffer
• Framebuffer resolution
• Framebuffer console on the Intel 810
• How to get xdirectfb working

Ideen zur Geldbeschaffung

Die Foren sind berüchtigt für Poster die über ihre Probleme bei der Installation oder merkwürdiges Verhalten von Programmen wettern, aber die allgemeine Stimmung war immer sehr positiv gegenüber Gentoo Linux, seinem Konzept und seiner zukünftigen Entwicklung. Unter diesem Aspekt ist es nicht überraschend daß sich in regelmässigen Abständen Initiativen formieren, die versuchen die idealistischen Bemühungen mit etwas Handfesterem zu unterstützen indem sie versuchen Geld für das gesamte Projekt zu beschaffen. So kamen Geldangebote für Emailadressen die der Begeisterung für Gentoo Ausdruck verleihen, Clubmitgliedschaften (wie bei Mandrake Linux) wurden diskutiert und sogar Bezahlung für die Erstellung von gewünschten Ebuilds innerhalb von 24 Stunden wurde angedacht. Kurz gesagt: alles was dabei helfen kann Gentoo auf die nächste evolutionäre Stufe zu heben:

• funds via Gentoo email?
• yourname@gentoouser.net ?
• Gentoo Club
• A Gentoo Members Club?

Über phpBB

Einige Thread beschäftigten sich mit den Mängeln der Forensoftware, phpBB. Seine Struktur verhindert es manchmal so mächtig zu sein wie von den Benutzern gewünscht wird, aber Verbesserungen werden beständig gemacht. So wurde die Suchfunktion verbessert sodaß die Suche nach allen Suchbegriffen jetzt die Defaulteinstellung sowohl für die Suchseite als auch für die Schnellsuche mittels Eingabebox ist. Manchmal lösen sich Probleme nach einem Update von phpBB auch einfach von selbst: so ist es seit letzter Woche auf wundersame Weise plötzlich möglich in Japanisch zu posten.

• Gentoo forum search sucks
• Japanese Gentoo user

Was sind überhaupt diese ._cfg* Dateien?

Eines der meist übersehenen Features von Portage, der Befehl etc-update, wird genauso regelmässig in den Foren behandelt. Es ist weitgehend bekannt daß wichtige Konfigurationsdateien davor geschützt werden während einer Installation automatisch überschrieben zu werden, doch bevor man sich damit quält all die Dateien die mit ._cfg beginnen und in /etc und anderen Orten auftauchen manuell zu editieren, sollte man einen Blick auf folgende Threads der vergangenen Woche werfen:

• Graphical etc-update
• "29 config files in /etc need updating" & etc-

gentoo-user

Installation von ebuildloser Software

Unserem Glauben zum Trotz gibt es immer noch Software die auf Nicht-Gentoosystemen geschrieben wird, und nicht als Ebuild verfügbar ist. Robert Shar fragte ob es eine Standardmethode gibt um Programme zu installieren für die es keinen Ebuild gibt. Nachdem einige Antworten eintrudelten, wurde klar daß es kein "Patentrezept" dafür gibt, dafür allerdings einige intelligenten Wege wie man vorgehen kann. Collins Richey schlug vor das Configurescript zu verändern um die Software unter /opt zu installieren, während Pat Double der Meinung war daß es genau so einfach sei einen Ebuild zu erstellen. Cal Evens schlug sogar vor ein Programm zu schreiben welches RPM-Dateien (das zur Zeit meistverbreitete Paketformat) in Ebuilds konvertiert.

OOOOoooOOooPPssss

Ein sehr beliebter Thread entspann sich auf gentoo-user in dem die klassischen Geschichten von Adminstratoren ausgetauscht werden. Von wochenlange Arbeit gelöscht bis fast gefeuert worden, alle diese Geschichten bringen nostalgische Erinnerungen mit sich und schüren den Wunsch die Zeit zurückstellen zu können... und sei es nur für diesen einen Befehl. Ein ähnlicher Thread findet sich auch in den Foren. Zeit heilt alle Wunden, posten auch.

Platte voll?!? Schnelle Lösungen.

Zur Verwunderung von Jorge Almeida meldete sein frisch installiertes Gentoosystem nach einem Upgrade auf KDE 3.1 daß die Platte voll sei. Entwickler Nick Jones empfahl alle Dateien in /var/tmp/portage, /usr/portage/distfiles sowie /usr/portage/packages zu löschen, wies aber auch darauf hin daß distfiles und packages Dateien enthalten könnten die man behalten möchte, da Portage sie eventuell wieder downloaden muß falls sie gelöscht wurden. Auch wurde angemerkt daß durch Aufräumarbeiten in /var/log schnell wieder Speicherplatz gewonnen werden kann, vor allem wenn kein Logrotator installiert wurde. Volker Hemman berichtete daß seine /var/log/.xsession-errors einmal auf 3.7 GB angewachsen ist!

Gentoo XML-Datenbank. Yannick Koehler begann einen sehr interessanten Thread mit "Ich habe zum Spaß ein kleines und noch ungetestes Tool geschrieben welches die Cachefiles von Gentoo liest, und eine valide XML-Datei über die Standardausgabe anzeigt. [...] Interessant dabei ist, daß diese Datenbank durch die vorhandenen Cachedateien ziemlich einfach auf einem Gentoosystem erstellt werden kann. Man könnte sehr einfach eine direkte Datenbank Ebuilds -> XML erstellen, anstatt den Cache zu verwenden." (Original: "For the fun of it, I created a little tool very custom and untested that will read the the cache files of gentoo and generate on the stdout a valid xml file. [...] What's interesting is that the database is generated from a gentoo system pretty easily because of the presence of the cache. One could easily think about creating a direct ebuilds -> xml db software instead of passing through the cache.") Vano D machte den Vorschlag einer Applikation mit der man "einen "Portageserver" realisieren könnte, der Ebuilds für Portage bereitstellt und die Cacheinformationen (was wurde mit welchen Useflags installiert) für jeden einzelnen Client der einen "Account" bei der Datenbank hat, aufzeichnet. (Original: "for making a "portage server" serving portage ebuilds and recording the cache information (as in what is installed with what USE flags) for every single client machine having an "account" on the db.")

Todo-/Projektliste für Gentoo Linux. Kashif Shaikh fragte: "Seit einigen Monaten benutze ich nun Gentoo, habe einige Ebuilds erstellt, liebe die Einfachheit von Gentoo (z.b. das Konfigurationssystem), usw. ABER, ich würde mich gerne weiter bei Gentoo engagieren, weiß allerdings nicht wo ich beginnen soll und wo Verbesserungen nötig sind." (Original: "I've been using Gentoo now for a couple of months, wrote some ebuilds, loved gentoo's simplicity(configuration system), etc. BUT, I would like to get involved more with Gentoo though I don't know where to start or what to improve.") John Nilsson antwortete knapp mit "Deine Todo-Liste heisst bugs.gentoo.org =)" (Original: "Your todo list is called bugs.gentoo.org =)") und fuhr fort mit "Im Ernst, was Du tun könntest und was ich wirklich gerne sehen würde ist ein Gentoo-User-Wiki. Schwedische User sollten sich http://www.susning.nu ansehen, dann wissen sie wovon ich spreche. Gibt es dazu ein englischsprachiges Äquivalent?"

Forsetzung: Datenbank für Portage. Ingo Krabbe startete einen ziemlich populären Thread mit seiner Frage ob es Pläne gibt Portage mit einer Datenbank zu verbinden um so die Geschwindigkeit zu erhöhen. Einige Anwendungsbeispiele wurden eingeworfen, so zum Beispiel von John Nilsson: "Diese Datenbank könnte detailliertere Informationen zu jedem Paket beinhalten, HOWTOS, bugs, Diskussionen und all die anderen Informationen die man nicht braucht (meist nur ein gentoospezifischer Informationstext und ein Link zur Homepage, nehme ich an, aber man KÖNNTE mehr hinzufügen)". (Original: "This db would have more indepth information of every package, HOWTOS, bugs, discussions all that kind of information you would wan't (mostly just a gentoo specific info text and link to a homepage I suspect, but you COULD add more).")

5.  Gentoo International

Impromptu Gentoo Dev & Benutzertreffen am 12. Februar 2003 in Barcelona

BaSS, einer der spanischen Genoo Entwickler, verlässt für ein paar Tage seine Heimatstadt Sevilla; das ist natürlich die perfekte Gelegenheit um ihn und alle anderen, die am 12. Februar um 18:00 Uhr in der "Sagrada Familia" auftauchen werden, zu treffen. Falls du nicht weisst, wonach du Ausschau halten solltest: Er wird eine schwarze Tasche mit den Gnome und Quadec Logos darauf tragen...

Schnappschuss aus Japan: Gentoo im User Mode Linux auf RedHat 8.0

Masanori "Smiley" Omote ist nicht wirklich das, was man als hart gesottenen Gentoo Benutzer bezeichnen würde. Er verwendet RedHat seit Jahren, und er plant auch nicht, das so schnell zu ändern. Aber seine Freunde von der Tokyo Linux User Group haben ihn solange mit dem elegantesten aller Pinguine belästigt, dass etwas passieren musste. Wie sich herausstellte, war dies mindestens genauso elegant: Auf der Suche nach einer Möglichkeit, gcc 2.9x und 3.x auf dem selben Rechner laufen zu lassen, kam er soweit, Gentoo Linux auf einer virtuellen Machine im User Mode Linux (UML) auf seinem kleinen Sony Vaio C1 zu installieren, einem Subnotebook mit Transmeta CPU, 256 MB und - RedHat 8.0. Ob das nun der richtige Weg war, oder die nur richtige Art, eines auf das andere zu setzen ist eine eigene Frage, aber für jemanden mit RedHat Hintergrundwissen bietet seine perfekt dokumentierte Installation einen beruhigend gewohnten Anblick...

• Gentoo 1.4_rc2 in RedHat 8.0 using UML

6.  Portage Watch

Die folgenden 'stable' Pakete wurden diese Woche zu Portage hinzugefügt

Updates von wichtigen Paketen

• sys-apps/portage - portage-2.0.46-r12.ebuild;
• sys-devel/gcc - gcc-3.2.2.ebuild;
• x11-base/xfree - xfree-4.2.99.4.ebuild;
• gnome-base/gnome - gnome-2.2.ebuild; gnome-2.2_rc2-r99.ebuild; gnome-2.2_rc2.ebuild;
• sys-kernel/* - aa-sources-2.4.21_pre4-r1.ebuild; ac-sources-2.4.21_pre3-r5.ebuild; ac-sources-2.4.21_pre4-r1.ebuild; ac-sources-2.4.21_pre4-r2.ebuild; development-sources-2.5.59-r7.ebuild; development-sources-2.5.59-r8.ebuild; linux-headers-2.4.20.ebuild; ppc-sources-benh-2.4.20-r5.ebuild; ppc-sources-crypto-2.4.20.ebuild; sparc-sources-2.4.20-r3.ebuild; usermode-sources-2.4.19-r48.ebuild; xfs-sources-2.4.20_pre6.ebuild;

Neu USE Variablen

• Diese Woche wurden keine neuen USE Variablen hinzugefügt.

7.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, meldungen, Vorschläge und andere Kommunikationen mit them Entwicklerteam zu protokollieren. Die Aktivitäten der letzten 7 Tage:

• 251 neue Bugs diese Woche
• 1601 als 'neu' markierte Bugs insgesamt
• 577 Bugs welche Entwicklern zugewiesen sind (und 'angenommen' wurden)
• 52 Bugs wurden wieder geöffnet

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Nicholas Jones, mit 27 geschlossenen Bugs
• Nick Hadaway, mit 26 geschlossenen Bugs
• The KDE Team, mit 24 geschlossenen Bugs
• Matthew Turk, mit 19 geschlossenen Bugs
• Martin Schlemmer, mit 17 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Martin Schlemmer, mit 24 neuen Bugs
• The KDE Team, mit 16 neuen Bugs
• Nick Hadaway, mit 16 neuen Bugs
• Ryan Phillips, mit 16 neuen Bugs

8.  Tips und Tricks

Herausfinden, welche USE-Variablen ein Paket während eines emerge beeinflussen

Eines der am meisten gewünschten Features von Portage ist es, einfach und schnell herauszufinden, welchen Effekt USE-Variablen während eines emerge haben. Das Portage-Release 2.0.46-r12 bringt dieses Feature.

Um den Effekt der USE-Variablen zu sehen, benutze die Option -v:

#emerge -vp exim

These are the packages that I would merge, in order:

Calculating dependencies ...done!
[ebuild    U ] net-mail/exim-4.12 [4.10] -tcpd +ssl -postgres +mysql +ldap +pam

9.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Ric Messier (kilroy)
• Maarten Thibaut (murphy)

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

• Zach Welch (zwelch) -- ???

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Brad Cowan (bcowan) -- Gentoo Linux Release Koordinator
• Jack Morgan (jmorgan) -- Gentoo Veranstaltungskoordinator

10.  Zum GWN beitragen

Bist Du daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicke uns eine eMail

11.  GWN Feedback

Bitte schicke uns Dein Feedback und hilf' damit, den GWN besser zu machen.

12.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar :

• Holländisch
• Englisch
• Deutsch
• Französisch
• Japanisch
• Italienisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Spanisch