Gentoo Logo

Gentoo Weekly Newsletter: 1. April 2003

Inhalt:

1.  Gentoo News

Summary

Portage 2.1 adoptiert RPM-Format zur besseren LSB-Konformität

Wahrscheinlich wird es sich als kontroverse Entscheidung herausstellen -- Portage 2.1 wird das RPM-Format für alle Pakete verbindlich machen. Von der Benutzung von Ebuilds wird zugunsten des De-Facto-Standards RPM abgeraten. Der Hauptantrieb für diese Entscheidung war, die Konformität zur Linux Standard Base-Spezifikation sicherzustellen, die eine RPM-Unterstützung für das Paketmanagement fordert.

Die Entwickler haben hart daran gearbeitet, diese Migration so leicht wie möglich zu gestalten. Ein Ebuild2rpm-Skript befindet sich bereits im Test durch eine Pilotgruppe von Entwicklern. Bedauerlicherweise werden einige Features nach der Migration zum RPM-Format nicht mehr unterstützt werden, da sich die Formate vom grundsätzlichen Aufbau her zu stark unterscheiden. Die Benutzung der Variable "USE" ist ein solches Feature, die Sicherheit durch die Installation über eine "Sandbox" ein weiteres. Dennoch wird der Vorteil der vollen LSB-Konformität die kleineren Nachteile bei weitem aufwiegen.

Im weiteren wird das XFree86-Paket wegen der erforderlichen Library-Unterstützung (siehe required library support) ein Bestandteil der Basisinstallation von Gentoo Linux, anstatt wie bisher eine Option zu bleiben. Benutzer, die an weiterführenden Informationen über die "Linux Standard Base" interessiert sind, sollten die LSB FAQ oder die LSB 1.3-Spezifikationen lesen.

Gentoo/PPC-Team restrukturiert

Wie in der letzten Ausgabe bekanntgegeben, hat Mark Guertin (gerk) kürzlich das Gentoo Linux-Projekt verlassen. Mark als den Gentoo/PPC-Kopf ersetzen wird Pieter Van den Abeele (pvdabeel). Assistiert wird Pieter bei den PPC-Entwicklungen dabei von Luca, Graham und Seth, die als Vertreter benannt wurden. Die neue Struktur wird eine verteiltere Leitung des PPC-Entwicklerteams ermöglichen und größere Flexibilität und Redundanz bieten.

Release-Zeitplan für Gentoo 1.4_rc4 bekanntgegeben

Brad Cowan (bcowan) hat kürzlich den Release-Zeitplan für Gentoo Linux 1.4_rc4 bekanntgegeben:

  • So. 23. März -- Paket-Upgradephase beginnt -- Das Entwicklerteam ist aufgefordert, innerhalb der nächsten 14 Tage alles von "unstable" ("~"-maskiert) nach "stable" zu bekommen.
  • So. 30. März -- Build- und Testphase -- 7 Tage lang werden Tarballs vom aktuellen CVS-Stand gemacht und getestet (ohne CPU-Festlegung); jhhudso und Qualitätssicherungs-Tester berichten jeden gefundenen Bug.
  • So. 6. April -- Paket-Upgradephase endet -- Beginn der Build- und Testphase von einem offiziellen CVS-Schnappschuss.
  • Mi. 9. April -- Offizielle Release-Entscheidung -- Es wird entschieden, ob die folgende Veröffentlichung einen weiteren Release-Kandidaten oder aber die offizielle, endgültige Version darstellt. Der Kopf der Entwickler jeder einzelnen Architektur und der Release-Koordinator, der Entwicklungsmanager und der Chefarchitekt kommen darüber zu einer einhelligen Entscheidung.

2.  Gentoo Security

Zusammenfassung

GLSA: stunnel

Der über SSL laufende stunnel ist gegen die sog. "timing attack" von OpenSSL verwundbar. Es ist damit möglich, die zur Verschlüsselung verwendeten RSA Schlüssel herauszufinden.

  • Klassifikation: hoch - Entschlüsselung möglich.
  • Betroffene(s) Paket(e): net-misc/stunnel vor Version stunnel-3.22-r2
  • Lösung: Synchronisation und "emerge stunnel", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: mod_SSL

Wie das Paket stunnel ist auch das Apache Modul mod_SSL gegen die selbe Attacke verwundbar.

  • Klassifikation: hoch - Entschlüsselung möglich.
  • Betroffene(s) Paket(e): net-www/mod_ssl vor Version mod_ssl-2.8.14
  • Lösung: Synchronisation und "emerge mod_ssl", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: glibc

Ein Integer-Überlauf in der xdrmem_getbytes() Funktion, die als Teil von glibc geliefert wird, könnte für einen Angriff ausgenutzt werden.

  • Klassifikation: hoch - entfernter Angriff möglich.
  • Betroffene(s) Paket(e): sys-libs/glibc vor Version glibc-2.3.1-r4 (glibc-2.2.5-r8 auf ARM Systemen).
  • Lösung: Synchronisation und "emerge glibc", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: openssl

Wie herausgefunden wurde, ist das Paket OpenSSL gegen einen komplizierte Attacke verwundbar, bei der Millionen von SSL/TLS-Verbindungen hergestellt werden, um mit Hilfe vom RSA Schlüssel des Servers Daten zu entschlüsseln. Der Schlüssel selbst wird dabei aber nicht aufgedeckt.

  • Klassifikation: hoch - Entschlüsselung möglich.
  • Betroffene(s) Paket(e): dev-libs/openssl vor Version openssl-0.9.6i-r2
  • Lösung: Synchronisation und "emerge openssl", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: mutt

Der email-Client mutt beeinhaltet eine Verwundbarkeit in seiner IMAP-Implementierung, die dazu benutzt werden kann, das Programm abstürzen zu lassen oder möglicherweise sogar Kommandos auf dem betroffenen System auszuführen.

  • Klassifikation: hoch - Ausführen von nicht authentifiziertem Code möglich.
  • Betroffene(s) Paket(e): net-mail/mutt vor Version mutt-1.4.1
  • Lösung: Synchronisation und "emerge mutt", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: bitchx

Durch eine Pufferüberlauf-Verwundbarkeit im IRC-Client bitchx könnte ein Angreifer eine DoS-Attacke auf das System durchführen.

  • Klassifikation: moderat - entfernter DoS-Angriff möglich.
  • Betroffene(s) Paket(e): net-irc/bitchx vor Version bitchx-1.0.19-r5
  • Lösung: Synchronisation und "emerge bitchx", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

GLSA: zlib

Die zlib Systembibliothek beinhaltet eine Schwäche durch einen Pufferüberlauf in ihrer gzprintf() Funktion. Diese könnte dazu genutzt werden, den "call stack" zu modifizieren.

  • Klassifikation: moderat - lokaler DoS.
  • Betroffene(s) Paket(e): sys-libs/zlib vor Version zlib-1.1.4-r1
  • Lösung: Synchronisation und "emerge zlib", "emerge clean".
  • GLSA Bekanntmachung
  • weitere Infos

Neue Sicherheitslöcher

Folgende neue Sicherheitslöcher wurden diese Woche registriert:

3.  Entwickler der Woche

Karl Trygve Kalleberg


Abbildung 3.1: Karl Trygve Kalleberg, aka karltk

Fig. 1: Karl Trygve Kalleberg, aka karltk

Karl Trygve Kalleberg managt dev-lisp und dev-java zusammen mit ein paar anderen Entwicklern, und außerdem einige andere Programmiersprachen und Compiler, nicht zu vergessen das eminent nützliche gentoolkit. Diese Funtionen verlangen von ihm, Ebuild-Bugs zu reparieren und neue Ebuilds zu überprüfen; Karl verwendet einen großen Teil seiner Zeit damit, mit anderen Entwicklern darüber zu diskutieren, wie man den Weiterentwicklungsprozess von Gentoo Linux verantreiben könnte, ein Ziel, für das er Werkzeuge wie lintool und munchie geschaffen hat. Karl, Gentoo-Entwickler seit dem Sommer 2001, arbeitet an vielen anderen OSS-Projekten, wie dem Savage3D-Treiber für das Utah-GLX-Projekt, den Linux-Port auf die Sega-Dreamcast-Konsole, ein mehrsprachiges Dokumentationssystem, norwegische Übersetzungen von AbiWord und The Gimp (ersteres in Bokmål, letzteres in Nynork, zwei unterschiedliche norwegische Dialekte), und einigen anderen, welche Du aufgelistet sehen kannst auf seiner persönlichen SourceForge-Seite. Leider wurden die meisten seiner Projekte vorzeitig unterbruchen durch seine Diplomarbeit: Transformationen für das CodeBoost Transformationssystem, welche er am 21. März an der Universität von Bergen vorgestellt hat. Nun ist er zurück in der Gesamtheit seiner Leitungskapazitäten, einschließlich derjenigen, das Entwicklerteam mit komischen Einlagen zu unterhalten.

Karl hat eine nette Dual-Athlon 2000+-Kiste mit einer Kyro II-Videokarte und einem IDE RAID, aber in letzter Zeit besucht er sie nur per SSH. Zur Zeit hat einen Athlon 1800+ geborgt, auf dem RedHat läuft (seine Entschuldigung: Es ist schön von Zeit zu Zeit zu erfahren, wie die anderen Distributionen aussehen). Er wartet außerdem auf einen Ersatz für seinen iBook, den er im Januar gekauft hatte und der schon zweimal zusammengebrochen ist (Karl sagt, dass Apples Kundendienst der schlimmste ist, dem er jemals begegnete, einschließlich dem Service von Finanzämtern -- dennoch wird er glücklich sein iBook weiter benutzen, sollte Apple entscheiden, ihm einen funktionierenden zuzusenden). Er benutzt Fluxbox und KDE, abhängig von der Gelegenheit, zusammen mit Galeon und Sylpheed fürs Surfen und für Mail. Karls weitere Lieblingsprogramme umfassen zsh, most, irssi und ssh; und, er leidet an Entziehungserscheinungen sobald er versucht, den aufgeblähten widerwärtigen Emacs zu entsorgen, den er deswegen auch zuhause hat.

Karl hat früher an Programmiersprachen entwickelt, bis die Firma, für die arbeitete das Zeitliche segnete. Danach arbeitete er bei einem sehr coolen ISP. Nachdem er sich ahnungslos um eine Doktorstelle in der Informatik beworben hatte, fährt er fort, Medizin an der norwegischen Universität für Technologie und Wissenschaft zu studieren, as Abwechslung zu all der Informatik. Daneben genießt er zahlreiche Formen von Rollenspielen, hauptsächlich Ars Magica mit einigen Einstreuungen unbekümmerter Science-Fiction. Man mag es glauben oder nicht, der Name seiner Freundin lautet Tilde, und die Tatsache, dass sie für eine böse Mobilfunkfirma arbeitet ist die Grundlage für ihr Verständnis obskurer Unix-Witze. Sie lebt mit ihm in Trondheim. Karl wurde geboren in der Küstenstadt Haugesund, entkam jedaoch nach Bergen als er herausgefunden hatte, dass nicht alle Rathäuser rosa sind. Das Rathaus in Bergen war da weniger auffällig. In Bergen konzentrierte sich Karl auf Solaris und IRIX, bis er versehentlich einmal Linux installierte und es nicht mehr loswurde.

Karl lässt die Verbindung zwischen Bergen und Trondheim in Nebeln der Unkenntlichkeit, wohl in der Hoffnung, damit rätselhaft zu erscheinen.

4.  Gehört in der Community

Webforen

Revival der CFLAGS-Diskussion

Fließkommakonversionen in GCC, dem Standard-C-Compiler, führen vermutlich zu Bugs bzw. Rechenfehlern im Zusammenhang mit der Compilereinstellung "-march=pentium4". Einige Leute umgehen das durch das "Heruntertunen" auf "-march=pentium3", einige behaupten gar, es gäbe gar keine Fehler. Sag Hallo zur neuerlichen Diskussion von Compileroptimierungen:

Endlich: Gentoo auf der Xbox

Ein neues Posting des Forum-Neulings ShALLaX sendet vielen Gentooisten Schauer von Begeisterung den Rücken herunter: Ein Stage1-Installation gelingt, und man kann Gentoo Linux auf der Xbox laufen lassen!

gentoo-user

Gentoo Migratiansstrategien

Matt Garman fragte nach Migrationsstrategien beim Umzug von Debian zu Gentoo. Der entstandene Thread gab Matt einige nützliche Hinweise und berührte auch die angebliche Notwendigkeit, eine separate 100MB große Boot-Partition zu haben.

Money Dance ist nicht tot

Alex Combas fragte nach einem laufenden Money Dance unter Gentoo. Es gab einige Verwirrung darüber, ob an Money Dance immer noch aktiv entwickelt wird, aber es hat sich gezeigt, dass Money Dance in der Tat noch aktiv weiterentwickelt wird.

gentoo-dev

Plattenkapazität verwalten

Andy Arbon hat ein Skript gepostet, das einem beim Aufräumen von Binärpaketen hilft, die Portage erzeugt hat.

Zerbrochene Abhängigkeiten

Per Wigren hatte einige Probleme mit Abhängigkeiten als er MySQL von 3.23 auf 4.0 updatete. Er schlug eine Lösung vor, das fortschreitende Problem zu beseitigen, woraufhin Alain Penders darauf hinwies, dass inverse Abhängigkeitsprüfungen in Portage Pers Problem lösen könnten.

5.  Gentoo International

Gentoo Hanami

Zeit der Kirschblüte in Japan. Während der japanische Wetterbericht täglich von der Blütenfront berichtet, die sich langsam in Richtung Norden des Landes bewegt, waren die üblichen GentooJP-Verdächtigen letzten Freitag damit beschäftigt, ihren traditionellen "hanami" Verpflichtungen nachzugehen. Für alle Diejenigen, die mit diesem Begriff nichts anzufangen wissen: Hanami ist ein Ereignis, bei dem die Menschen die Kirschenblüten bestaunen können. Oder anders ausgedrückt: Eine jährliche Massenhysterie mit dem Ziel, sich ernsthaft in einem Park mit vorzugsweise vielen Kirschbäumen zu betrinken, dabei den Blättern zusehen, wie sie langsam zu Boden gleiten, während man selbst lautstark im Park herumtanzt. Einige Duzend GentooJP Aktivisten haben beschlossen, sich am Shinjuku Gyoen zu treffen - ein netter, zentral gelegener Platz in Tokyo. Leider - auch wenn es kaum zu glauben ist - hat keiner eine Kamera mitgebracht... Na dann vielleicht nächstes Jahr.

Die deutsche Polizei und Gentoo-ARM

Die Behörden in Europa sind dafür bekannt, mehr Interesse als andere Länder an Linux und freier Software zu zeigen. Unlängst ist nun auch die BKA (das deutsche Equivalent zu seinen bekannteren Verwandten, dem FBI oder Scotland Yard) dazu übergegangen, ihre Beamten mit Gentoo-ARM-basierenden PDAs auszustatten. "Sie werden hauptsächlich dazu benutzt werden, MP3s von Telefonmitschnitten bei Entführungen abzuspielen", meint Hein Bloed, Leiter der IT-Abteilung des BKA Hauptquartiers in Wiesbaden. PDAs gehören seit Jahren zum Standard-Equipment bei der BKA, aber die plötzliche Entscheidung, von PocketPC auf ARM-basierendes Gentoo Linux umzusteigen war dennoch eine Überraschung. Die Gentoo-ARM-Entwickler meinen, es kursieren Gerüchte über einen PocketPC Virus, der sich unglücklicherweise in der Oragnisation verbreitet hat, nachdem das Amt für Computerverbrechen eine Razzia auf illegale Software-Importeure im Hafen von Hamburg durchgeführt hat.

Erratum: Gentoo Präsentation in Dänemark am 1. April, nicht dem 2. April!

Wir bitten Klavs Klavsen um Entschuldigung für eine falsche Information im GWN von letzter Woche: Seine Präsentation für die dänischen und schwedischen SSLUG wird am Dienstag, dem 1. April im DEUUG/Symbion, Fruebjergvej 3 im östlichen Kopenhagen, beginnend um 19:30 Uhr im Raum M4 stattfinden.

6.  Portage Watch

Die folgenden 'stabilen' Pakete wurden diese Woche zu Portage hinzugefügt

Updates von wichtigen Paketen

  • sys-apps/portage - portage-2.0.47-r12.ebuild;
  • sys-devel/gcc - gcc-3.2.2-r2.ebuild;
  • sys-libs/glibc - glibc-2.2.5-r8.ebuild; glibc-2.3.1-r4.ebuild;
  • sys-kernel/* - development-sources-2.5.66.ebuild; mips-headers-2.4.21.ebuild; mm-sources-2.5.65-r3.ebuild; mm-sources-2.5.65-r4.ebuild; mm-sources-2.5.66-r1.ebuild; ppc-sources-benh-2.4.20-r9.ebuild; selinux-sources-2.4.20-r2.ebuild; wolk-sources-4.0_rc4.ebuild;
  • dev-db/mysql - mysql-4.0.12.ebuild;

Neue USE Variablen

  • mpi - Aktiviert MPI (Message Passing Interface) Layer in Anwendungen die es unterstützen
  • selinux - Aktiviert support für 'Security Enhanced Linux' (um ein sichereres System und Kernel zu erstellen)

7.  Bugzilla

Zusammenfassung

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, meldungen, Vorschläge und andere Kommunikationen mit them Entwicklerteam zu protokollieren. Die Aktivitäten der letzten 7 Tage:

  • 311 neue Bugs diese Woche
  • 311 geschlossene oder 'resolved' diese Woche
  • 12 Bugs wurden diese Woche wieder geöffnet.
  • 2349 als 'neu' markierte Bugs (insgesamt)
  • 466 Bugs welche Entwicklern zugewiesen sind (insgesamt)

Es gibt derzeit 2880 offene Bugs in Bugzilla. Davon sind 72 als 'blocker', 104 als 'critical' und 23 als 'major' markiert.

Rangliste geschlossene Bugss

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

8.  Tipps und Tricks

Systemdatum und -zeit synchronisieren mit rdate

Der Tip der Woche zeigt Dir, wie Du Deine Systemzeit ohne irgendwelchen Ärger mit NTP synchronisieren kannst. Der Befehl rdate ermöglicht Dir, die aktuelle Zeit von einem NTP-Server zu erhalten, ohne dass Du dazu selber einen NTP-Server aufsetzen musst.

Zuerst stelle sicher, dass Du rdate installiert hast.

Befehlsauflistung 8.1: rdate installieren

# emerge rdate

Um die Systemuhr zu synchroniseren, rufe rdate -s auf. Du solltest wahrscheinlich den Server ändern, mit dem Du synchronisierst, damit sich nicht die ganze Last aller Gentoo-Synchronisationen auf einem einzigen Server konzentriert. Hier findest Du eine Liste öffentlicher Stratum 2-Server, die Du benutzen kannst.

Befehlsauflistung 8.2: rdate benutzen

# rdate -s ntp0.cornell.edu

Damit Deine Maschine automatisch synchronisiert wird, kannst Du crontab benutzen.

Befehlsauflistung 8.3: rdate zur crontab hinzufügen

(Füge folgendes zur /etc/crontab, um am jeden ersten Tag der Woche (d.i. Sonntag) zu synchronisieren:
)
* * * * 0 rdate -s ntp0.cornell.edu

9.  Abgänge, Zugänge und Veränderungen

Veränderungen

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

  • Nicholas Henke (roughneck)
  • Maik Schreiber (blizzy)

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

  • Arun Thomas (sindian) -- Gentoo/ARM, gentoo-hardened

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

  • Keine in dieser Woche

10.  Zu GWN beitragen

Bist Du daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicke uns eine EMail.

11.  GWN Feedback

Bitte schicke uns Dein Feedback und hilf damit, die GWN besser zu machen.

12.  Andere Sprachen

Der Wöchentliche Gentoo-Newsletter ist auch in folgenden Sprachen verfügbar:



Drucken

Seite aktualisiert 1. April 2003

Zusammenfassung: Dies ist der Gentoo Weekly Newsletter für die Woche vom 1. April 2003 2003.

Kurt Lieber
Editor

AJ Armstrong
Mitwirkender

Brice Burgess
Mitwirkender

Yuji Carlos Kosugi
Mitwirkender

Rafael Cordones Marcos
Mitwirkender

David Narayan
Mitwirkender

Ulrich Plate
Mitwirkender

Peter Sharp
Mitwirkender

Mathy Vanvoorden
Niederländische Übersetzung

Tom Van Laerhoven
Niederländische Übersetzung

Peter Dijkstra
Niederländische Übersetzung

Bernard Bernieke
Niederländische Übersetzung

Vincent Verleye
Niederländische Übersetzung

Jochen Maes
Niederländische Übersetzung

Ben De Groot
Niederländische Übersetzung

Jelmer Jaarsma
Niederländische Übersetzung

Nicolas Ledez
Französische Übersetzung

Guillaume Plessis
Französische Übersetzung

John Berry
Französische Übersetzung

Martin Prieto
Französische Übersetzung

Michael Kohl
Deutsche Übersetzung

Steffen Lassahn
Deutsche Übersetzung

Matthias F. Brandstetter
Deutsche Übersetzung

Thomas Raschbacher
Deutsche Übersetzung

Klaus-J. Wolf
Deutsche Übersetzung

Marco Mascherpa
Italienische Übersetzung

Claudio Merloni
Italienische Übersetzung

Daniel Ketel
Japanische Übersetzung

Yoshiaki Hagihara
Japanische Übersetzung

Andy Hunne
Japanische Übersetzung

Yuji Carlos Kosugi
Japanische Übersetzung

Yasunori Fukudome
Japanische Übersetzung

Ventura Barbeiro
Portugisische (Brasilien) Übersetzung

Bruno Ferreira
Portugisische (Portugal) Übersetzung

Gustavo Felisberto
Portugisische (Portugal) Übersetzung

Ricardo Jorge Louro
Portugisische (Portugal) Übersetzung

Lanark
Spanische Übersetzung

Rafael Cordones Marcos
Spanische Übersetzung

Julio Castillo
Spanische Übersetzung

Sergio Gómez
Spanische Übersetzung

Pablo Pita Leira
Spanische Übersetzung

Carlos Castillo
Spanische Übersetzung

Tirant
Spanische Übersetzung

Jaime Freire
Spanische Übersetzung

Lucas Sallovitz
Spanische Übersetzung

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.