Gentoo Weekly Newsletter: 16. August, 2004Infrastrukturverbesserungen für Gentoo Gute Neuigkeiten gibt es diese Woche für die Gentoo Infrastruktur - es wurden zwei neue Server gespendet. Der eine, ein Dual-Xeon mit 2GB RAM, wird dazu verwendet werden die rsync.gentoo.org Rotation zu verstärken, der andere, ein Quad-Xeon mit 1GB RAM wird als Master-Bittorent Server zum Einsatz kommen. Gentoo Linux bedankt sich bei Melior, Inc. für die Spende dieser Server. Zusätzlich hat Gentoo Linux kürzlich eine VMWare GSX Server Lizenz von EMC gespendet bekommen, die im Development Bereich verschiedener interner Projekte zum Einsatz kommen wird. Schliesslich ist diese Woche eine neue Archiv-Lösung für die Gentoo Mailinglisten in die (nicht-öffentliche) Beta-Phase eingetreten. Die Software wird öffentlichen Lesezugriff zu allen unseren Mailinglisten, inklusive der Gentoo-Trustees Mailingliste, ermöglichen. Wir rechnen damit, das System innerhalb der nächsten beiden Wochen öffentlich zugänglich machen zu können. Dokumentation Das Dokumentations-Team hat kürzlich einen Arbeitszyklus abgeschlossen: sehr viele der gemeldeten "Bugs" innerhalb der Dokumentation wurden beseitigt, des weiteren wurden viele kleinere Korrekturen in Sachen Formulierung und Inhalt gemacht. Außerdem gibt es ein neues Status Update, wo viele der wichtigen Korrekturen aufgeführt sind, wie unter anderem: ein neues Quick HOWTO on su with X, Ergänzungen bei den Gentoo Installation Tips 'n Tricks, wichtige Änderungen am Gentoo Security Guide sowie verschiedene Aktualisierungen am Gentoo Handbook. Infrastruktur Das Infrastruktur-Team arbeitet derzeit am Umzug des Forum-Servers auf schnellere Hardware - im Einzelnen sollen der Apache-Server (zur Zeit ein dual PIII 1GHz/1GB) und der Datenbank-Server (z.Zt. Xeon 2.4GHz/2GB) künftig auf neuen Plattformen laufen: eine dual 2.4GHz/1GB und eine 3.0GHz /4GB. Damit soll die Performance des Forums wesentlich steigen, besonders während den Spitze-Zeiten. Sicherheit Momentan arbeitet das Gentoo-Team an der Einbeziehung in die vendor-sec Mailingliste, einer zugriffsbeschränkten Mailingliste, der viele der großen Linux Anbieter angehören. Die Mitgliedschaft bei dieser Liste würde einen frühen Zugriff auf sicherheitsrelevante Warnungen und der damit verbundenen Diskussionen erlauben, noch vor deren allgemeiner Veröffentlichung. SpamAssassin: Denial of Service Verwundbarkeit SpamAssassin ist anfällig für eine "Denial of Service" - Attacke, wenn bestimmte "missgeformte" Nachrichtenformate bearbeitet werden. Weitere Infos in der GLSA Meldung Horde-IMP: Input Validation Verwundbarkeit für Benutzer des Internet Explorers Eine "Input Validation" - Verwundbarkeit wurde in Horde-IMP entdeckt.Diese betrifft aber nur Nutzer des Internet Explorers. Weitere Infos in der GLSA Meldung Cfengine: RSA Authentifizierugs - Heap Korruption Cfengine ist anfällig für einen entfernten Root - Exploit von Client in AllowConnectionsFrom. Weitere Infos in der GLSA Meldung Roundup: Dateisystem - Zugriff Verwundbarkeit Roundup macht Dateien, die einem User gehören und von diesem benutzt werden, für einen entfernten Angreifer zugänglich. Weitere Infos in der GLSA Meldung gv: Exploitable Buffer Overflow gv enthält einen "ausbeutbaren" Buffer Overflow, der es einem Angreifer erlaubt, beliebigen Code auszuführen. Weitere Infos in der GLSA Meldung Nessus: "adduser" Race Condition Verwundbarkeit Nessus enthält eine Verwundbarkeit, die es einem User erlaubt, eine "Privilege Escalation" - Attacke zu starten. Weitere Infos in der GLSA Meldung Gaim: Parsing - Funktion im MSN - Protokoll enthält Buffer Overflow Gaim enthält eine entfernt "ausbeutbare" Buffer Overflow - Verwundbarkeit im MSN - Protokoll, die die entfernte Ausführung von beliebigem Code erlauben könnte. Weitere Infos in der GLSA Meldung kdebase, kdelibs: Mehrere Sicherheitsprobleme KDE enthält drei Sicherheitsprobleme, die es dem Angreifer erlauben könnten, Systemkonten zu kompromitieren, Denial of Service zu verursachen oder auch das Spoofing von Webseiten mittels dem Einfügen von Frames durchzuführen. Weitere Infos in der GLSA Meldung acroread: UUDecode Dateinamen Buffer Overflow acroread enthält zwei Fehler in der Behandlung von UUEncoded Dateinamen, die es ermöglichen könnten, beliebigen Code oder Programme auszuführen. Weitere Infos in der GLSA Meldung Tomcat: Unsichere Installation Unsaubere Vergabe von Dateibesitzberechtigungen könnten einem Mitglied der Tomcat - Gruppe erlauben, Skripte als root auszuführen. Weitere Infos in der GLSA Meldung glibc: Informationsleck mit LD_DEBUG glibc enthält eine "Information Leak" - Verwundbarkeit, die das Debugging von SUID - Binärdateien erlaubt. Weitere Infos in der GLSA Meldung Benjamin Judas
Der Entwickler der Woche ist diesmal Benjamin Judas (beejay). Er ist Gentoo Release Coordinator für die x86 Architektur. Diese Aufgabe beinhaltet das Betreuen und Entwickeln der x86 Release Versionen (inklusive Stage-Tarballs), Live-CDs und GRP Installationssets, sowie die Zusammenarbeit mit dem Dokumentations-Team um die Aktualität der Dokumentation zu gewährleisten. Für die aktuelle Version 2004.2 übernahm Chris Gianneloni das Erstellen der Live-CDs, womit sich Benjamin auf andere Anspekte konzentrieren konnte. Diese neue Aufgabenteilung, inklusive der Teilung der organisatorischen Arbeiten, wird wahrscheinlich bei den kommenden Versionen beibehalten. Nichts desto trotz bleibt Benjamin der Verantwortliche für die Planung der Versionen auf der x86 Plattform. Obwohl Benjamin bereits seit 1994 immer wieder Artikel über Linux gelesen hat, dauerte es bis 1998 bevor er es zum ersten Mal installiert und verwendet hat. Sein erster Kontakt war eher zufällig: er "...spazierte durch Friedberg (eine kleine Stadt in der Umgebung) um neue Schuhe zu kaufen. Da ich keine anständigen Schuhe fand, ging ich in einen Computer Laden um mein Geld dort auszugeben". Das Ergebnis war ein nagelneues Set der SuSE-Linux 5.3 Mini-Edition Installations CDs. "Für 30 Mark 6 CDs, da kann man nichts falsch machen." Er erzählte uns, dass es 6 Monate gedauert hat bis sein neues Betriebssystem ordentlich funktionierte und ein weiteres Jahr um sein Linux-Wissen zu festigen. Einige Jahre später führte ihn ein Artikel von Thomas Raschbacher in einem deutschen Linux-Magazin zu Gentoo. Am 18. August 2002 (er kann sich an das Datum noch so gut erinnern weil er bei der Geburtstagsparty eines Freundes war während zu Hause sein erstes emerge system lief) installierte Benjamin die neue Distribution und blieb dabei. Benjamin's erster Beitrag zu Gentoo war ein Apache basierendes Online Hilfesystem, welches Alexander Holler (der http://www.gentoo.de betreute) für ihn postete. Alexander gab ihm Zugriffsrechte auf dem Server und ermutigte ihn weiterhin mitzuhelfen. Benjamin half daraufhin bei Übersetzungen für die Deutsche Webseite. Im Jahr 2003 begann Benjamin seine immer besser werdenden Python Kenntnisse zu nutzen um für portage ein Web-Frontend zu entwickeln. Während er am ersten Teil - einer Packetsuchmaschine - arbeitete, wurde er von Seemant Kullen gefragt, ob er nicht offiziell an Gentoo arbeiten möchte. Er startete als Qualitätssicherungsassistent für die x86 Release und testete die Live CDs, Stages und Packete. Als Seemant die Koordination der Releases aufgab, übernahm Benjamin diese Verantwortung. Zusätzlich zu seiner Arbeit an www.gentoo.de und im Release Team, war Benjamin auch Mitbegründer der deutschen Gentoo-NFP (Not-For-Profit) Organisation "Förderverein Gentoo e.V.". Diese Gruppe ist eine Organisation die Spenden sammelt und verwaltet, um Gentoo in Deutschland zu fördern und zu schützen. Benjamins PC-Sammlung besteht aus 4 Computer wobei ein Athlon Thunderbird 1300 und ein IBM Thinkpad R40 seine Hauptarbeitsstationen sind. Diese werden von einer Sun Ultra 5, welche als DNS, SMTP und IMAP server dient, und einem SGI Indy "...der keine besondere Verwendung hat - er steht einfach nur rum und versucht gut auszusehen." unterstützt. Seit kurzem findet er Gefallen an der zsh shell und zum Entwickeln verwendet er vim sowie catalyst. Evolution, rxvt-unicde, tvtime und Mozilla runden die Liste der meistgenutzten Programme ab - abgesehen von gelegentlichen Ausflügen mit UT2k3, Simcity 3000 und Heavy Metal F.A.K.K.2. Im wirklichen Leben arbeitet Benjamin am Universitätsklinikum der Justus-Liebig-Universität Giessen als IT Fachkraft. Er hat eine Qualifikation als IT-Assistent - in etwa vergleichbar mit einem praktischen Diplom in Computerwissenschaften. Er beschreibt sich selbst als "typical couch potato". Er liebt Fernsehen und Filme - mit einer Vorliebe für Science Fiction und Horror, sowie gelegentlich Autorennen. Er ist ein eifriger Leser und liest derzeit China Melville's "Perdido Street Station" das er übrigens empfiehlt. Benjamin lebt in Muecke-Merlau, ein kleines Dorf ca. 80km von Frankfurt entfernt in der deutschen Region Vogelsberg - auf einem ehemaligen Vulkan gelegen. Er bat um die Gelegenheit Seemant, Daniel, John und Jeff zu danken: "Danke für Euer Vertrauen, Eure Unterstützung und für die konstruktive Kritik!" Er dankte auch der Gruppe Entwicklern die als German Conspiracy bekannt sind: "Danke für die harte Arbeit um Gentoo auch auf Deutsch gut aussehen zu lassen!". Und zum Schluss, für uns alle: "Gentoo ist wie ein Goodyear Reifen: wenn er nicht mehr gut läuft, ziehst Du eine neues Profil auf und er funktioniert wieder." Immer als Root arbeiten Viele gestandene Linux und Unix Nutzer wissen, das ein dauerhaftes einloggen als Root keine gute Idee ist. Allerdings wissen viele Neueinsteiger, die von Windows kommen, nicht genau, warum es keine gute Idee ist. Unter Windows loggen sich die meisten Benutzer häufiger als Administrator ein als nicht. Also warum sollte es bei Linux anders sein? Ein Linux-Neuling stellte diese Frage in der gentoo-user Mailingliste und bekam ein paar gute Gründe geliefert, sowie einige Empfehlungen zur Vereinfachung seines Wechsels zu seinem neuen Leben mit Unix. Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen 07. August 2004 und 13. August 2004 resultierten in:
Von den 7002 zur Zeit offenen Bugs sind: 143 als 'blocker', 198 als 'critical' und 557 als 'major' markiert. Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:
Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:
Tips und Tricks suchen nach einem neuen Eigentümer. Wenn du Interesse hast diese Sektion zu übernehmen bitte E-Mail gwn-feedback@gentoo.org. 8. Abgänge, Zugänge und Veränderungen Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:
Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:
Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:
Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen. Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:
|
|
