Gentoo Weekly Newsletter: 1. November 2004

1.  Gentoo Nachrichten

Bericht über die Linux World Expo, letzte Woche in Deutschland (Frankfurt)

Die Linux World Conference & Expo in Frankfurt ist eine der Top 5 Spezialmessen in Deutschland, mit 15.000 Besuchern und einem Fokus auf gewerbliche Linux Angebote. Die Messe diente aus Plattform für Linux und Entwicklung und wurde durch ein dreitägiges Konferentzprogramm komplementiert. Gentoo war im ".org Pavilion", neben einer Community von anderen nicht-komerziellen Projekten, präsent. Der deutsche, Verein "Förderverein Gentoo e.V." war für die Organisation des Gentoo Standes verantwortlich, und brachte mehr als 10 Entwickler aus Deutschland, Österreich und der Schweiz zusammen.

Abbildung 1.1: Die üblichen Verdächtigen

Es gab durchaus etwas Interessantesm in der großen Vielzahl der unterstützten Plattformen, die dieses Jahr am Gentoo Stand gezeigt wurden, von verschiedenen x86 und PPC Laptops bis zu 3 Ultra-Sparc Maschinen, und sogar einen Siemens Primergy quadruple Xeon Server. Mit einem Dutzend Rechner, die ständig Basissysteme bauten oder Applikationen emergten und einem dedizierten Mini-ITX basierenden Distfiles Server für den Stand, war das Arbeiteb für die Standmitarbeiter und die Besucher sehr bequem. Viele Besucher sind gekommen, um Hilfe bei ihren Gentoo Installationen zu erhalten, oder um die Entwickler des Gentoo Projekts kennen zu lernen. Eine der am meisten gestellten Fragen war nach einer "server edition" oder nach "Enterprise Gentoo", mit einer stabileren Datengrundlage und mit mehr Comfort beim Updaten der Systeme in produktiven Umgebungen - kaum überraschend, da die LWE eine Business orientierte Messe ist.

Spezial LWE Edition Gentoo x86 LiveCDs (Spitzname "Fizzlewizzle") inkl. deutscher lokalisierung der KDE, umfangreicher Dokumentation und einer Nachtsicht auf frankfurts Bürobezirk als Beschriftung der CD wurden am Messestand verkauft. Beides, die ISO Images (neugestalltet von Tobias Scherbaum) und Christian Hartmann's Druckvorlage zum auf die CD drucken können hier runtergeladen werden.

Abbildung 1.2: Gentoo LiveCD LWE Edition Cover

Von den benachbarten Ständen wurden verschiedenen Nachrichten aufgeschnappt: Sven Herzberg vom Gnome Stand war freundlich genug zu unterstreichen, dass Gentoo's bugzilla (nicht wie die älteren Versionen seines eigenen Projektes) Buglisten im iCalender Format unterstützt, die in Evolution importiert werden können. Sun Microsystems hatte enttäuschende Nachrichten über die zukünftige Verwendbarkeit von Java auf der PowerPC Plattform - es ist keine geplant, leider. Deren Projekt Looking Glass bleibt aber durchaus ein "Eyecatcher".

Aufruf zur Hilfe: Erfahrene J2EE Entwickler werden gebraucht

Karl Trygve Kalleberg von Gentoo's Java Team braucht wirklich Hilfe: "Danach zu urteilen, wieviele Bugs und Anfragen in der letzten Vergangenheit gemeldet wurden, gibt es seid der Veröffentlichung von Eclipse, ein erhötes Intersse an Java Anwendungen" erklärt Karl. Die erste Anfrage nach Hilfe kam im August, aber diesmal ist es ein wenig dringender: Bist Du ein erfahrener Java-Entwickler, und kennst J2EE track record, schreibe bitte heute eine Mail an Karl und das Gentoo Rekrutierungsteam.

Coming up: Gentoo Bugday am Samstag, 6 November 2004

Der Gentoo Bugday ist eine monatliche Veranstaltung, bei der Benutzer und Entwicklier im IRC zusammen kommen und eine Menge Fehler beheben. Diese einzugartige Möglichkeit, die Entwickler direkt kennenzulernen und direkt an der Behebung von Problemen mitzuarbeiten ist in der Vergangenheit sehr erfolgreich gewesen. Ein eigener IRC Channel wird für diese gemeinschaftliche Bemühung zur Verfügung gestelt, #gentoo-bugs auf irc.freenode.org. Wenn Du teilnehmen willst, ist das einzige was Du tun musst, den Channel zu /joinen.

2.  Gentoo security

MySQL: Mehrere Verwundbarkeiten

Mehrere Verwundbarkeiten, darunter auch der Mißbrauch von Rechten, "Denial Of Service" und möglicherweise auch entfernte Ausführung von beliebigem Code wurden in MySQL entdeckt.

Für weitere Infos siehe die GLSA Meldung

Gaim: Mehrere Verwundbarkeiten

Mehrere Verwundbarkeiten, durch die ein entfernter Angreifer die Anwendung zum Absturz bringen könnten und die mögliche Ausführung von beliebigem Code wurden in Gaim gefunden.

Für weitere Infos siehe die GLSA Meldung

MIT krb5: Unsichere Handhabung von temporären Dateien in send-pr.sh

Das send-pr.sh - Skript, das im mit-krb5 - Paket enthalten ist, ist anfällig für Symlink - Attacken, welche einem lokalem User die Möglichkeit bieten könnten, beliebige Dateien mit den Rechten desjenigen Users, der das Utility gerade ausführt, zu überschreiben.

Für weitere Infos siehe die GLSA Meldung

Netatalk: Unsichere Handhabung von temporären Dateien in etc2ps.sh

Das etc2ps.sh - Skript, das im Netatalk - Paket enthalten ist, ist anfällig für Symlink - Attacken, welche einem lokalem User die Möglichkeit bieten könnten, beliebige Dateien mit den Rechten desjenigen Users, der das Utility gerade ausführt, zu überschreiben.

Für weitere Infos siehe die GLSA Meldung

socat: Verwundbarkeit beim Formatieren von Strings

socat ist verwundbar beim Formatieren von Strings, was möglicherweise zur lokalen oder entfernten Ausführung von beliebigem Code mit den Rechten des socat - Prozesses führen könnte.

Für weitere Infos siehe die GLSA Meldung

mpg123: Buffer Overflow Anfälligkeit

Buffer Overflow Verwundbarkeiten wurden in mpg123 gefunden, welche zur Ausführung von beliebigem Code führen könnten.

Für weitere Infos siehe GLSA Meldung

rssh: Verwundbarkeit beim Formatieren von Strings

rssh ist verwundbar beim Formatieren von Strings, was die beliebige Ausführung von Code mit den Rechten des verbundenen Users erlaubt, wobei rssh - Einschränkungen umgangen werden.

Für weitere Infos siehe die GLSA Meldung

PuTTY: Pre-authentication Buffer Overflow

PuTTY enthält eine Verwundbarkeit, die einem SSH - Server erlaubt, beliebigen Code auf dem verbundenen Client auszuführen.

Für weitere Infos siehe die GLSA Meldung

GPdf, KPDF, KOffice: Verwundbarkeiten im enthaltenen xpdf

GPdf, KPDF and KOffice enthalten anfälligen xpdf - Code zur Behandlung von PDF - Dateien, welcher diese verwundbar für die Ausführung von beliebigem Code während der Ansicht einer "bösartige" PDF - Datei macht.

Für weitere Infos siehe die GLSA Meldung

Archive::Zip: Umgehung der Virus - Erkennung

Software zum Scannen von Emails auf Viren, die auf Archive::Zip aufbaut, kann so getäuscht werden, das die denkt, das ein mit einem Virus infiziertes Zip - Archiv im Anhang leer sei, eine Viruserkennung so also umgangen wird.

Für weitere Infos siehe die GLSA Meldung

3.  Gehört in der Community

Web Foren

Zu schlafen - vielleicht zum träumen: ay, hier ist der Patch

Am Ende von vielen schlaflosen Monaten der PowerBooks, der Gentoo/PPC Entwickler JoseJX berichtete in einem Thread am Mittwoch, dass Benjamin Herrenschmidt, der PPC Kernel Verantwortliche, veröffenlichte die letzte Verbesserung des Power Managements der portablen Macs, spezifisch für Aluminium PowerBooks mit ATi Grafichipsatz, um sie in den sleep-Modus zu bringen. Benh's Patch scheint sauber in die Gentoo Kernel Quellen 2.6.9.-r1 implementiert zu sein. Eine Welle der Dankbarkeit schwabt über das PPC Forum:

• Test patch for sleep on AluBooks

gentoo-user

Ähnliche Distributionen

Nutzer kommentieren eine neue Linux Distribution vidalinux welche auf Gentoo basiert. Sie nutzt die Gentoo System Tools und Portage als Package Manager.

• vidalinux

Master USE

Diese Woche entstanden einiger Diskussionen über USE Flags in Portage. USE Flags stellen eine bequeme Möglichkeit dar, Optionen und Abhängigkeiten der zu installierenden Programme zu beeinflussen. Das Verständnis, welche USE Flags wichtig sind und wie sie sich auswirken, kann eine Systeminstallation für einen neuen Nutzer schwierig gestallten.

• USE flags documentation
• Choosing USE flags (and choosing well)
• changed USE flags

Binärer Knall

Ein Nutzer beobachtete dass etc-update fragte, ob die binär-Datein /etc/X11/xdm durch eine Konfigurations-Datei überschrieben werden soll.

• Portage: binaries seen as config files

4.  Gentoo in the press

Newsforge (30 Oktober 2004)

Joe Barr schrieb einen ironischen Artikel über den Zusammenhang zwischen der verwendeten Linux Distribution und der Persönlichkeit des Benutzers. Laut Barr ist Gentoo's Motto "Wenn es sich verändert, übersetz es einfach neu" was Gentoo zur perfekten Distribution für Einzelgänger wie John Wayne macht.

5.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen 24. Oktober 2004 und 30. Oktober 2004 resultierten in:

• 802 neuen Bugs
• 378 geschlossenen oder gelösten Bugs
• 19 wiedergeöffneten Bugs

Von den 7368 zur Zeit offenen Bugs sind: 115 als 'blocker', 255 als 'critical' und 551 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Gentoo's Team for Core System packages, mit 45 geschlossenen Bugs
• AMD64 Porting Team, mit 25 geschlossenen Bugs
• Gentoo Security, mit 19 geschlossenen Bugs
• Java team, mit 14 geschlossenen Bugs
• netmon herd, mit 13 geschlossenen Bugs
• Gentoo KDE team, mit 12 geschlossenen Bugs
• Wine Maintainers, mit 10 geschlossenen Bugs
• Gentoo Toolchain Maintainers, mit 10 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Gentoo's Team for Core System packages, mit 19 neuen Bugs
• Gentoo Linux Gnome Desktop Team, mit 17 neuen Bugs
• AMD64 Porting Team, mit 17 neuen Bugs
• Alpha Porters, mit 15 neuen Bugs
• Gentoo Games, mit 12 neuen Bugs
• Dylan Carlson, mit 12 neuen Bugs
• Portage team, mit 11 neuen Bugs
• Mozilla Gentoo Team, mit 10 neuen Bugs

6.  Tipps und Tricks

nice und PORTAGE_NICENESS

Im GWN der letzten Woche stellten wir brandneue Portage Features vor, diese Woche wollen wir ein altes, aber dennoch "heisses" Feature vorstellen: PORTAGE_NICENESS. Doch zunächst ein paar Grundlagen.

Sehr drastisch vereinfacht: Der Linux Kernel hat einen (Prozess-)Scheduler, der auswählt, welcher Prozess als nächstes ausgeführt werden soll. Ein Faktor, der den Scheduler beeinflusst, ist die Priorität eines Prozesses. Prozesse mit einer hohen Priorität werden vor Prozessen mit einer niedrigen Priorität ausgeführt und Prozesse mit einer gleichen Priorität werden einer nach dem anderen ausgeführt.

Doch schauen Sie selbst: Führen Sie top in einem Terminal aus und achten besonders auf die PR und NI Spalten:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 8005 root      20   0 85188  33m  57m R  3.3  6.7   8:43.77 X
 8148 tobias    20  10 25624 2376  24m S  0.3  0.5   0:00.60 xscreensaver
    1 root      20   0  2476  552 2304 S  0.0  0.1   0:00.31 init
    2 root      39  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd/0
    3 root      15  -5     0    0    0 S  0.0  0.0   0:00.09 events/0

Die PR Spalte zeigt die Priorität eines Prozesses an, der Wert in der NI Spalte gibt den sogenannten nice Wert eines Prozesses an, welcher es Ihnen erlaubt, die Priorität eines Prozesses anzupassen. Mögliche Werte sind von -20 (hohe Priorität) über 0 (Standardpriorität) bis hin zu 20 (geringe Priorität). In unserem Beispiel hat der xscreensaver Prozess einen höheren nice Wert als X, was bedeutet, dass X eine höhere Priorität als xscreensaver hat.

Nun, wie kann ich dies nun für Portage nutzen?

Wenn Sie Ihren PC während des kompilierens von Paketen nutzen, werden Sie sicherlich feststellen, dass Ihre Maschine sich nicht so zügig bedienen lässt wie gewohnt. Dies liegt daran, dass zwei "Gruppen" von Prozessen mit der gleichen nice Priorität ausgeführt werden: Die Prozesse die für gewöhnlich auf Ihrer Maschine laufen und emerge (und dessen Kinderprozesse), Wenn Sie nun emerge auf einen höheren nice Wert renicen könnten, würde zwar das kompilieren länger dauern, aber Ihre Box wäre so schnell wie gewohnt. Dies erreichen Sie mit dem PORTAGE_NICENESS Parameter in /etc/make.conf:

PORTAGE_NICENESS="15"

Generell können Sie individuelle Prozesse "renicen" (z.B. renice 0 -p 8148 um xscreensaver aus dem obigen Beispiel höher zu priorisieren), aber dies wird nicht mit emerge funktionieren, da Portage den PORTAGE_NICENESS Wert einmal aus /etc/make.conf liest und dann alle Prozesse mit diesem spezifizierten Wert ausführt.

7.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Keine diese Woche.

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

• Keine diese Woche.

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Keine diese Woche

8.  Zum GWN beitragen

Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail

9.  GWN Feedback

Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen.

10.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:

• Holländisch
• Englisch
• Deutsch
• Französisch
• Japanisch
• Italienisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Spanisch
• Türkisch