Gentoo Weekly Newsletter: 10. Januar 2005

1.  Gentoo News

Entmutigender Forumsmißbrauch: Visuelle Registrierungsbestätigung hinzugefügt

In der letzten Dezemberwoche 2004 hat ein Angreifer rund 8500 Benutzer von mehr als 160 Hosts in weniger als einer Stunde registriert. Während die Forum-Administratoren schon an einer Lösung des Problems arbeiteten, begannen Benutzer die Massierung der Neuregistrationen zu melden. Einige Stunden später wurden 15696 Benutzer gelöscht - inklusiver einer ganzen Menge inaktiver Accounts aus der Vergangenheit.

Um solche Massenregistrierungen in Zukunft zu verhindern wurde dem Registrierungsprozess eine zusätzliche, visuelle Registrierungsbestätigung hinzugefügt. Diese Funktion sind in phpBB Version 2.2 Entwicklungsversionen integriert und wurden auf Version 2.0.11 zurückportiert. Die gleichen Änderungen wurden jetzt an der angepaßten Installation des phpBB durchgeführt, die auf forums.gentoo.org installiert ist.

Kernel 2.6.10 als stabil freigegeben

Zu dem Zeitpunkt wo du das hier liest, wird die Version 2.6.10 der Gentoo Development Sources als stabil freigegeben oder in der letzten Testphase für einige unterstützte Architekturen sein. Linux 2.6.10, spät am Weihnachtstag veröffentlicht, ist mit der Behebung fast aller bekannter Fehler in den Versionen 2.6.9 und jünger von denen wir wissen eine der besten Kernel Veröffentlichungen der letzten Zeit. Es wurden nur wenige neue Probleme gemeldet und die wichtigsten wurden bereits behoben. Benutzern von 2.6 Kernel wird empfohlen so bald wie möglich zu aktualisieren, weil diese Version auch einige kürzlich entdeckte Sicherheitsprobleme behebt.

2.  Future Zone

Ziele für 2005

Ein Meta-Thread auf der gentoo-dev Mailing-Liste verfolgt die Ziele einiger Gentoo Projekte. Hier eine Übersicht einiger Elemente, die in Kürze das Licht der Sonne sehen sollen:

Release Engineering

• Halbjährlicher Release-Zyklus: Die erste Release (2005.0) wird es im Januar geben, die Zweite (2005.1) dann im Juli / August. Jede Release beinhaltet Installations-CDs, Stages und GRP.
• LiveCDs: Der Plan besteht darin, die bestehende universelle LiveCD durch eine Knoppix-ähnliche XLiveCD zu ersetzen. Das Medium wird dementsprechend umbenannt. Die minimale LiveCD wird es weiterhin geben, jedoch mit neuem Namen: minimal installCD.
• Gentoo Reference Platform (GRP): Als Gemeinschaftsleistung zusammen mit dem Installer Projekt arbeitet das Release Engineering-Team daran, die GRP neu zu definieren. Der derzeitige Plan, welcher noch nicht fest ist, sieht eine quickpkg-ähnliche Funktionalität vor, wobei installierte Pakete auf der XLiveCD gepackt und auf das Zielsystem kopiert werden können.

Kernel

• Migration aller existierenden ebuilds zu kernel-2 und linux-* eclasses.
• Wechsel zu 2.6 als Vorgabe (sofern möglich) für headers und sources.
• Konsolidierung der passenden Quellen-Pakete, z.B. dev-sources -> vanilla-sources.
• Weitere Verbesserung unserer derzeitigen eclass Framework für zusätzliche Kernel (BSD, Darwin).

Gentoo/BSD

• eine Stage oder ein Set an Stages für die Installation von Gentoo/FBSD
• ein funktionierendes baselayout
• eine Installations CD (momentan kann FreeSBIE benutzt werden)
• eine angemessene Anzahl an ebuilds mit Keywords
• einige unserer *BSD spezifischen Patches in Portage einbeziehen
• das Profil fertig stellen, die Tarballs stabilisieren

3.  Gentoo security

LinPopUp: Pufferüberlauf in der Nachrichtenantwort

LinPopUp enthält einen Pufferüberlauf, der möglicherweise zur Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

a2ps: Mehrere Verwundbarkeiten

Die fixps - und psmandup - Skripte im a2ps - Paket sind verwundbar für Symlink - Attacken, was einem lokalem User die Möglichkeit bieten könnte, beliebige Dateien zu überschreiben. Eine Verwundbarkeit von a2ps in der Handhabung von Dateinamen könnte auch zur Ausführung von beliebigen Befehlen führen.

Für weitere Infos siehe die GLSA Meldung

Mozilla, Firefox, Thunderbird: Mehrere Verwundbarkeiten

Verschiedene Verwundbarkeiten wurden in auf Mozilla basierenden Produkten gefunden und gefixt, vom möglichen Pufferüberlauf über die Preisgabe von temporären Dateien bis hin zu Anti - Spoofing Problemen.

Für weitere Infos siehe die GLSA Meldung

Shoutcast Server: Entfernte Codeausführung

Der Shoutcast Server enthält einen möglichen Pufferüberlauf, der zur Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

mit-krb5: Heap - Überlauf in libkadm5srv

Die MIT Kerberos 5 Verwaltungsbibliothek (libkadm5srv) enthält einen Heap - Überlauf, der zur Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

tiff: Neue Überläufe bei der Dekodierung von Bildern

Ein Integerüberlauf wurde in den Routinen zur Bilddekodierung der TIFF - Biliothek und der tiffdump - Utitlity gefunden, was möglicherweise zur Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

xine-lib: Mehrere Überläufe

xine-lib enthält mehrere Überläufe, die möglicherweise zur Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

phpGroupWare: Verschiedene Verwundbarkeiten

Mehrere Verwundbarkeiten wurden in phpGroupWare gefunden, die zur Preisgabe von Informationen und zur Kompromittierung des Systems führen könnten.

Für weitere Infos siehe die GLSA Meldung

xzgv: Mehrere Überläufe

xzgv enthält mehrere Überläufe die möglicherweise zur Ausführung von beliebigem Code führen könnten.

Für weitere Infos siehe die GLSA Meldung

Vilistextum: Pufferüberlaufverwundbarkeit

Vilistextum ist verwundbar für einen Pufferüberlauf, der einem Angreifer die Ausführung von beliebigem Code mittels einer 'boshaften' Webseite ermöglichen könnte.

Für weitere Infos siehe die GLSA Meldung

4.  Gehört in der Community

Web Foren

Verschwindendes X erzeugt leichte Unruhe

Die Entscheidung der Gentoo-Entwickler, die Leute vorsichtig anzustossen xorg-x11 zu benutzen ist nicht vollkommen neu, aber die Löschung von XFree86 aus dem Portage-Baum am 1. Januar scheint eine böse Überraschung für einige Leute gewesen zu sein. Ein Thread aus einer Handvoll, um sie alle zu repräsentieren:

• I refuse to use xorg....it sucks! (nevermind....user error)

Neuer globaler Moderator Earthwings

Earthwings diente bereits für mehrere Monate in den deutschen Subforen bevor er ernannt wurde, jetzt auch in den restlichen Foren handeln zu können:

• [forums-announce] New global moderator

gentoo-user

Erreichen, glücklich mit der Hardware zu sein?

Viele Laptopnutzer erleben das selbe Problem: Einen mobilen Computer zu nutzen resultiert in unterschiedlichen Konfigurationen. Meist sind diese auf das Netzwerk bezogen, beispielsweise die Unterschiede zwischen einem Firmen-LAN und dem Heimnetzwerk. Aber oftmals betrifft das auch die Hardware selbst. Viele Laptops haben Hardware-Dockingstations mit zus‰tzlichen Netzwerkkarten, Videoadaptern und sogar SCSI. Das stelklt eine einmaliges Problem für Linux-Nutzer dar weil die Hardwareeinstellungen meist direkt in den verschiedenen Dateien in /etc vorgenommen wurde. Gespannt darauf, den eigenen Weg in ein portagbles Paradies zu finden? Lies weiter!

• gentoo and "rc hell"?

Bash Argumente

Was könnte Linux-iger sein als eine Debatte darüber wie man auf die richtige Weise viele Dateien aus einem Verzeichnis löscht? Da sind xargs, find, auch... für Loops? Ein informativer Thread vbon optionalen Antworten bieten wir euch diese Woche!

• Bash query? 'Argument list too long'

CPU Auslastung "monitoren"

In einer eher humorigen Notiz postete ein Listenmitglied einen "hilfreichen" Link zu einem Newsforgeartikel bezüglich einem CPU-Monitoring-Paket namens "Hot Babe". Wie bieten GWN-Lesern einem Link zu diesem Tread bei gentoo-user und belassen es dabei.

• Hot Babe and Debian (GENTOO :-)

gentoo-dev

RFC: Anleitung um die Compilationszeiten runterzudr¸cken

Stuart Herbert fragte, wie man die Compilationszeiten reduzieren kann. Lies diesen Thread für die verschiedenen Möglichkeiten, die durch die Gentoo-Nutzer angeboten wurden.

• RFC: Advice on driving compile times down

XFree gegangen

Mit dieser kurzen Notiz beended Gentoo offiziell den Support für XFree. Wir bitten alle Nutzer auf XOrg zu migrieren.

• xfree gone

2005.0 2.4 und 2.6 stages

John Davis fragte, in Bezug auf das Gentoo Releng Subprojekt, welche Kernel-Header und Sourcen 2005.0 Stages anbieten sollten. Er schreibt: "Unsere Optionen zur Erzeugung beinhalten (a) nur 2.6er Stages, (b) nur 2.4er Stages oder (c) eine Kombination aus 2.4 und 2.6 Stages". Aus Sicht der Freigabe würde nur ein Satz bevorzugt werden, aber viele Nutzer bauen immernoch auf Kernel 2.4. Dieser ziemlich lange Thread erkundet die vielen kleinen problme die auftreten können und zeigen, wie schwer es ist, alle Leute gleichsam glücklich zu machen

• 2005.0 2.4 and 2.6 stages

gentoo-server

Von einer Mailingliste, die haupts‰chlich von Leuten frequentiert wird, die Gentoo für Nicht-Dektop-Anwendungen nutzen, gentoo-server@gentoo.org, kommt ein bemerkenswerter Thread der gesponnen wurde nachdem ein Poster eine simple Frage stellte:

• Who uses Gentoo in production?

5.  Gentoo International

USA: Gentoo Vortrag am 10. und 24 Jänner im MIT

Rajiv Manglani, Gentoo Linux Security Team Mitglied und PPC Entwickler wird zuerst am 10. Jänner eine Einführung, und dann am 24. Jänner einen erweiterten Vortrag über Gentoo Linux im "Massachusetts Institute of Technology" (MIT) halten. Beide Vorträge werden vom "MIT's Student Information Processing Board" (SIPB) gesponsort und beginnen jeweils um 20:00 Uhr. Die erste Vorlesung findet im Raum 237 statt und soll eine Einführung in Gentoo Linux anhand eines laufenden Systems werden. Die zweite, welche im Raum 231 vorgetragen wird, beschäftigt sich dann intensiver mit dem System, Portage, ebuild Skript Entwicklung und einer genauen Analyse von Gentoo System-Tools wie qpkg und etcat. Weitere Details sind auf Rajiv's Independent Activities Period Gentoo lecture announcements zu finden. Alle Interessierten mögen ihr Kommen bitte so rasch als möglich via Email an das Student Information Board bekannt geben.

Kanada: Gentoo in der Grundschule

Die Prairie Linux User Group (PLUG) plant Gentoo Linux in der "Holy Cross Elementary School" in Winnipeg einzusetzen. Das Projekt soll auf bereits gebrauchter Hardware umgesetzt werden, welche ehemals verschiedene Versionen von Windows als Betriebssystem installiert hatte. Dies soll nun aus Kosten- und Sicherheitsgründen mit Linux ausgetauscht werden. Die Installation beinhaltet unter anderem eine Version des Linux Terminal Server Project (LTSP) auf 30 Stationen. Für das Terminal Server System soll openmosix unter Gentoo Linux laufen. Die PLUG wird sich am 20. Jänner das erste Mal in der Universität von Winnipeg treffen (ab 19:00 Uhr im Raum 2M70), um das System vor der eigentlichen Installation in der Schule zu testen, welche für den 23. Jänner ab 10:00 Uhr geplant ist. 30 Grundschüler sollen das System dann anschliessend ausführlichen Tests unterziehen, um die Einsatzbereitschaft und Fähigkeiten zu untersuchen. Das PLUG-Mitglied Mike Crawford (Gentoo dev-perl Entwickler in spe und Administrator des offiziellen Gentoo Mirrors gentoo.eliteitminds.com) meint: "Wenn das System erfolgreich allen Anforderungen entspricht, kann es auch dauerhaft installiert werden". Alle weiteren Details sind auf der PLUG Webseite zu finden.

6.  Gentoo in den Medien

Linux Journal (5 Januar 2005)

Andrew Cowie schrieb im Linux Journal einen schmeichelhaften Artikel über "Gentoo für alle ungewöhnlichen Fälle" und beschreibt Portage ausführlich als Tool für dem professionellen Einsatz: "Sie glauben vielleicht Gentoo sei eine komplizierte Distribution für den Entwicklungsrechner, aber die einfache Paketverwaltung macht es auch zu einer guten Wahl für produktive Systeme die up to date bleiben müssen." schreibt er in seiner Einleitung und beschreibt anschliessend sehr detailliert und mit vielen Screenshots versehen die Installation und das Aktualisieren von Software in Gentoo. Der ordentlich recherchierte Artikel gehörte zu den meist-gelesensten und meist-kommentierten Linux Journal Artikel letzte Woche - noch bevor dieser Gentoo Newsletter die Popularität steigern konnte...

7.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 02. Jänner 2005 und 09. Jänner 2005 resultierten in:

• 815 neuen Bugs
• 528 geschlossenen oder gelösten Bugs
• 23 wiedergeöffneten Bugs

Von den 7862 zur Zeit offenen Bugs sind: 117 als 'blocker', 229 als 'critical' und 568 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Gentoo's Team for Core System packages, mit 32 geschlossenen Bugs
• Java team, mit 26 geschlossenen Bugs
• AMD64 Porting Team, mit 26 geschlossenen Bugs
• media-video herd, mit 25 geschlossenen Bugs
• Gentoo Games, mit 21 geschlossenen Bugs
• Gentoo X-windows packagers, mit 15 geschlossenen Bugs
• Gentoo Security, mit 15 geschlossenen Bugs
• Tim Yamin, mit 13 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Gentoo Sound Team, mit 30 neuen Bugs
• AMD64 Porting Team, mit 21 neuen Bugs
• media-video herd, mit 20 neuen Bugs
• optical media herd, mit 19 neuen Bugs
• Gentoo X-windows packagers, mit 17 neuen Bugs
• Gentoo Linux Gnome Desktop Team, mit 14 neuen Bugs
• Gentoo's Team for Core System packages, mit 11 neuen Bugs
• Gentoo VMWare Bug Squashers, mit 10 neuen Bugs

8.  Tipps und Tricks

Denu - ein Menügenerator für verschiedene Window Manager

Wechseln Sie häufig zwischen Fluxobx, Gnome und KDE? Möchten Sie noch mehr Window Manager ausprobieren, wenn da nicht das Problem mit fehlenden Anwendungen in den Menüs wäre? Der Tipp dieser Woche bringt eine Lösung für genau dieses Problem: Denu ist ein brandneues Tool, dass Sie bei der Erstellung von Menüs unterstützt. Es kann ähnlich strukturierte Menüs für verschiedene Window Manager herstellen, um den Wechsel zwischen diesen so einfach wie möglich zu machen. Denu synchronisiert sich mit einer Online Datenbank um eine Aktualisierung von Programmdefinitionen ohne Software Update zu ermöglichen, und das beste: Portage selbst liefert die Daten zu installierten Programmen!

# cd $PORTDIR_OVERLAY/x11-misc/denu Erstellen Sie das passende Overlay (Denu ist noch nicht im Portage Tree)
# wget http://dl.sourceforge.net/sourceforge/denu/denu-2.1.2-r1.ebuild
# emerge denu

Bevor wir jetzt weitermachen sollten Sie alle Konfigurationsdateien die Sie nicht überschreiben wollen sichern. Führen Sie denu als normaler Benutzer ist. Denu ist nicht gedacht um es mit Root Rechten auszuführen.

Abbildung 8.1: Screenshot of menu creation with Denu

Die ersten Schritte nach der Installation sind Update (für Programmdefinitionen) und Sysupdate (für eine Liste aktuell installierter Programme). Keiner dieser Schritte wird beim Programmstart ausgeführt, so dass nach der Installation einer neuen Anwendung via Portage Sysupdate erneut ausgeführt werden muss.

Um ein Menü zu erstellen gibt es zwei Ansätze: Manuelle Auswahl installierter Programm und Übernahme dieser in das Menü, oder die Nutzung der Autofill Funktion, bei der Denu automatisch ein Menü mit den vorliegenden Informationen erstellt. Ein neu erstelltes Menü zu sortieren ist mittels "Drag and Drop" möglich, Menüsysteme befolgen die Reihenfolge; ausgenommen KDE und Gnome welche das Menü alphabetisch sortieren. Klicken Sie nun auf generate und dann auf einer der Boxen, die zu Ihrem Window Manager oder Desktop Environment passt. Einige Window Manager wie Fluxbox können das Menü direkt benutzen, einige andere müssen evtl. rekonfiguriert oder neugestarted werden.

Denu befindet sich noch unter aktiver Entwicklung, aber der Autor Shux hat den halben Portage Tree nach Programmen durchsucht, die in einem GUI Menü gebraucht werden könnten. Für die andere Hälfte (oder Dinge die in Zukunft hinzugefügt werden müssen) gibt es ein Tool um andere Anwendungen hinzuzufügen. Programme und Kategorien hinzuzufügen ist so einfach wie sie hin und her zu schieben. Für Fragen und Antworten aller Art schauen Sie in den Denu 2.0 Thread in den Foren.

9.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Keine diese Woche.

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

• Benedikt Böhm (hollow) - Apache
• Saleem Abdulrasool (compnerd) - Java

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Lance Albertson (Ramereth) - Neu Dev für netmon et al. (zusätzlich zu seinen Aufgaben im Infrastrukturteam)
• Danny Van Dyk (Kugelfang) aund Mike Doty (KingTaco) - AMD64 operational co-leads (Übernimmt von Travis Tilley)
• Jeremy Huddleston (eradicator) - Recruiting co-lead

10.  Zum GWN beitragen

Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail

11.  GWN Feedback

Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen.

12.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:

• Holländisch
• Englisch
• Deutsch
• Französisch
• Japanisch
• Italienisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Spanisch
• Türkisch