Gentoo Logo

Gentoo Weekly Newsletter: 21. Februar 2005

Inhalt:

1.  Gentoo Nachrichten

Boston Linux World Expo: Der Après-Show Report

Die Linux World Conference an Exposition fand letzte Woche statt, im Hynes Convention Center in Bosten, Massachusetts, USA. Gentoo Linux hatte einen Stand im .org Pavilion, eingenistet zwischen dem freundlichen Volk von Feodora und den lieben Leuten vom Linux Terminal Server Projekt. Zu sehen war eine Zusammenstellung der vielen System und Architekturen, für die Gentoo verfügbar ist. Der Hingucker war natürlich der kleine Mini Mac mit dem riesen Panorame Bildschirm, mitgebracht von Daniel Ostrow. Daneben war Daniel's Sparc Ultra 60, mehrere x86 Laptops, ein AMD64 und ein paar embeddes Goodies, mitgebracht von Mike Frysinger.

Ein komplettes Team von Freiwilligen hat geholfen den Stand zu "betreiben". Neben Mike und Daniel haben Seemant Kulleen, Chris Gianelloni, Dylan Carlson, Jeffrey Forman, Peter Johanson, Luke Macken (lewk), Rajiv Manglani, Andy Fant, Chris Aniszczyk und Aaron Griffis geholfen.


Abbildung 1.1: Boston LWE Gentoo booth staff

Fig. 1: devs-in-a-row

Notiz: Vorne, von links nach rechts: Andrew Fant, Chris Gianelloni, Mike Frysinger, Rajiv Manglani. Chris Aniszcszyk lehnt über dem Tisch, genau unter dem Gentoo Poster, alle anderen sind Besucher.

Neben dem ewigen Bedarf an CDs (welche wir hatten) und T-Shirts (welche wir nicht hatten), gab es einen ständigen Strom von Interessenten an der PPC Ausgabe und eine erfreuende Menge von Kommentaren von Leuten, die realisiert haben, das Gentoo eine Rolle in der Gesellschaft hat. Daneben gab es auch einen Blick auf das kommende Gentoo-based startup, welches benutzerdefinierte binary Pakete unterstützt, um mehr Nutzer durch standard Portage Mechanismes zu bekommen. Ein Highlight der Woche war das Anti-bof, wobei 30-40 Anwender und Entwickler sich im obersten Stockwerg des Globe and Grill getroffen haben um die Chance zu haben, sich zu treffen und kennenzulernen.

Dies war das erste Jahr, in dem die LWE in Boston anstelle von New York stattfand, und jeder Verantwortliche fand, es war gelungen. Die Anzahl der Aussteller war um 20% erhöt gewesen und die Besucherzahlen ebenfalls. Es sieht so aus, als ob die LWE im Winter zurück kommt, also lasst uns Pläne für nächste Jahr machen. Vielen Dank an jeden, der geholfen hat, unsere Show zu einem Erfolg zu machen. Für die an der Westküste, die LWE wird vom 08. bis 11. April in San Fransico sein. Bist Du interessiert am Gentoo Stand zu helfen, kontaktiere bitte das PR Team.

Letzter Aufruf für FOSDEM

Mehr als 40 Gentoo Entwickler, Aktivisten und extrem Anwender haben ihr Erscheinen bei der diesjährigen FOSDEM angekündigt, vom 26. bis 27. Februar in Brüssel, an der Université Libre de Bruxelles. Die lokalen Jugendherbergen sind buchstäblich überlaufen, von den Teilnehmern des DevRoom, organisiert von Gentoo, auf europas größter Open-Source Konferenz. Das ausschweifende Nachtleben in Brüssel wird es schwer machen, den engen Zeitplan für das Gentoo Entwickler Treffen am Sonntag morgen, zu halten.

Freien Eintritt auf der Gentoo UK Konferenz

Gesichert durch das Sponsoring der University of Salford und dem London Internet Exchange, LINX, kann der Eintritt für die Mancunian Gentoo UK Conference, geplant für 12. März in der Manchester's University of Salford, kostenlos sein. Teilnehmer werden gebeten, sich zu registrieren, um den freien Eintritt nutzen zu können. Die Registrierung ist ab sofort möglich.

Einfache Nutzung von Gentoo RSS Feeds

Michael Kohl hat eine OPML Datei erstellt, die es erlaubt sich an 3 RSS Feeds von Gentoo auf einmal anzumelden, z.B. die Gentoo Linux News, rausgebracht auf der Gentoo Website, den Gentoo Linux Security Announcements (GLSAs) und dem Feed für x86 Pakete. Viele RSS-Programme erlauben es, eine OPML Datei zu importieren, damit die Eintragungen vereinfacht werden.

2.  Future Zone

Gentoofizierte Kuro-Box

Die Kuro-Box ist eine toasterförmige PowerPC NAS Einheit (Network Attached Storage) speziell für Linux Hacker, welche zumindest Teile ihrer Anziehungskraft dem cleveren Namen zu verdanken hat: viel besser als dessen englische Übersetzung von "black" (schwarz) bereits wirkt, das "kuro" der Kuro-Box zielt sowohl auf die Farbe und auf das Geheimnisvolle, was sich vielleicht im Dunkeln verbirgt. Basiert auf einem Freescale MPC8241 (ein 603e Prozessor) existieren zwei Varianten:

  • das Original mit 200MHz und 64MB RAM, einem 100Mb Ethernet Controller und einem USB Anschluss (etwa 160 USD ohne Festplatte)
  • die HG Version mit 266MHz und 128MB RAM, einem 1GB Ethernet Controller und zwei USB Anschlüssen (240 USD ohne Festplatte)

Mit der Tatsache, dass sie von Buffalo Technologys "LinkStation"-Speichergeräten hervorgebracht wurde, ist sie die wahrscheinlich günstigste momentan erhältliche Linux/PPC Entwicklungsumgebung.


Abbildung 2.1: Der neue Name für Netzwerkspeicher: Buffalo's Kuru-Box.

Fig. 1: Kuro-Box

Die Geschichte der Kuro-Box beginnt Anfang 2004 in Japan, als ein Schwesterunternehmen von Buffalo, Kurouto Shikou, sich dazu entschloss, ältere LinkStation Erfindungen auf dem "Power User" Markt zu verkaufen. Daher ist die größte Kuro-Box Hacker-Community japanisch, wie aktiv sie ist sieht man auch an der Menge an Dokumentationen auf deren Linkstation Wiki oder auf dem Blog von Yasunari Yamashita. Seit einigen Monaten wird die Kuro-Box auch in den USA und in Europa durch Revogear vertrieben, so gibt es nun auch eine neue, nicht-japanische Community mit vielen englischen Informationen in einem Forum und einem Wiki.

Seit die Kuro-Box vor einem Jahr auf den Markt kam, gab es in beiden Communitys Versuche, die Hersteller-Firmware durch eine generische Linux Distribution zu ersetzen. Die originale Firmware ist zu sehr NAS-orientiert, so wurde sie z.B. speziell entwickelt, um ein Datei oder Druckerserver zu sein. Daneben würde eine vollständige Linux Distribution leichtes Experimentieren zulassen und das ganze Potential der Plattform freilegen. Sogar Gentoo Systeme wurden versucht, in die Kuro-Box zu bringen: jmgdean hat eine Gentoo Total Conversion alpha1 veröffentlicht, viel Arbeit wurde innerhalb der japanischen Community aufgebracht. Jedoch waren all diese frühen Versuche vermischte Installation von Gentoo Linux unter Beibehaltung der originalen Firmware: so waren die Toolchains noch basierend auf dem gcc-2.95, viele Dateien waren nicht in den Händen von Portage und es war noch unfreier Code enthalten. Dagegen ist meine beta1 Release vollständig aus den Quellen entstanden, und zwar exklusiv durch Portage. Sie setzt sich wie folgt zusammen:

  • ein Stage 3 Image bereit für die direkte Installation auf eine frische Festplatte, die originale Firmware wird vollständig ersetzt
  • ein Portage Overlay, mit einigen neuen und modifizierten Ebuilds
  • ein angepasstes Portage Profil, basierend auf Gentoo PPC 2004.3
  • viele zusätzliche binäre Pakete, diese sollten die meisten Anforderungen an ein System dieser Art bewältigen

Die Installation verläuft zum größten Teil wie eine "normale" Gentoo Installation, jedoch beginnt sie in dem so genannten "EM Modus", in welchen die Box bootet bevor sie eingerichtet wurde. Dies ist eine sehr minimalistische Umgebung mit Zugangsmöglichkeiten via FTP und Telnet. So hat man die Möglichkeit, die Festplatte vorzubereiten und per chroot das Stage 3 Image zu installieren. Danach schaltet man die Box in den "normalen Modus", so dass nun hoffentlich das frische Gentoo System (zugänglich via SSH) gebootet werden kann. Detaillierte Anleitungen befinden sich in einem Wiki.

Bekannte Limitierungen und Arbeit für die Zukunft

Das Einzige, was sich nicht so leicht hacken lässt, ist der Inhalt des FlashROM, z.B. das EM Mode System und der Kernel. Das Format des Flash Image ist gut bekannt und dokumentiert (zumindest auf einigen japanischen Webseiten), jedoch gibt es im Gegensatz zu vielen anderen Linux-basierten Geräten keine Möglichkeit, nach einer fehlerhaften Modifizierung zum Originalzustand zurückzukehren - ein Fehler beim Flaschen oder ein falsch konfigurierter Kernel führen zur Zerstörung. Dies ist der Grund, weshalb die meisten User immer noch den originalen 2.4.17 Kernel, welcher ganz und gar nicht perfekt ist, verwenden. Es wurden bislang zwei Wege erkundet, um diese Limitierung zu umgehen:

  • Einen Bootloader in das FlashROM installieren: U-Boot wäre wahrscheinlich die beste Wahl, aber dieses Projekt ist noch zu jung, um einen Verfügbarkeitstermin vorauszusagen.
  • Den laufenden Kernel dynamisch ersetzen: Dies wurde durch Jochangs Arbeit möglich, mittels Ladens eines einfachen Kernel Moduls. Diesen Kerneltausch in in Boot-Prozess aufzunehmen ist das Hauptziel für Gentoo beta2 (mit allem was dazugehört, wie ein gutes Packen der kuroifizierten Kernelquellen, uvm.)

Weite Aufgaben für die Zukunft:

  • Verbesserung am Distributions System: im Besonderen rsync anstelle von Tarballs für Overlay und Profil verwenden
  • Wegen großer Nachfrage meta-Ebuilds hinzufügen, um einen gewöhnlichen Einsatz als "Mail Server" oder "MacOSX-freundlichen Server" leicht zu machen. Oder einige angepasste "Stage 4" veröffentlichen.
  • Einige kleinere Verbesserungen im ganzen Feld, wie besseren LED Status, vielleicht ein paar mehr vorkompilierte Module für den Hersteller-Kernel, etc.
  • Vielleicht einen (halb)automatischen Installationsprozess (mittels LiveCD?): für einige User ist die Installation von Gentoo über Telnet auf einer Kuro-Box ihre erste Erfahrung mit Linux, und das erscheint als etwas zu viel auf einmal...

Notiz: Der Autor Thomas de Grenier de Latour (TGL) ist ein Gentoo Forum Moderator, verantwortlich für das französischsprachige Forum. Er wird eine Kuro-Box zur FOSDEM in Brüssel am kommenden Wochenende mitbringen, wenn du also mehr über diese kleine Box lernen willst oder sie einfach nur in Aktion sehen willst, komme in den Gentoo DevRoom.

3.  Gentoo security

PowerDNS: "Denial of Service" - Verwundbarkeit

Eine Verwundbarkeit in PowerDNS könnte zu einem vorrübergehendem "Denial of Service" führen.

Für weitere Infos siehe die GLSA Meldung

ht://Dig: Cross-Site Skripting - Verwundbarkeit

ht://Dig ist verwundbar für Cross-Site - Skripting Attacken.

Für weitere Infos siehe die GLSA Meldung

Opera: Mehrere Verwundbarkeiten

Opera hat mehrere Verwundbarkeiten, die zur Preisgabe von Informationen führen oder die Ausführung von beliebigem Code ermöglichen könnten.

Für weitere Infos siehe die GLSA Meldung

VMware Workstation: Nicht-vertrauenswürdige Bibliothekssuchpfade

VMware könnte gemeinsam genutzte Bibliotheken von nicht vertrauenswürdigen, von allen beschreibbaren Verzeichnissen laden, was in der Ausführung von beliebigem Code resultieren könnte.

Für weitere Infos siehe die GLSA Meldung

PostgreSQL: Pufferüberlauf im PL/PgSQL Parser

PostgreSQL ist verwundbar für mehrere Pufferüberläufe im PL/PgSQL Parser, was zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

Emacs, XEmacs: Stringformatierungsverwundbarkeit in movemail

Das movemail Utility, was mit Emacs und XEmacs kommt, enthält mehrere Stringformatierungsverwundbarkeiten, was möglicherweise zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

lighttpd: Preisgabe von Skriptquellen

Ein Angreifer könnte lighttpd dazu bringen, Quellen der Skripte, die von CGI oder FastCGI - Anwendungen ausgeführt werden sollen, preizugeben.

Für weitere Infos siehe die GLSA Meldung

wpa_supplicant: Pufferüberlaufverwundbarkeit

wpa_supplicant enthält einen Pufferüberlauf, der zu einem "Denial of Service" führen könnte.

Für weitere Infos siehe die GLSA Meldung

KStars: Pufferüberlauf in fliccd

KStars ist anfällig für einen Pufferüberlauf, der zur Ausführung von beliebigem Code mit erweiterten Rechten ausgenutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

Midnight Commander: Mehrere Verwundbarkeiten

Midnight Commander enthält mehrere Stringformatierugsfehler, Pufferüberläufe und ein Pufferunterlauf, was zur Ausführung von beliegem Code führt.

Für weitere Infos siehe die GLSA Meldung

Squid: "Denial of Service" durch DNS - Antworten

Squid enthält einen Bug in der Bearbeitung von DNS - Antworten, was zu einem "Denial of Service" führt.

Für weitere Infos siehe die GLSA Meldung

GProFTPD: gprostats Stringformatierungsverwundbarkeit

gprostats, was mit GProFTPD verteilt wird, ist verwundbar bei der Stringformatierung, was möglicherweise zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

gFTP: "Directory Traversal" - Verwundbarkeit

gFTP ist verwundbar für "Directory Traversal" - Attacken, was möglicherweise zur Erstellung oder zum Überschreiben von beliebigen Dateien genutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

4.  Gehört in der Community

gentoo-dev

Gentoo in Emulatoren benutzen

Nach einer nicht funktionierenden Installation von Gentoo auf MS VirtualPC fragte ein Nutzer welche Erfahrungen andere mit Gentoo in emulierten Umgebungen ge,acht haben. Lies weiter für eine nette (Win32-zentrische) Sammlung von Nutzererfahrungen.

Geschwindigkeitsverbesserungen an Portage

Ein weiterer Nutzer fand einen Flaschenhals in Portage dessen Entfernung die Startzeit um mindestens 50% verkürzt. Auch wenn das ein extremes Beispiel ist, zeigt es, dass die Geschwindigkeit von Portage weit entfernt vom Optimum ist.

GLEP33: Eclass Restrukturierung

Nach den großen Flamewars, als jemand das letzte Mal versuchte die Art wie Eclasses benutzt und gehandhabt werden zu ändern, bieten John Mylchreest und Brian Harring eine neue und wirklich umfassende Anregung. Sie kann unter http://dev.gentoo.org/~johnm/files/glep33.txt gefunden werden.

Laufzeit und Entwicklerpakete

Stuart Herbert bietet einige Gedanken bezüglich dem splitten vom Ebuilds an: "Seit Jahren hat RedHat viele ihrer Pakete in zwei Teile unterteilt .. Ein Teil enthält alles was zur Laufzeit nötig ist und ein anderers, 'devel'-Paket, dass die Header-Dateien und so weiter enthält, welche nur benötigt werden wenn man Software erstellen möchte. Eine Sache, die dadurch sehr schön möglich ist, ist es einen Server auszusetzen ohne Compiler etc. installieret zu haben. Je weniger drauf ist, desto weniger ist zu verwalten, upzugraden, durch Schwarzhüte zu missbrauchen, etc. etc.". Aber wie es aussieht gibt es auch gute Gründe, die Dinge auf "Gentoo-Weise" zu handhaben. Lies die Diskussion für die Pros und Contras beider Ansätze.

5.  Gentoo in den Medien

Security Focus (14 Februar 2005)

Nachdem letzte Woche über den Gentoo Entwickler und Leiter des Gentoo Linux Sicherheitsteams Thierry Carrez berichtet wurde, hat er letzen Montag eine eigene Kolumne geschrieben: "Mehr Sicherheitswarnungen, mehr Sicherheit" ist der Titel seines Beitrages über die Softwaretester der Linux Distributoren und die Gesamtsicherheit für die Benutzer. "Mehr Sicherheitswarnungen eines Softwareherstellers sollten nicht unbedingt als schlechte Nachrichten bewertet werden. Es gibt immer Fehler in Software und eine Warnung bedeutet, dass einer dieser Fehler gefunden und behoben wurde", erklärt Thierry. "Es bedeutet auch, dass die guten Jungs ihre Hausaufgaben gemacht haben und ein Problem weniger von den bösen Jungs zum Schaden aller ausgenutzt werden kann."

Linux Times (14 und 18 Februar 2005)

Ein auffallender Installationsbericht aus Österreich wurde unter dem Titel "Eine Woche mit Gentoo Linux" letzten Montag in dem Online-Magazin Linux Times publiziert. Der Artikel beschreibt detailiert die Installation von Gentoo auf einer etwas älteren Hardware und versucht den Mythos, dass Gentoo schwer "bedienbar" wäre zu widerlegen: "Wenn es eine Liste der grössten Linux Klischees gäbe, würde 'Gentoo ist schwer zu installieren' ganz oben in der Liste stehen. Ich verrate Ihnen ein kleines Geheimnis: Gentoo ist einfach zu installieren", sagt der Autor Imre Kálomista, ein Student an der Universität Wien. Einige Tage später war Gentoo beim Vergleich von Vidalinux zu einem "echten" Gentoo System wieder ein Thema auf Linux Times. Der Artikel schliesst mit der Bemerkung, dass der binäre Gentoo-Clone aus Puerto-Rico überraschenderweise die Unterstützung von Binärpaketen vermissen lässt, dafür aber eine Clubmitgliedschaft für den Zugriff auf vorkompilierte Pakete erwähnt.

Cuddletech blog (12 Februar 2005)

Xorg 6.8.2 & Composite ist der Titel für Ben Rockwood's Blog-Eintrag über die neuen Transparenz-Funktionen von Xorg, mit einer netten Erwähnung von Gentoo bei der Einfachheit der Installation. "Dank Gentoo habe ich einfach mein XFree runtergeschmissen (unmerge) und Xorg 6.8.2. installiert"

6.  Bugzilla

Zusammenfassung

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 13. Februar 2005 und 20. Februar 2005 resultierten in:

  • 813 neuen Bugs
  • 447 geschlossenen oder gelösten Bugs
  • 20 wiedergeöffneten Bugs

Von den 8040 zur Zeit offenen Bugs sind: 101 als 'blocker', 240 als 'critical' und 596 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

7.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

  • Keine diese Woche.

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

  • David Gümbel (ganymede) - wine

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

  • Keine diese Woche

8.  Zum GWN beitragen

Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail

9.  GWN Feedback

Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen.

10.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:



Drucken

Seite aktualisiert 21. Februar 2005

Zusammenfassung: Der Gentoo Weekly Newsletter der Woche vom 21. Februar 2005.

Ulrich Plate
Editor

Andrew Fant
Author

Thomas de Grenier de Latour
Author

Patrick Lauer
Author

Marc Herren
Übersetzer DE

Markus Luisser
Übersetzer DE

Nadi Sarrar
Übersetzer DE

Tobias Matztat
Übersetzer DE

Martin Ebner
Übersetzer DE

Daniel Gerholdt
Übersetzer DE

Matthias F. Brandstetter
Übersetzer DE

Tobias Scherbaum
Übersetzer DE

Thomas Raschbacher
Übersetzer DE

Tobias Hansen
Übersetzer DE

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.