Gentoo Weekly Newsletter: 7. März 2005

1.  Gentoo Nachrichten

Gentoo 2005.0 security rebuild

Eine Reihe von exploitable bugsin gaim und mozilla-firefox und in qt und kdelibs, wurden kurz vor der Veröffentlichung von Gentoo Linux 2005.0 entdeckt. Obwohl dies die nur Stunden vor der Fertigstellung den Ablauf behinderte, entschied das Entwicklerteam die Bugs zu übergehen und die Medien umzubauen und die Bugs zu entfernen, bevor das Release veröffentlicht wird. Danke an das Gentoo Sicherheits Team, dass die Bugs gefunden wurden, und an die Entwickler, dass sie die Verzögerung mitgemacht haben und noch einmal die Buils auf ihrer Architektur zu testen!

Gentoo staging/master rsync server migrated

Danke für die Spende eines Opteron 246 Servers von Nvidia. Gentoo lässt nun den staging- und master rsync mirror auf der neuen Hardware laufen. Lance Albertson und Nick Jones haben die Portage Regeneration mit wenigen oder garkeinen Fehlern am letzen Mittwoch abgeschlossen. Dieser Server synchronisiert sich alle 30 Minuten vom CVS, dann regeneriert er den depcache was eine Menge I/O und Zeit brauchen kann. Der alte Server war ein einziger Pentium III 1GHz, welcher die Regeneration in 10-30 Minuten schaffte. Der neue Opteron Server braucht für die gleiche Arbeit 1-2 Minuten. Dies ist eine umglaubliche Verbesserung, die es uns erlaubt weiterzumachen, wie der Baum weiterwächst. Nur eine Notiz, die Update Frequenz hat sich nicht geändert, so verschwendet nicht Eure Zeit und versucht nicht alle 2 Minuten upzudaten.

Ebenso sind die meisten gespiegelten Dateien auf den neuen Server umgezogen, einen Monat zuvor, mit Außnahme der distfiles. Auf dem alten Server ist uns der Speicherplatz ausgegangen, auf dem neuen habern wir genug davon. Nick Jones arbeitet gerade an einem besseren Skript, um die vermissten distfiles zu finden und um bei den alten aufzuräumen. Hoffentlich können wir in der nächsten Woche dieses Skripte in Betrieb nehmen, um Speicherplatz zu sparen, damit wir ihn für andere Projekte nutzen können.

Forum software updates

Es wurden mehrere Software Erweiterungen dem Forum hinzugefügt, so dass bald eine eigene Rubrik nötig wird. Die Frequenz der Updates war in den letzten Wochen sehr hoch, sie haben aber nur die Grundlage für größere Vorhaben gelegt. Es wird noch mehr kommen, besonders die "Misson UTF-8", ein voranschreitener Prozess, um das Forum komplett auf Unicode umzusetzen.

Drei wichtige Changes wurden in den letzten zwei Wochen gemacht:

• Wir haben added jabber zu den Userprofilen hinzugefügt.Christian Hartmann hat ein Jabber-Mod for the phpBB 2.0.x branch erstellt. Forum user ptlis hat dies anschließen mit seinem eigenen Jabber-Mod zusammengebracht.
• Das subSilver und das Gentoo-Lite Theme wurden entfernt, hauptsächlich um die Entwichlung zu beschleunigen und um potentielle Fehlerquellen auszuschließen. Es tut uns leid, aber es ist offensichtlich, dass die Entwicklung für die Administratoren einfacher ist, ohne diese wenig genutzten Themes. Das Standard Gentoo Theme ist das einzige, welches behalten wurde, weil es von der Mehrheit genutzt wird, von 80.000 registrierten Nutzern haben nur 450 das subSilver und 4500 das Gentoo-lite Theme gewählt.
• Manche Anpassungen wurden an der Textbox in Postview Fenster gemacht. Danke an die tolle Forums Gemeinschaft, die dies verfolgt hat.

System application reshuffle: Heads up!

In einer eiligen Aktion, welche mehr als 200 Pakete aus der sys-apps Kategorie betrifft, hat Ciaran McCreesh ziemlich viel zu tun, diese in andere, existierende Zweige des Trees einzuordnen. Die Pakete, um die es hier geht, sind in einer Datei aufgelister, die aud Ciaran's Devspace liegt. Findest Du Probleme mit diesen Paketen, melde bitte einen bug oder setze Dich direkt mit Ciaran in irc.freenode.net in Verbindung.

Looking for testimonials on Gentoo business usage

Eine Sache, auf die wir immer achten ist, Information über die Leute zu bekommen, die Gentoo einsetzen, um ihr Leben einfacher zu machen. Dies kann alles sein, von Renderfarmen, die unter Gentoo laufen, bis zu Desktop Systemen oder der Firewall einer kleinen Firma. Information, wie diese, kann uns helfen zu erfahren, wofür Gentoo eingesetzt wird, und worauf wir unseren Fokus richten müssen. Hast Du eine Gentoo Success Story, würden wir sie liebend gerne hören! Informationen über einen großen Einsatz oder den Einsatz in einem ungewöhnlichen Markt ist hautptsächlich, was wir suchen. Schicke Deine Story an usage-feedback@gentoo.org, noch heute.

2.  Entwickler der Woche

"Das beste an Gentoo ist die Gemeinschaft." -- Albert Hopkins (marduk)

Abbildung 2.1: Albert Hopkins aka marduk

Der Entwickler der Woche ist diesmal Marduk, Mitglied in der Infrastruktur-Gruppe und verantwortlich für die Entwicklung und Wartung des wunderbarsten Teils der Gentoo Webseite, der Online Paketdatenbank. Er interessiert sich zwar für viele verschiedene Bereiche von Gentoo, aber die Paketdatenbank aktuell zu halten, Fehler zu beseitigen und weiterzuentwickeln, nimmt den Großteil seiner Freizeit in Anspruch. Das hält ihn aber nicht davon ab an der Neugestaltung der Webseite mitzuwirken und er hat viele Ideen für die neue Seite, zu viele um sie hier anzuführen...

Abbildung 2.2: A view of things to come: Refurbishing the package database

Gentoo ist derzeit das wichtigste OSS Projekt, aber Marduk entwickelt schon seit einigen Jahren Open-Source Software. So ist er zum Beispiel der Entwickler von Linbot, einem Python Web Robot und Link-Überprüfungstool das bereits einige Anerkennung - zum Beispiel Tests in Linux Magazinen, die Aufnahme in Distributionen sowie einem Python Buch - gefunden hat. "Ich bin ein leidenschaftlicher Python Entwickler seit 1997. Obwohl ich manchmal auch andere Programmiersprachen ausprobiere, komme ich doch immer wieder zu Python zurück." Leider erhielt er eines Tages eine Aufforderung zur Einstellung von Linbot bekommen, weil der Name zu sehr an ein komerzielles Produkt erinnerte. Die kleineren Programme an denen er arbeitet sind auf seiner Softwareliste zu finden.

Marduk ist ein Systemadministrator für Linux und Linux-ähnlichen Systemen in einem grossen amerikanischen Medizinlabor. Er besuchte die Cornell Universität im Fach Elektrotechnik, beendete aber das Studium nicht. Er arbeitete in einer Einrichtung für Supercomputer und ist nach wie vor an Hochleistungsrechner interessiert - leider hat er nicht das nötige Kleingeld für die Hardware. Sein derzeitiger Rechner wurde erst vor Kurzem auf einen AMD64 aufgerüstet und er versichert "dass er alle Optimierungen durchgeführt hat". "Die erste Applikation die ich starte ist Evolution und in der Taskliste findet sich meist auch vim, epiphany, gnome-terminal und selbstverständlich python."

Marduk lebt in Dallas. Er ist Single (bereit für Anträge) und seine Hobbies sind - neben Computern - Filme, lange Fahrten mit seinem Audi TT Roadstar, Musik, Ruhe, Wissenschaft und Soziologie.

3.  Gentoo International

Deutschland: Chemnitzer Linuxtage

Lars Weiler, Tobias Scherbaum und Jens Blaesche ("Mr. Big") vertraten Gentoo an den diesjährigen Chemnitzer Linuxtage, eine Konferenz und Austellung in Ost-Deutschland Sachsen Region welche erheblich zur ersten Ausgabe im letzten Jahr gewachsen ist. Es gab mehr Vorträge mit besseren Präsentation im Hauptgebäude, die üblichen "Verdächtigen" in der Ausstellugnshalle sowie eine grosse Menschenmasse, hauptsächlich von Sachsen selbst aber auch Interessierte aus ganz Deutschland. Der Gentoo Stand war bestück mit einer Pegasos sowie einer Sun Ultra10 beide mit Gentoo und der vor kurzem eingeführten /dev/snack Erfindung aus Brüssel, eine Box mit süssen Snacks, begeisterte das Publikum. Anerkennend für das Gentoo-Stand-Team, welches auch letztes Jahr gleichbesetzt vorort war, waren Personnen welche letztes Jahr noch fragten "Was ist Gentoo?" dieses Jahr mit "Portage addict" T-Shirts und Laptops auf welchen Gentoo lief zurückkammen. Eine Deutsche Version der Fizzlewizzle LiveDVD (siehe FOSDEM Bericht von letzter Woche), ergänzt mit KDE und den distfiles sources, war der Top-seller an diesem regionalen Anlass , vorallem da in diesem Teil von Deutschland die Breitbandanschlüsse rärlich sind.

Abbildung 3.1: Left: Gentoo booth, center: Pylon, right: dertobi123 and Mr. Big

Internationaler Anlasskalender

Zwei Anlässe sind für nächstes Wochenende geplannt, eines in Manchester wo Stuart Herbert UK Gentoo-Entwickler sowie Anwender zur zweiten Gentoo UK Konferenz erwartet und eine Austellung in Lörrach (Deutschland, an der Grenze zur Schweiz) mit einem Gentoo Stand.

• Gentoo UK Konferenz - Samstag, den 12 März in Manchester, UK: University of Salford. Achtung: Der gemeinse Freitagabend vor der Konferenz startet um 19:30 im Stay Inn.
• IT/Linux Days 2005 - 11 bis 14 März in Lörrach, Deutschland: Regio-Messe Lörrach

4.  Gentoo in den Medien

Linux Format (Ausgabe 65)

Das Leser des englische Magazin's "Linux Format" haben das beste Open-Source Projekt 2004 bestimmt. Gentoo erhielt gleich in 2 der 3 Kategorien in denen es nominiert war eine Auszeichnung: "Bester Support" für die Gentoo Foren "zweifelsohne verstärkt durch den enormen Zuwachs an Benutzern" und den Preis für die "beste Distribution" vor den Favoriten Mandrake, Fedora und SuSE. Linux Format merkt an "mit einem merklichen Abstand gewinnt eine relativ neue Distribution die eine Vielzahl von neuen Anhängern in den letzten zwölf Monaten fand -- Gentoo. Gut gemacht!"

FAZ (7 März 2005)

Im Vorfeld der Cebit in Hannover veröffentlichte eine der grössten Deutschen Tageszeitungen in der letzten Montagsausgabe einen Artikel mit dem Titel "Programmieren zum Wohl der Menschheit", geschrieben von Detlef Borchers. "Wenn sich eine Messe als größte Computermesse der Welt etabliert hat, braucht sie unmittelbaren Bedeutungsverlust nicht mehr zu fürchten. Und doch hat die Cebit, die am Donnerstag ihre Tore öffnet, ein Problem. Der größte Softwarekonzern der Welt, Microsoft, hat dasselbe Problem. Und nicht nur er," schreibt Borchers über den Aufstieg von Open-Source. Gentoo wird in einem Absatz über die Höhepunkte der FOSDEM in Brüssel - die Borcher als "traditionelles Hacker-Großtreffen" bezeichnet - erwähnt und beschreibt die Wege der Open-Source Bewegung, die mitunter für Menschen aus einer reinen Microsoft Umgebung merkwürdig erscheinen. Für ihn klingen Gentoo und die anderen "Clans" auf der FOSDEM "wie spanische Dörfer, doch dahinter verbergen sich lebenswichtige Softwarekonstrukte."

5.  Tipps und Tricks

Emerge flags deserving more attention

Es gibt einige Flags, die emerge unterstützt werden, die Ihnen einen tieferen Einblick in das geben, was gemacht wird, bzw. gemacht werden soll. Wir haben bereits einige beschrieben, die in Portage 2.0.51 neu hinzugekommen sind, heute stellen wir einige ältere vor. Hier ist ein kurzer Blick auf zwei von diesen Flags:

Bestimmt häufiger benutzt ist das Erste, --verbose oder -v. Es zeigt die von einem Paket angebotenen USE Flags an, welche aktiviert und welche deaktiviert sind. Wenn Sie emerge mit dem --newuse Flag ausführen, werden bei neu hinzugekommenen oder bisher deaktivierten USE Flags Sternchen angezeigt. Weiterhin wird die Downloadgröße für das Paket, wie auch die Downloadgröße für alle Pakete angezeigt.

Das zweite ist --tree oder -t. Dies zeigt deen Abhängigkeitsbaum, mit aufgelösten Abhängigkeiten an. Hier ist ein kleines Beispiel, dass diese Flag demonstriert:

[ebuild  N    ] x11-plugins/gkrellm-sensors-0.1  (Dies sagt uns, dass gkrellm-sensors
[ebuild  N    ]  app-admin/gkrellm-1.2.13        (gkrellm und lm_sensors benötigt,)
[ebuild  N    ]  sys-apps/lm_sensors-2.8.7       (und lm_sensors i2c benötigt.)
[ebuild  N    ]   sys-apps/i2c-2.8.7  

Mit der Kombiantion von --verbose und --tree bekommen Sie einen viel tieferen Einblick in das, was emerge macht. Eigentlich ist es nicht notwendig zu erwähnen, dass dies die Kontrolle über die USE Flags neuer und bereits installierter Pakete deutlich einfacher macht.

6.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Keine diese Woche.

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

• Andrew Fant (JFMuggs) - Infrastructure
• Eric Edgar (rocket) - Catalyst/Genkernel

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Keine diese Woche

7.  Gentoo Security

MediaWiki: Mehrere Verwundbarkeiten

MediaWiki ist verwundbar für "Cross-Site Skripting"-, Datenmanipulations- und Sicherheitsumgehungsattacken.

Für weitere Infos siehe die GLSA Meldung

Qt: Nicht-vertrauenswürdiger Bibliothekssuchpfad

Qt könnte gemeinsam nutztbare Bibliotheken von nicht-vertrauenswürdigen und von jedem beschreibbaren Verzeichnissen laden, so dass beliebiger Code ausführbar wäre.

Für weitere Infos siehe die GLSA Meldung

phpBB: Mehrere Verwundbarkeiten

Mehrere Verwundbarkeiten erlauben entfernten Angreifern phpBB- Administratorrechte zu erlangen oder sensible Daten bloßzulegen oder zu manipulieren.

Für weitere Infos siehe die GLSA Meldung

Gaim: Mehrere "Denial of Service" Probleme

Mehrere Verwundbarkeiten wurden in Gaim entdeckt, die einem entfernten Angreifer die Möglichkeit bieten, die Anwendung zum Abstürzen zu bringen.

Für weitere Infos siehe die GLSA Meldung

phpWebSite: Beliebige PHP-Ausführung und Pfadpreisgabe

Entfernte Angreifer können PHP-Skripte heraufladen und ausführen. Ein anderer Defekt enthüllt den kompletten Pfad der Skripte.

Für weitere Infos siehe die GLSA Meldung

xli, xloadimage: Mehrere Verwundbarkeiten

xli und xloadimage sind auf mehrere Arten verwundbar, was möglicherweise zur Auführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

BidWatcher: Stringformatierungsverwundbarkeit

BidWatcher ist verwundbar bei der Stringformatierung, was möglicherweise zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

phpMyAdmin: Mehrere Verwundbarkeiten

phpMyAdmin enthält mehrere Verwundbarkeiten, die zur Kommandoausführung, XSS - Problemen und zum Umgehen der Sicherheitseinschränkungen genutzt werden könnten.

Für weitere Infos siehe die GLSA Meldung

OpenMotif, LessTif: Neue libXpm Pufferüberläufe

In libXpm, das in OpenMotif und LessTif enthalten ist, wurde eine neue Verwundbarkeit entdeckt, die möglicherweise zur entfernten Codeausführung genutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

xv: Verwundbarkeit bei der Handhabung von Dateinamen

xv ist verwundbar bei der Stringformatierung, was möglicherweise zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

Mozilla Firefox: Mehrere Verwundbarkeiten

Mozilla Firefox ist verwundbar durch Probleme, die durch gelöschte Dateien auftreten könnten, sowie dadurch, dass der User dazu gebracht wird, falschen Webseiten zu vertrauen oder mit privilegiertem Inhalt zu interagieren.

Für weitere Infos siehe die GLSA Meldung

ImageMagick: Verwundbarkeit bei der Handhabung von Dateinamen

ImageMagick ist verwundbar bei der Stringformatierung, was möglicherweise zur Ausführung von beliebigem Code führt.

Für weitere Infos siehe die GLSA Meldung

Hashcash: Stringformatierungsverwundbarkeit

Das Hashcash Utility ist verwundbar bei der Stringformatierung, was möglicherweise zur Ausführung von beliebigem Code genutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

8.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 27. Februar 2005 und 06. März 2005 resultierten in:

• 826 neuen Bugs
• 467 geschlossenen oder gelösten Bugs
• 23 wiedergeöffneten Bugs

Von den 8186 zur Zeit offenen Bugs sind: 97 als 'blocker', 231 als 'critical' und 602 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Portage team, mit 47 geschlossenen Bugs
• AMD64 Porting Team, mit 27 geschlossenen Bugs
• Gentoo Security, mit 22 geschlossenen Bugs
• Gentoo KDE team, mit 21 geschlossenen Bugs
• Gentoo Linux Gnome Desktop Team, mit 14 geschlossenen Bugs
• Gentoo Games, mit 14 geschlossenen Bugs
• PPC Porters, mit 12 geschlossenen Bugs
• Gustavo Felisberto, mit 12 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• AMD64 Porting Team, mit 38 neuen Bugs
• Gentoo's Team for Core System packages, mit 19 neuen Bugs
• Gentoo Sound Team, mit 18 neuen Bugs
• Gentoo Linux Gnome Desktop Team, mit 17 neuen Bugs
• Gentoo Kernel Bug Wranglers and Kernel Maintainers, mit 12 neuen Bugs
• media-video herd, mit 11 neuen Bugs
• Portage team, mit 11 neuen Bugs
• Gentoo KDE team, mit 9 neuen Bugs

9.  Zum GWN beitragen

Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail

10.  GWN Feedback

Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen.

11.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:

• Holländisch
• Englisch
• Deutsch
• Französisch
• Japanisch
• Italienisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Spanisch
• Türkisch