Gentoo Logo

Gentoo Weekly Newsletter: 2. May 2005

Inhalt:

1.  Gentoo News

Offizielle inoffizielle Entwickler Dokumentation

Ciaran McCreesh hat eine Sammlung von Entwickler-orientierten Dokumenten veröffentlicht. Mit der Absicht eine inoffizielle Alternative zum devrel handbook zu schaffen, ist das Dokument recht kanonisch hinsichtlich Zweck, Inhalt und Präsentation. Der "Inoffizelle Gentoo Development Guide" enthält Anweisungen zum Schreiben von ebuilds und eclasses, Hilfe mit der Struktur von Portage und den Dateien die normalerweise involviert sind wenn man unter Gentoo entwickelt und viele praktische Tipps und Tricks für den aufstrebenden Gentooer. Unter den Autoren finden sich Grant Goodyear, Robert Coie, Aaron Walker und Tom Martin, jeder ist eingeladen seine Vorschläge einzubringen. "Die Zielgruppe besteht aus den Entwicklern und potentiellen Entwicklern -- ein gewisses Grundwissen über Gentoo aus der Anwenderperspektive wird dabei vorausgesetzt", sagt Ciaran in der Ankündigung die letzten Sonntag auf der Entwickler Mailingliste geposted wurde.

Hindernisse auf dem Weg zu OpenLDAP 2.2

Robin Johnson hat soeben die letzte Version von OpenLDAP, v2.2.26 in den Portage Tree eingebracht: "I sehe keine Hindernisse mehr, die rechtfertigen würden, daß die 2.2 Serie nicht in ~arch sein sollte. Ich plane es in zwei Wochen vom derzeiten package.mask Status nach ~arch zu migrieren. Es sollte keine Problem für die Leute geben, die OpenLDAP nur als client installiert haben, aber es könnte ein etwas rauherer Ritt für diejenigen werden die einen OpenLDAP Server laufen haben. Das ebuild wird abbrechen wenn es Server Daten Dateien einer früheren Version von OpenLDAP entdeckt und dann Instruktionen zum sicheren Upgrade anzeigen." Robbat2 warnt davor sie "auf eigenes Risiko zu umgehen, weil es in einer stark korrupten Datenbank mündet. Außderdem hat sich die slapd.conf Syntax nur leicht aber auf ein bißchen mühsame Weise geändert, sodaß das Starten von slapd nicht möglich ist solange die Konfiguration nicht aktualisiert wurde.

2.  Gehört in der Community

gentoo-dev

Überflüssiger Ebuild-Müll?

Ein eher unkonventioneller Ansatz um Portage potenziell zu beschleunigen (durch Entfernen der unnötigen Ebuilds) war der Beginn dieses Threads über die Langsamkeit von Portage, alternative Architekturen und all die anderen kleinen nervenden Dinge, die mit Portage passieren können.

Kopfjäger Spam

Da Gentoo von Tag zu Tag populärer wird, wird es auch Ziel von Kopfjägern die nach preiswerten Arbeitskräften suchen. Eins der prominenteren Beispiele startete einen netten Thread darüber, warum du dein Publikum kennen solltest, warum man nicht auf Mailinglisten spammt und warum Debian nicht Gentoo ist ...

Kommerzielle Software in Gentoo unterstützen

Da (offensichtlich) Gentoo das Beste seit geschnittenem Brot ist, interessieren sich mehr und mehr "kommerzielle" Anbieter dafür. Da sie eine stabile Umgebung bevorzugen, während Gentoo sich ständig weiterentwickelt, fragte Matthew Marlowe ob ein dediziertes Profil (in diesem Fall für MySQL-Zertifikation) verfügbar gemacht werden könnte.

3.  Gentoo International

Deutschland: KDE-look.org migriert zu Gentoo Linux

Eigentlich war es einmal ein kleines Projekt eines Einzelnen, doch hat es mittlerweile einen grossen Einfluss auf viele Desktops, die unter KDE, XFCE oder Gnome laufen. Auf der Suche nach digitalem und künstlerischem Artwork stösst man bald auf die Seiten, die mittlerweile mehr als 25 Millionen Hits pro Monat verzeichnen können und einen Traffic von zwei Terrabyte verursachen: kde-look.org, kde-apps.org, gnome-look.org und xfce-look.org. Diese Seite ist eine der meistbesuchten Quellen für Hintergrundbilder und Deskop Themes im Internet.

So ist es auch kein Wunder, dass der Hostmaster Frank Karlitschek ähnlich wachsende Anforderungen an die Leistung und Sicherheit seiner Maschinen stellt. Sein Hauptserver lief die letzten beiden Jahre unter RedHat 8; da aber der Support für diese Version abgelaufen ist und somit keine neuen Sicherheits-Patches für sein System veröffentlich wurden, war es somit unmöglich, sich vor aktuellen Gefahren und Angriffen aus dem Internet zu schützen. Frank hat sich also entschlossen: kde-look.org migriert von einem Celeron 1.2GHz mit 512MB RAM zu einem Pentium 4 mit 3.2GHz und doppelt so viel Hauptspeicher. "Die durchschnittliche Auslastung fiel von 30 zu 1.1" meint Frank Karlitschek. "Ich weiss allerdings nicht, ob das an der neuen Hardware oder an Gentoo Linux liegt."

Seine Entscheidung, Gentoo für die populäre Seite zu verwenden, basiert auf der Einfachheit und Sparsamkeit der Installation: "Mit nur wenigen Paketen kann man ein kleines aber optimiertes System aufsetzen, was mit anderen Distributionen nicht so einfach möglich ist", sagt Frank. Sein Webserver läuft nun auf einem Basissystem mit nur ein paar Megabytes. "Der andere Grund ist die Art und Weise, wie man mit Gentoo Updates einspielen kann, um sein System aktuell zu halten. Sogar für den Kernel, die glibc oder einem neuen gcc sind Updates so einfach zu installieren, was auch die laufende Wartung eines sicheren und aktuellen Gentoo Systems erheblich vereinfacht."

Österreich: Grazer Linuxtage

Der Forum-Administrator Wernfried Haas hat es letztes Jahr erfolgreich geschafft, sich vor den österreichischen Paparrazi zu verstecken (und zwar unter dem Fenster auf der rechten Seite) -- dies wird ihm heuer nicht mehr so einfach gelingen: Zusammen mit anderen Gentoo Benutzern wird Amne und seine Freunde am zweiten Tag der bekannten österreichischen Veranstaltung rund um Linux und OpenSource, den Grazer LinuxTagen am 14. Mai, den anderen Besuchern Gentoo Linux vorstellen. Sie werden Fragen beantworten und denen Helfen, die auf der Suche nach einer LiveCD sind (alle Versionen und eine Anzahl an CD Rohlingen werden mitgebracht). Neben der Messe selbst wird es auch einige Vorträge und Workshops geben. Mehr Information zu den Grazer LinuxTagen gibt es auf dieser Webseite.

USA: Pluckerisiertes Gentoo Handbuch

Obwohl David A. Desrosiers eigentlich hauptsächlich Debian und FreeBSD verwendet, hat er nun das offizielle Gentoo Handbuch in das Plucker Format konvertiert. Dies wird hauptsächlich all jene freuen, die das Dokument unter Palm OS betrachten wollen, was zum Beispiel bei der Installation ganz nützlich sein kann. Mit Hilfe eines entsprechenden plucker-konformen ebook-Betrachters kann das Gentoo Handbuch natürlich auch auf anderen Handheld Plattformen betrachtet werden, darunter WinCE- und Linux-basierende PDAs. Davids konvertiertes Gentoo Handbuch ist für acht Architekturen und 12 Sprachen auf seiner Webseite zu finden. Der Entwickler von Plucker hat übrigens auch schon Pläne, Gentoos RSS Nachrichten (von der offiziellen Webseite) über seinem neuem "Plucker Syndication Server" als online Service anzubieten.


Abbildung 3.1: Pluckerisiert: Das Gentoo Handbuch in Palm-Grösse

Fig. 1: Plucker

Deutschland: Gentoo Benutzertreffen in Berlin und Oberhausen

Zwei GMUs in verschiedenen Lokationen, aber zur gleichen Zeit:

  • Berlin: 6. Mai 2005, ab 18:00 Uhr, in der Weinerei (Veteranenstraße)
  • Oberhausen: 6. Mai 2005, ab 18:00 Uhr, wie immer im Gasthof Harlos

4.  Gentoo den Medien

Newsforge (28 April 2005)

Ututo-e, der argentinische Gentoo Ableger von Diego Saravia und Daniel Oliveira, wurde vom Newsforge Autor Bruce Byfield gründlich getestet "Die einzig freie Distribution" (soll heissen: zu 100 Prozent konform mit den Idealen der Free Software Foundation) erhält gute Noten da "Gentoo zeigt wie viel die Freie-Software-Gemeinschaft erreichen kann und wie wenig es den Benutzern kostet deren Prinzipien zu unterstützen." Als eine Distribution, die nur aus Software die von der FSF überprüft wurde, besteht, fehlt ututo-e eine Java Runtime Umgebung und einige andere "unfreie" Software, welche aber dem Autor nicht abgehen. Der Artikel rief eine Welle von Protesten von Debian-Anhängern nach sich, die die Kommentarfunktion bei Newsforge nutzen um über Richard Stallman's Billigung zu diskutieren.

KDE.news (28 April 2005)

KDE Entwickler Jakub Stachowski gab letzten Donnerstag ein Interview über Zeroconf's Service Verzeichnis auf KDE.news. Nach einer allgemeinen Einleitung über die Aufgaben von Zeroconf ("Applikationen können ihre Dienste ähnlich freigegebenen Verzeichnissen oder Netzwerkspielen an Zeroconf melden welche dann mit dem zeroconf: ioslave durchsucht werden können."), erklärt Jakub den Status der Zeroconf Unterstützung in KDE, die Beziehung zu Apple's Rendezvouz, und -- auf die Frage nach den Distributionen die Zeroconf mitbringen -- "zuerst war wie üblich Gentoo - man muss lediglich das 'zeroconf' USE-Flag setzen".

Slashdot (27 April 2005)

Ein Slashdot Artikel über Gentoo's grafischer Installationsroutine hat die übliche Mischung von wohlwollenden und wütenden Kommentaren nach sich gezogen. Der Autor Jon Latane findet den derzeitigen Installationsprozess "perfekt geeignet zum Abschrecken von potentiellen Benutzern" aber einige seiner Leser scheinen mehr über den Verlust ihrer "lauthals verkündeten Rechte Gentoo über die Shell installieren zu können..." besorgt zu sein. Wiedermal naiver Slashdot Spass.

5.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

  • Keine diese Woche

Zugänge

Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:

  • Omkhar Arasaratnam (omkhar) - PPC64

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

  • Keine diese Woche

6.  Gentoo Security

eGroupWare: XSS- und SQL-Injection Verwundbarkeit

eGroupWare ist von mehreren SQL-Injection und Cross-Site-Skripting (XSS) Verwundbarkeiten betroffen.

Für weitere Infos siehe die GLSA Meldung

Rootkit Hunter: Unsichere Erstellung von temporären Dateien

Rootkit Hunter ist verwundbar für Symlink-Attacken, welche einem lokalem User womöglich erlauben, beliebige Dateien zu überschreiben.

Für weitere Infos siehe die GLSA Meldung

Convert-UUlib: Pufferüberlauf

Ein Pufferüberlauf wurde in der Convert-UUlib entdeckt, was womöglich in der Ausführung von beliebigem Code resultieren könnte.

Für weitere Infos siehe die GLSA Meldung

xine-lib: Zwei Heap-Überlauf Verwundbarkeiten

Zwei Verwundbarkeiten wurden in der xine-lib entdeckt, welche womöglich zur entfernten Ausführung von beliebigem Code genutzt werden könnten.

Für weitere Infos siehe die GLSA Meldung

Heimdal: Pufferüberlaufverwundbarkeit

Pufferüberlaufverwundbarkeiten wurden im Heimdal Telnet-Client entdeckt, welche zur Ausführung von beliebigem Code genutzt werden könnten.

Für weitere Infos siehe die GLSA Meldung

Pound: Pufferüberlaufverwundbarkeit

Pound ist verwundbar für einen Pufferüberlauf, welcher zur entfernten Ausführung von beliebigem Code führen könnte.

Für weitere Infos siehe die GLSA Meldung

phpMyAdmin: Unsichere SQL-Skript Installation

phpMyAdmin lässŸt das SQL-Installationsskript mit nicht sicheren Berechtigungen zurück, was zur Kompromittierung der Datenbank führen könnte.

Für weitere Infos siehe die GLSA Meldung

Horde Framework: Mehrere XSS-Verwundbarkeiten

Verschiedenen Module des Horde-Frameworks sind anfällig für mehrere Cross-Site-Skripting (XSS) Verwundbarkeiten.

Für weitere Infos siehe die GLSA Meldung

7.  Gentoo Security

CVS: Mehrere Verwundbarkeiten

Mehrere schwerwiegende Verwundbarkeiten wurden in CVS entdeckt, welche einem entferntem Angreifer die Möglichkeit bieten könnten, den CVS-Sever zu kompromittieren oder einen DoS auszulösen.

Für weitere Infos siehe die GLSA Meldung

XV: Mehrere Verwundbarkeiten

Mehrere Verwundbarkeiten wurden in XV entdeckt, welche womöglich dazu genutzt werden könnten, beliebigen Code auszuführen.

Für weitere Infos siehe die GLSA Meldung

Mozilla Firefox, Mozilla Suite: Mehrere Verwundbarkeiten

Der neue Mozilla Firefox und die neue Mozilla Suite stopfen Sicherheitslöcher, wie z.B. Speicherpreisgabe und die Möglichkeit auf mehrere Arten Javascript-Code mit erweiterten Rechten auszuführen.

Für weitere Infos siehe die GLSA Meldung

MPlayer: Zwei Heapüberlauf-Verwundbarkeiten

In MPlayer wurden zwei Verwundbarkeiten entdeckt, die zur entferten Ausführung von beliebigem Code genutzt werden könnten.

Für weitere Infos siehe die GLSA Meldung

openMosixview: Unsichere Erstellung von temporären Dateien

openMosixview und der openMosixcollector-Daemon sind verwundbar für Symlink-Attacken, was einem lokalem User die Möglichkeit bieten könnte, beliebige Dateien zu überschreiben.

Für weitere Infos siehe die GLSA Meldung

RealPlayer, Helix Player: Pufferüberlaufverwundbarkeit

RealPlayer und der Helix-Player sind verwundbar für einen Pufferüberlauf, was zur entfernten Ausführung von beliebigem Code genutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

KDE kimgio: Pufferüberlauf bei der PCX-Behandlung

KDE macht einen Fehler bei der Behandlung von PCX-Bildern, wenn es um die Validierung von Eingaben geht, was zur Ausführung von beliebigem Code genutzt werden könnte.

Für weitere Infos siehe die GLSA Meldung

Kommander: Unsichere Ausführung von entfernten Skripten

Kommander führt entfernte Skripte ohne Bestätigung aus, was möglicherweise zur Ausführung von beliebigem Code genutzt werden kann.

Für weitere Infos siehe die GLSA Meldung

8.  Bugzilla

Zusammenfassung

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 24. April 2005 und 01. Mai 2005 resultierten in:

  • 815 neuen Bugs
  • 487 geschlossenen oder gelösten Bugs
  • 29 wiedergeöffneten Bugs

Von den 8572 zur Zeit offenen Bugs sind: 93 als 'blocker', 229 als 'critical' und 627 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

9.  Zum GWN beitragen

Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail

10.  GWN Feedback

Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen.

11.  Andere Sprachen

Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:



Drucken

Seite aktualisiert 2. Mai 2005

Zusammenfassung: Der Gentoo Weekly Newsletter der Woche vom 25. April 2005.

Ulrich Plate
Editor

Wernfried Haas
Author

Patrick Lauer
Author

Marc Herren
Übersetzer DE

Markus Luisser
Übersetzer DE

Nadi Sarrar
Übersetzer DE

Tobias Matztat
Übersetzer DE

Martin Ebner
Übersetzer DE

Daniel Gerholdt
Übersetzer DE

Matthias F. Brandstetter
Übersetzer DE

Tobias Scherbaum
Übersetzer DE

Thomas Raschbacher
Übersetzer DE

Tobias Hansen
Übersetzer DE

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.