Gentoo Weekly Newsletter: 2. May 2005Offizielle inoffizielle Entwickler Dokumentation Ciaran McCreesh hat eine Sammlung von Entwickler-orientierten Dokumenten veröffentlicht. Mit der Absicht eine inoffizielle Alternative zum devrel handbook zu schaffen, ist das Dokument recht kanonisch hinsichtlich Zweck, Inhalt und Präsentation. Der "Inoffizelle Gentoo Development Guide" enthält Anweisungen zum Schreiben von ebuilds und eclasses, Hilfe mit der Struktur von Portage und den Dateien die normalerweise involviert sind wenn man unter Gentoo entwickelt und viele praktische Tipps und Tricks für den aufstrebenden Gentooer. Unter den Autoren finden sich Grant Goodyear, Robert Coie, Aaron Walker und Tom Martin, jeder ist eingeladen seine Vorschläge einzubringen. "Die Zielgruppe besteht aus den Entwicklern und potentiellen Entwicklern -- ein gewisses Grundwissen über Gentoo aus der Anwenderperspektive wird dabei vorausgesetzt", sagt Ciaran in der Ankündigung die letzten Sonntag auf der Entwickler Mailingliste geposted wurde. Hindernisse auf dem Weg zu OpenLDAP 2.2 Robin Johnson hat soeben die letzte Version von OpenLDAP, v2.2.26 in den Portage Tree eingebracht: "I sehe keine Hindernisse mehr, die rechtfertigen würden, daß die 2.2 Serie nicht in ~arch sein sollte. Ich plane es in zwei Wochen vom derzeiten package.mask Status nach ~arch zu migrieren. Es sollte keine Problem für die Leute geben, die OpenLDAP nur als client installiert haben, aber es könnte ein etwas rauherer Ritt für diejenigen werden die einen OpenLDAP Server laufen haben. Das ebuild wird abbrechen wenn es Server Daten Dateien einer früheren Version von OpenLDAP entdeckt und dann Instruktionen zum sicheren Upgrade anzeigen." Robbat2 warnt davor sie "auf eigenes Risiko zu umgehen, weil es in einer stark korrupten Datenbank mündet. Außderdem hat sich die slapd.conf Syntax nur leicht aber auf ein bißchen mühsame Weise geändert, sodaß das Starten von slapd nicht möglich ist solange die Konfiguration nicht aktualisiert wurde. Überflüssiger Ebuild-Müll? Ein eher unkonventioneller Ansatz um Portage potenziell zu beschleunigen (durch Entfernen der unnötigen Ebuilds) war der Beginn dieses Threads über die Langsamkeit von Portage, alternative Architekturen und all die anderen kleinen nervenden Dinge, die mit Portage passieren können. Kopfjäger Spam Da Gentoo von Tag zu Tag populärer wird, wird es auch Ziel von Kopfjägern die nach preiswerten Arbeitskräften suchen. Eins der prominenteren Beispiele startete einen netten Thread darüber, warum du dein Publikum kennen solltest, warum man nicht auf Mailinglisten spammt und warum Debian nicht Gentoo ist ... Kommerzielle Software in Gentoo unterstützen Da (offensichtlich) Gentoo das Beste seit geschnittenem Brot ist, interessieren sich mehr und mehr "kommerzielle" Anbieter dafür. Da sie eine stabile Umgebung bevorzugen, während Gentoo sich ständig weiterentwickelt, fragte Matthew Marlowe ob ein dediziertes Profil (in diesem Fall für MySQL-Zertifikation) verfügbar gemacht werden könnte. Deutschland: KDE-look.org migriert zu Gentoo Linux Eigentlich war es einmal ein kleines Projekt eines Einzelnen, doch hat es mittlerweile einen grossen Einfluss auf viele Desktops, die unter KDE, XFCE oder Gnome laufen. Auf der Suche nach digitalem und künstlerischem Artwork stösst man bald auf die Seiten, die mittlerweile mehr als 25 Millionen Hits pro Monat verzeichnen können und einen Traffic von zwei Terrabyte verursachen: kde-look.org, kde-apps.org, gnome-look.org und xfce-look.org. Diese Seite ist eine der meistbesuchten Quellen für Hintergrundbilder und Deskop Themes im Internet. So ist es auch kein Wunder, dass der Hostmaster Frank Karlitschek ähnlich wachsende Anforderungen an die Leistung und Sicherheit seiner Maschinen stellt. Sein Hauptserver lief die letzten beiden Jahre unter RedHat 8; da aber der Support für diese Version abgelaufen ist und somit keine neuen Sicherheits-Patches für sein System veröffentlich wurden, war es somit unmöglich, sich vor aktuellen Gefahren und Angriffen aus dem Internet zu schützen. Frank hat sich also entschlossen: kde-look.org migriert von einem Celeron 1.2GHz mit 512MB RAM zu einem Pentium 4 mit 3.2GHz und doppelt so viel Hauptspeicher. "Die durchschnittliche Auslastung fiel von 30 zu 1.1" meint Frank Karlitschek. "Ich weiss allerdings nicht, ob das an der neuen Hardware oder an Gentoo Linux liegt." Seine Entscheidung, Gentoo für die populäre Seite zu verwenden, basiert auf der Einfachheit und Sparsamkeit der Installation: "Mit nur wenigen Paketen kann man ein kleines aber optimiertes System aufsetzen, was mit anderen Distributionen nicht so einfach möglich ist", sagt Frank. Sein Webserver läuft nun auf einem Basissystem mit nur ein paar Megabytes. "Der andere Grund ist die Art und Weise, wie man mit Gentoo Updates einspielen kann, um sein System aktuell zu halten. Sogar für den Kernel, die glibc oder einem neuen gcc sind Updates so einfach zu installieren, was auch die laufende Wartung eines sicheren und aktuellen Gentoo Systems erheblich vereinfacht." Der Forum-Administrator Wernfried Haas hat es letztes Jahr erfolgreich geschafft, sich vor den österreichischen Paparrazi zu verstecken (und zwar unter dem Fenster auf der rechten Seite) -- dies wird ihm heuer nicht mehr so einfach gelingen: Zusammen mit anderen Gentoo Benutzern wird Amne und seine Freunde am zweiten Tag der bekannten österreichischen Veranstaltung rund um Linux und OpenSource, den Grazer LinuxTagen am 14. Mai, den anderen Besuchern Gentoo Linux vorstellen. Sie werden Fragen beantworten und denen Helfen, die auf der Suche nach einer LiveCD sind (alle Versionen und eine Anzahl an CD Rohlingen werden mitgebracht). Neben der Messe selbst wird es auch einige Vorträge und Workshops geben. Mehr Information zu den Grazer LinuxTagen gibt es auf dieser Webseite. USA: Pluckerisiertes Gentoo Handbuch Obwohl David A. Desrosiers eigentlich hauptsächlich Debian und FreeBSD verwendet, hat er nun das offizielle Gentoo Handbuch in das Plucker Format konvertiert. Dies wird hauptsächlich all jene freuen, die das Dokument unter Palm OS betrachten wollen, was zum Beispiel bei der Installation ganz nützlich sein kann. Mit Hilfe eines entsprechenden plucker-konformen ebook-Betrachters kann das Gentoo Handbuch natürlich auch auf anderen Handheld Plattformen betrachtet werden, darunter WinCE- und Linux-basierende PDAs. Davids konvertiertes Gentoo Handbuch ist für acht Architekturen und 12 Sprachen auf seiner Webseite zu finden. Der Entwickler von Plucker hat übrigens auch schon Pläne, Gentoos RSS Nachrichten (von der offiziellen Webseite) über seinem neuem "Plucker Syndication Server" als online Service anzubieten.
Deutschland: Gentoo Benutzertreffen in Berlin und Oberhausen Zwei GMUs in verschiedenen Lokationen, aber zur gleichen Zeit:
Ututo-e, der argentinische Gentoo Ableger von Diego Saravia und Daniel Oliveira, wurde vom Newsforge Autor Bruce Byfield gründlich getestet "Die einzig freie Distribution" (soll heissen: zu 100 Prozent konform mit den Idealen der Free Software Foundation) erhält gute Noten da "Gentoo zeigt wie viel die Freie-Software-Gemeinschaft erreichen kann und wie wenig es den Benutzern kostet deren Prinzipien zu unterstützen." Als eine Distribution, die nur aus Software die von der FSF überprüft wurde, besteht, fehlt ututo-e eine Java Runtime Umgebung und einige andere "unfreie" Software, welche aber dem Autor nicht abgehen. Der Artikel rief eine Welle von Protesten von Debian-Anhängern nach sich, die die Kommentarfunktion bei Newsforge nutzen um über Richard Stallman's Billigung zu diskutieren. KDE Entwickler Jakub Stachowski gab letzten Donnerstag ein Interview über Zeroconf's Service Verzeichnis auf KDE.news. Nach einer allgemeinen Einleitung über die Aufgaben von Zeroconf ("Applikationen können ihre Dienste ähnlich freigegebenen Verzeichnissen oder Netzwerkspielen an Zeroconf melden welche dann mit dem zeroconf: ioslave durchsucht werden können."), erklärt Jakub den Status der Zeroconf Unterstützung in KDE, die Beziehung zu Apple's Rendezvouz, und -- auf die Frage nach den Distributionen die Zeroconf mitbringen -- "zuerst war wie üblich Gentoo - man muss lediglich das 'zeroconf' USE-Flag setzen". Ein Slashdot Artikel über Gentoo's grafischer Installationsroutine hat die übliche Mischung von wohlwollenden und wütenden Kommentaren nach sich gezogen. Der Autor Jon Latane findet den derzeitigen Installationsprozess "perfekt geeignet zum Abschrecken von potentiellen Benutzern" aber einige seiner Leser scheinen mehr über den Verlust ihrer "lauthals verkündeten Rechte Gentoo über die Shell installieren zu können..." besorgt zu sein. Wiedermal naiver Slashdot Spass. 5. Abgänge, Zugänge und Veränderungen Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:
Die folgenden Entwickler sich kürzlich dem Gentoo Team angeschlossen:
Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:
eGroupWare: XSS- und SQL-Injection Verwundbarkeit eGroupWare ist von mehreren SQL-Injection und Cross-Site-Skripting (XSS) Verwundbarkeiten betroffen. Für weitere Infos siehe die GLSA Meldung Rootkit Hunter: Unsichere Erstellung von temporären Dateien Rootkit Hunter ist verwundbar für Symlink-Attacken, welche einem lokalem User womöglich erlauben, beliebige Dateien zu überschreiben. Für weitere Infos siehe die GLSA Meldung Ein Pufferüberlauf wurde in der Convert-UUlib entdeckt, was womöglich in der Ausführung von beliebigem Code resultieren könnte. Für weitere Infos siehe die GLSA Meldung xine-lib: Zwei Heap-Überlauf Verwundbarkeiten Zwei Verwundbarkeiten wurden in der xine-lib entdeckt, welche womöglich zur entfernten Ausführung von beliebigem Code genutzt werden könnten. Für weitere Infos siehe die GLSA Meldung Heimdal: Pufferüberlaufverwundbarkeit Pufferüberlaufverwundbarkeiten wurden im Heimdal Telnet-Client entdeckt, welche zur Ausführung von beliebigem Code genutzt werden könnten. Für weitere Infos siehe die GLSA Meldung Pound: Pufferüberlaufverwundbarkeit Pound ist verwundbar für einen Pufferüberlauf, welcher zur entfernten Ausführung von beliebigem Code führen könnte. Für weitere Infos siehe die GLSA Meldung phpMyAdmin: Unsichere SQL-Skript Installation phpMyAdmin lässt das SQL-Installationsskript mit nicht sicheren Berechtigungen zurück, was zur Kompromittierung der Datenbank führen könnte. Für weitere Infos siehe die GLSA Meldung Horde Framework: Mehrere XSS-Verwundbarkeiten Verschiedenen Module des Horde-Frameworks sind anfällig für mehrere Cross-Site-Skripting (XSS) Verwundbarkeiten. Für weitere Infos siehe die GLSA Meldung Mehrere schwerwiegende Verwundbarkeiten wurden in CVS entdeckt, welche einem entferntem Angreifer die Möglichkeit bieten könnten, den CVS-Sever zu kompromittieren oder einen DoS auszulösen. Für weitere Infos siehe die GLSA Meldung Mehrere Verwundbarkeiten wurden in XV entdeckt, welche womöglich dazu genutzt werden könnten, beliebigen Code auszuführen. Für weitere Infos siehe die GLSA Meldung Mozilla Firefox, Mozilla Suite: Mehrere Verwundbarkeiten Der neue Mozilla Firefox und die neue Mozilla Suite stopfen Sicherheitslöcher, wie z.B. Speicherpreisgabe und die Möglichkeit auf mehrere Arten Javascript-Code mit erweiterten Rechten auszuführen. Für weitere Infos siehe die GLSA Meldung MPlayer: Zwei Heapüberlauf-Verwundbarkeiten In MPlayer wurden zwei Verwundbarkeiten entdeckt, die zur entferten Ausführung von beliebigem Code genutzt werden könnten. Für weitere Infos siehe die GLSA Meldung openMosixview: Unsichere Erstellung von temporären Dateien openMosixview und der openMosixcollector-Daemon sind verwundbar für Symlink-Attacken, was einem lokalem User die Möglichkeit bieten könnte, beliebige Dateien zu überschreiben. Für weitere Infos siehe die GLSA Meldung RealPlayer, Helix Player: Pufferüberlaufverwundbarkeit RealPlayer und der Helix-Player sind verwundbar für einen Pufferüberlauf, was zur entfernten Ausführung von beliebigem Code genutzt werden könnte. Für weitere Infos siehe die GLSA Meldung KDE kimgio: Pufferüberlauf bei der PCX-Behandlung KDE macht einen Fehler bei der Behandlung von PCX-Bildern, wenn es um die Validierung von Eingaben geht, was zur Ausführung von beliebigem Code genutzt werden könnte. Für weitere Infos siehe die GLSA Meldung Kommander: Unsichere Ausführung von entfernten Skripten Kommander führt entfernte Skripte ohne Bestätigung aus, was möglicherweise zur Ausführung von beliebigem Code genutzt werden kann. Für weitere Infos siehe die GLSA Meldung Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 24. April 2005 und 01. Mai 2005 resultierten in:
Von den 8572 zur Zeit offenen Bugs sind: 93 als 'blocker', 229 als 'critical' und 627 als 'major' markiert. Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:
Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:
Sind Sie daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicken Sie uns eine eMail Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen. Der Wöchentliche Gentoo Newsletter ist auch in folgenden Sprachen verfügbar:
|
|
