Gentoo Weekly Newsletter: 9. Januar 2006FOSDEM steht bevor: Europas wichtigste Gentoo Veranstaltung Zu der im nächsten Monat in Brüssel stattfindenden FOSDEM, Europas größte Open Source Konferenz und wichtigste Veranstaltung im europäischen Gentoo Kalender, haben bereits dreißig Entwickler ihren Besuch bestätigt. Letztes Jahr konnte man die erste "dev room" Reservierung für Gentoo miterleben. Ein ganzer Tag wurde der Benutzung von Gentoo und dessen Entwicklung gewidmet. Besondere Erwähnung soll das Entwicklermeeting finden, in dem die Änderungen in der Metastruktur des letzen Jahres angegangen wurden. FOSDEM 2006 findet am letzten Februar Wochenende (25.2. und 26.2.) statt. Den Gentoo dev room gibt es am zweiten Tag, ein vorläufiger Zeitplan steht auch schon. Wenn du planst, die FOSDEM zu besuchen und Hilfe bei der Suche nach einer Übernachtung in Brüssel brauchst, schreibe bitte an Patrick Lauer, er koordiniert die diesjährige Präsenz von Gentoo auf der FOSDEM. Besonders wenn du eine der Lücken im Programm mit einer Gentoo Präsentation füllen willst, solltest du dich melden.
Litauischer Übersetzer gesucht Ein kleines Team um Ernestas Liubarskij hat kürzlich begonnen die Gentoo Dokumentation ins Litauische zu übersetzen (ISO Code: lt). Das Team braucht noch Hilfe. Wenn du Englisch lesen und Litauisch schreiben kannst und gern dem Team beitreten willst, kontaktiere Ernestas bitte. "I'm an open-source guy with an open mind" -- Andrea Barisani
Andrea Barisani kommt aus der schönen italienischen Stadt Triest. Er leitet - zusammen mit seinem Gentoo Kollegen Rob Holland - eine Firma ( InversePath), ausserdem versucht er noch immer seinen Physik Abschluss zu bekommen. Neben vielen anderen Dienstleistungen, bietet InversePath komerziellen Gentoo Linux support für Produktions Systeme an. Während seinem ersten Jahr an der Universität entdeckte Andrea sein Interesse an System Administrierung und Sicherheit. In der Universität hat er einen der frühesten (bekannten) Gentoo Server in betrieb genommen. Durch Bug - Reports und Patches beschäftigte er sich mehr und mehr mit Gentoo. Das Gentoo System läuft noch immer an der Universität, zusammen mit rsync1.it.gentoo.org und lists.gentoo.org welche beide von Andrea betreut werden. Seine anderen Gentoo Aufgaben beinhalten die LDAP installation, allgemeine Infrastruktur Arbeit, verwalten der Mailinglisten und Ansprechpartner des Infrastruktur Projekts zum Thema Sicherheit zu sein. Die 'Upstream' Version von mlmmj (die Mailinglisten Software) profitiert von den vielen Patches, welche Andrea schreib während er das System für Gentoo eingerichtet (und einige Fehler behoben) hat. Zusätzlich betreut er viele der LDAP Pakete, sendmail, ftester (Firewall Test Tool) und tenshi (Log Analyzer). Andrea hat Gentoo auf einer breiten Palette von Systemen (wenn immer passend) -- Firewalls, Cluster, allgemeine Server, ... Erstaunlicherweise bleibt die "KDE oder GNOME?" Frage unbeantwortet -- Andrea ist Kommandozeilen 'süchtig' und verwendet ssh, screen, mutt, vim und subversion. Nur selten wird X auch nur gestartet und auch dann nur für firefox oder Openoffice. Neben anderen Dingen betreut er 50 Arbeitsstationen und 6 Server an der Universität, was mehr als nur wettmacht für seine bescheidene Sammlung von einigen x86 Computern daheim. Andrea ist nicht streng an Linux gebunden, denn wie er sagt, "Die Welt ist groß und wir haben gute Software für viele verschiedene Dinge" -- während Linux normalerweise die meisten Features hat, fehlt oft die Konsistenz des BSD Projektes. Daher verwendet er was immer am besten funktioniert. Wie er sagt: "Man kann die Vorteile eines mehr kontrollierten Basars in BSD sehen, und man kann die Vorteile eines enormen Basars in GNU|Wasauchimmer/Linux Distributionen sehen." Viele erinnern sich an den "rsync compromise" vor einiger Zeit, wenn ein Exploit (Sicherheitsloch) im rsync Code ausgenutzt wurde um einige Server zu übernehmen -- Andrea war einer der ersten welche den Exploit komplett analysiert hatten. Dieses Sicherheitsloch zeigt auch die Leistungsfähigkeit von Open Source Entwicklung -- innerhalb von 36 Stunden waren die Fehler behoben und eine neue rsync Version war veröffentlicht. Ein Interview über diesen Vorfall kann in der Harvard Business Review gefunden werden. Eine kurze Biographie von Andrea und mehr persönliche Informationen können auf InversePath Homepage und der Speakers Homepage der letzten PacSec Konferenz in Jokohama, an welcher Andrea teilgenommen hat, gefunden werden. Leitfaden für Textrels in Packeten Mark Loeser startete eine nette technische Diskussion über Textrels. Portage warnt nicht vor Textrels, die zu Performance und Sicherheitsprobleme führen, eine zusammenfassende Erklärung, für das wie und warum kann in diesem Thread gefunden werden. GLEP 42 (news) Runde sechs Die Diskussion über Portage Newsreports, die schon seit einigen Wochen im gange ist, wird erneut wiederholt, in der Hoffnung, eine brauchbare Lösung zu finden. Entwicklungsfähigkeit von anderen SCM/Versions Kontroll Systemen für große Bäume Während CVS mittlerweile erwachsen und recht stabil ist, bietet es nicht alle Features von neueren Versions Kontroll Systemen. Einige Leute haben mit einer migration des gentoo-x86 Baums experimentiert (was allerdings wegen Logistischer und Administrativer Gründe nicht in der näheren Zukunft passieren wird). Donnie Berkholz fragt über Erfahrungen mit den Alternativen, besonders wegen der Geschwindigkeit und Skalierbarkeit. Roadrunner's Server Projekt Update Ricardo Loureiro hat einen Nachfolger seines ersten PDF Dokumentes, das in der 12 Dezember 2005 Ausgabe des GWN erwähnt wurde. Das neue Dokument dreht sich um das Design Layout der mysql Datenbank, die benutzt wird um Packet informationen zu speichern. Das Dokument geht sehr in Detail und stellt einen großen Schritt Richtung Projektziel da. Italien: Wieder ein neues Gentoo Derivat Mit dem Versprechen, Gentoo Linux in nur wenigen Minuten auf einem Computer installieren zu können, unterscheiden sich die Linux Live DVDs RR4 und RR64, welche von Fabio Erculiani zu beziehen sind. Diese Linux DVDs unterscheiden sich in einigen Punkten vom Gentoo Original, hauptsächlich im Default Kernel, der Reiser4 aktiviert hat. Da dies den meisten Gentoo Entwicklern wohl einen Schauer über den Rücken laufen lassen wird, ist man wohl gut damit beraten, keine Bugs dieser Distribution im offiziellen Bugzilla von Gentoo zu melden. Trotzdem ist das RR4/64 Projekt ein interessanter Ansatz, da es ein Live System hat, welches ein voll funktionstüchtiges KDE und Gnome installiert hat, welche direkt von der DVD booten können. Die dritte 64-bit Beta-Version von RR wurde am 26. Dezember veröffentlicht -- ein verspätetes Weihnachtsgeschenk sozusagen... Jon Hood, ein Entwickler, der für die Asteria Solutions Group, Inc. arbeitet, dreht mit der aktuellen Betaversion des Gentoo Installers eine Testrunde, und scheint recht zufrieden mit dem Ergebnis zu sein. Er nennt das Projekt einen "tollen Schritt für die Gentoo-Distribution in die richtige Richtung", und ist besonders entzückt darüber, dass "Leute normalerweise nicht mit Test-Software arbeiten und diese dann funktioniert, aber das ist genau, was passierte." Sein Review beinhaltet eine nette kleine Slideshow, die jeden Schritt der Installation über den GUI-Installer dokumentiert; sehr interessant für alle, die ihn noch nicht in Aktion erlebt haben. 6. Veränderungen bei den Gentoo-Entwicklern Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:
Die folgenden Entwickler haben sich kürzlich dem Gentoo Team angeschlossen:
Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:
CenterICQ: Mehrere Schwachstellen CenterICQ ist anfällig für einen 'Denial Of Service' und dazu für die Ausführung von beliebigem Code mittels der enthaltenen anfälligen ktools-Bibliothek. Für weitere Infos siehe die GLSA Meldung Mantis: Mehrere Schwachstellen Mantis hat mehrere Schwachstellen, vom Datei-Upload bis hin zu 'Cross-Site Scripting' und 'HTTP Response Splitting'. Für weitere Infos siehe die GLSA Meldung Ein Pufferüberlauf in Dropbear könnte authentifizierten Usern erlauben, beliebigen Code als Root-User auszuführen. Für weitere Infos siehe die GLSA Meldung NBD Tools: Pufferüberlauf im NBD-Server Der NBD-Server ist anfällig für einen Pufferüberlauf, der in der Ausführung von beliebigem Code resultieren könnte. Für weitere Infos siehe die GLSA Meldung Lokale User könnte sich Root-Rechte verschaffen, indem sie mittels 'chroot' in andere Verzeichnisse wechseln. Für weitere Infos siehe die GLSA Meldung OpenMotif, AMD64 x86-emulation X-Bibliotheken: Pufferüberlauf in der libUil-Bibliothek Zwei Puferüberläufe wurden in libUil, das Teil des OpenMotif-Toolkits ist, entdeckt, die möglicherweise die Ausführung von beliebigem Code erlauben könnten. Für weitere Infos siehe die GLSA Meldung scponly: Mehrere Probleme mit Rechteerweiterungen Lokale User könnten einen Fehler in scponly ausnutzen um Root-Rechte zu erlangen und per scponly eingeschränkte User könnten eine andere Schwachstelle nutzen, um die Shell-Einschränkungen zu umgehen. Für weitere Infos siehe die GLSA Meldung XnView könnte nach gemainsam genutzten Biblioteheken an nicht sicheren Orten greifen, wodurch einem lokalem User die Möglichkeit geboten werden könnte, beliebigen Code mit den Rechten eines anderen Users ausführen zu können. Für weitere Infos siehe die GLSA Meldung pinentry: Lokale Rechteerweiterung pinentry ist anfällig für eine Rechteerweiterung. Für weitere Infos siehe die GLSA Meldung KPdf, KWord: Mehrere Überläufe im enthaltenen Xpdf-Code KPdf und KWord enthalten beide anfälligen Xpdf-Code zur Handhabung von PDF-Dateien, wodurch sie anfällig für die Ausführung von beliebigem Code werden. Für weitere Infos siehe die GLSA Meldung HylaFAX: Mehrere Schwachstellen HylaFAX ist anfällig für die Ausführung von beliebigem Code und für nicht-authorisierten Zugriff. Für weitere Infos siehe die GLSA Meldung VMware Workstation: Schwachstelle im NAT-Netzwerkbetrieb VMware Gastbetriebssysteme können belibigen Code mit erweiterten Rechten auf dem Host-Betriebssystem aufgrund eines Fehlers im NAT-Netzwerkbetrieb ausführen. Für weitere Infos siehe die GLSA Meldung Die Gentoo Community verwendet Bugzilla ( bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 18. Dezember 2005 und 08. Januar 2006 resultieren in:
Von den 9097 zur Zeit offenen Bugs sind 78 als 'blocker', 173 als 'critical' und 498 als 'major' markiert. Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:
Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:
Bitte schicken Sie uns Ihr Feedback an Feedback und helfen damit, den GWN besser zu machen. Um den Gentoo Weekly Newsletter zu abonnieren, senden Sie bitte eine leere Email an gentoo-gwn-de+subscribe@gentoo.org. Um das Abonnement des Gentoo Weekly Newsletter zu kündigen, senden Sie bitte eine leere Email an gentoo-gwn-de+unsubscribe@gentoo.org und nehmen als Absender diejenige Email-Adresse mit der Sie bestellt hatten. Der Gentoo Weekly Newsletter ist auch in folgenden Sprachen verfügbar:
|
|
