Gentoo Weekly Newsletter: 07. Mai 2007

1.  Gentoo News

Gentoo 2007.0, Codename "Secret Sauce", ist veröffentlicht

Das Release Engineering Projekt von Gentoo ist stolz, verkünden zu können, dass das oft verschobene Gentoo Linux 2007.0, Codename "Secret Sauce", nun veröffentlicht wurde. Die häufigen Verschiebungen waren durch die abnormal hohen Sicherheitsschwachstellen in vielen Paketen begründet, die somit durch ihre neuen, sicheren Versionen ersetzt werden mussten. Auf halbem Wege musste auch noch ein komplett neuer Snapshot erstellt werden, da die Veröffenlichung sich so lange hinzog und die Pakete dadurch nicht mehr ganz so taufrisch waren.

Weitere Informationen zur Veröffentlichung finden Sie in der offiziellen Pressemeldung. Um die neue Version zu bekommen, schauen Sie bitte unter http://www.gentoo.org/main/en/where.xml nach.

Kürzliches Coreutils-Update und Shell-Skripting Probleme

Wenn Sie kürzlich das Coreutils-Paket aktualisiert haben oder wenn Sie in naher Zukunft ein emerge -avNDu world planen, sollten Sie einige bedeutende Änderungen beachten. Das kürzlich veröffentlichte Update von sys-apps/coreutils verschob einige Utilities ein wenig. Einige wurden von /bin nach /usr/bin verschoben und andere fanden ihren Weg von /usr/bin nach /bin. Dafür gab es einige wichtige Gründe, darunter z.B. die Möglichkeit des Zugriffes zu den Tools vom Single User Modus aus. Das bedeutet natürlich auch einige Änderungen für ihre Shell-Skripte. Wie finden Sie Probleme und - viel wichtiger - wie können Sie ihre Skripte reparieren?

Viele User lassen die meisten ihrere Skripte als Root durch einen Cron-Job ausführen und haben die Schutzmaßnahme getroffen, die Pfade zu jedem Binary im Skript hart zu kodieren ( das ist generell eine sicherere Methode für das Skripting, weitere Infos finden Sie unter http://forums.gentoo.org/viewtopic-t-548833.html). Hoffentlich befindet sich die Verzeichnispfade zu den Binaries in einer Variable zu Beginn des Skriptes, wie z.B.:

#!/bin/bash
MYNOHUP=/usr/bin/nohup
MYCOMMAND=/usr/local/bin/somecommand
$MYNOHUP $MYCOMMAND

Auf diese Weise ist nur eine kleine Änderung im Skript zu machen. Natürlich ist dies nicht die einzige Lösung. In einer kürzlich erfolgen Diskussion auf der gentoo-dev Mailing-Liste, wurden mehrere Vorschläge gemacht. Sie können den Thread unter http://archives.gentoo.org/gentoo-dev/msg_144236.xml nachlesen. Eine mögliche Lösung ist, auf eine komplette Pfadangabe zu den Binaries zu verzichten. Wenn Sie die PATH-Variable zu Beginn des Skriptes richtig setzen, ist das ganze Problem von Anfang an vermeidbar. Tatsächlich kann es deswegen sein, dass für diejenigen, die diese Methode bevorzugen, die Aktualisierung des coreutils-Paketes vollkommen unbemerkt von statten ging. Ein guter Vorschlag, wie die PATH-Variable in ihren Skripten auszusehen hätte, wäre:

PATH=${PATH}:/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin

Offensichtlich kann man auch exotischere Pfade zu den Binaries angeben, wie etwa /opt/vmware/server/bin für den Pfad zu den VMWare Server Utilities. Eine weitere erwähnte Möglichkeit wäre die command -p program Methode. Auf der Man-Seite steht geschrieben, das command -p 'den Befehl mittels eines Standartwertes für PATH sucht, der garantiert, dass alle Standart-Utilities gefunden werden'. Das erscheint zunächst nach einer sicheren Methode, ein Kommando auszuführen, obschon auf Kosten von einigen weiteren Tastendrücken. Da command auch in der Bash eingebaut ist, erscheint es auch nicht im Dateisystem, was es für kommende Änderungen durch coreutils immun macht. Dazu sollte man natürlich die Bash-Shell als Standard nutzen, was für die meisten User eine sichere Sache sein sollte.

Ähnlich diesem Befehl, führt env ein Programm in einer modifizierten Umgebung aus. Ein einfachener Aufruf von env program ruft das Utility mit einem drastisch reduziertem PATH auf; /bin:/usr/bin laut Email-Thread. Im Gegensatz zum command-Utility, ist env eine Datei im lokalen Dateisystem und existiert via symbolischen Links in /bin und /usr/bin.

Letzen Endes hängt ihre Lösung von ihren persönlichen Vorlieben und Erfahrungen ab. Am besten wäre es, wenn Sie die oben aufgeführten Lösungen Testen und diejenige nutzen, die ihnen am Komfortabelsten erscheint. Dann wäre da nur noch eine kleine Sache. Sie müssen sicherstellen, dass Sie alle auf ihren Systen laufenden Skripte finden und auf das Problem hin testen. Im Debug-Modus können Sie jedes einzeln auf Schwierigkeiten hin testen.

$ bash -x sample_cron_job
+ /bin/echo 'Hello World!'
Hello World!

Sie sollten auch in /usr/local/bin nach Skripten schauen (wenn das der Ort ist, wo Sie Ihre Skripte speichern), in /etc/conf.d/local.start und /etc/conf.d/local.stop. Wenn alles funktioniert, befinden Sie sich in einer glänzenden Form!

2.  Gehört in der Community

planet.gentoo.org

Status von Gentoo MIPS

Entwickler Alexander Færøy schrieb in seinem Blog über den derzeitigen optimistischen Status des MIPS Projekts. Mit den Neuzuwächsen Bryan Østergaard, der an den Generellen Portierungen arbeiten wird und Richard Brown, der am Ruby Support arbeiten wird, beschleunigt sich die Fertigstellung der 2007.0 Release. Alexander weißt auch darauf hin, dass sie noch neue Rekruten Suchen, die sich dem "coolsten Team bei Gentoo Anschließen" und redet über seinen Erfolg mit der neuen Movidis Box.

• http://alex.stener.nu/index.php/2007/05/04/status-from-gentoomips/

gentoo-user

Mache alles, außer eins

Jesse Adelman fragte auf gentoo-user wie es möglich ist, ein emerge -uDN world auszuführen, ohne das Portage ein bestimmtes Paket updated. Jesse hatte eine Version von MythTV, die aus dem Portage Baum entfernt wurde und die er gerne gerne behalten würde. Wie auch immer die Version im Portage Baum lag zwischen einer neueren und einer älteren Version und Portage wollte ihn zum Downgrade zwingen, wenn er die neue Version in package.mask ein trug. Vikas Kumar schlug das oft vergessene /etc/portage/profile/package.provided vor. Ein Paket in dieser Datei wird nicht geupdated, bis ein anderes Paket zwingend eine neuere Version benötigt. Mehr Informationen über package.provided gibt es in der Portage Man Page. Entwickler Zac Medico schlug vor, nicht nur die höhere Version zu maskieren, sondern auch die niedrigere Version.

• http://archives.gentoo.org/gentoo-user/msg_111700.xml

gentoo-dev

Hilfe für Wartung des 2.6 Kernels gesucht

Daniel Drake sucht einen oder mehrere Leute, die bei der Wartung der gentoo-sources-2.6 helfen möchten. Wissen von Kernel Interner und/oder Kernel hacking ist nicht erforderlich, sondern Motivation ist das Wichtigste. Es ist nicht nötig als Gentoo Entwickler Hilfe anzubieten,das könnte also für eine interessierte Person ein guter Weg sein, einen Fuß in die Tür als Gentoo Entwickler zu bekommen. Interessierte Leute sollten Daniel Privat oder über IRC kontaktieren.

• http://archives.gentoo.org/gentoo-dev/msg_145122.xml

3.  Gentoo International

HSM sucht nach Gentoo-Spezialisten

HSM ist ein bekannter sogenannter 'Full-Service-Dienstleister' mit Hauptsitz in Paderborn/ Deutschland. Ihre Stärke ist die Entwicklung von Schnittstellen und Add-Ons zu Standardsoftwareprogrammen und Datenbanken, die Programmierung von kundenindividueller Spezialsoftware und die Bereitstellung von fertigen Softwareprodukten aus den Bereichen Sicherheit, Warenwirtschaft und Emulationen.

HSM sucht Linux-Spezialisten mit weitreichenden Gentoo-Kenntnissen zur weiteren Entwicklung und Kundensupport für ihre linux-basierende universelle Firewall-Software mit neuem und einzigartigem Produktkonzept. Die Kandidaten sollten umfangreiche Erfahrungen mit Linux mitbringen, insbesondere mit TCP/ IP und Routing, Perl, PHP und BASH Skripting, Apache, Bind, DNS, SQUID, Postfix und MySQL. Dazu sollten Kommunikationsfertigkeiten, organisiertes Arbeiten und konsequente Kundenorientierung kommen.

Kandidaten mit entsprechender Berufserfahrung bekommen die Möglichkeit auf eine Position im Management in Aussicht gestellt. Für Berufseinsteiger bieten werden attraktive Trainings- und Weiterbildungsmöglichkeiten geboten. Für weitere Informationen kontaktieren Sie HSMs HR Consultant, Hr. Wolf Geldmacher.

4.  Gentoo in den Medien

Linux Magazine (26. April 2007)

Linux Magazine veröffentlichte einen Bericht über Gentoo Linux und Portage. Der Sonderbeitrag ist gänzlich über Gentoo und nur für Abonnenten von Linux Magazine verfügbar. Wenn Sie ein Abonnent des Linux Magazine sind, sollten Sie den Artikel lesen.

• http://www.linux-mag.com/id/3130/

5.  Veränderungen bei den Gentoo-Entwicklern

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Niemand diese Woche

Zugänge

Die folgenden Entwickler haben sich kürzlich dem Gentoo Team angeschlossen:

• Niemand diese Woche

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Niemand diese Woche

6.  Gentoo Security

Ktorrent: Mehrere Schwachstellen

Mehrere in Ktorrent entdeckte Schwachstellen erlauben möglicherweise die entfernte Ausführung von beliebigem Code und einen 'Denial of Service'.

Für weitere Infos siehe die GLSA Meldung

FreeType: Beliebige Codeausführung

Eine in FreeType entdeckte Schwachstelle erlaubt möglicherweise die entfernte Ausführung von beliebigem Code.

Für weitere Infos siehe die GLSA Meldung

Tomcat: Informationspreisgabe

Eine in Tomcat entdeckte Schwachstelle erlaubt möglicherweise die Preisgabe von sensitiven Informationen.

Für weitere Infos siehe die GLSA Meldung

Apache mod_perl: 'Denial of Service'

Das mod_perl Apachemodul ist anfällig für einen 'Denial of Service', wenn Reguläre Ausdrücke verarbeitet werden.

Für weitere Infos siehe die GLSA Meldung

Quagga: 'Denial of Service'

Eine in Quagga entdeckte Schwachstelle erlaubt möglicherweise einen 'Denial of Service'.

Für weitere Infos siehe die GLSA Meldung

X.Org X11 Bibliothek: Mehrere Integerüberläufe

Die X.Org X11 Bibliothek enthält mehrere Integerüberläufe, die möglicherweise die beliebige Codeausführung gestatten.

Für weitere Infos siehe die GLSA Meldung

7.  Veränderungen bei den Gentoo-Paketen

Dies ist eine Liste derjenigen Pakete, die zum Einen verschoben oder zum Portage-Baum hinzugefügt wurden und zum Anderen von denen angekündigt wurde, dass sie in Kürze aus dem Portage-Baum entfernt werden. Die Informationen darüber, welche Pakete genau entfernt werden sollen, stammen aus vielen Quellen, darunter das Treecleaner Projekt und auch viele Entwickler. Die meisten Pakete im Abschnitt 'Letzte Ölung' benötigen jedoch nur jemanden der sie pflegt und könnten eigentlich im Portage-Baum verbleiben.

Entfernungen:

Hinzufügungen:

'Letzte Ölung':

8.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla ( bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 29. April 2007 und 06. Mai 2007 resultieren in:

• 565 neuen Bugs
• 361 geschlossenen oder gelösten Bugs
• 26 wiedergeöffneten Bugs
• 123 als NEEDINFO/WONTFIX/CANTFIX/INVALID/UPSTREAM geschlossener Bugs
• 104 als Duplikate bezeichneten Bugs

Von den 10028 zur Zeit offenen Bugs sind 11 als 'blocker', 116 als 'critical' und 364 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Gentoo's Team for Core System packages, mit 35 geschlossenen Bugs
• Java team, mit 17 geschlossenen Bugs
• Gentoo Security, mit 16 geschlossenen Bugs
• Gentoo KDE team, mit 15 geschlossenen Bugs
• Gentoo net-im Herd, mit 13 geschlossenen Bugs
• ppc64 architecture team, mit 10 geschlossenen Bugs
• Gentoo X-windows packagers, mit 9 geschlossenen Bugs
• SpanKY, mit 9 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Default Assignee for New Packages, mit 21 neuen Bugs
• Gentoo X-windows packagers, mit 13 neuen Bugs
• AMD64 Project, mit 10 neuen Bugs
• media-video herd, mit 8 neuen Bugs
• Gentoo's Team for Core System packages, mit 7 neuen Bugs
• Gentoo Ruby Team, mit 6 neuen Bugs
• Robin Johnson, mit 6 neuen Bugs
• Gentoo net-im Herd, mit 5 neuen Bugs

9.  GWN Feedback

Der GWN lebt von Freiwilligen und Communitymitgliedern, die Ideen und Artikel beisteuern. Wenn Sie daran interessiert sind, Beiträge für den GWN zu schreiben, Feedback für den Artikel, den wir veröffentlicht haben zu bekommen oder einfach nur eine Idee oder einen Artikel haben, den Sie hier veröffentlicht sehen wollen, senden Sie bitte ihr Feedback zu uns und helfen Sie dabei mit, den GWN noch besser zu machen.

10.  GWN Abonnenment-Infos

Um den Gentoo Weekly Newsletter zu abonnieren, senden Sie bitte eine leere Email an gentoo-gwn-de+subscribe@gentoo.org.

Um das Abonnement des Gentoo Weekly Newsletter zu kündigen, senden Sie bitte eine leere Email an gentoo-gwn-de+unsubscribe@gentoo.org und nehmen als Absender diejenige Email-Adresse, mit der Sie bestellt hatten.

11.  Andere Sprachen

Der Gentoo Weekly Newsletter ist auch in folgenden Sprachen verfügbar:

• Chinesisch (vereinfacht)
• Deutsch
• Englisch
• Französisch
• Griechisch
• Italienisch
• Japanisch
• Koreanisch
• Niederländisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Slovakisch
• Spanisch
• Türkisch