Gentoo Weekly Newsletter: 15. Oktober 2007

1.  Gehört in der Community

Planet Gentoo

Gentoo Arch Testvorgang

x86 Team Mitglied Christian Faulhammer beschreibt die Methoden, die die Architektur Teams anwenden um sicherzugehen, dass stabile Pakete auch wirklich stabil sind. Er beschreibt jeden Schritt und merkt an, dass viele davon langweilig sind und sich wiederholen. GATT, das "Gentoo Arch Testing Tool", entwickelt von Matthias Langer, wird als ein Utility vorgestellt, dass viele Aufgaben die einem Arch Tester begegnen automatisiert. Seine Funktionen werden erklärt und ein Screencast zeigt GATT in Aktion.

• Christian's Blog

Linux 2.6.23

Passend zur neuen Kernel release hat Daniel Drake, der gentoo-sources Maintainer eine Liste von Änderungen in seiner Release gegenüber 2.6.22 veröffentlicht. Die Liste beinhaltet auch die Ersetzung von vesafb-tng mit uvesafb.

• Daniel's Blog
• uvesafb's Projekt Seite

Gentoo Forum

Kernelwahl

Ein Thread wurde mit einer Umfrage gestartet, um herauszufinden welchen Kernel die Gentoo Nutzer bevorzugen. Gentoo-sources sind die populärsten, aber viele Leute benutzen auch was anderes. Welche Sourcen benutzen Sie?

• Forum Thread

Der blockierte Pakete Gospel

Ein Thread, mit der häufigen frage, wie man mit blockern umgehen soll, wurde im Gentoo Forum gestartet. In diesem Fall ging es um kdebase-kioslaves. Die Präsentation der Frage als Biblischer Dialog zwischen einem Individuum und Portage, als ein Wesen das sich der Lösung in den Weg stellt, ist kreativer als sonst. Der Stil wurde von einigen Antwortenden übernommen, was den Thread sehr amüsant macht.

• Forum Thread

2.  Gentoo in den Medien

fit-PC

ExtremeTech testetet den fit-PC, ein winziges System mit einem AMD Geode, das nur 3-5 Watt Energie verbraucht - und nur $285 kostet. Trotz seiner winzigen Abmessungen sind eine 40GB Festplatte, zwei Netzwerk-, zwei USB-Anschlüsse, ein VGA-Anschluss, zwei Audiobuchsen und 256MB Arbeitsspeicher vorhanden, sodass er perfekt als Computer zum Webbrowsen und für E-Mails, als Firewall/Router, und für andere ressourcenarme Aufgaben dienen kann. Der fit-PC unterstützt entweder Linux oder Windows, und es wird gemunkelt, dass er mit Gentoo Linux verfügbar ist.

Beim Hersteller CompuLab ist der fit-PC zur Zeit ausverkauft, aber weitere Systeme sollten im Dezember verfügbar sein.

• http://www.extremetech.com/article2/0,1697,2194852,00.asp
• http://www.fit-pc.com/

3.  Tipps und Tricks

Apache Configs abgekürzt -- mod_macro-Übersicht

Viele User haben lange Configdateien, die immer wieder die gleichen Blöcke enthalten, abgesehen von geändertem Domainnamen und Homeverzeichnis.

Fabien Coelho hat sich diesem Problem einmal angenommen.

Ich hasse copy-paste. Wenn ich den Apache-Server konfigurieren will, muss ich öfters einige Teile per copy-paste übernehmen, besonders wenn ich virtual hosts oder ähnliche Features einrichten will. Um dies zu umgehen, wären so was wie Makro-Fähigkeiten in den Runtime-Konfigurationsdateien nötig. [...]

—Fabien Coelho

Getreu der Maxime, die Dinge einfach zu halten, führte er nun zwei neue "Kommandos" ein:

• <Macro ...> ... </Macro>
• Use ...

Schauen wir uns das mal an einem richtigen Beispiel an:

<Macro VHostCGI $customer $domain>
<VirtualHost $domain:80>
  ServerName $domain
  ServerAlias www.$domain
  DocumentRoot /vaw/www/$customer/docroot/$domain/
  ScriptAlias /cgi-bin/ /var/www/$customer/cgi-bin/
  ErrorLog /var/log/apache/$customer/logs/$domain-error.log
  CustomLog /var/log/apache/$customer/logs/$domain-access.log combined
  <Directory /var/www/$customer/cgi-bin/>
    Options ExecCGI
  </Directory>
</VirtualHost>
</Macro>

Use VHostCGI customer1 example.com
Use VHostCGI customer15 sample.net
Use VHostCGI customer122 iamanexampletoo.org

Ein anderes Beispiel, das einige Verzeichnisse sperrt, wenn es passt:

<Macro PasswordProtect>
AuthName "Restricted area"
AuthType Basic
AuthUserFile /var/www/.htpasswd
require valid-user
</Macro>

<Directory /var/www/localhost/docroot>
  Options Indexes
</Directory>
<Directory /var/www/localhost/docroot/internal>
  Use PasswordProtect
  Options -Indexes
</Directory>
<Directory /var/www/localhost/docroot/downloads>
  Use PasswordProtect
  Options +FollowSymLinks
</Directory>

Sie sehen, es ist einfach zu Verfolgen was geschieht und Sie benötigen kein copy-paste von Abschnitten :)

Unter Gentoo brauchen Sie einfach nur emerge mod_macro aufzurufen und es mit -D MACRO in der etc/conf.d/apache zu aktivieren.

Weitere Infos über das Modul finden Sie auf der Homepage

• http://www.coelho.net/mod_macro/#motivation
• http://www.coelho.net/mod_macro/

4.  Veränderungen bei den Gentoo-Entwicklern

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• Niemand diese Woche.

Zugänge

Die folgenden Entwickler haben sich kürzlich dem Gentoo Team angeschlossen:

• Niemand diese Woche.

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• Niemand diese Woche.

5.  Gentoo Security

KDM: Lokale Privilegienerweiterung

KDM erlaubt unter bestimmten Bedingungen Logins ohne Password, wodurch ein lokaler User erweiterte Rechte erlangen könnte.

Für weitere Infos siehe die GLSA-Meldung

X.Org X server: Lokale Privilegienerweiterung in Composite

In der Composite-Erweiterung des X.Org X-Servers wurde eine Schwachstelle entdeckt, wodurch lokale User erweiterte Rechte erlangen könnten.

Für weitere Infos siehe die GLSA-Meldung

Balsa: Pufferüberlauf

Balsa ist anfällig für einen Pufferüberlauf, wodurch beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

util-linux: Lokale Privilegienerweiterung

Die mount und unmount Programme könnten von einem lokalen Angreifer zur Erlangung von root-Rechten genutzt werden.

Für weitere Infos siehe die GLSA-Meldung

The Sleuth Kit: Integerunterlauf

Eine Intergerunterlaufschwachstelle wurde in The Sleuth Kit entdeckt, wodurch beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

PDFKit, ImageKits: Pufferüberlauf

PDFKit und ImageKits sind anfällig für einen Integer- und Stacküberlauf, wodurch beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

TikiWiki: Beliebige Befehlsausführung

Tikiwiki enthält eine 'Command Injection'-Schwachstelle, wodurch von außen beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

TRAMP: Unsichere Erstellung temporärer Dateien

Das TRAMP-Paket des GNU Emacs erstellt auf unsichere Art und Weise temporäre Dateien.

Für weitere Infos siehe die GLSA-Meldung

Star: Verzeichnisüberschreitungs-Schwachstelle

Eine Verzeichnisüberschreitungsschwachstelle wurde in Star entdeckt.

Für weitere Infos siehe die GLSA-Meldung

OpenOffice.org: Heap-basierender Pufferüberlauf

In OpenOffice.org wurde eine heap-basierende Pufferüberlaufschwachstelle entdeckt, wodurch von außen beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

MLDonkey: Privilegienerweiterung

Das MLDonkey-Ebuild von Gentoo fügt dem System einen User mit gültiger Login-Shell und ohne Password hinzu.

Für weitere Infos siehe die GLSA-Meldung

HPLIP: Privilegienerweiterung

Der hpssd-Daemon könnte lokalen Angreifern erlauben, beliebige Befehle mit root-Rechten auszuführen.

Für weitere Infos siehe die GLSA-Meldung

ImageMagick: Mehrere Schwachstellen

Mehrere Schwachstellen wurden in ImageMagick entdeckt, wodurch möglicherweise beliebiger Code oder ein 'Denial of Service' ausgeführt werden könnten.

Für weitere Infos siehe die GLSA-Meldung

Qt: Pufferüberlauf

Eine Off-By-One Schwachstelle wurde in Qt entdeckt, wodurch beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

Sylpheed, Claws Mail: Beliebige Codeausführung von außen

Eine Stringformatierungsfehler wurde in Sylpheed und Claws Mail entdeckt, wodurch von außen beliebiger Code ausgeführt werden könnte.

Für weitere Infos siehe die GLSA-Meldung

6.  Veränderungen bei den Gentoo-Paketen

Dies ist eine Liste derjenigen Pakete, die zum Einen verschoben oder zum Portage-Baum hinzugefügt wurden und zum Anderen von denen angekündigt wurde, dass sie in Kürze aus dem Portage-Baum entfernt werden. Die Informationen darüber, welche Pakete genau entfernt werden sollen, stammen aus vielen Quellen, darunter das Treecleaner Projekt und auch viele Entwickler. Die meisten Pakete im Abschnitt 'Letzte Ölung' benötigen jedoch nur jemanden der sie pflegt und könnten eigentlich im Portage-Baum verbleiben.

Entfernungen:

Hinzufügungen:

'Letzte Ölung':

7.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla ( bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen dem 07. Oktober 2007 und 13. Oktober 2007 resultieren in:

• 473 neuen Bugs
• 291 geschlossenen oder gelösten Bugs
• 19 wiedergeöffneten Bugs
• 79 als NEEDINFO/WONTFIX/CANTFIX/INVALID/UPSTREAM geschlossener Bugs
• 82 als Duplikate bezeichneten Bugs

Von den 9617 zur Zeit offenen Bugs sind 11 als 'blocker', 102 als 'critical' und 331 als 'major' markiert.

Rangliste geschlossene Bugs

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• Gentoo Security, mit 20 geschlossenen Bugs
• Gentoo Toolchain Maintainers, mit 18 geschlossenen Bugs
• Gentoo's Team for Core System packages, mit 17 geschlossenen Bugs
• media-video herd, mit 11 geschlossenen Bugs
• Java team, mit 11 geschlossenen Bugs
• Gentoo Science Related Packages, mit 10 geschlossenen Bugs
• Mirror Admins, mit 9 geschlossenen Bugs
• Printing Team, mit 8 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Default Assignee for New Packages, mit 20 neuen Bugs
• Default Assignee for Orphaned Packages, mit 5 neuen Bugs
• Python Gentoo Team, mit 4 neuen Bugs
• Gentoo Linux Gnome Desktop Team, mit 4 neuen Bugs
• Gentoo Games, mit 4 neuen Bugs
• Gentoo's Team for Core System packages, mit 4 neuen Bugs
• AMD64 Project, mit 4 neuen Bugs
• Gentoo X packagers, mit 3 neuen Bugs

8.  GWN Feedback

Der GWN lebt von Freiwilligen und Communitymitgliedern, die Ideen und Artikel beisteuern. Wenn Sie daran interessiert sind, Beiträge für den GWN zu schreiben, Feedback für den Artikel, den wir veröffentlicht haben zu bekommen oder einfach nur eine Idee oder einen Artikel haben, den Sie hier veröffentlicht sehen wollen, senden Sie bitte ihr Feedback zu uns und helfen Sie dabei mit, den GWN noch besser zu machen.

9.  GWN Abonnement-Infos

Um den Gentoo Weekly Newsletter zu abonnieren, senden Sie bitte eine leere Email an gentoo-gwn-de+subscribe@gentoo.org.

Um das Abonnement des Gentoo Weekly Newsletter zu kündigen, senden Sie bitte eine leere Email an gentoo-gwn-de+unsubscribe@gentoo.org und nehmen als Absender diejenige Email-Adresse, mit der Sie bestellt hatten.

10.  Andere Sprachen

Der Gentoo Weekly Newsletter ist auch in folgenden Sprachen verfügbar:

• Chinesisch (vereinfacht)
• Deutsch
• Englisch
• Französisch
• Griechisch
• Italienisch
• Japanisch
• Koreanisch
• Niederländisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Slovakisch
• Spanisch
• Türkisch