Gentoo Logo

Boletín Semanal de Gentoo: 7 Abril 2003

Contenido:

1.  Noticias de Gentoo

Sumario

Si, fue una broma

En el número de la semana pasada, que fue convenientemente retrasado un día para poder ser lanzado el 1 de Abril, incluía una historia sobre la adopción del formato RPM para la administración de paquetes. El resultado de la broma para tontos de Abril tuvo más éxito del que esperábamos. (Algunos pueden discutir si fue tan exitosa) No hay necesidad de decir que fue una broma, y que el equipo de desarrolladores de Gentoo no piensa cambiar su formato ebuild.

Por favor paren de enviarnos e-mails con odio.

Portage cambia a un nuevo y más seguro formato

Como parte de un esfuerzo general para incrementar la seguridad de Gentoo Linux, el equipo de desarrollo del Portage esta empezando a implementar algunas características nuevas que permitirán mayor seguridad en nuestra administración de paquetes y sistemas de distribución. Una de las primeras características que los usuarios notarán es un resumen (digest) de cada archivo relacionado con el proceso de emerger, incluyendo ebuilds, correción de errores y código fuente empaquetado. Además de ofrecer un incremento en la seguridad, estos resumenes ayudarán a aislar y localizar ebuilds corruptos u otros archivos en nuestros rsync y réplicas de código.

El próximo paso en el proceso será la firma de estos archivos de resumen con una clave GPG para asegurarse el no rechazo. Mientras sigue habiendo algunas discuciones entre el equipo de desarrollo sobre la mejor forma de lograr esto, la solución actual implica que cada desarrollador firme individualmente los ebuilds, y luego un maestro Gentoo "uberkey" firme todas las claves de los desarrolladores para estableser una "red de confianza" Gentoo. Las claves de los desarrolladores estarán disponibles en servidores de claves públicos, como también en www.gentoo.org

El objetivo de lo que viene a ser conocido como el "Portage seguro" es proveer un robusto sistema de administración de paquetes que ofrezca seguridad en todo el proceso de emerger. Todavía, no hay una planificación confirmada de cuando el sistema entero estará disponible, pero la porción de resumen se está probando y el resto seguirá pronto.

2.  Seguridad de Gentoo

Sumario

GLSA: sendmail

El MTA (mail transfer agent) sedmail tiene un stack overflow en la manera cómo revisa la direcciones email. Esta vulnerabilidad puede ser explotada remotamente para ejecutar un ataque DoS, obtener control del servidor sendmail, y ejecutar código arbitrario con los privilegios del proceso de sendmail (típicamente root).

  • Severidad: Crítica - Exposición remota de root.
  • Paquetes Afectados: net-mail/sendmail versiones anteriores a sendmail-8.12.9
  • Rectificación: Sincronizar y emerge sendmail, emerge clean.
  • Anuncio GLSA
  • Aviso

GLSA: krb5 y mit-krb5

Se han detectado múltiples vulnerabilidades en las implementaciones de krb5 y mit-krb5 del protocolo de autentificación Kerberos. Estas vulnerabilidades incluyen un buffer overflow que permite un ataque DoS al demonio de administración de Kerberos, y una sobreescritura de buffer que permite nombres y hosts inusuales (que pueden ser usados en otros ataques).

  • Severidad: Crítica - Compromiso de autentificación.
  • Paquetes Afectados: app-crypt/krb5 versiones anteriores a krb5-1.2.7-r2 y app-crypt/mit-krb5 versiones anteriroes a mit-krb5-1.2.7
  • Rectificación: Sincronizar y emerge krb5 y/o mit-krb5, emerge clean.
  • Anuncio GLSA
  • Aviso

GLSA: openafs

Una debilidad criptográfica en Kerberos 4 permite un ataque basado en archivos de texto plano impersonar otras personas en el realm. El sistema de archivos distribuido openafs usa Kerberos 4, por lo tanto es vulnerable a este tipo de ataques.

  • Severidad: Crítica - Compromiso de autentificación.
  • Paquetes Afectados: net-fs/openafs versiones anteriores a openafs-1.3.2-r1
  • Rectificación: Sincronizar y emerge openafs, emerge clean.
  • Anuncio GLSA
  • Aviso

GLSA: dietlibc

La función xdrmem_getbytes() incluida en dietlibc tiene una integer overflow que puede ser usado por un atacante remoto para ejecutar ua llamada rpc que permite explotar la vulnerabilidad.

  • Severidad: Alta - Explotación remota del servicio.
  • Paquetes Afectados: dev-libs/dietlibc versiones anteriores a dietlibc-0.22-r1
  • Rectificación: Sincronizar y emerge dietlibc, emerge clean.
  • Anuncio GLSA
  • Aviso

Nuevos Problemas de Seguridad

Esta semana no hay ningún problema de seguridad de especial importancia.

Seguridad de Gentoo

Marcus Martin publicó una idea acerca de incluir "emerge security" que actualizaría automaticamente los paquetes para los cuales se haya publicado un GLSA. Esto causó un una discusión que finalmente concluyó que es una buena idea (aunque difícil de implementar) y ya se ha documentado como el bug #5835.

3.  Desarrollador de la semana

Seth Chandler


Ilustración 3.1: Seth Chandler, aka sethbc

Fig. 1: Seth Chandler, aka sethbc

El personal se suele quejar de lo lento que es OpenOffice, pero por ahora sigue siendo una de las aplicaciones de oficina más completas y más compatibles con MS-Office. El desarrollador destacado de esta semana, Seth Chandler, está a cargo de los paquetes de openoffice y de openoffice-bin, y de camino también mantiene keychain, escribe algunos documentos, y es también uno de los tres co-líderes del equipo PPC. Su principal obligación - corregir los bugs que aparecen con OpenOffice. Esto le toma la mayoría del tiempo, pero de vez en cuando también ayuda a otros desarrolladores si estos van a fallar. Seth comenzó a usar Gentoo hace aproximadamente dos años, y fue invitado al equipo de desarrollo de Gentoo hace cinco meses por Spanky, a que él conocía de la escuela, porque se necesitaba a alguien que estuviese a cargo de OpenOffice. A través de su trabajo con Gentoo, él se ha hecho un personaje regular de los canales del IRC y en las listas de correo relacionadas con OpenOffice, y ha estado contribuyendo a IssueZilla de OpenOffice porque por la naturaleza de Gentoo de ir al filo de la navaja significa que los problemas se notan a menudo antes aquí que en las otras distribuciones.

aunque los cargadores duales del mac con OS X. Él funciona Waimea-cvs y el qmail en todo el el suyo boxen, y sus apps preferidos incluyen los gaim-cvs, xchat-2, kmail, aterm, y gkrellm. Ambas de sus máquinas x86 funcionan las fuentes más últimas, que a la hora de la entrevista era 2.5.65-mm2, pero cuando él se está sintiendo picante él escurr un repo vivo de BitKeeper. Durante el día, Seth es un estudiante en el Worcester Polytechnic Institute, e irá a uno de los numerosos colegios de abogados en donde ya ha sido aceptado (Cornell, UGA, UConn, Emory, BU, Vanderbilt; mientras esperando oir de UVA y Yale). Sus tres computadoras (un P3 dual, una MP 2100 dual de Athlon, y un Powerbook de 15.2 pulgadas) todas funcionan con Gentoo, aunque el Mac tiene la posibilidad de arrancar con OS X. Corre Waimea-cvs y qmail en todas sus máquinas, y sus aplicaciones preferidas incluyen gaim-cvs, xchat-2, kmail, aterm, y gkrellm. Sus dos máquinas x86 funcionan con las fuentes más últimas, que a la hora de la entrevista eran el kernel 2.5.65-mm2, pero cuando él siente el gusanillo, se baja las últimas fuentes con BitKeeper.

Seth es un miembro del equipo de tierra del Atlanta Braves y ha estado gozando de se trabajo allí durante 15 años; su padre es el doctor del equipo. Seth dice que va a la escuela entre las temporadas de competición.

4.  Oido en la comunidad

Forums Web

Slithering Along the Bleeding Edge

El árbol de desarrollo del núcleo Linux está avanzando hacia la versión 2.6 muy rápidamente y varios hilos de discusión en los forums demuestran que los Gentooistas siguen muy de cerca el desarrollo del núcleo. Eso sí, con algunos problemas ocasionales...

¡La mejor broma del 1 de abril de todos los tiempos!

Mira el primer link de nuestra lista: los forums había predicho que esto pasaría... Pero la amenaza de la desaparición de Portage puso los pelos de punta a muchos usuarios fieles de Gentoo y muchos de ellos entraron en un estado de "shock" que duró entre un mero segundo hasta varias horas. Insultaron a sus pantallas o compañeros de habitación y amenazaron con empezar a eliminar su árbol de datos Portage antes de que llegaran a la conclusión: se les había tomado... Y entre toda esta indignación por el hecho de que Gentoo se pasara a RPM, sólo unos pocos alemanes encontraron la segunda noticia falsa del BSG de la semana pasada.

Grupo de usuarios de Gentoo en New Jersey

Los usuario de Gentoo de New Jersey pueden estar interesados en un mensaje que dweigert puso en Gentoo Chat esta semana preguntando sobre crear un grupo de usuarios de Gentoo en Nueva Jersey. El enfoque parece ser en Nueva Jersey Centro por ahora. Pero todos los residentes en New Jersey estan invitados a asistir. Mirad el hilo de abajo para información sobre las horas de reunión, fechas y lugares.

gentoo-user

¿Uso de Gentoo en la empresa?

Con cerca de 60 respuestas hasta ahora, esta semana en el hilo más concurrido en gentoo-user se preguntaba acerca de empresas (grandes preferiblemente) que estén usando Gentoo en un entorno de producción. Mucha gente respondió indicando que no creían que Gentoo fuese apropiado para un entorno de producción ya que aún presentaba muchos problemas en un entorno personal. Otros indicaron que Gentoo funcionaba muy bien en un entorno de producción, a veces sirviendo a más de 150,000 clientes. Las respuestas son obiamente muy variadas y, en muchos casos, fuera del tema. Pero el hilo de discusión contiene bastantes observaciones interesantes sobre los intentos y tribulaciones de usar Gentoo Linux en un entorno de producción.

Gestión de paquetes para software para el que no existen ebuilds

Jan Drugowitsch preguntó acerca de cómo gestionar paquetes instalados fuera de Portage en un sistema Gentoo. Las respuestas fueron variadas y de ayuda, indicando varios proyectos que podrían cumplir con los requerimientos.

gentoo-dev

Pregunta sobre programación de Portage

Robin H. Johnson preguntó sobre la existencia de alguna documentación de la API de Portage y recibión una grata sorpresa cuando alguien le dijo que escribierapython [RETURN] help() [RETURN] portage para obtener la ayuda interactiva de Python.

¿Equivalente para ACCEPT_KEYWORDS="~arch"?

Jani Monoses se preguntaba si hay una manera más simple que la de usar el comando tan largo ACCEPT_KEYWORDS="~arch" emerge package_name. Thomas M. Beaudry contribuyó con la sugerencia de utilizar los alias de la shell Bash (mirar man bash). Y otro Thomas le mostró su definición de alias alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'

5.  Gentoo Internacional

Un Meta-Proyecto francés para la Meta-Distribución

Gentoo Francia esta reapareciendo: Después del establecimiento de gentoofr.org en julio el año pasado (y cuidadosamente manteniendo sus buenas relaciones con el viejo proyecto), una nueva organización llamada frgentoo.net fundada por Baptiste Simon, Guillaume Morin y Mark Krauth está recolectando a los partidarios y a los activistas que quieran ayudar con una nueva iniciativa para las traducciones francesas de la documentacin y de tutoriales, organizando canales de Gentoo en el IRC y listas de correo, y generalmente deseando conectar con gente (como los que estamos traduciendo la parte en español). El nuevo club desea proporcionar una gama de servicios entera alrededor de Gentoo Linux en Francia, y está determinado de hacer la cosas bien desde el primer día. Las elecciones para los puestos a cubrir en la asociación se van a celebrar antes de fin de mes, sumisiones de candidatos para puestos de coordinador y los papeles del líder de proyecto son posibles hasta el 11 de abril, con las elecciones que se harán por voto electrónico entre el 14 y el 20 de abril. Ir a alpha.gentoo.org para más información.

6.  Visión de Portage

Los siguientes paquetes estables se agregaron a portage esta semana

Actualizaciones a paquetes notables

  • sys-apps/portage - portage-2.0.47-r13.ebuild;
  • sys-kernel/* - gs-sources-2.4.21_pre6.ebuild; hardened-sources-2.4.20.ebuild; mm-sources-2.5.66-r2.ebuild; mm-sources-2.5.66-r3.ebuild; ppc-sources-2.4.20-r4.ebuild; selinux-sources-2.4.20-r3.ebuild; sparc-sources-2.4.20-r7.ebuild;

Nuevas variables USE

  • debug - Indica a configure y los makefiles compilar para depuración. Su efecto varía entre paquetes. Recuerda agregar nostrip a tus FEATURES (make.conf).
  • emacs - Incluye soporte para GNU Emacs

7.  Bugzilla

Sumario

Estadísticas

La comunidad Gentoo usa Bugzilla (bugs.gentoo.org) para registrar y seguir a pista a bugs, notificaciones, sugerencias y otras interacciones con el equipo de desarrollo. En los ultimos 7 días, la actividad ha resultado en:

  • 311 nuevos bugs esta semana
  • 311 bugs cerrados o resueltos esta semana
  • 12 bugs previamente cerrados y reabiertos.
  • 2349 bugs marcados como "nuevos"
  • 466 bugs actualmente asignados a desarrolladores
Actualmente hay 2880 bugs abiertos en Bugzilla. De estos: 72 han sido etiquetados 'blocker', 104 han sido etiquetados 'críticos', y 233 han sido etiquetados 'major'.

Rankings de bugs cerrados

Los desarrolladores y equipos que mas bugs han cerrado esta semana son:

Rankings de nuevos bugs

Los equipos y desarrolladores a quienes se les han asignado mas bugs esta semana son:

8.  Ayudas y Trucos

Cambiando los atributos de los archivos

El truquillo de esta semana te explica como usar chattr para mantener seguros los archivos importantes del sistema. El comando "cambiar atributos" , o chattr, puede usarse para agregar o cambiar atributos existentes en los archivos, para cosas como actualizaciones sincrónicas, seguridad de archivos más precisa, y más. Sin embargo, este comando solo está disponible en particiones ext2 o ext3.

Una lista de atributos comunes y sus banderas asociadas se lista abajo. Para una lista más completa consulta man chattr.

  • (A) No actualiza el atime [tiempo de acceso]
  • (S) actualizaciones sincrónicas updates
  • (a) solo-agregar
  • (d) sin dump [volcado]
  • (i) inmutable, no puede ser cambiado
  • (j) activa transacción del contenido [journalling]
  • (t) sin tail-merging [juntar colas]

Nota: La opción 'j' solo se puede usar en ext3.

Nota: Las opciones 'j', 'a' e 'i' solo estan disponibles para el superusuario

Primero asegúrate de que tienes instalado chattr emergiendo e2fsprogs.

Listado de Código 8.1: Instalando los archivos requeridos

# emerge e2fsprogs

Para cambiar los atributos en los archivos, usa el comando chattr y para ver los atributos, usa el comando lsattr.

Listado de Código 8.2: Ejemplos del uso de chattr y lsattr

(Asignar el bit de inmutabilidad para que un archivo no pueda ser borrado o cambiado)
# chattr +i archivo
# lsattr archivo
----i-------- archivo

(Probando el atributo de inmutabilidad intentando borrar el archivo)
# rm archivo
rm: cannot remove `archivo': Operation not permitted

(Asignar el archivo como solo-agregar)
# chattr +a archivo
# lsattr archivo
-----a------- archivo

# echo probando > archivo
archivo: Operation not permitted
# echo probando >> archivo(no hay errores - el archivo fue agregado a)

Alguna circunstancia en las que esto puede ser útil es mantener archivos importantes a salvo de ser borrados. Recuerda que ni siquiera el usuario root puede borrar un archivo que esta marcado como inmutable o solo-agregar sin sacar expresamente el atributo. Usar estos atributos en /etc/passwd o /etc/shadow los mantienen a salvo de un accidental rm -f y también asegura que no pueden ser agregadas nuevas cuentas en caso de un hackeo. Mantener otros archivos como solo-agregar significa que una vez que son escritos el contenido no puede cambiarse. Los logs son buenos candidatos a esto, para evitar que sean modificados sin permiso. Con chattr y lsattr, tienes ahora algunas herramientas para mantener tu sistema más seguro.

9.  Cambios, Altas y Bajas

Bajas

Los siguientes desarrolladores han dejado el equipo de Gentoo recientemente:

  • Peter Brown (rendhalver)

Altas

Los siguientes desarrolladores se han unido al equipo de Gentoo recientemente:

  • Makoto Yamakura (yakina) -- documentación japonesa
  • Peter Bilitch (hsinhsin) -- documentación Gentoo
  • John Mylchreest (johnm) -- documentación Gentoo
  • Joe Kallar (blademan) -- documentación Sparc
  • Ashton Mills (martigen) -- documentación Gentoo
  • Thomas Pedley (shallax) -- Gentoo xbox
  • Robin Johnson (robbat2) -- ufed, mysql, php

Cambios

Los siguientes desarrolladores han cambiado actividades en el equipo Gentoo recientemente.

  • Nadie en esta semana

10.  Contribución al BSG

¿Interesado en contribuir al Boletín Semanal de Gentoo? Envíanos un email.

11.  BSG Comentarios

Por favor, envíanos tu comentario y ayúdanos a hacer un mejor Boletín Semanal de Gentoo.

12.  Otros Idiomas

El Boletín Semanal de Gentoo también está disponible en los siguientes idiomas:



Imprimir

Página actualizada 7 Abr 2003

Sumario: Este es el Boletín Semanal de Gentoo para la semana del 7 de Abril, 2003.

Kurt Lieber
Editor

AJ Armstrong
Contributor

Brice Burgess
Contributor

Yuji Carlos Kosugi
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Ulrich Plate
Contributor

Peter Sharp
Contributor

Mathy Vanvoorden
Dutch Translation

Tom Van Laerhoven
Dutch Translation

Roel Adriaans
Dutch Translation

Peter Dijkstra
Dutch Translation

Nicolas Ledez
French Translation

Guillaume Plessis
French Translation

Eric St-Georges
French Translation

John Berry
French Translation

Martin Prieto
French Translation

Michael Kohl
German Translation

Steffen Lassahn
German Translation

Matthias F. Brandstetter
German Translation

Thomas Raschbacher
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

Daniel Ketel
Japanese Translation

Yoshiaki Hagihara
Japanese Translation

Andy Hunne
Japanese Translation

Yuji Carlos Kosugi
Japanese Translation

Yasunori Fukudome
Japanese Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Bruno Ferreira
Portuguese (Portugal) Translation

Gustavo Felisberto
Portuguese (Portugal) Translation

Ricardo Jorge Louro
Portuguese (Portugal) Translation

Lanark
Spanish Translation

Rafael Cordones Marcos
Spanish Translation

Julio Castillo
Spanish Translation

Sergio Gómez
Spanish Translation

Pablo Pita Leira
Spanish Translation

Carlos Castillo
Spanish Translation

Tirant
Spanish Translation

Lucas Sallovitz
Spanish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.