Gentoo Logo

Boletín Semanal de Gentoo: 31 Enero de 2005

Contenido:

1.  Noticias de Gentoo

Gentoo Confiable

Propuesto inicialmente por Joseph Pingenot, los miembros del equipo de criptografía de Gentoo fijaron el objetivo de dar soporte en Gentoo al Grupo de Informática Confiable (TCG por su sigla en inglés - previamente conocida como la Alianza para una Plataforma de Informática Confiable o TCPA (en inglés)) en la agenda para el presente año.

TCG es un estándar abierto para la especificación de hardware que define funciones criptográficas (Módulo de Plataforma Confiable - TPM (en inglés)) que mantiene las llaves privadas lejos de la memoria del sistema. El hardware también provee funciones de arranque confiable (Pila de Software TCG - TSS (en inglés)) que asegura que las llaves privadas no puedan ser usadas si el Sistema Operativo cambia a uno no confiable.

Las aplicaciones TSS de las arquitecturas TCG que serían deseables en Gentoo son:

TPM permite almacenar llaves criptográficas en el hardware en vez de dejar las llaves privadas en el sistema de archivos. Algunos ejemplos incluyen:

Si estás interesado en donar hardware o en comprometerte en esta área contacta a Henrik Brix Andersen o Peter Johanson. Los desarrolladores tendrán que trabajar gran parte del tiempo de forma independiente y tener buena comprensión de arquitecturas de seguridad y programación en lenguaje C. Está disponible un emulador de TPM que puede ser de ayuda.

Buscando desarrolladores EM64T, hardware, y AMD64 "probadores-Arch"

El equipo Gentoo/AMD64 ha solicitado desarrolladores que ayuden a extender el soporte a los procesadores de Intel x86-64, la línea de productos EM64T. Los desarrolladores tendrán que traer su propio hardware, y principalmente realizar pruebas con el kernel, ya que los chipsets son diferentes en las placas madre EM64T. Por favor contacta con Jason Huebel si te sientes con ánimo para ayudar.

En un anuncio diferente, AMD64 también está buscando "probadores-Arch" o AT's (en inglés), es decir, no desarrolladores para ayudar a solucionar errores y marcar aplicaciones como estables para una variedad de ebuilds que ya están disponibles.

Liberado GameCD Gentoo/PPC

El equipo PPC ha preparado un prototipo del primer LiveCD completamente gráfico para la plataforma PowerPC presentando un juego 3D OpenGL/SDL multijugador llamado Cube. Fue diseñado para el PegasosPPC, pero ya está en preparación un CD alternativo para ejecutarlo en hardware Macintosh. Mientras ya está disponible el CD de 198 MB con el juego para descargar desde los servidores de réplica (en el directorio experimental/ppc/livecd), un completo Cluster de estaciones de trabajo "Open Desktop" ejecutando Cube será parte de las presentaciones en el Espacio del desarrollador de Gentoo en FOSDEM en Bruselas, entre el 26 y 27 Febrero de 2005.


Ilustración 1.1: Gentoo Linux GameCD para PPC, ilustración de Christian Hartmann

Fig. 1: CD cover

2.  Mirando al Futuro

Objetivos de los proyectos para el 2005

Continuando con las metas de los proyectos de Gentoo Linux, esta semana tenemos los planes del grupo Gentoo Hardened.

Gentoo Hardened

  • Repasar el enfoque y la política actual
  • Mejorar el filtrado de CFLAGS (especialmente "-fPIC" y "-fstack-protector")
  • Lanzar stages de AMD64/Sparc64/PPC64, para más equipos cuando los obtengamos
  • Mejorar la documentación sobre Grsecurity2
  • Mejorar y extender el soporte para SELinux
  • Desarrollar y documentar políticas de RSBAC
  • Más y mejor documentación de todo
  • Reclutar más desarrolladores
  • Elegir un nuevo comité de Gentoo Hardened
  • Lanzar un LiveCD de rescate y con herramientas de análisis forense
  • Apoyar y mejorar los parches para el kernel
  • Promover el proyecto Gentoo Hardened fuera de Gentoo, y hacer que más gente se entere de él dentro de Gentoo

3.  Seguridad en Gentoo

Konversation: Vulnerabilidades varias

Konversation contiene vulnerabilidades múltiples que podrían llevar a ejecución remota o fugas de información.

Más información en el Anuncio GLSA

Evolution: Desbordamiento de entero en camel-lock-helper

Un desbordamiento de entero en la aplicación camel-lock-helper puede ser aprovechada por un atacante para ejecutar código arbitrario con privilegios elevados.

Más información en el Anuncio GLSA

AWStats: Ejecución remota de código

AWStats falla al validar ciertas entradas, lo que podría llevar a ejecución remota de código arbitrario.

Más informacion en el Anuncio GLSA

GraphicsMagick: Desbordamiento del heap al decodificar archivos PSD

GraphicsMagick es vulnerable al desbordamiento del heap cuando se decodifican archivos de Documento Photoshop (PSD), que podría llevar a ejecución de código arbitrario.

Más información en el Anuncio GLSA

Perl: rmtree y vulnerabilidades de archivos temporales en DBI

La librer­a DBI de Perl y la función File::Path::rmtree son vulnerables a ataques de enlace simbólico.

Más información en el Anuncio GLSA

SquirrelMail: Vulnerabilidades múltiples

SquirrelMail falla al limpiar adecuadamente la entrada proveniente de un usuario, lo que podría llevar a la ejecución de código arbitrario y comprometer las cuentas de correo Web.

Más información en el Anuncio GLSA

ngIRCd: Desbordamiento de búfer

ngIRCd es vulnerable a un desbordamiento de búfer que puede ser usado para colgar al demonio y posiblemente ejecutar código arbitrario.

Más información en el Anuncio GLSA

TikiWiki: Ejecución de comandos arbitarios

Un bug en TikiWiki permite a ciertos usuarios subir y ejecutar scripts PHP maliciosos.

Más información en el Anuncio GLSA

VDR: Problema de sobreescritura de archivos arbitrarios

VDR accede a archivos de forma insegura con privilegios elevados, lo que puede resultar en la sobreescritura de archivos arbitrarios.

Más información en el Anuncio GLSA

f2c: Creación insegura de archivos temporales

f2c es vulnerable a ataques de enlace simbólico, permitiendo potencialmente a un usuario local sobreescribir archivos arbitrarios.

Más información en el Anuncio GLSA

ncpfs: Vulnerabilidades múltiples

Los utilitarios de ncpfs contienen fallos múltiples, potencialmente resultando en la ejecución remota de código arbitrario o acceso a archivos locales con privilegios elevados.

Más información en el Anuncio GLSA

4.  Ecos de la comunidad

Foros Web

Nueva versión de una antigua utilidad para Portage

Una de las diversas utilidades de búsqueda de Portage, portagedb, ha sido recientemente renombrada a "Ebuild Index" o eix. El desarrollador Pythonhead reconoce que esta alternativa a e-search se torna mejor con cada lanzamiento y menciona a eix en su meta-hilo:

¿Es el beagle el mejor amigo del hombre?

Fue una lenta semana en las secciones en inglés de los Foros, pero en la sección en francés se ha revisado una pieza de software comparable al "muy promocionado" SpotLight que Apple quiere integrar dentro de su versión Tiger de Mac OS X. Parece que el software basado en Mono, Beagle, no es solo una alternativa completamente libre en Linux a la búsqueda en el escritorio en tiempo real de Apple, también ya es utilizable, al menos en un cierto grado...

gentoo-dev

Recordatorio de la política de actualización de ebuild

Jason Wever envió un recordatorio sobre la política de actualización de ebuild: "Recientemente, hubo un montón de actualizaciones de ebuild con "arch keywords" omitidas completamente. Por favor no hagan esto, a menos que haya una razón específica para ello (agujero de seguridad, dependencias rotas, vea la política), y si hay una razón válida, por favor notifica las arquitecturas afectadas cómo y por qué has omitido sus keywords".

[RFC] eclasses con versiones

Daniel Goller y Patrick Lauer comenzaron un hilo pidiendo eclasses con versiones. Esta propuesta (que es un tópico recurrente más o menos cada seis meses) fue achicharrada en una de las más grandes de guerras de comentarios acalorados que la lista de correo de gentoo-dev ha visto en los últimos meses, y aún está sin resolverse.

Gentoo-dev parece haber sido hackeado

Más o menos al mismo tiempo que la acalorada guerra de "eclasses con versiones", se desarrolló un segundo hilo de alto tráfico acerca de las firmas, identidad y paranoia. Las preguntas iniciales acerca de posibles firmas comprometidas se olvidaron mientras los desarrolladores y usuarios discutían el problema de la identidad en la mayoría de comunicaciones electrónicas, y algunas otras preguntas tangenciales.

Problemas de BAS/c

Ciaran McCreesh ha señalado algunos problemas con el nuevo cliente BAS/c de estadísticas y tiempos de compilación. Los siguientes hilos tienen montones de buena información para todos los hackers de ebuilds, además de explicar cómo se deberían escribir los buenos ebuilds (y algunos buenos ejemplos de lo que no se debe hacer)

5.  Gentoo en la prensa

Gentoo/OpenSolaris crea una tormenta en los medios

"Sentimientos encontrados" es lo que mejor describe la reacción de la comunidad open-source ante la liberación de OpenSolaris de Sun. Independientemente de si critican o no la jugada de Sun, muchos autores reconocen el interés de Portaris y del proyecto Gentoo/OpenSolaris. La siguiente es una lista de artículos en la prensa internacional que cubren los anuncios tanto de Sun como de Gentoo:

Mad Penguin (25 de Enero de 2005)

"Gentoo done right" (Gentoo hecho correctamente) es el título del artículo publicado en Mad Penguin sobre Vidalinux, un sistema derivado de Gentoo que se instala a través de Anaconda de RedHat y que proporciona binarios sobre una sistema Gentoo base. La distribución puertorriqueña - "esencialmente una instalación de stage 3" - recibe una entusiasta evaluación por parte del autor Adam Doxtater, quien concluye recomendándola a "cualquiera que tenga el deseo de experimentar con Gentoo Linux pero que no tenga tiempo de compilar todo desde cero para tener un sistema básico funcionando."

Pro-Linux.de (25 de Enero de 2005)

La revista en línea alemana especializada en Linux habla sobre la venta de estaciones de trabajo Open Desktop de Genesi en un artículo sobre estaciones de trabajo PegasosPPC con Gentoo pre-instalado. Pro-Linux cita el anuncio en el BSG de la semana pasada y agrega algunas notas sobre la plataforma en general, identificando al ODW, entre otras cosas, como "una reencarnación de la Amiga".

6.  Bugzilla

Resumen

Estadísticas

La comunidad Gentoo usa Bugzilla (bugs.gentoo.org) para registrar y seguir errores, notificaciones, sugerencias y otras interacciones con el equipo de desarrollo. Entre el 23 de Enero del 2005 y el 30 de Enero del 2005, la actividad en el sitio tuvo como resultado:

  • 844 nuevos errores durante este periodo
  • 516 errores cerrados o resueltos durante este periodo
  • 29 errores previamente cerrados que fueron reabiertos durante este periodo

De los 7945 errores abiertos actualmente: 109 están etiquetados como 'blocker', 240 como 'critical', y 584 como 'major'.

Ranking de errores cerrados

Los desarrolladores y equipos con más errores cerrados durante este periodo son:

Ranking de errores nuevos

Los desarrolladores y equipos con m¡s nuevos errores asignados durante este periodo son:

7.  Bajas, altas y cambios

Bajas

Los siguientes desarrolladores dejaron recientemente el equipo de Gentoo:

  • Ninguno en esta semana

Altas

Los siguientes desarrolladores se unieron recientemente al equipo de Gentoo Linux:

  • Fernando Serboncini (fserb) - Python
  • Kyle England (kengland) - Infraestructura

Cambios

Los siguientes desarrolladores recientemente cambiaron de rol dentro del proyecto Gentoo Linux:

  • John Davis (zhen) - Renuncia al Liderato estratégico de Ingeniería de Lanzamiento
  • Aaron Walker (ka0ttic) - Se unió a netmon
  • Daniel Black (dragonheart) - Deja embedded - se unió a ppc y netmon
  • Otavio Rodolfo Piske (AngusYoung) - Se unió a netmon

8.  Contribución al BSG

¿Interesado en contribuir al Boletín Semanal de Gentoo? Envíanos un correo electrónico.

9.  Opiniones y/o comentarios al BSG

Por favor, envíanos tus opiniones y/o comentarios y ayuda a hacer mejor el BSG.

10.  Información de subscripción al BSG

Para subscribirte al Boletín Semanal de Gentoo (en inglés), envía un correo electrónico en blanco a gentoo-gwn-subscribe@gentoo.org.

Para desubscribirte del Boletín Semanal de Gentoo, envía un correo electrónico en blanco a gentoo-gwn-unsubscribe@gentoo.org desde la dirección de correo electrónico con la cual estás subscrito.

11.  Otros idiomas

El Boletín Semanal de Gentoo también está disponible en los siguientes idiomas:



Imprimir

Página actualizada 31 de enero, 2005

Sumario: Este es el Boletín Semanal de Gentoo para la semana del 31 de Enero de 2005.

Ulrich Plate
Editor

Daniel Black
Author

Danny van Dyk
Author

Patrick Lauer
Author

Alexander Moreno
Traductor

Andrés Pereira
Traductor

Daniela Bourges
Traductor

Demóstenes
Traductor

Federico Frigerio
Traductor

José Manuel González Calvar
Traductor

Miles Lubin
Traductor

Víctor Argüelles
Traductor

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.