Ilustración 1.1: Gentoo Linux GameCD para PPC, ilustración de Christian Hartmann
Propuesto inicialmente por Joseph Pingenot, los miembros del equipo de criptografía de Gentoo fijaron el objetivo de dar soporte en Gentoo al Grupo de Informática Confiable (TCG por su sigla en inglés - previamente conocida como la Alianza para una Plataforma de Informática Confiable o TCPA (en inglés)) en la agenda para el presente año.
TCG es un estándar abierto para la especificación de hardware que define funciones criptográficas (Módulo de Plataforma Confiable - TPM (en inglés)) que mantiene las llaves privadas lejos de la memoria del sistema. El hardware también provee funciones de arranque confiable (Pila de Software TCG - TSS (en inglés)) que asegura que las llaves privadas no puedan ser usadas si el Sistema Operativo cambia a uno no confiable.
Las aplicaciones TSS de las arquitecturas TCG que serían deseables en Gentoo son:
TPM permite almacenar llaves criptográficas en el hardware en vez de dejar las llaves privadas en el sistema de archivos. Algunos ejemplos incluyen:
Si estás interesado en donar hardware o en comprometerte en esta área contacta a Henrik Brix Andersen o Peter Johanson. Los desarrolladores tendrán que trabajar gran parte del tiempo de forma independiente y tener buena comprensión de arquitecturas de seguridad y programación en lenguaje C. Está disponible un emulador de TPM que puede ser de ayuda.
Buscando desarrolladores EM64T, hardware, y AMD64 "probadores-Arch"
El equipo Gentoo/AMD64 ha solicitado desarrolladores que ayuden a extender el soporte a los procesadores de Intel x86-64, la línea de productos EM64T. Los desarrolladores tendrán que traer su propio hardware, y principalmente realizar pruebas con el kernel, ya que los chipsets son diferentes en las placas madre EM64T. Por favor contacta con Jason Huebel si te sientes con ánimo para ayudar.
En un anuncio diferente, AMD64 también está buscando "probadores-Arch" o AT's (en inglés), es decir, no desarrolladores para ayudar a solucionar errores y marcar aplicaciones como estables para una variedad de ebuilds que ya están disponibles.
El equipo PPC ha preparado un prototipo del primer LiveCD completamente gráfico para la plataforma PowerPC presentando un juego 3D OpenGL/SDL multijugador llamado Cube. Fue diseñado para el PegasosPPC, pero ya está en preparación un CD alternativo para ejecutarlo en hardware Macintosh. Mientras ya está disponible el CD de 198 MB con el juego para descargar desde los servidores de réplica (en el directorio experimental/ppc/livecd), un completo Cluster de estaciones de trabajo "Open Desktop" ejecutando Cube será parte de las presentaciones en el Espacio del desarrollador de Gentoo en FOSDEM en Bruselas, entre el 26 y 27 Febrero de 2005.
Ilustración 1.1: Gentoo Linux GameCD para PPC, ilustración de Christian Hartmann |
|
Objetivos de los proyectos para el 2005
Continuando con las metas de los proyectos de Gentoo Linux, esta semana tenemos los planes del grupo Gentoo Hardened.
Gentoo Hardened
Konversation: Vulnerabilidades varias
Konversation contiene vulnerabilidades múltiples que podrían llevar a ejecución remota o fugas de información.
Más información en el Anuncio GLSA
Evolution: Desbordamiento de entero en camel-lock-helper
Un desbordamiento de entero en la aplicación camel-lock-helper puede ser aprovechada por un atacante para ejecutar código arbitrario con privilegios elevados.
Más información en el Anuncio GLSA
AWStats: Ejecución remota de código
AWStats falla al validar ciertas entradas, lo que podría llevar a ejecución remota de código arbitrario.
Más informacion en el Anuncio GLSA
GraphicsMagick: Desbordamiento del heap al decodificar archivos PSD
GraphicsMagick es vulnerable al desbordamiento del heap cuando se decodifican archivos de Documento Photoshop (PSD), que podría llevar a ejecución de código arbitrario.
Más información en el Anuncio GLSA
Perl: rmtree y vulnerabilidades de archivos temporales en DBI
La librera DBI de Perl y la función File::Path::rmtree son vulnerables a ataques de enlace simbólico.
Más información en el Anuncio GLSA
SquirrelMail: Vulnerabilidades múltiples
SquirrelMail falla al limpiar adecuadamente la entrada proveniente de un usuario, lo que podría llevar a la ejecución de código arbitrario y comprometer las cuentas de correo Web.
Más información en el Anuncio GLSA
ngIRCd: Desbordamiento de búfer
ngIRCd es vulnerable a un desbordamiento de búfer que puede ser usado para colgar al demonio y posiblemente ejecutar código arbitrario.
Más información en el Anuncio GLSA
TikiWiki: Ejecución de comandos arbitarios
Un bug en TikiWiki permite a ciertos usuarios subir y ejecutar scripts PHP maliciosos.
Más información en el Anuncio GLSA
VDR: Problema de sobreescritura de archivos arbitrarios
VDR accede a archivos de forma insegura con privilegios elevados, lo que puede resultar en la sobreescritura de archivos arbitrarios.
Más información en el Anuncio GLSA
f2c: Creación insegura de archivos temporales
f2c es vulnerable a ataques de enlace simbólico, permitiendo potencialmente a un usuario local sobreescribir archivos arbitrarios.
Más información en el Anuncio GLSA
ncpfs: Vulnerabilidades múltiples
Los utilitarios de ncpfs contienen fallos múltiples, potencialmente resultando en la ejecución remota de código arbitrario o acceso a archivos locales con privilegios elevados.
Más información en el Anuncio GLSA
Nueva versión de una antigua utilidad para Portage
Una de las diversas utilidades de búsqueda de Portage, portagedb, ha sido recientemente renombrada a "Ebuild Index" o eix. El desarrollador Pythonhead reconoce que esta alternativa a e-search se torna mejor con cada lanzamiento y menciona a eix en su meta-hilo:
¿Es el beagle el mejor amigo del hombre?
Fue una lenta semana en las secciones en inglés de los Foros, pero en la sección en francés se ha revisado una pieza de software comparable al "muy promocionado" SpotLight que Apple quiere integrar dentro de su versión Tiger de Mac OS X. Parece que el software basado en Mono, Beagle, no es solo una alternativa completamente libre en Linux a la búsqueda en el escritorio en tiempo real de Apple, también ya es utilizable, al menos en un cierto grado...
Recordatorio de la política de actualización de ebuild
Jason Wever envió un recordatorio sobre la política de actualización de ebuild: "Recientemente, hubo un montón de actualizaciones de ebuild con "arch keywords" omitidas completamente. Por favor no hagan esto, a menos que haya una razón específica para ello (agujero de seguridad, dependencias rotas, vea la política), y si hay una razón válida, por favor notifica las arquitecturas afectadas cómo y por qué has omitido sus keywords".
[RFC] eclasses con versiones
Daniel Goller y Patrick Lauer comenzaron un hilo pidiendo eclasses con versiones. Esta propuesta (que es un tópico recurrente más o menos cada seis meses) fue achicharrada en una de las más grandes de guerras de comentarios acalorados que la lista de correo de gentoo-dev ha visto en los últimos meses, y aún está sin resolverse.
Gentoo-dev parece haber sido hackeado
Más o menos al mismo tiempo que la acalorada guerra de "eclasses con versiones", se desarrolló un segundo hilo de alto tráfico acerca de las firmas, identidad y paranoia. Las preguntas iniciales acerca de posibles firmas comprometidas se olvidaron mientras los desarrolladores y usuarios discutían el problema de la identidad en la mayoría de comunicaciones electrónicas, y algunas otras preguntas tangenciales.
Problemas de BAS/c
Ciaran McCreesh ha señalado algunos problemas con el nuevo cliente BAS/c de estadísticas y tiempos de compilación. Los siguientes hilos tienen montones de buena información para todos los hackers de ebuilds, además de explicar cómo se deberían escribir los buenos ebuilds (y algunos buenos ejemplos de lo que no se debe hacer)
Gentoo/OpenSolaris crea una tormenta en los medios
"Sentimientos encontrados" es lo que mejor describe la reacción de la comunidad open-source ante la liberación de OpenSolaris de Sun. Independientemente de si critican o no la jugada de Sun, muchos autores reconocen el interés de Portaris y del proyecto Gentoo/OpenSolaris. La siguiente es una lista de artículos en la prensa internacional que cubren los anuncios tanto de Sun como de Gentoo:
Mad Penguin (25 de Enero de 2005)
"Gentoo done right" (Gentoo hecho correctamente) es el título del artículo publicado en Mad Penguin sobre Vidalinux, un sistema derivado de Gentoo que se instala a través de Anaconda de RedHat y que proporciona binarios sobre una sistema Gentoo base. La distribución puertorriqueña - "esencialmente una instalación de stage 3" - recibe una entusiasta evaluación por parte del autor Adam Doxtater, quien concluye recomendándola a "cualquiera que tenga el deseo de experimentar con Gentoo Linux pero que no tenga tiempo de compilar todo desde cero para tener un sistema básico funcionando."
Pro-Linux.de (25 de Enero de 2005)
La revista en línea alemana especializada en Linux habla sobre la venta de estaciones de trabajo Open Desktop de Genesi en un artículo sobre estaciones de trabajo PegasosPPC con Gentoo pre-instalado. Pro-Linux cita el anuncio en el BSG de la semana pasada y agrega algunas notas sobre la plataforma en general, identificando al ODW, entre otras cosas, como "una reencarnación de la Amiga".
La comunidad Gentoo usa Bugzilla (bugs.gentoo.org) para registrar y seguir errores, notificaciones, sugerencias y otras interacciones con el equipo de desarrollo. Entre el 23 de Enero del 2005 y el 30 de Enero del 2005, la actividad en el sitio tuvo como resultado:
De los 7945 errores abiertos actualmente: 109 están etiquetados como 'blocker', 240 como 'critical', y 584 como 'major'.
Los desarrolladores y equipos con más errores cerrados durante este periodo son:
Los desarrolladores y equipos con m¡s nuevos errores asignados durante este periodo son:
Los siguientes desarrolladores dejaron recientemente el equipo de Gentoo:
Los siguientes desarrolladores se unieron recientemente al equipo de Gentoo Linux:
Los siguientes desarrolladores recientemente cambiaron de rol dentro del proyecto Gentoo Linux:
¿Interesado en contribuir al Boletín Semanal de Gentoo? Envíanos un correo electrónico.
9. Opiniones y/o comentarios al BSG
Por favor, envíanos tus opiniones y/o comentarios y ayuda a hacer mejor el BSG.
10. Información de subscripción al BSG
Para subscribirte al Boletín Semanal de Gentoo (en inglés), envía un correo electrónico en blanco a gentoo-gwn-subscribe@gentoo.org.
Para desubscribirte del Boletín Semanal de Gentoo, envía un correo electrónico en blanco a gentoo-gwn-unsubscribe@gentoo.org desde la dirección de correo electrónico con la cual estás subscrito.
El Boletín Semanal de Gentoo también está disponible en los siguientes idiomas: