Nouvelles Gentoo de la Semaine: 27 Janvier 2003

1.  Nouvelles

Sommaire

• Gentoo Linux à l'expo LinuxWorld
• Les GLSAs seront intégrés à Portage

Gentoo Linux à l'expo LinuxWorld

Gentoo Linux à eu une bonne exposition la semaine dernière à LinuxWorld. Démontrant le réçament publié port Linux de Unreal Tournament 2003, le cabinet Gentoo a attiré de grandes foules pendant tout l'expo. Plusieurs visiteurs n'étaient pas familier avec Gentoo Linux, ce fut alors une grande opportunité pour éduquer un public ciblé à propos des avantages de Gentoo. Même si nous recevions des questions de tout type de spectateurs, il semble y avoir eu un intérêt particulier de la part de la communauté scientifique puisque plusieurs participants ont exprimé leur intérêt pour Gentoo pour leurs projets de recherche.

Ce fut également une grande opportunité pour plusieurs des développeurs et utilisateurs avides de Gentoo de se rencontrer en personne. Environ une douzaine de développeurs se sont présentés. Étrangement, certaines personnes ressemblaient à leur image sur IRC. Pour ceux qui n'étaient pas capables d'être présent à LWE, nous avons inclus quelques images dans le numéro de cette semaine.

Figure 1.1 : La cabine Gentoo Linux à LinuxWorld Expo

Figure 1.1 : Gerk a passé beaucoup de temps à bruler des CDs pour les spectateurs

Figure 1.1 : Seemant Kuleen (à gauche) et Daniel Robbins

Les GLSAs seront intégrés à Portage

Nick Jones à annoncé son intention d'intégré les annonces de sécurité Gentoo Linux (GLSA) dans Portage. La méthode proposée est de convertir les GLSAs en format XML pour permettre une intégration facile dans Portage, ce qui permettra aux utilisateurs de mettre à jour seulement les paquets qui sont affectés par les GLSAs. Même si certains détails demeurent encore, cette fonctionnalité sera la bienvenue parmi les usagers de Gentoo et fera de rouler Gentoo sur un serveur ou la stabilité est primordiale une tâche plus simple.

2.  Sécurité Gentoo

Sommaire

• GLSA: vim vim-core gvim
• GLSA: cvs
• GLSA: kde-2.2.x
• Rapport Des Nouveaux Bogues De Sécurité

GLSA: vim vim-core gvim

L'éditeur vim et les paquets associés contenaient des bogues permetants l'execution de code dans des replis mal protégés. Ceci permet à des fichiers texte malicieusement pour executer du code arbitraire avec les privileges de l'utilisateur. L'alerte de sécuritée note mais ne confirme pas que le problème peux être similaire avec les variables locales dans emacs. L'exploit est démontré.

• Sévérité: Modéré à élevé - execution arbitraire de code.
• Paquets affectés: app-editors/vim-core (avant la 6-1-r4), vim (avant la 6.1-r19), gvim (avant la 6.1-r6).
• Correction: Synchroniser et emerger avec l'option -u vim-core vim gvim
• Annonce GLSA
• Alerte

GLSA: cvs

Des noms de répertoire intentionnelement mal formés peuvent être utilisés pour cibler une erreure dans CVS qui peut être le résulat d'un pointeur global qui aurait était libéré deux fois. Cette condition peut être utilisé pour déterminer l'adresse mémoire de la pile, ceci peut être un prélude à d'autres attaques qui utiliserais les niveaux de privilèges des serveurs (potentiellemtn root). Pas d'exploit publié à ce jours.

• Sévérité: Critique - fuite d'information distante, exposition des système vulnérables aux bogues des doublement-libre pointeurs.
• Paquets affectés: version dev-util/cvs avant la 1.11.5
• Correction: Synchroniser et emerger avec l'option -u cvs
• Annonce GLSA
• Alerte

GLSA: kde-2.2.x

Dans certaint cas, KDE peux échouer pour les "citation" des paramètres. Ce qui peut permettre une exécution arbitraire de commandes (avec les privilèges de l'utilisateur cible) ceci à travers l'utilisation de astucieuse d'URLs, email addresses et fichiers. L'exploit est démontré. Ceci à déja était raporté dans un précédent rapport d'une vulnerabilité dans kde-3.0.x.

• Sévérité: Haute - éxécution distante de code, exploits publié.
• Paquets affectés: kde-base/kde2.2.x
• Correction: Synchroniser et emerger avec l'option -u kde
• Annonce GLSA
• Alerte

Rapport Des Nouveaux Bogues De Sécurité

Il n'y à pas de nouveau rapport de bogues de sécurité cette semaine. Le bogue de mpg123 à été mentionné la semaine dernière:

• media-sound/mpg123

3.  Le développeur de la semaine

Nicholas Jones

Figure 3.1 : Nicholas Jones

Nicholas Jones, le développeur présenté cette semaine (et qui inaugure cette rubrique) , est le responsable de Portage. Ceux qui sont abonnés aux mailing-list ont encore sa réponse au récent fiasco du /etc/make.conf en mémoire, tandis que ceux qui fréquentent le channel IRC (#gentoo sur irc.freenode.net) ou les forums le connaissent sous le nom de carpaski, répondant aux demandes d'améliorations du système Portage et résolvant divers problèmes. L'IRC est l'endroit où Nick à commencé avec l'équipe Gentoo: un habitué qui aidait les autres et soumettait ebuilds et patches. Les développeurs l'ont ensuite accueilli dans leur équipe. Maintenant, en tant que responsable du système Portage, il planifie et programme les nouvelles fonctionnalités, s'assure que les changement sont aussi modulaires que possible pour faciliter les tests et le débuggage, mais il examine aussi les rapports de bugs, cherche les problèmes à résoudre et les améliorations à apporter à Portage.

Il se dit lui-même accro à la ligne de commande, parmi ses applications favorites il y a Midnight Commander, vi, lsof, et bash. Il utilise Enlightenment 16.5 - et exclusivement Enlightenment 16.5 - comme gestionnaire de fenêtres, et mutt pour le mail. Utilisant ses compétences en scripts, Nick a un peu travaillé en tant qu'administrateur à distance de machines UNIX, il a aussi été ingénieur réseau sur un backbone du gouvernement des Etats-Unis. Etonnamment, quand il n'est pas occupé à modifier et tester Portage, ou à faire de l'administration, il travaille au Illinois Institute of Technology à Chicago, IL. Après tout cela, il est difficile d'imaginer qu'il a encore du temps libre pour d'autres occupations, mais Nick dit qu'il aime le vin et la musique (aussi bien l'écouter qu'en jouer sur sa guitare), ainsi que le frisbee et le raquetteball.

4.  Le Coeur de la Communauté

Forums Web

Problèmes de l'outil emerge-webrsync

Un récent sujet dans le forum est devenu une alerte lorsqu'on a découvert qu'une mise à jour de l'outil emerge-webrsync de gentoolkit lui donnait la possiblité de supprimer le répertoire /usr sur la machine sur laquelle il était lancé. emerge-webrsync est un outil permettant la mise à jour automatique du répertoire portage local à partir des copies quotidiennes sur les machines qui n'ont pas la possiblité d'utiliser emerge sync (par exemple sur les machines derrière un firewall qui bloque rsync). Un certain nombre d'utilisateurs ont signalé des dommages substantiels (et probablement irrémédiables) sur leurs installations. Le problème a été annoncé dans ce rapport de bug. Il a été apparemment résolu avec gentoolkit-r11.

Beaucoup de plaintes à propos de Ibiblio

Aux quatre coins du monde, les gens se démènent pour obtenir des vitesses décentes de téléchargement sur le serveur d'Ibiblio qui fournit les paquets pour l'installation de Gentoo. Ce n'était pas un problème majeur tant que tout le monde se contentait de télécharger le tarball stage 1 et poursuivait la procédure d'installation à partir de là, mais depuis l'introduction de la Plate-forme Gentoo de Référence (Gentoo Reference Platform) et sa collection de binaires pré-compilés, l'image CD a vu sa taille "normale" grossir autour de 500 Mo, et les plaintes se font de plus en plus fortes sur les canaux IRC et les forums. Et si seulement la plupart de ceux qui se plaignent avaient utilisé un des nombreux miroirs énumérés sur le site officiel de Gentoo et de Ibiblio...

• Ibiblio est`a lenta...
• Problems accessing ibiblio...
• ibiblio suddenly slow!
• ibiblslow.org

L'écriture automatique ressuscitée

Un des grands classiques du forum est de retour: après un arrêt entre Noël et les fêtes de fin d'année, le sujet "Story By Post" a été ravivé. Rédigé une ligne à la fois par des rédacteurs qui suivent exceptionnellement bien la ligne générale de l'histoire (bien que personne ne sache réellement où cela mène), ce grand récit a vu s'ajouter au fil des contributions des personnages tels que le chat marmelade, Ellen Feiss, Wonder Boy, Peter Falk et beaucoup d'autres qui, n'en croyant pas leurs yeux, se demandent comment ils sont devenus une vedette dans une prose fabriquée au beau milieu d'un forum de support technique. Un autre sujet dans un genre similaire qui était abandonné depuis un moment - jusqu'à maintenant revient avec ses propres méta-sujets :

• Story By Post
• Chain Thread
• Chain Thread Offramp

Statistiques du forum

fghellar, une des âmes inspirées du forum et honorable compteur de têtes, a publié une mise à jour du décompte des utilisateurs actuellement enregistrés sur le site. Il est difficile d'estimer combien d'entre eux sont actifs ou du moins suivent passivement les débats, mais les nombres bruts sont en tout cas impressionnants. Des statistiques mises à jour en permanence sont disponibles en cliquant sur le lien dans la barre de menu principale. Veuillez cliquer sur le premier lien pour une vue historique de la croissance du nombre d'utilisateurs des forums Gentoo:

• 1k users
• Official forum statistics

gentoo-user

Phoenix de plus en plus apprécié

Une longue discussion a eu lieu sur gentoo-user à propos des comportements anormaux de Mozilla. Il semble que chaque utilisateur et son voisin se soient plaints du mauvais support des plugins, de lenteurs et de plantages, spécialement au départ des sources Mozilla de Gentoo. Même avec l'astuce de Rafa pour compiler Mozilla sans support mail et news et avec le conseil de Steve qui recommande d'utiliser les archives de mozilla.org, les plaintes se sont maintenues. Phoenix a été cité comme une autre choix viable et on n'en a entendu dire que du bien. Phoenix est une refonte allégée du composant "browser" de Mozilla et il est reconnu qu'il est plus rapide et qu'il fonctionne admirablement avec les plugins Java et Flash sur les systèmes Gentoo. Cette discussion encourageait même les utilisateurs satisfaits de Mozilla à basculer vers Phoenix. Si Mozilla vous cause des soucis, vous devriez essayer Phoenix pour autant que vous puissiez vous passer du lecteur d'emails et de nouvelles.

Performances du noyau

La plupart d'entre nous ne se satisfont pas d'un système qui fonctionne. Nous voulons plutôt le configurer pour obtenir les 5 chevaux supplémentaires d'une machine de 750 chevaux déjà gonflée à bloc. Le premier endroit où chercher cette puissance supplémentaire est le noyau. Nous nous occuperons de la variable CFLAGS plus tard. Gentoo est disponible avec bien d'autres sources que les *-gentoo et chacune a ses avantages et ses inconvénients selon les patches installés. Ces derniers sont appliqués à la source 'vanilla' pour donner un noyau modifié. Un exemple de ces patches, rmap, a été décrit ici. Aniruddha Shankar a commencé la discussion en exclamant son bonheur d'utiliser le noyau de Con Kolivas (sources -ck) sur sa machine personnelle. Comme d'habitude, les utilisateurs Gentoo sont invités à adapter leurs systèmes à leurs besoins, et le noyau est un bon point de départ.

gentoo-dev

5.  Gentoo International

Sites Web Gentoo Européens non officiels

Pendant que le site officiel de Gentoo lutte avec la cacophonie polyglotte provoquée par l'énorme vague de popularité qui s'abat sur lui, beaucoup de sites non anglophones se sont occupés du support pour les communautés locales. Aujourd'hui nous allons nous intéresser plus particulièrement à certains sites Européens: les utilisateurs francophones, par exemple, ont la chance d'avoir un site de news et de discussion depuis plusieurs mois maintenant. Le forum n'est pas aussi actif que celui sur forums.gentoo.org, mais il coexiste paisiblement avec celui-ci. En fait la vraie force de "Da Gentoo" réside dans sa couverture des news, pas seulement destinée aux navigateurs courants: les news de Gentoofr.org sont aussi disponibles pour les PDA et les téléphones WAP. Le projet Gentoo Allemand est probablement le plus ancien en dehors des Etats-Unis (il a commencé en avril 2002), mais il n'a pas perdu de sa vigueur. Gentoo.de (comme beaucoup d'autres sites internationaux, par exemple la Corée ou la Japon) se focalise sur la documentation, mais fournit aussi un grand nombre d'ebuilds "régionaux" supplémentaires comme des vérificateurs d'orthographe et des versions localisées d'OpenOffice-bin, ainsi que des outils pour des utilisateurs avec des problèmes sécifiques à leur lieu d'habitation (un tarball PPoE pour les utilisateurs Allemands de l'ADSL peut être téléchargé depuis le serveur FTP du projet). Le site Danois insiste de façon égale sur les projets et le développement, et est en train de chercher des contributeurs et des gens qui puissent aider à programmer en PHP. La section news a vraiment besoin d'un coup de fouet, il n'y a pas eu de mise à jour depuis mai 2002. Comparativement, le site Norvégien fait profil bas, il se contente apparemment de fournir quelques liens vers des serveurs miroirs et des ressources d'information. Mais il serait vraiment injuste de ne parler que des sites web: la plus grande partie de l'agitation vient des nombreux channels IRC non anglophones sur Freenode! Si quelqu'un veut se rendre compte du grand nombre d'utilisateurs de Gentoo dans les pays Européens, qu'il aille faire un tour sur les channels Néerlandais ou Portuguais (#gentoo-nl ou #gentoo-pt) via irc.freenet.org... Avec un channel comme #gentoo-fi, qui a besoin d'un site Finlandais, et les Suédois ont même leurs propres statistiques IRC:

• France: Da Gentoo French Page
• Allemagne: Gentoo Linux - Das deutschsprachige Portal
• Danemark: Gentoo Linux Danmark
• Norvége: Gentoo Linux Norge
• Suéde: IRC channel statistics

6.  Un oeil sur Portage

Les paquets suivants ont été ajoutés à Portage cette semaine

Mises à jour pour des paquets notables

• sys-devel/gcc - gcc-3.2.1-r7.ebuild;
• sys-kernel/* - aa-sources-2.4.21_pre3-r1.ebuild; development-sources-2.5.59-r1.ebuild; development-sources-2.5.59-r2.ebuild; development-sources-2.5.59.ebuild; gs-sources-2.4.21_pre3-r1.ebuild; gs-sources-2.4.21_pre3-r2.ebuild; mips-sources-2.4.19.ebuild; openmosix-sources-2.4.20-r2.ebuild;
• net-www/apache - apache-2.0.44.ebuild;
• app-admin/gentoolkit - gentoolkit-0.1.17-r10.ebuild; gentoolkit-0.1.17-r11.ebuild;

7.  Bugzilla

Résumé

• Statistiques
• Classement des bugs clos
• Classement des nouveaux bugs

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour référencer et suivre les bugs, les notifications, les suggestions et autres interactions avec l'équipe de développement. Ces 7 derniers jours, l'activité du site a abouti aux résultats suivants :

• 258 nouveaux bugs cette semaine
• 1491 bugs au total mentionnés actuellement comme 'nouveau'
• 559 bugs au total actuellement assignés aux développeurs
• 54 bugs, auparavant clos, ont été réouverts.

La liste actuelle de bugs ouverts des développeurs peut être trouvée sur le rapport du nombre de bugs Gentoo.

Classement des bugs clos

Les développeurs ayant résolu le plus grand nombre de bugs cette semaine sont :

• Martin Schlemmer, avec 38 bugs résolus
• Nick Hadaway, avec 17 bugs résolus
• M. Holzer, avec 14 bugs résolus
• Donny Davies, avec 10 bugs résolus
• Seemant Kulleen, avec 8 bugs résolus

Classement des nouveaux bugs

Les développeurs et équipes auxquels le plus grand nombre de bugs ont été assignés cette semaine sont :

• Martin Schlemmer, avec 10 nouveaux bugs
• Nick Hadaway, avec 6 nouveaux bugs
• Seth Chandler, avec 6 nouveaux bugs
• The Gnome Team, avec 5 nouveaux bugs

8.  Tips and Tricks

Utiliser Procmail et SpamAssassin pour bloquer le spam et filtrer les listes de diffusion

La prolifération des emails non-sollicités, aussi appelés spam, est devenue de plus en plus importante. Heureusement, il y a de nombreux outils pour se protéger du spam. Cette semaine, nous nous intéressons à l'utilisation de Procmail et de SpamAssassin pour filtrer les mails qui nous arrivent et bloquer le spam. Procmail est un filtre d'emails qui peut être utilisé pour classer les mails entrants dans des dossiers séparés, entre autres traitements possibles sur les emails. SpamAssassin est un filtre d'emails qui utilise l'analyse heuristique pour reconnaitre le spam.

Comme à la fois Procmail et SpamAssassin sont dans Portage, leur installation se limite à un simple emerge.

# emerge net-mail/procmail
# emerge dev-perl/Mail-SpamAssassin

(Ajoutons le démon SpamAssassin au niveau d'exécution par défaut)
# rc-update add spamd default

Chaque filtre procmail est identifié comme un récipient. Pour rester organisés, nous allons créer le répertoire $HOME/.procmail pour les différents récipients.

% mkdir $HOME/.procmail

Lors de son appel, procmail considère en premier lieu le fichier $HOME/.procmailrc. Ce fichier doit contenir l'emplacement de votre boîte aux lettres et où chercher les autres récipients.

VERBOSE=no

DEFAULT="$HOME/.maildir/"
MAILDIR="$HOME/.maildir/"

PMDIR="$HOME/.procmail"
LOGFILE="$PMDIR/log"

INCLUDERC=$PMDIR/lists.rc
INCLUDERC=$PMDIR/spam.rc

L'étape suivante nous amène à configurer les filtres de listes de diffusion. Vu que la plupart des listes utilisent l'entête List-Id, nous pouvons facilement trier les listes de diffusion des emails normaux.

:0
*   ^List-Id: Gentoo Linux mail <gentoo-security\.gentoo\.org>
.gentoo-security/

:0
*   ^List-Id: Gentoo Linux mail <gentoo-user\.gentoo\.org>
.gentoo-user/

Ensuite, nous devons configurer les filtres de spam. Ce récipient appelle en premier lieu SpamAssassin en utilisant la commande spamc et regarde ensuite l'entête X-Spam-Status. Si le message est considéré comme un spam, il est dirigé vers le répertoire spam.

:0 fw
| /usr/bin/spamc -f

:0
* X-Spam-Status: Yes
.spam/

Nous devrions maintenant être capables de filtrer vos emails et bloquer la plupart du spam. Pour davantage d'information sur Procmail ou SpamAssassin, allez voir leurs documentations avec man procmail et perldoc Mail::SpamAssassin ou leurs sites web respectifs http://www.procmail.org et http://www.spamassassin.org.

9.  Départs, arrivées et mutations

Départs

Les développeurs suivants ont récemment quitté l'équipe Gentoo :

• aucun cette semaine

Arrivées

Les développeurs suivants ont récemment rejoint l'équipe Gentoo :

• aucun cette semaine

Mutations

Les développeurs suivants ont récemment changé de rôle au sein de l'équipe Gentoo :

• aucun cette semaine

10.  Participer à GWN

Vous voulez apporter votre contribution à la lettre d'actualité hebdomadaire Gentoo, Gentoo Weekly Newsletter? Ecrivez-nous.

11.  Suggestions à GWN

Envoyez-nous vos suggestions pour améliorer la GWN.

12.  Autres langues

La lettre d'actualité hebdomadaire Gentoo est aussi disponible dans les langues suivantes :

• Belge
• Anglais
• Allemand
• Français
• Japonais
• Italien
• Portugais (Brésil)
• Portugais (Portugal)
• Espagnol