Gentoo Logo

Gentoo Weekly Newsletter: 7 Avril 2003

Table des matières :

1.  Nouvelles Gentoo

Résumé

Oui, c'était une blague

Le numéro de la semaine dernière, dont la sortie a été volontairement retardée d'un jour afin de sortir le 1er avril, contenait une histoire parlant de l'adoption du format RPM pour la gestion des paquets. Ce poisson d'avril a été encore plus réussi que ce à quoi on s'attendait (d'aucuns pourront dire qu'il eu trop de succès). Il est inutile de dire que c'était une blague et que l'équipe de développement Gentoo n'a aucunement le projet de s'éloigner du format ebuild pour la gestion des paquets.

Maintenant, s'il vous plaît, arrêtez de nous envoyer des mails d'insulte.

Portage s'oriente vers un nouveau format, plus sécurisé

Dans un effort global d'amélioration de la sécurité de Gentoo Linux, l'équipe de développement de Portage a commencé à développer de nouvelles fonctionnalités dans Portage qui permettront une meilleure sécurité dans les systèmes de distribution et de gestion des paquets. Une des premières nouveautés que les utilisateurs vont remarquer est un résumé de tous les fichiers impliqués dans le processus de merge, comprenant les ebuilds, patches et tarballs de sources. En plus d'offrir une sécurité accrue, ces résumés vont aider à isoler et rechercher les ebuilds corrompus ou les autres fichiers sur nos miroirs source et rsync.

La prochaine étape va être de signer ces résumés avec une clé GPG pour assurer qu'il n'y ait pas de rejet. Alors qu'il y a encore quelques discussions parmi l'équipe de développement sur la meilleure façon d'arriver à ce résultat, la solution qui paraît la meilleure implique que chaque développeur signe ses ebuilds de façon individuelle, et ensuite un "maître des clés" Gentoo signe toutes les clés des développeurs pour établir une "toile de confiance" Gentoo. Les clés des développeurs seront disponibles sur des serveurs de clés publiques ainsi que sur www.gentoo.org

Le but de ce qui est devenu "Portage sécurisé" est de proposer un système de gestion de paquets robuste qui offre une sécurité de bout-en-bout dans le processus d'emerge. Actuellement, aucune date pour que le système entier soit fonctionnel n'a été donnée, mais la partie concernant le résumé est en phase de test et le reste va suivre rapidement.

2.  Sécurité Gentoo

Résumé

GLSA: sendmail

Le MTA Sendmail a une vulnerabilité au stack overflow dans la façon dont il vérifie les adresses mail. Cette vulnerabilité peut être exploitée à distance pour exécuter une attaque de déni de service, obtenir le contrôle du serveur sendmail ou éventuellement executer du code avec les priviléges du serveur (typiquement root).

  • Gravité: Critique - Compromission potentielle du root à distance.
  • Paquets affectés: net-mail/sendmail versions antérieures à sendmail-8.12.9
  • Solution: Synchroniser et emerge sendmail, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: krb5 et mit-krb5

Plusieurs vulnerabilités dans les implémentations krb5 et mit-krb5 du protocole d'authentification Kerberos ont été identifiées. Cela comprends un buffer overrun qui permet une attaque de déni de service sur le démon d'administration de Kerberos, une attaque chosen-plaintext qui permet une usurpation d'identité des autres repsonsables et un problème de buffer underrun et overrun qui permettent des noms et hôtes non habituels (qui pourraient être utilisés dans d'autres attaques).

  • Gravité: Critique - Authentification compromise.
  • Paquets affectés: app-crypt/krb5 versions antérieures à krb5-1.2.7-r2 and app-crypt/mit-krb5 versions prior to mit-krb5-1.2.7
  • Solution: Synchroniser et emerge krb5 and/or mit-krb5, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: openafs

Une faiblesse dans la cryptographie de Kerberos 4 permet à une attaque chosen-plaintext d'usurper l'identité d'autres repsonsables du lieu. Le système de fichiers distribué openafs utilise Kerberos 4, et est par conséquent vulnerable a une attaque d'usurpation d'identité.

  • Gravité: Critique - Authentification compromise.
  • Paquets affectés: net-fs/openafs versions antérieures à openafs-1.3.2-r1
  • Solution: Synchroniser et emerge openafs, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: dietlibc

La fonction xdrmem_getbytes() incluse dans la dietlibc contient une vulnerabilité au dépassement de capacité d'entier qui peut être utilisée par un attaquant distant pour executer un appel rpc qui permet un exploit sur le service vulnérable.

  • Gravité: Haute - exploit sur un service distant.
  • Paquets affectés: dev-libs/dietlibc versions antérieures à dietlibc-0.22-r1
  • Solution: Synchroniser et emerge dietlibc, emerge clean.
  • GLSA Announcement
  • Advisory

Nouveaux rapports de bugs de securité

Il n'y a pas eu de nouveau bugs de securité cette semaine qui soit encore en traitement.

gentoo-security

Marcus Martin a posté uneidée qui serait d'inclure une fonctionnalité "emerge security" qui mettrait automatiquement à jour les paquets pour lesquels une GLSA est sortie. Cela a entrainé une grosse discussion, avec un consensus sur le fait que c'est un bonne idée (en dépit du fait que ça ne doive pas être trivial à implémenter) et a déja été documenté en tant que bug #5835.

Chris Frey a posté un script pour fournir un ensemble de md5sums au serveur maître de Portage pour permettre aux gentooiens de vérifier s'ils n'ont pas d'ebuilds contenant un trojan. Cela a été proposé comme une mesure provisoire en attendant les ebuilds signés. L'article a engendré de la discussion, y compris des critiques sur le fait que cela peut surcharger les serveurs et leurs administrateurs ainsi que potentiellement dévier les ressources de développeurs d'une solution plus robuste pour Portage. La discussion a été conclue par le post de Nicholas Jones aui a montré que le problème était discutable car nous allions commencer à voir une solution dés le portage-2.0.47.

3.  Le développeur de la semaine

Seth Chandler


Figure 3.1 : Seth Chandler, aka sethbc

Fig. 1: Seth Chandler, aka sethbc

Tout le monde aime se plaindre de la lenteur de OpenOffice, mais c'est quand même une des suites compatibles MS-Office la plus complète qui existe. Le développeur présenté cette semaine, Seth Chandler, est responsable des paquets openoffice et openoffice-bin, tient aussi à jour keychain, écrit quelques documentations et est aussi l'un des trois co-responsables de PPC. Son travail principal, résoudre les bugs qui se présentent avec OpenOffice, lui prends la plupart de son temps, mais il aide aussi à rassembler les feignants quand d'autres développeurs manquent. Seth a commencé à utiliser Gentoo il y a à peu près deux ans, et a été invité dans l'équipe de développement Gentoo il y a cinq mois par Spanky, qu'il connaît de l'école, car ils avaient besoin de quelqu'un pour s'occuper d'OpenOffice. A travers son travail avec Gentoo, il est devenu un habitué des chans IRC et des mailing-list concernant OpenOffice, et il a contribué à l'IssueZilla d'OpenOffice car la nature "sur le vif" de Gentoo fait que les problèmes sont souvent indiqués ici avant d'autres distributions.

La journée, Seth est étudiant au Worcester Polytechnic Institute, et ira à l'écolde de droit de Cornell quand il aura son diplôme. Ses trois ordinateurs (un bi P3, un bi Athlon MP 2100 et un Powerbook 15 pouces) fonctionnent tous sous Gentoo, même si le mac a un dual-boot avec MacOSX. Il utilise Waimea-cvs et qmail sur tous ses ordis, et parmi ses applications favorites il y a gaim-cvs, xchat-2, kmail, aterm et gkrellm. Ses deux machines x86 fonctionnent avec les dernières sources, qui étaient au moment de l'interview les 2.5.65-mm2, mais quand il se sent en forme il peut se rendre sur un repo BitKeeper.

Seth est membre des Atlanta Braves et apprécie d'y travailler depuis 15 ans; son père est le docteur de l'équipe. Il dit qu'il va à l'école pendant la saison morte.

4.  Entendu dans la communauté

Forum web

Dérapages

L'arbre de développement du noyeau Linux avance rapidement vers la version 2.6. Plusieurs dicussions dans le forum indiquent que les Gentooiens le suivent d'aussi près que possible. Évidemment quelques bogues se pointent souvent à l'horizon.

Le meilleur poisson d'avril de tous les temps

Allez voir le premier lien de notre liste: des membres du forum ont prédit que ceci arriverait. La menace que Portage disparaisse a touché une corde sensible, certains ont été choqués pendant quelques secondes voire quelques heures. Plusieurs ont gueulé sur leur écran ou leur copain, quelques uns ont même menacé d'effacer leur arbre de Portage avant que celui-ci ne disparaisse: ils se sont fait avoir... Parmi tous les utilisateurs outragés seul quelques Allemands ont découvert le deuxième poisson d'avril dans la GWN de la semaine passée.

gentoo-user

Utilisation de Gentoo en entreprise?

Avec pas moins de soixante réponses jusqu'à présent, la discussion la plus active de cette semaine avait pour but de savoir quelles compagnies (de préférence les grosses) utilisent Gentoo de façon productive. Plusieurs personnes ont répondu en indiquant qu'ils doutent que Gentoo puisse être utilisé dans un tel environemment, probablement parce qu'ils ont des problèmes avec leur propre machine. Toutefois, d'autres nous ont fait savoir que leur compagnie l'utilisait sans problème sur des serveurs où près de 150 000 clients sont connectés. Les réponses sont évidemment variées, certaines sont hors-sujet, mais plusieurs messages contiennent des faits intéressent à savoir avant d'installer une machine Gentoo dans un tel environnement.

Gestionnaire de paquets sans ebuilds

Jan Drugowitsch a posé une question concernant l'installation de paquets n'étant pas dans l'arbre de Portage sur un système Gentoo. Les réponses sont variées et utiles. Il y a aussi quelques liens utiles vers des projet à codes sources ouvert qui pourraient être utiles.

gentoo-dev

Question concernant la programmation de Portage

Robin H. Johnson, a demandé où trouver de l'information sur l'API Base de Données de Portage, il a été agréablement surpris en apprenant qu'il suffit de taper: python [ENTRÉE] help() [ENTRÉE] portage pour accéder à l'information interactive de python.

ACCEPT_KEYWORDS="~arch": un équivalent?

Jani Monoses se demande s'il n'existe pas une solution plus simple que de taper ACCEPT_KEYWORDS="~arch" emerge nom_du_paquet. Thomas M. Beaudry a répondu en suggérant d'utiliser les alias de BASH (voir man bash). Un autre Thomas s'est mêlé de la partie avec sa propre définition: alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'.

5.  Gentoo International

Un Meta-Projet français pour une Meta-Distribution

Gentoo France se réorganise. Après avoir crée gentoofr.org en juillet de l'année dernière, une nouvelle organisation fondée par Baptiste Simon, Guillaume Morin et Mark Krauth cherche présentement des volontaires et activistes prêt à fournir l'aide nécessaire à ce nouveau projet qui s'appel frgentoo.net et qui conserve des liens avec le projet initial. Cette nouvelle initiative vise à écrire ou traduire de la documentation Gentoo et autres tutoriels. Ils désirent également offrir des services tels que des canaux IRC, listes de diffusions et autres. Les premières élections auront lieu à la fin du mois, les candidatures pour devenir coordinateur et chef de projet seront possibles jusqu'au 11 avril. Les votes seront fait de façon électronique entre le 14 et 20 avril.

Calendrier international

Pendant que la communauté Köln-Bonn discute publiquement de leur première rencontre, deux évenements aux États-Unis ont émergé très rapidement.

  • USA: L'université sud du Mississippi à Hattiesburg tiendra un 'samedi Gentoo' le 12 avril. Les performances du noyeau de développement et de l'aide générale quant à l'installation seront discutés sur le campus de l'université dans l'édifice Bobby Chain Technology, local 202 de 10h à 14h. Allez voir le fil correspondant dans le forum ou ici pour plus de détails.
  • USA: Si vous habitez dans des endroits qui se nomment Metuchen, Old Brigde ou Hackensack, la première rencontre du groupe de discussion du New Jersey (New Jersey Gentoo Linux User ou NJ-GLUG) pourrait bien être ce que vous attendiez. Les heureux membres du NJ-GLUG ont décidé que l'événement aura lieu au Cafe52 sur l'avenue Easton au Nouveaux-Brunswick pour la nouvelle rencontre le 16 avril à 20h. La coordination se fait par l'entremise de cette discussion.
  • Allemagne: Le 14 mai est la date officiel des utilisateurs de la région de Köln-Bonn qui ont décidé de se rencontrer à 17h à cet endroit: Hellers Brauhaus, Roonstrasse. Avertissez ici les autres si vous souhaitez vous y rendre.

6.  Un oeil sur Portage

Les paquets stables suivants ont été ajouté à Portage cette semaine

Mise à jour de paquets notables

  • sys-apps/portage - portage-2.0.47-r13.ebuild;
  • sys-kernel/* - gs-sources-2.4.21_pre6.ebuild; hardened-sources-2.4.20.ebuild; mm-sources-2.5.66-r2.ebuild; mm-sources-2.5.66-r3.ebuild; ppc-sources-2.4.20-r4.ebuild; selinux-sources-2.4.20-r3.ebuild; sparc-sources-2.4.20-r7.ebuild;

Nouvelles variables USE

  • debug - indique à configure et aux makefiles de construire en vue d'un debuggage. Les effets sont variables selon les paquets, mais généralement cela va au moins ajouter un -g aux CFLAGS N'oubliez pas aussi de de mettre à jour FEATURES+=nostrip.
  • emacs - ajoute le support de GNU Emacs

7.  Bugzilla

Résumé

Statistiques

La communauté Gentoo utilise bugzilla (bugs.gentoo.org) pour référencer et suivre les bogues, les notifications, les suggestions et autres interactions avec l'équipe de développement. Ces 7 derniers jours, l'activité du site a abouti à :

  • 288 nouveaux bogues cette semaine
  • 751 bogues corrigés ou résolus cette semaine
  • 3 bogues précédement corrigés ont été réouvert cette semaine
  • 2386 bogues au total mentionnés actuellement comme 'nouveau'
  • 450 bogues au total actuellement attibués aux developpeurs

Il y a actuellement 2895 bogues ouvert dans bugzilla. Parmis eux: 63 sont étiquetés 'bloquant', 107 sont étiquetés 'critique', et 227 sont étiquetés 'majeur'.

Classement des bugs clos

Les developpeurs et équipes ayant résolu le plus grand nombre de bogues cette semaine sont :

Classement des nouveaux bugs

Les developpeurs et équipes auxquels le plus grand nombre de bogues ont été assignés cette semaine sont:

8.  trucs et Astuces

Changer les attributs d'un fichier

L'astuce de cette semaine explique comment utiliser chattr pour sécuriser des fichiers système importants. La commande "change attribute", ou chattr, peut être utilisée pour ajouter ou changer les attributs courants du fichier pour des choses comme les mises à jour synchronisées, un sécurité des fichiers plus importante, ou plus. Par contre, cette commande n'est disponible que sur les partitions ext2 et ext3.

Une liste des attributs communs et de leurs drapeaux associés se trouve ci-dessous. Pour une liste plus complète, cf man chattr.

  • (A) Ne pas mettre à jour atime
  • (S) mises à jour synchrones
  • (a) ajout uniquement
  • (d) pas de sortie
  • (i) ne peut être changé
  • (j) journalisation des données
  • (t) pas d'ajout en queue

Note : L'option 'j' ne peut être utilisée qu'avec ext3.

Note : Les options 'j', 'a' et 'i' ne sont accessibles qu'au super-utilisateur.

Tout d'abord assurez vous d'avoir chattr installé en emergeant e2fsprogs.

Exemple de code 8.1 : Installation des fichiers nécessaires

# emerge e2fsprogs

Pour modifier les attributs d'un fichier, utilisez la commande chattr et pour voir les attributs, utilisez la commande lsattr.

Exemple de code 8.2 : Exemples d'utilisation de chattr et lsattr

    (Mettre le bit 'inchangeable' à un fichier afin qu'il ne puisse plus être changé ou enlevé.)
# chattr +i myfile
# lsattr myfile
----i-------- myfile
(Testez le drapeau 'inchangeable' en essayant de supprimer le fichier)
# rm myfile
rm: cannot remove `myfile': Operation not permitted
(Mettre myfile en ajout uniquement)
# chattr +a myfile
# lsattr myfile
-----a------- myfile
# echo testing > myfile
myfile: Operation not permitted
# echo testing >> myfile
(pas d'erreurs, le fichier a été modifié)

Cela peut être utile pour empêcher la suppression des fichiers importants. Rappelez vous que même le root ne peut supprimer un fichier qui est 'inchangeable' ou 'ajout seulement' sans enlever tout d'abord explicitement ces attributs. Utiliser ce drapeau sur les fichiers /etc/passwd ou /etc/shadow les protége d'un rm -f accidentel et assure qu'aucun nouvau compte ne soit ajouté pendant un exploit. Laisser les autres fichiers 'ajout seulement' signifie qu'une fois qu'ils sont écrits, le contenu ne peut être changé. Les logs sont de bons candidats pour empêcher que d'autres les modifient. Avec chattr et lsattr, vous avez quelques nouevaux outils pour garder votre système sûr.

9.  Départs, arrivées et mutations

Départs

Les développeurs suivants ont récemment quitté l'équipe Gentoo:

  • Peter Brown (rendhalver)

Arrivées

Les développeurs suivants ont récemment rejoint l'équipe Gentoo:

  • Makoto Yamakura (yakina) -- documentation japonaise
  • Peter Bilitch (hsinhsin) -- documentation Gentoo
  • John Mylchreest (johnm) -- documentation Gentoo
  • Joe Kallar (blademan) -- documentation Sparc
  • Ashton Mills (martigen) -- documentation Gentoo
  • Thomas Pedley (shallax) -- Gentoo xbox
  • Robin Johnson (robbat2) -- ufed, mysql, php

Mutations

Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo Linux:

  • aucun cette semaine

10.  Participer à la GWN

Vous voulez apporter votre contribution à la lettre d'actualité hebdomadaire Gentoo? Écrivez-nous.

11.  Commentaires

Envoyez-nous vos commentaires afin de pouvoir vous fournir une GWN encore meilleur.

12.  Autres langues

La Gentoo Weekly Newsletter est aussi disponible dans les langues suivantes:



Imprimer

Dernière mise à jour le 7 Avril 2003

Résumé : C'est la Gentoo Weekly Newsletter pour la semaine du 7 Avril 2003.

Kurt Lieber
Editor

AJ Armstrong
Contributor

Brice Burgess
Contributor

Yuji Carlos Kosugi
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Ulrich Plate
Contributor

Peter Sharp
Contributor

Kim Tingkaer
Contributor

Mathy Vanvoorden
Dutch Translation

Tom Van Laerhoven
Dutch Translation

Peter Dijkstra
Dutch Translation

Bernard Bernieke
Dutch Translation

Vincent Verleye
Dutch Translation

Jochen Maes
Dutch Translation

Ben De Groot
Dutch Translation

Jelmer Jaarsma
Dutch Translation

Nicolas Ledez
French Translation

Guillaume Plessis
French Translation

John Berry
French Translation

Martin Prieto
French Translation

Matthieu Montaudouin
French Translation

Michael Kohl
German Translation

Steffen Lassahn
German Translation

Matthias F. Brandstetter
German Translation

Thomas Raschbacher
German Translation

Klaus-J. Wolf
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

Daniel Ketel
Japanese Translation

Yoshiaki Hagihara
Japanese Translation

Andy Hunne
Japanese Translation

Yuji Carlos Kosugi
Japanese Translation

Yasunori Fukudome
Japanese Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Bruno Ferreira
Portuguese (Portugal) Translation

Gustavo Felisberto
Portuguese (Portugal) Translation

Ricardo Jorge Louro
Portuguese (Portugal) Translation

Lanark
Spanish Translation

Rafael Cordones Marcos
Spanish Translation

Julio Castillo
Spanish Translation

Sergio Gómez
Spanish Translation

Pablo Pita Leira
Spanish Translation

Carlos Castillo
Spanish Translation

Tirant
Spanish Translation

Jaime Freire
Spanish Translation

Lucas Sallovitz
Spanish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.