Gentoo Weekly Newsletter: 23 juin 2003

1. Nouvelles Gentoo

Où en est Gentoo Linux 1.4 ?
Le projet Meta Paquets
Deux nouveaux miroirs de sources en Amérique du Nord
GWN cherche des traducteurs supplémentaires

L'une des questions les plus fréquemment posées sur le forum, les listes de diffusion et les canaux IRC de Gentoo est la suivante : "Quand Gentoo Linux 1.4 sortira-t-elle ?" Bien que nous n'ayons pas de date exacte en réponse à cette question, nous allons publier ci-dessous une mise à jour quant à la progression en vue de la version 1.4. Avant cela, clarifions une incompréhension présente chez beaucoup d'utilisateurs de Gentoo. Les versions n'ont aucune importance dans Gentoo Linux. Si vous effectuez la commande emerge -u world sur n'importe quelle version de Gentoo Linux, félicitations, vous venez d'obtenir la dernière version de Gentoo Linux. Vous pouvez commencer avec l'un des LiveCDs actuels disponibles pour installation, ou vous pouvez utiliser n'importe laquelle des autres alternatives. Dans tous les cas, vous obtiendrez une version à jour et optimisée de Gentoo Linux, modelée pour vos spécifications.

Alors pourquoi Gentoo Linux conserve-t-il ces numéros de version ? Bonne question, et elle a été débattue en interne au sein de l'équipe de développement. Il y a certaines fonctionnalités de Gentoo Linux qui sont liées au numéro de version, notamment les Paquets de Référence Gentoo et le LiveCD utilisé pour l'installation.

Pour ce qui est de la mise à jour promise quant à l'état actuel de Gentoo Linux 1.4, le travail continue en direction de nos objectifs et dates butoirs liés à la version 1.4. Un script optionnel a été développé pour permettre aux utilisateurs de définir automatiquement les variables CFLAGS et CHOST. Des améliorations au générateur de "stages" ont été publiées dans la section d'expérimentations de nos miroirs de distfiles et de nouveaux paquets GRP sont aussi en cours de préparation. Pour ce qui est de tous les produits Gentoo, les nouvelles versions sortiront lorsque le produit aura atteint nos standards de qualité et de stabilité, et ce n'est lié à aucune date précise.

Le projet Meta Pacquets

Comme récemment annoncé, Gentoo a uni ses forces avec DarwinPorts et Fink pour fournir une collection de logiciels de qualité et librement distribuables pour la communauté Macintosh OS X. Pour plus d'informations, rendez-vous sur metapkg.org.

Deux nouveaux miroirs de source en Amérique du Nord

Dans la continuation de la récente tendance, nous sommes heureux d'annoncer l'installation de deux nouveaux miroirs de sources Gentoo Linux en Amérique du Nord, gracieusement fournis par Seren Innovations et Adelie Linux.

Basé à Minneapolis, Seren Innovations explore et déploie des technologies de pointe en matière de divertissement et de communications pour servir les besoins de ses clients d'aujourd'hui et de demain. Leur TV Astound sur le cable, leur accès haute vitesse à Internet et leurs services téléphoniques sont fournis à travers un réseau avancé hybride fibre-coaxial. Ils ont construit un réseau dans la région de St. Cloud dans le Minnesota, et sont en train d'en bâtir un autre à Contra Costa County en Californie. Ils annonceront de nouveaux marchés dans les mois qui viennent.

Adelie Linux est une initiative de Cyberlogic à Montréal, au Canada. L'équipe Adelie Linux est composées d'analystes, d'internes, d'étudiants et de professeurs de divers partenaires. Le projet est actif dans les technologies et développements basés sur GNU/Linux, dont la technologie d'Image de Système Unique utile pour des clusters, ainsi que d'autres produits et technologies.

GWN cherche des traducteurs supplémentaires pour la version portugaise (Brésil)

La Gentoo Weekly Newsletter cherche de l'aide pour sa traduction portugaise (Brésil). Les candidats doivent posséder des bases solides en portugais brésilien écrit et en anglais écrit. Les personnes intéressées sont invitées à envoyer un email à gwn-feedback@gentoo.org.

2. Sécurité Gentoo

Résumé

GLSA: kon2
GLSA: atftp
GLSA: mod_php php
GLSA: cups
GLSA: ghostscript
GLSA: lprng
GLSA: gzip
GLSA: man
Nouveaux rapports de bogues de sécurité

GLSA: mod_php php

La fonction PHP emalloc() souffre d'une vulnérabilité de dépassement du type entier. Cette fonction étant utilisée fréquemment, cela présente un risque de sécurité significatif. De plus, str_repeat() et array_pad() sont aussi sujets à des vulnérabilités de dépassement de type entier.

Gravité: Haute - Exécution potentielle de code arbitraire.
Paquets affectés: dev-php/mod_php and dev-php/php versions antérieures à 4.3.2
Correction: Synchronisation et emerge mod_php et/ou php, emerge clean.
Annonce GLSA
Rapport
Rapport
Rapport

GLSA: cups

CUPS permet à des attaquants distants de causer un déni de service (DoS) en envoyant une requête d'impression incomplète au port 631.

Gravité: Modérée - Déni de service (DoS) à distance.
Paquets affectés: net-print/cups antérieurs à cups-1.1.18-r5
Correction: Synchronisation et emerge cups, emerge clean.
Annonce GLSA

GLSA: ghostscript

Le programme ps2epsi du paquet ghostscript utilise un fichier créé de façon non-sécurisée pour configurer ghostscript. Cela pourrait permettre l'écrasement de fichiers de l'utilisateur invoquant ps2epsi.

Gravité: Modérée - Compromission locale de la sécurité.
Paquets affectés: app-text/ghostscript antérieurs à ghostscript-7.05.6-r2
Correction: Synchronisation et emerge ghostscript, emerge clean.
Annonce GLSA

GLSA: lprng

Le paquet lprng permet à des utilisateurs locaux d'écraser des fichiers arbitraires via une attaque par lien symbolique sur le fichier /tmp/before.

Gravité: Modérée - Compromission locale de la sécurité.
Paquets affectés: net-print/lprng antérieurs à lprng-3.8.12-r1
Correction: Synchronisation et emerge lprng, emerge clean.
Annonce GLSA

GLSA: gzip

Les programmes znew et gzexe du paquet gzip permettent à des utilisateurs locaux d'écraser des fichiers arbitraires via une attaque par lien symbolique sur des fichiers temporaires.

Gravité: Modérée - Compromission locale de la sécurité.
Paquets affectés: sys-apps/gzip antérieurs à gzip-1.3.3-r2
Correction: Synchronisation et emerge gzip, emerge clean.
Annonce GLSA

GLSA: man

Le programme man contient une vulnérabilité de format de chaîne, lié à l'utilisation d'un fichier catalogue optionnel.

Gravité: Modérée - Compromission locale de la sécurité.
Paquets affectés: sys-apps/man antérieurs à man-1.51-r5
Correction: Synchronisation et emerge man, emerge clean.
Annonce GLSA
Rapport

Nouveau rapport de failles de sécurité

Les failles de sécurité suivantes ont été annoncées cette semaine:

3. Histoires d'utilisateurs

Pas d'histoire d'utilisateur cette semaine

Cette section prend une semaine de repos, mais elle sera de retour dans le prochain numéro !

4. Le développeur de la semaine

D.M.D. Ljungmark, alias Spider

Figure 4.1 : D.M.D. Ljungmark, alias Spider

Cette semaine, nous accueillons Spider qui maintient plusieurs ebuilds Gnome ainsi que quelques autres disséminés dans l'arbre des paquets. Spider était un membre du Projet de Paquetage de Gnome lorsqu'il passa de sa propre distribution retravaillée sur Gentoo, et sa participation commença ainsi avec la construction des paquets Gnome2 et de quelques coins oubliés du projet comme vi, Nethack, POVRay et autres. Il travaille en ce moment au portage des patches G2D de Ximian vers Gentoo; sinon il suit généralement les sorties et travaille pour leur assurer une intégration sans encombre dans l'arbre. Membre de la Fondation Gnome en plus du Projet de Paquetage de Gnome, Spider a aussi écrit des trucs et astuces pour LinuxFromScratch, et ce dont il est le plus fier à ce jour est son guide de gigration.

Spider se considère comme un fana de la ligne de commande minimaliste avec un faible pour les outils en ligne de commande bien réalisés et d'autres choses qui "s'adaptent à vos doigts" comme lftp, zsh et epiphany. Il utilise actuellement deux machines Athlon 1GHz: l'une pour tester Ximian Gnome sur Gentoo, l'autre utilisant Openbox, sylpheed, xchat-1.8 et une horde de aterms avec zsh et/ou vim.

Spider était un instructeur de judo passant beaucoup de temps dans les dojos, mais il souffre maintenant de dépression chronique, de phobie sociale et de troubles d'anxiété alors qu'il n'a qu'une bonne vingtaine d'années. Il touche une pension d'invalidité et est soumis à une réhabilitation sociale. Actuellement en vacances d'été, il dit passer trop de temps sur son ordinateur. Il a aussi nourri sa dépendance à la musique, s'est occupé de l'art discuté qu'est la photographie numérique, et a tenu des discussions échauffées avec ses amis tout en entretenant sa dépendance au café moka dans différents estaminets. Spider vit à Norrköping et reste éveillé trop tard afin de regarder l'aube à travers sa fenêtre, et il jure beaucoup parce qu'il ne fait jamais nuit dehors (ceci est le moment le plus sombre de la nuit là-bas).

5. Entendu dans la communauté

Forum Web

LiveUSB? Démarrer avec Keychain

Une discussion très intéressante a gentiment évolué autour de la capacité des récents BIOSes de démarrer non seulement depuis les périphériques traditionnels tels que les CDs, lecteurs de disquettes et réseau, mais aussi depuis des sticks USB amovibles de mémoire flash. Ces petits objets existent avec des capacités variant de 64 Mo jusqu'au Go et valent la peine si vous voulez transporer votre Gentoo avec vous, ou démarrer GNU/Linux sur l'ordinateur de quelqu'un d'autre. La cerise sur le gateau: vous pouvez facilement écrire des données sur le périphérique USB. Essayez ça avec une traditionnelle galette argentée ...

De plus en plus de HOWTOs sur la mise en place de courrier local

Si le serveur email de votre FAI ne vous suffit plus, vous pourriez penser à mettre en place votre propre service de courrier à l'intérieur de votre réseau local. Allez sur le forum pour y trouver différentes solutions intéressantes à un problème très commun:

Liste gentoo-user

Améliorer le surf avec Mozilla

En voyant que l'installation ou la recherche de plugins pour Mozilla Web Browser peut parfois s'avérer plus compliqué que prévu, Mknecht a suggérer d'améliorer la situation. Son idée inclut la création d'un ebuild qui installerait automatiquement la plupart des plugins. D'autres utilisateurs ont eu d'autres idées, allant de l'installation manuelle à un "site de service gentoo" intelligent qui indiquerait automatiquement l'emplacement des plugins nécessaires aux différents formats. Le sujet est disponible ici.

Improving The Mozilla Web Browsing Experience

6. Gentoo International

Internationalisation de gentoo.org

Vous percevez un grondement lointain... Initié par FRLinux, quelques traducteurs occupés à travailler sur différentes parties du site web de Gentoo, dont cette newsletter, ont pris l'initiative d'internationaliser le site web de Gentoo lui-même. Il y a un appel sur bugs.gentoo.org qui essaie de gagner le support pour une gestion des différentes langues selon le modèle de Net- et FreeBSD pour le site web tout entier. Cela permettrait une gestion linguistique transparente et complétement consistante de toutes les versions. Les suggestions incluent des liens depuis le site principal vers des efforts internationalisés sur {code ISO du pays}.gentoo.org et vous pouvez rejoindre la discussion soit sur Bugzilla, soit dans les forums, dans un sujet intitulé "Gentoo International Community" (c'est en français, mais libre à vous d'ouvrir une discussion parallèle en anglais sur le même sujet dans Other Things Gentoo).

7. Un oeil sur Portage

8. Bugzilla

Résumé

Statistiques
Classement des bogues clos
Classement des nouveaux bogues

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour référencer et suivre les bogues, les notifications, les suggestions et autres interactions avec l'équipe de développement. Entre le 13 juin 2003 et le 19 juin 2003, l'activité du site a abouti à :

322 nouveaux bogues durant cette période.
446 bogues fermés ou résolus durant cette période.
8 bogues précédemment corrigés ont été rouverts durant cette période.

Sur les 3334 bogues actuellement ouverts: 56 sont étiquetés 'bloquant', 138 sont étiquetés 'critique' et 275 sont étiquetés 'majeur'.

Classement des bogues clos

Les développeurs et équipes ayant résolu le plus grand nombre de bogues cette semaine sont :

Classement des nouveaux bogues

Les développeurs et équipes auxquels le plus grand nombre de bogues ont été assignés cette semaine sont:

L'équipe du Kernel x86, avec 14 nouveaux bogues
L'équipe KDE, avec 6 nouveaux bogues
L'équipe du Son, avec 6 nouveaux bogues
Nicholas Jones, avec 5 nouveaux bogues
Peter Johanson, avec 5 nouveaux bogues
Matthew Kennedy, avec 5 nouveaux bogues
L'équipe Perl, avec 5 nouveaux bogues

9. Trucs et astuces

Interroger Portage avec etcat

L'astuce de cette semaine vous montre comment utiliser la commande etcat pour récupérer des informations sur Portage, les options USE, les versions des paquets et plus encore.

Bien qu'il y ait d'autres paquets du même genre tels que qpkg ou epm, etcat a quelques fonctionnalités uniques. Par exemple la capacité d'afficher l'espace disque utilisé par un certain paquet, les options USE avec lesquelles le paquet a été compilé et les versions disponibles du paquet.

La première étape consiste à installer le paquet app-admin/gentoolkit depuis Portage. Cela installe etcat (parmi d'autres utilitaires) dans /usr/bin.

Exemple de code 9.1 : Installer etcat

# emerge app-admin/gentoolkit

Pour voir la taille du paquet, utilisez etcat size [package].

Exemple de code 9.2 : Afficher la taille d'un paquet

# etcat size mozilla
[ Results for search key : mozilla ]
[ Applications found : 4 ]

 Only printing found installed programs.

* mozilla-firebird-bin-0.5
           Total Files : 338
            Total Size : 20925.18 KB
* mozilla-1.3-r1
           Total Files : 3155
            Total Size : 52073.05 KB

# etcat size evolution
[ Results for search key : evolution ]
[ Applications found : 1 ]

 Only printing found installed programs.

* evolution-1.2.4
           Total Files : 1421
            Total Size : 33456.65 KB

# etcat size fluxbox
[ Results for search key : fluxbox ]
[ Applications found : 1 ]

 Only printing found installed programs.

* fluxbox-0.1.14-r1
           Total Files : 26
            Total Size : 806.92 KB

Pour analyser les options USE avec lesquelles un paquet a été compilé, utilisez etcat uses [package]. Par exemple, la commande suivante affiche quelles options USE ont été activées lorsque Postfix a été compilé.

Exemple de code 9.3 : Afficher les options USE

# etcat uses net-mail/postfix
[ Colour Code : set unset ]
[ Legend      : (U) Col 1 - Current USE flags        ]
[             : (I) Col 2 - Installed With USE flags ]

 U I [ Found these USE variables in : net-mail/postfix-2.0.9 ]
 + + ssl     : Adds support for Secure Socket Layer connections
 + + mysql   : Adds mySQL support
 + + sasl    : Adds support for the Simple Authentication and Security Layer
 + + ldap    : Adds LDAP support (Lightweight Directory Access Protocol)
 - - ipv6    : Adds support for IP version 6
 - - maildir : Adds support for maildir (~/.maildir) style mail spools
 - - mbox    : Adds support for mbox (/var/spool/mail) style mail spools

# etcat uses fluxbox
[ Colour Code : set unset ]
[ Legend      : (U) Col 1 - Current USE flags        ]
[             : (I) Col 2 - Installed With USE flags ]

 U I [ Found these USE variables in : x11-wm/fluxbox-0.1.14-r1 ]
 - - kde      : Adds support for kde-base/kde (K Desktop Enviroment)
 + + gnome    : Adds GNOME support
 + + nls      : unknown
 + - xinerama : Add support for XFree86's xinerama extension, which allows you to stretch
                your display across multiple monitors
 + + truetype : Adds support for FreeType and/or FreeType2 fonts

Pour voir les versions disponibles d'un paquet spécifique, utilisez etcat versions [package]

Exemple de code 9.4 : Afficher les versions disponibles d'un paquet

# etcat versions kde-base/kde
[ Results for search key : kde-base/kde ]
[ Applications found : 1 ]

*  kde-base/kde :
        [   ] kde-base/kde-2.2.2-r1 (2)
        [   ] kde-base/kde-3.0.4 (3.0)
        [   ] kde-base/kde-3.0.5a (3.0)
        [   ] kde-base/kde-3.0.5b (3.0)
        [   ] kde-base/kde-3.1.1a (3.1)
        [   ] kde-base/kde-3.1.1 (3.1)
        [   ] kde-base/kde-3.1.2 (3.1)
        [   ] kde-base/kde-3.1 (3.1)

# etcat versions net-mail/evolution
[ Results for search key : net-mail/evolution ]
[ Applications found : 1 ]

*  net-mail/evolution :
        [   ] net-mail/evolution-1.2.3 (0)
        [  I] net-mail/evolution-1.2.4 (0)
        [M~ ] net-mail/evolution-1.3.92 (2)
        [M~ ] net-mail/evolution-1.4.0 (0)

# etcat versions net-www/apache
[ Results for search key : net-www/apache ]
[ Applications found : 1 ]

*  net-www/apache :
        [   ] net-www/apache-1.3.27 (1)
        [   ] net-www/apache-1.3.27-r1 (1)
        [M~ ] net-www/apache-1.3.27-r2 (1)
        [   ] net-www/apache-1.3.27-r3 (1)
        [M~ ] net-www/apache-1.3.27-r4 (1)
        [M~ ] net-www/apache-2.0.43-r1 (2)
        [M~ ] net-www/apache-2.0.44 (2)
        [M~ ] net-www/apache-2.0.45 (2)
        [M~I] net-www/apache-2.0.46 (2)

Note : Si vous ne spécifiez pas la catégorie, etcat cherchera toutes les occurrences correspondantes dans Portage. Si le nom du paquet est commun ou apparaît dans beaucoup d'autres noms de paquets, vous risquez d'obtenir bien plus de résultats que vous ne l'auriez souhaité.

Pour plus d'informations, tapez man etcat. Pour un rapide aperçu des options disponibles, tapez simplement etcat.

10. Citation ou signature de la semaine

Cette semaine nous présentons la signature actuelle du gourou du forum nommé carambola5: "Jeu de cartes: $1.29. Table à cartes: $14.99. Livre "101 Variations du Solitaire": $6.59. Trouver une alternative meilleur marché à la seule chose pour laquelle Windows est idéal: inestimable."

11. Départs, arrivées et mutations

Départs

Les développeurs suivants ont récemment quitté l'équipe Gentoo :