Gentoo Weekly Newsletter : 10 janvier 2005

1.  Nouvelles de Gentoo

Dissuader les abus sur le forum : ajout d'une confirmation visuelle d'enregistrement

Pendant la dernière semaine de décembre 2004, un assaillant a enregistré environ 8500 comptes utilisateurs depuis plus de 160 hôtes en moins d'une heure. Pendant que les administrateurs travaillaient sur une solution pour bloquer ces enregistrements, les utilisateurs commencèrent à rapporter les enregistrements en masse de comptes sur le forum. Quelques heures plus tard 15696 comptes d'utilisateurs furent effacés, emportant avec eux un certain nombre de comptes inactifs depuis un certain temps.

Pour empêcher ces tentatives d'enregistrements en masse de se produire à nouveau, une confirmation visuelle d'enregistrement a maintenant été ajoutée dans le processus d'enregistrement d'un compte utilisateur du forum. À l'origine, cette fonction avait été programmée dans les versions de développement 2.2 de phpBB, puis les changements ont été adaptés à la version 2.0.11 de phpBB. Les mêmes changements ont maintenant été appliqués à la version personnalisée de phpBB installée sur forums.gentoo.org.

Le noyau 2.6.10 marqué stable

À l'heure où vous lirez ceci, la version 2.6.10 de gentoo-dev-sources sera marquée comme stable ou dans les dernières étapes de tests pour les architectures supportées. Linux 2.6.10, sorti récemment pour le réveillon de Noël, semble être la meilleure version du noyau depuis un long moment, réparant presque tous les problèmes connus dans le 2.6.9 et les précédents. Relativement peu de nouveaux problèmes ont été rapportés, et les principaux ont déjà été réparés. On recommande aux utilisateurs du 2.6 de se mettre à jour dès que possible, du fait qu'elle répare aussi des failles de sécurité récemment découvertes.

2.  Zone futur

Buts des projets pour 2005

Un méta-fil de discussion sur la liste de diffusion gentoo-dev garde la trace des buts fixés pour certains projets Gentoo. Voici un aperçu des choses destinées à voir la lumière du jour à courte échéance :

Release Engineering (NdT: Ingénierie des versions, nom d'une équipe)

• Sorties bi-annuelles : la première version (2005.0) sortira en janvier et la seconde version (2005.1) sortira en juillet/août. Chaque version inclura des CD d'installation, des « stages » et des GRP.
• LiveCD : le plan consiste à remplacer l'actuel LiveCD universel par un XLiveCD de type Knoppix. Les médias seront renommés aussi ; le LiveCD minimal subsistera, mais sera alors appelé « minimal installCD ».
• Gentoo Reference Platform (GRP) : travaillant de concert avec le projet d'installateur, Release Engineering travaille sur la redéfinition des GRP. Le plan actuel qui n'a rien de définitif est d'utiliser des fonctionnalités similaires à celles de quickpkg en emballant les paquets installés sur le XLiveCD puis en les copiant vers le système cible.

Noyau

• Migrer tous les ebuilds existants vers les eclasses kernel-2 et linux-*
• Mettre le 2.6 par défaut là où c'est possible pour les en-têtes et les sources
• Corriger les noms appropriés des paquets source, par exemple dev-sources -> vanilla-sources
• Améliorer encore notre environnement de travail actuel pour des noyaux supplémentaires (BSD, Darwin)

Gentoo/BSD

• Avoir un « stage » ou un ensemble de « stages » qui seront utilisés pour installer Gentoo/FBSD
• Avoir un baselayout fonctionnel
• Avoir un CD d'installation (pour l'instant FreeSBIE peut être utilisé)
• Avoir un nombre important d'ebuilds ayant le mot-clé
• Avoir certains de nos patchs spécifiques à BSD appliqués à Portage
• Finir notre profil, stabiliser notre ensemble d'archives tar

3.  Sécurité Gentoo

LinPopUp : débordement de tampon dans la réponse à un message

LinPopUp contient un débordement de tampon qui peut éventuellement permettre l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

a2ps : failles multiples

Les scripts fixps et psmandup dans le paquet a2ps sont sensibles à des attaques de type symlink qui peuvent potentiellement permettre à un utilisateur local d'écraser des fichiers arbitraires. Une faille dans la gestion des noms de fichier par a2ps pourrait aussi entrainer une exécution arbitraire de commande.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Mozilla, Firefox, Thunderbird : failles multiples

De multiples failles ont été découvertes et réparées dans les produits basés sur Mozilla, allant d'un débordement de tampon potentiel et de la divulgation de fichiers temporaires jusqu'à des problèmes de falsification de noms.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Shoutcast Server : exécution à distance de code

Shoutcast Server contient un débordement de tampon potentiel qui pourrait entraîner l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

mit-krb5 : débordement de tas dans libkadm5srv

La bibliothèque d'administration Kerberos 5 du MIT (libkadm5srv) contient un débordement de tas qui pourrait amener à une exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

tiff : nouveaux débordements dans le décodage d'images

Un débordement d'entier a été découvert dans les routines de décodage d'images de la bibliothèque TIFF et dans l'utilitaire tiffdump qui pourrait permettre l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

xine-lib : débordements multiples

xine-lib contient de multiples failles de débordement qui pourraient permettre l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

phpGroupWare : failles multiples

De multiples failles ont été découvertes dans phpGroupWare qui pourraient amener à une divulgation d'informations ou une pénétration du système à distance.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

xzgv : débordements multiples

xzgv contient de multiples débordements qui pourraient permettre l'exécution de code aribtraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Vilistextum : faille de débordement de tampon

Vilistextum est vulnérable à un débordement de tampon qui permet à un assaillant d'exécuter du code arbitraire par le biais d'une page web malveillante.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

4.  Entendu dans la communauté

Forums web

La disparition de X cause de légers troubles

La décision des développeurs Gentoo de pousser gentiment les utilisateurs à se servir de xorg-x11 n'est pas vraiment neuve, mais l'effacement de XFree86 de Portage le 1er janvier semble avoir été une mauvaise surprise pour quelques personnes. Un fil de discussion parmi tant d'autres, pour tous les représenter :

• I refuse to use xorg....it sucks! (nevermind....user error) (NdT : je refuse d'utiliser xorg... ça craint ! (laissez tomber... erreur d'utilisateur))

Earthwings nouveau modérateur global

Earthwings a déjà servi le sous-forum allemand pendant plusieurs mois avant d'être promu pour s'occuper maintenant de la totalité du forum :

• [forums-announce] New global moderator (NdT : [forums-announce] Nouveau modérateur global)

gentoo-user

Atteindre le bonheur matériel ?

Beaucoup d'utilisateurs de portables rencontrent le même problème : avoir un ordinateur mobile entraine des configurations différentes. La plupart du temps, c'est en rapport avec le réseau, par exemple la différence entre un réseau local d'entreprise et le réseau domestique. Mais de temps en temps cela inclut aussi du matériel. Beaucoup de portables ont des stations de branchement de matériel avec des cartes réseaux, des adaptateurs vidéo et même du SCSI supplémentaires. Ce qui représente un problème unique pour les utilisateurs de Linux puisque la plupart du temps, les différents paramètres sont écrits en dur dans différents fichiers de /etc. Avez-vous envie de trouver votre chemin vers le paradis du portable ? Lisez ceci !

• gentoo and "rc hell"? (NdT : Gentoo et « l'enfer de rc » ?)

Paramètres de Bash

Qu'y a-t-il de plus linuxien qu'un débat sur la bonne méthode pour effacer de nombreux fichiers d'un répertoire ? Il y a xargs, find et même... des boucles for ? Un fil de discussion informatif d'idées arrêtées sur le sujet est ce que nous avons cette semaine !

• Bash query? 'Argument list too long' (NdT : requête Bash ? 'Liste de paramètres trop longue')

« Surveillance » de l'utilisation du processeur

Dans un registre plus humoristique, un membre de la liste a posté un lien « utile » vers un article de newsforge au sujet d'un paquet de surveillance du processeur appelé « Hot Babe ». Nous fournissons aux lecteurs de la GWN le lien vers le fil de discussion de gentoo-user, et nous n'irons pas plus loin.

• Hot Babe and Debian (GENTOO :-) (NdT : Hot Babe et Debian (GENTOO :-))

gentoo-dev

Appel à commentaires : Avis pour réduire les temps de compilation

Stuart Herbert demande comment réduire les temps de compilation. Lisez le fil de discussion pour les différents choix proposés par les utilisateur de Gentoo.

• RFC: Advice on driving compile times down (NdT : RFC, Request For Comments : demande de commentaires)

xfree parti

C'est par ce court message que Gentoo a officiellement arrêté le support de xfree. Tous les utilisateurs sont priés de migrer vers xorg.

• xfree gone (NdT : xfree parti)

2005.0 : « stages » 2.4 & 2.6

John Davis demande au nom du sous-projet Gentoo Releng (NdT : Release Engineering, Ingénierie de version) quels sources et en-têtes de noyau devraient être proposés pour les stages 2005.0. Il écrit : « Nos options pour la confection sont (a) des stages 2.6 uniquement, (b) des stages 2.4 uniquement, (c) un mélange de stages 2.4 et 2.6. » D'un point de vue des versions, un seul jeu de stages serait préférable, mais beaucoup d'utilisateurs dépendent encore des noyaux 2.4. Ce fil de discussion plutôt long explore les multiples petits problèmes qui pourraient apparaître et montre combien il est difficile de rendre tout le monde heureux en même temps.

• 2005.0 2.4 & 2.6 stages (NdT : 2005.0 : stages 2.4 & 2.6)

gentoo-server

Provenant d'une liste de diffusion principalement fréquentée par des personnes utilisant Gentoo à des fins non bureautiques, gentoo-server@gentoo.org, voici un remarquable fil de discussion qui est né d'une question simple du posteur original :

• Who uses Gentoo in production? (NdT : Qui utilise Gentoo en production ?)

5.  Gentoo International

USA : Conférences Gentoo au MIT, 10 et 24 janvier

Rajiv Manglani, membre de l'équipe de sécurité Gentoo Linux et développeur PPC, donnera une conférence d'introduction (10 janvier) et une conférence avancée (24 janvier) sur Gentoo Linux au « Massachusetts Institute of Technology » (NdT : Institut de technologie du Massachusetts), MIT, à Cambridge, MA. Les deux conférences sont sponsorisées par le « MIT's Student Information Processing Board » (NdT : Comité de traitement de l'information des étudiants du MIT), le SIPB, et se dérouleront le 10 et le lundi 24 à partir de 20h00, au Building 4, respectivement local 237 (le 10) et local 231 (le 24 janvier). La première conférence a pour but de donner un aperçu et de montrer un système fonctionnel sous Gentoo, alors que la présentation « Advanced Gentoo Linux » (NdT : Gentoo Linux avancé) du 24 janvier comportera des discussions plus approfondies sur Portage, la création de scripts ebuild, des outils système comme qpkg et etcat. Plus de détails se trouvent sur le Independent Activities Period Gentoo lecture announcements (NdT : Annonces des conférences IAP sur Gentoo) de Rajiv. Veuillez contacter le Comité d'information des étudiants si vous comptez y assister.

Canada : Le projet Gentoo LTSP à l'école primaire

Le Prairie Linux User Group (PLUG) prévoit d'installer Gentoo Linux à l'école primaire de la Sainte Croix à Winnipeg. Le projet utilisera le matériel récupéré qui fonctionnait avant avec diverses versions de Windows qui sont remplacées par Linux à cause du coût des licences pour la mise à jour, des problèmes de sécurité, des besoins matériels croissants si Windows était mis à jour et la plate-forme qui ne satisfait généralement plus les exigeances pédagogiques à l'école. La mise en place inclut une implémentation du Linux Terminal Server Project (LTSP) entre trente stations de travail avec Gentoo Linux utilisant openmosix pour le système de serveur terminal. Le jeudi 20 janvier le PLUG se réunira à l'Université de Winnipeg (début à 19h00 au local 2M70) pour mettre quelques points au clair avant de lancer le test en environnement réel à l'école le dimanche 23 janvier à partir de 10h00. Trente étudiants de primaire ont été invités pour tester le système qu'ils pourraient garder s'il fonctionne comme prévu: « Si le système parvient à répondre aux exigences, il sera installé définitivement », déclare le membre du PLUG Mike Crawford, un développeur Gentoo dev-perl en devenir et mainteneur d'un des serveurs Gentoo officiels (gentoo.eliteitminds.com). Plus de détails peuvent être trouvés sur l'annonce de la rencontre du PLUG.

6.  Gentoo dans la presse

Linux Journal (5 janvier 2005)

Andrew Cowie avec le Linux Journal a publié un article assez flatteur sur « Gentoo for all the unusual reasons » (NdT : Gentoo pour toutes les raisons inhabituelles), couvrant Portage de façon approfondie comme outil pour usage professionnel  : « Vous pourriez imaginer Gentoo comme la distribution de pointe pour le développement de stations de travail, mais le simple gestionnaire de paquets peut en faire un bon choix pour n'importe quel système de production qui doit rester à jour », écrit l'auteur dans son introduction, avant d'expliquer dans les détails les étapes d'installation et de mise à jour de logiciels dans Gentoo, le tout joliment accompagné de captures d'écran. L'article, produit d'une recherche minutieuse, était dans les articles les plus lus et les plus commentés des articles de la semaine passée sur Linux Journal - sans même que la GWN augmente encore sa popularité...

7.  Bugzilla

Résumé

• Statistiques
• Classement des bugs fermés
• Classement des nouveaux bugs

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 2 janvier 2005 et le 9 janvier 2005, l'activité sur le site se résume à :

• 815 nouveaux bugs,
• 528 bugs fermés ou résolus,
• 23 bugs rouverts (précédemment fermés).

Parmi les 7862 bugs actuellement ouverts, 117 sont marqués 'bloquant', 229 sont marqués 'critique' et 568 sont marqués 'majeur'.

Classement des bugs fermés

Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :

• Gentoo's Team for Core System packages, avec 32 bugs fermés,
• Java team, avec 26 bugs fermés,
• AMD64 Porting Team, avec 26 bugs fermés,
• media-video herd, avec 25 bugs fermés,
• Gentoo Games, avec 21 bugs fermés,
• Gentoo X-windows packagers, avec 15 bugs fermés,
• Gentoo Security, avec 15 bugs fermés,
• Tim Yamin, avec 13 bugs fermés.

Classement des nouveaux bugs

Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :

• Gentoo Sound Team, avec 30 nouveaux bugs,
• AMD64 Porting Team, avec 21 nouveaux bugs,
• media-video herd, avec 20 nouveaux bugs,
• optical media herd, avec 19 nouveaux bugs,
• Gentoo X-windows packagers, avec 17 nouveaux bugs,
• Gentoo Linux Gnome Desktop Team, avec 14 nouveaux bugs,
• Gentoo's Team for Core System packages, avec 11 nouveaux bugs,
• Gentoo VMWare Bug Squashers, avec 10 nouveaux bugs.

8.  Départs, arrivées et changements

Départs

Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :

• Aucun cette semaine

Arrivées

Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :

• Benedikt Böhm (hollow) - Apache
• Saleem Abdulrasool (compnerd) - Java

Changements

Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo Linux :

• Lance Albertson (Ramereth) - New dev for netmon etc. (en plus de son rôle d'administrateur de l'infrastructure Gentoo)
• Danny Van Dyk (Kugelfang) and Mike Doty (KingTaco) - AMD64 responsable opérationnel adjoint (remplace Travis Tilley)
• Jeremy Huddleston (eradicator) - Adjoint au recrutement

9.  Astuces

Denu - un générateur de menu pour gestionnaires de fenêtres s'appuyant sur Portage

Passez-vous régulièrement de Fluxbox à KDE en passant par Gnome ? Essayeriez-vous encore plus de gestionnaires de fenêtres si vous ne laissiez pas derrière-vous bon nombre d'entrées d'applications dans les menus ? L'astuce de cette semaine vous apporte une solution sur un plateau : Denu est un tout nouvel outil destiné à vous aider à générer vos menus. Il est capable de produire des menus aux structures équivalentes pour de nombreux gestionnaires de fenêtres, aidant ainsi aux transitions de l'un à l'autre. Denu se synchronise avec une base de données en ligne qui permet de récupérer les mises à jour des applications supportées sans mettre à jour Denu lui-même. Le plus beau : Portage lui-même fournit les données sur les programmes installés !

Créer une sur-couche Portage si ce n'est déjà fait
(Denu n'est pas encore dans Portage)
# cd $PORTDIR_OVERLAY/x11-misc/denu
# wget http://dl.sourceforge.net/sourceforge/denu/denu-2.1.2-r1.ebuild
# emerge denu

Avant que nous n'allions plus loin, sauvegardez toutes les configurations de menu que vous ne voulez pas voir écrasées. Maintenant lancez denu en tant qu'utilisateur normal, Denu n'est pas prévu pour être lancé en tant que root.

Figure 9.1 : Capture d'écran de la création d'un menu avec Denu

La première étape après avoir installé Denu est de lancer Update (pour récupérer les définitions de programmes) et Sysupdate (pour récupérer la liste à jour des programmes installés). Aucune des ces commandes n'est lancée au démarrage, donc si vous installez un nouveau programme à l'aide de Portage, Sysupdate doit être lancé à nouveau.

Pour créer un menu, il existe deux approches : dans la première, vous sélectionnez à la main des entrées du « Installed Tree » (NdT : Arbre installé) et les ajoutez, dans la deuxième vous tapez sur Autofill et Denu vous créera automatiquement un menu basé sur les informations dont il dispose. Réorganiser un menu nouvellement créé ne nécessite que des glisser-lacher, les systèmes de menu respecteront l'ordre des entrées, à l'exception de Gnome et KDE qui les trient alphabétiquement. Cliquez sur generate et ensuite sur l'une des boîtes correspondant au gestionnaire de fenêtres ou environnement de bureau désiré. Quelques gestionnaires de fenêtres comme Fluxbox sont capables d'utiliser votre menu immédiatement, d'autres peuvent nécessiter d'être reconfigurés ou relancés.

Denu est encore en développement, mais l'auteur Shux a déjà parcouru la moitié de l'arborescence Portage à la recherche d'éléments qui pourraient être ajoutés à un menu. Pour l'autre moitié (ou pour les choses qui pourraient devoir être ajoutées dans le futur) Denu procure un outil pour inclure des applications qui ne sont pas encore dans la base. Ajouter des programmes et leurs catégories, descriptions, etc. est aussi simple que les trier. Pour les questions et réponses de toutes sortes, parcourez l'actif Fil de discussion Denu 2.0 dans les Forums.

10.  Contribuez à la GWN

Vous souhaitez contribuer à la GWN ? Envoyez-nous un courriel.

11.  Commentaires

Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.

12.  S'abonner à la GWN

Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.

Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.

13.  Autres langues

La GWN est aussi disponible dans les langues suivantes :

• Danois
• Néerlandais
• Anglais
• Allemand
• Français
• Japonais
• Italien
• Polonais
• Portugais (Brésil)
• Portugais (Portugal)
• Russe
• Espagnol
• Turc