Gentoo Logo

Gentoo Weekly Newsletter: 31 janvier 2005

Table des matières :

1.  Nouvelles de Gentoo

Trusted Gentoo

NdT : Trusted : « en qui l'on a confiance »

Suggéré à l'origine par Joseph Pingenot, les membres de la horde « crypto » se sont fixé pour objectif d'implémenter les buts du « Trusted Computing Group » (TCG - précédemment connu sous la dénommination « Trusted Computing Platform Alliance » ou TCPA, NdT :Alliance pour une Plate-forme Informatique de Confiance) dans Gentoo au cours de cette année.

TCG est un standard ouvert de spécification matérielle définissant des fonctions de cryptographie (Trusted Platform Module - TPM, NdT : Module de Plate-forme de Confiance) qui conserve des clefs privées en dehors de la mémoire système. Le matériel supporte également des fonctions d'amorçage (TCG Software Stack - TSS, NdT : Pile Logicielle TCG) qui garantit que les clefs privées ne sont pas accessibles si le système d'exploitation n'est pas de confiance.

Les applications qui seraient profitables à Gentoo sont :

TPM permet de stocker des clefs cryptographiques au niveau matériel plutôt que sur un système de fichiers. Quelques exemples :

Si vous désirez faire don de matériel ou entreprendre des développements dans ce domaine, contactez Henrik Brix Andersen ou Peter Johanson. Les développeurs devront travailler de manière largement indépendante et avoir une bonne compréhension des architectures de sécurité et de la programmation en C. Un émulateur TPM est disponible si besoin.

Recherche développeurs EM64T, matériel et « Testeurs d'architecture » AMD64

L'équipe Gentoo/AMD64 recherche des développeurs afin d'étendre le support aux processeurs x86-64 d'Intel, la famille de produits EM64T. Les développeurs devront fournir leur machine et réaliser des tests matériels, car les jeux de puces sont différents sur les cartes mères EM64T. Veuillez contacter Jason Huebel si vous vous sentez capables d'aider sur ce sujet.

Une annonce séparée concerne des « Arch-testers » ou AT's (NdT : testeurs d'architecture). Ce ne sont pas des développeurs mais ils (ou elles) aident à supprimer des bogues et à marquer des applications stables pour un ensemble d'ebuilds déjà disponibles.

Sortie du Gentoo/PPC GameCD

L'équipe PPC a terminé le prototype du premier LiveCD complètement graphique pour la plate-forme PowerPC, comprenant un jeux 3d OpenGL/SDL multi-joueurs appelé Cube. Ce LiveCD est conçu pour le PegasosPPC, une variante pour le matériel Macintosh est déjà en cours d'élaboration. Tandis que le GameCD est déjà disponible sur les mirroirs (dans le répertoire experimental/ppc/livecd), un cluster entier d'ODWs faisant tourner Cube fera partie d'une présentation sur le stand des développeurs Gentoo au FOSDEM à Bruxelles le 26 et 27 février 2005.


Figure 1.1 : GameCD Gentoo Linux pour PPC par Christian Hartmann

Fig. 1: couverture CD

2.  Zone Futur

Buts 2005 des projets

Dans la foulée de notre couverture des buts que se sont fixés les projets Gentoo, nous nous intéressons cette semaine au « Hardened Group » (NdT : « Groupe de Durcissement »)

Hardened

  • Revue de l'approche et des politiques actuelles,
  • amélioration du filtrage des CFLAGS (en particulier « -fPIC » et « -fstack-protector »),
  • introduction des stages AMD64/Sparc64/PPC64, plus d'architectures viendront dans le futur au fur et à mesure de l'acquisition de matériel,
  • documentation Grsecurity2 améliorée,
  • support amélioré et étendu de SELinux,
  • développement et documentation des politiques RSBAC,
  • documentation de meilleure qualité et plus importante pour tout,
  • accueil de nouveaux développeurs,
  • élection d'un nouveau commité Hardened,
  • introduction d'un LiveCD de secours et analyse post-mortem,
  • support et amélioration des jeux de patchs noyaux,
  • promotion du projet « Gentoo Hardened » en dehors de Gentoo et sensibilisation du monde Gentoo.

3.  Sécurité Gentoo

Konversation : vulnérabilités diverses

Konversation contient de multiples vulnerabilités qui pourraient permettre l'exécution de commandes à distance ou des fuites d'information.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Evolution : dépassement d'entier dans camel-lock-helper

Un dépassement dans l'application camel-lock-helper peut être exploité par un assaillant afin d'éxecuter un code arbitraire avec des privilèges élevés.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

AWStats : exécution de code à distance

AWStats ne valide pas certaines entrées, ce qui pourrait entraîner l'exécution de code arbitraire à distance.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

GraphicsMagick : débordement de tas dans le décodage PSD

GraphicsMagick est vulnérable à un débordement de tas lors du décodage de fichiers Photoshop (PSD), ce qui pourrait entraîner l'éxecution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Perl : vulnérabilités dans rmtree et DBI tmpfile

La bibliothèque DBI de Perl et la fonction File::Path::rmtree sont vulnérables à une attaque par lien symbolique.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

SquirrelMail : plusieurs vulnérabilités

SquirrelMail ne nettoie pas correctement les entrées utilisateurs, ce qui pourrait entraîner l'exécutation de code arbitraire et compromettre des comptes webmail.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

ngIRCd : débordement de buffer

ngIRCd est vulnérable à un débordement de buffer qui peut être utilisé pour planter le démon et potentiellement exécuter un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

TikiWiki : exécution de commande arbitraire

Un bug dans TikiWiki permet à certains utilisateurs de transmettre et exécuter des scripts PHP malveillants.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

VDR : problème de remplacement de fichiers arbitraires

VDR accède de manière non sécurisée à des fichiers avec des privilèges élevés, ce qui peut entraîner l'écrasement de fichiers arbitraires.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

f2c : création de fichier temporaire non sécurisée

f2c est vulnérable à une attaque par lien symbolique, permettant potentiellement à un utilisateur local d'écraser n'importe quel fichier.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

ncpfs : plusieurs vulnérabilités

Les utilitaires ncpfs présentent plusieurs défauts, pouvant entraîner potentiellement l'éxecution de code arbitraire ou l'accès à des fichiers locaux avec privilèges élevés.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

4.  Entendu dans la communauté

Forums web

Nouvel ancien utilitaire Portage

Parmi plusieurs utilitaires de recherche portage, portagedb, a été renommé « Ebuild Index » ou eix récemment. Le développeur Pythonhead reconnait que cette alternative à esearch « devient meilleure à chaque nouvelle version » et liste eix dans son meta-fil de discussion :

Le beagle est-il le meilleur ami de l'homme ?

Semaine tranquille dans les sections anglaises des Forums, mais les français ont eu droit à un logiciel comparable au très médiatisé SpotLight qu'Apple désire intégrer dans leur édition Tiger de Mac OS X. Il semble que Beagle, basé sur Mono, n'est pas seulement une alternative Linux complètement libre à l'outil de recherche de bureau temps réel d'Apple, mais est également utilisable, du moins jusqu'à un certain point...

gentoo-dev

Rappel sur la politique de mises à jour d'ebuild

Jason Wever a émis un rappel à propos de la politique de mise à jour des ebuilds : « Récemment, il y a eu un grand nombre de mises à jour d'ebuild avec des mots-clés d'architecture complètement abandonnés. S'il vous plaît ne le faites pas à moins qu'il n'y ait une raison bien spécifique pour cela (bogue de sécurité, dépendances cassées, référez-vous à la politique) et s'il y a une raison valide, veuillez signaler aux architectures pourquoi vous avez supprimé leurs mots-clés. »

[RFC] eclasses versionnées

Daniel Goller et Patrick Lauer ont débuté un fil de discussion demandant des eclasses versionnées. Cette proposition (qui est un sujet récurrent ces six derniers mois) a été réduite en cendres dans une des plus chaudes flamewars que la liste de diffusion gentoo-dev ait vue ces derniers mois et reste sans solution.

Gentoo-dev semble infiltré

A peu près en même temps que la flamewar sur les eclasses versionnées, un deuxième fil de discussion à haut trafic s'est développé à propos de signatures, d'identité et de paranoia. Les questions initiales, concernant des signatures potentiellement cassées, ont été oubliées pendant que les développeurs et les utilisateurs discutaient du problème de l'identité dans les communications électroniques et quelques autres questions tangentes.

Ennuis BAS/c

Ciaran McCreesh a relevé certains problèmes avec le nouveau client BAS/c (NdT : client pour la base de durées de construction et statistiques). Le fil de discussion suivant présente de nombreuses informations intéressantes pour tous les hackers d'ebuild sur comment les ebuilds devraient être écrits (et quelques bon exemples de ce qu'il ne faut pas faire).

5.  Gentoo dans la presse

Retombées Gentoo/OpenSolaris dans les media

« Impressions mitigées » est l'expression qui décrit le mieux l'opinion de la communauté open-source sur la sortie d'OpenSolaris par Sun. Qu'ils soient critiques de l'action de Sun ou pas, beaucoup d'auteurs paient leur respects à Portaris et au projet Gentoo/OpenSolaris comme à un aspect très intéressant de l'événement. Voici une liste de coupures de presses couvrant à la fois les annonces de Sun et de Gentoo à travers le monde :

Mad Penguin (25 janvier 2005)

« Gentoo fait correctement » est le titre de l'article de Mad Penguin à propos de Vidalinux, le dérivé de Gentoo s'installant grâce à Anaconda de RedHat et fournissant des binaires sur un noyau système Gentoo. La distribution portoricaine - « principalement une installation troisième stage » - reçoit une revue enthousiaste et l'auteur Adam Doxtater finit en la recommandant « à tout ceux qui désirent essayer Gentoo Linux mais n'ont pas le temps de tout compiler depuis zéro pour avoir un système de base en état de marche ».

Pro-Linux.de (25 janvier 2005)

Le seul magazine Linux en ligne allemand présente les ventes des stations de travail Open Desktop de Genesi dans un article sur les stations de travail PegasosPPC avec Gentoo pré-installé. Pro-Linux cite l'annonce de la GWN de la semaine dernière et ajoute quelques notes sur la plate-forme en général, rapprochant - parmi d'autres choses - l'ODW à « une réincarnation de l'Amiga ».

6.  Bugzilla

Résumé

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 23 janvier 2005 et le 30 janvier 2005, l'activité sur le site se résume à :

  • 844 nouveaux bugs,
  • 516 bugs fermés ou résolus,
  • 29 bugs rouverts (précédemment fermés).

Parmi les 7945 bugs actuellement ouverts, 109 sont marqués 'bloquant', 240 sont marqués 'critique' et 584 sont marqués 'majeur'.

Classement des bugs fermés

Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :

Classement des nouveaux bugs

Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :

7.  Départs, arrivées et changements

Départs

Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :

  • Aucun cette semaine

Arrivées

Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :

  • Fernando Serboncini (fserb) - Python
  • Kyle England (kengland) - Infrastructure

Changements

Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo Linux :

  • John Davis (zhen) - abandonne la direction stratégique du Release Engineering
  • Aaron Walker (ka0ttic) - rejoint netmon
  • Daniel Black (dragonheart) - quitte embedded - rejoint ppc et netmon
  • Otavio Rodolfo Piske (AngusYoung) - rejoint netmon

8.  Contribuez à la GWN

Vous souhaitez contribuer à la GWN ? Envoyez-nous un courriel.

9.  Commentaires

Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.

10.  S'abonner à la GWN

Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.

Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.

11.  Autres langues

La GWN est aussi disponible dans les langues suivantes :



Imprimer

Dernière mise à jour le 31 janvier 2005

Résumé : Ceci est la Gentoo Weekly Newsletter pour la semaine du 31 janvier 2005.

Ulrich Plate
Éditeur

Daniel Black
Collaborateur

Danny van Dyk
Collaborateur

Patrick Lauer
Collaborateur

Lionel Bouton
Traducteur

Nelson Gaasch
Traducteur

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.