Figure 1.1 : GameCD Gentoo Linux pour PPC par Christian Hartmann
NdT : Trusted : « en qui l'on a confiance »
Suggéré à l'origine par Joseph Pingenot, les membres de la horde « crypto » se sont fixé pour objectif d'implémenter les buts du « Trusted Computing Group » (TCG - précédemment connu sous la dénommination « Trusted Computing Platform Alliance » ou TCPA, NdT :Alliance pour une Plate-forme Informatique de Confiance) dans Gentoo au cours de cette année.
TCG est un standard ouvert de spécification matérielle définissant des fonctions de cryptographie (Trusted Platform Module - TPM, NdT : Module de Plate-forme de Confiance) qui conserve des clefs privées en dehors de la mémoire système. Le matériel supporte également des fonctions d'amorçage (TCG Software Stack - TSS, NdT : Pile Logicielle TCG) qui garantit que les clefs privées ne sont pas accessibles si le système d'exploitation n'est pas de confiance.
Les applications qui seraient profitables à Gentoo sont :
TPM permet de stocker des clefs cryptographiques au niveau matériel plutôt que sur un système de fichiers. Quelques exemples :
Si vous désirez faire don de matériel ou entreprendre des développements dans ce domaine, contactez Henrik Brix Andersen ou Peter Johanson. Les développeurs devront travailler de manière largement indépendante et avoir une bonne compréhension des architectures de sécurité et de la programmation en C. Un émulateur TPM est disponible si besoin.
Recherche développeurs EM64T, matériel et « Testeurs d'architecture » AMD64
L'équipe Gentoo/AMD64 recherche des développeurs afin d'étendre le support aux processeurs x86-64 d'Intel, la famille de produits EM64T. Les développeurs devront fournir leur machine et réaliser des tests matériels, car les jeux de puces sont différents sur les cartes mères EM64T. Veuillez contacter Jason Huebel si vous vous sentez capables d'aider sur ce sujet.
Une annonce séparée concerne des « Arch-testers » ou AT's (NdT : testeurs d'architecture). Ce ne sont pas des développeurs mais ils (ou elles) aident à supprimer des bogues et à marquer des applications stables pour un ensemble d'ebuilds déjà disponibles.
L'équipe PPC a terminé le prototype du premier LiveCD complètement graphique pour la plate-forme PowerPC, comprenant un jeux 3d OpenGL/SDL multi-joueurs appelé Cube. Ce LiveCD est conçu pour le PegasosPPC, une variante pour le matériel Macintosh est déjà en cours d'élaboration. Tandis que le GameCD est déjà disponible sur les mirroirs (dans le répertoire experimental/ppc/livecd), un cluster entier d'ODWs faisant tourner Cube fera partie d'une présentation sur le stand des développeurs Gentoo au FOSDEM à Bruxelles le 26 et 27 février 2005.
Figure 1.1 : GameCD Gentoo Linux pour PPC par Christian Hartmann |
|
Dans la foulée de notre couverture des buts que se sont fixés les projets Gentoo, nous nous intéressons cette semaine au « Hardened Group » (NdT : « Groupe de Durcissement »)
Hardened
Konversation : vulnérabilités diverses
Konversation contient de multiples vulnerabilités qui pourraient permettre l'exécution de commandes à distance ou des fuites d'information.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Evolution : dépassement d'entier dans camel-lock-helper
Un dépassement dans l'application camel-lock-helper peut être exploité par un assaillant afin d'éxecuter un code arbitraire avec des privilèges élevés.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
AWStats : exécution de code à distance
AWStats ne valide pas certaines entrées, ce qui pourrait entraîner l'exécution de code arbitraire à distance.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
GraphicsMagick : débordement de tas dans le décodage PSD
GraphicsMagick est vulnérable à un débordement de tas lors du décodage de fichiers Photoshop (PSD), ce qui pourrait entraîner l'éxecution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Perl : vulnérabilités dans rmtree et DBI tmpfile
La bibliothèque DBI de Perl et la fonction File::Path::rmtree sont vulnérables à une attaque par lien symbolique.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
SquirrelMail : plusieurs vulnérabilités
SquirrelMail ne nettoie pas correctement les entrées utilisateurs, ce qui pourrait entraîner l'exécutation de code arbitraire et compromettre des comptes webmail.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
ngIRCd : débordement de buffer
ngIRCd est vulnérable à un débordement de buffer qui peut être utilisé pour planter le démon et potentiellement exécuter un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
TikiWiki : exécution de commande arbitraire
Un bug dans TikiWiki permet à certains utilisateurs de transmettre et exécuter des scripts PHP malveillants.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
VDR : problème de remplacement de fichiers arbitraires
VDR accède de manière non sécurisée à des fichiers avec des privilèges élevés, ce qui peut entraîner l'écrasement de fichiers arbitraires.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
f2c : création de fichier temporaire non sécurisée
f2c est vulnérable à une attaque par lien symbolique, permettant potentiellement à un utilisateur local d'écraser n'importe quel fichier.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
ncpfs : plusieurs vulnérabilités
Les utilitaires ncpfs présentent plusieurs défauts, pouvant entraîner potentiellement l'éxecution de code arbitraire ou l'accès à des fichiers locaux avec privilèges élevés.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Nouvel ancien utilitaire Portage
Parmi plusieurs utilitaires de recherche portage, portagedb, a été renommé « Ebuild Index » ou eix récemment. Le développeur Pythonhead reconnait que cette alternative à esearch « devient meilleure à chaque nouvelle version » et liste eix dans son meta-fil de discussion :
Le beagle est-il le meilleur ami de l'homme ?
Semaine tranquille dans les sections anglaises des Forums, mais les français ont eu droit à un logiciel comparable au très médiatisé SpotLight qu'Apple désire intégrer dans leur édition Tiger de Mac OS X. Il semble que Beagle, basé sur Mono, n'est pas seulement une alternative Linux complètement libre à l'outil de recherche de bureau temps réel d'Apple, mais est également utilisable, du moins jusqu'à un certain point...
Rappel sur la politique de mises à jour d'ebuild
Jason Wever a émis un rappel à propos de la politique de mise à jour des ebuilds : « Récemment, il y a eu un grand nombre de mises à jour d'ebuild avec des mots-clés d'architecture complètement abandonnés. S'il vous plaît ne le faites pas à moins qu'il n'y ait une raison bien spécifique pour cela (bogue de sécurité, dépendances cassées, référez-vous à la politique) et s'il y a une raison valide, veuillez signaler aux architectures pourquoi vous avez supprimé leurs mots-clés. »
[RFC] eclasses versionnées
Daniel Goller et Patrick Lauer ont débuté un fil de discussion demandant des eclasses versionnées. Cette proposition (qui est un sujet récurrent ces six derniers mois) a été réduite en cendres dans une des plus chaudes flamewars que la liste de diffusion gentoo-dev ait vue ces derniers mois et reste sans solution.
Gentoo-dev semble infiltré
A peu près en même temps que la flamewar sur les eclasses versionnées, un deuxième fil de discussion à haut trafic s'est développé à propos de signatures, d'identité et de paranoia. Les questions initiales, concernant des signatures potentiellement cassées, ont été oubliées pendant que les développeurs et les utilisateurs discutaient du problème de l'identité dans les communications électroniques et quelques autres questions tangentes.
Ennuis BAS/c
Ciaran McCreesh a relevé certains problèmes avec le nouveau client BAS/c (NdT : client pour la base de durées de construction et statistiques). Le fil de discussion suivant présente de nombreuses informations intéressantes pour tous les hackers d'ebuild sur comment les ebuilds devraient être écrits (et quelques bon exemples de ce qu'il ne faut pas faire).
Retombées Gentoo/OpenSolaris dans les media
« Impressions mitigées » est l'expression qui décrit le mieux l'opinion de la communauté open-source sur la sortie d'OpenSolaris par Sun. Qu'ils soient critiques de l'action de Sun ou pas, beaucoup d'auteurs paient leur respects à Portaris et au projet Gentoo/OpenSolaris comme à un aspect très intéressant de l'événement. Voici une liste de coupures de presses couvrant à la fois les annonces de Sun et de Gentoo à travers le monde :
« Gentoo fait correctement » est le titre de l'article de Mad Penguin à propos de Vidalinux, le dérivé de Gentoo s'installant grâce à Anaconda de RedHat et fournissant des binaires sur un noyau système Gentoo. La distribution portoricaine - « principalement une installation troisième stage » - reçoit une revue enthousiaste et l'auteur Adam Doxtater finit en la recommandant « à tout ceux qui désirent essayer Gentoo Linux mais n'ont pas le temps de tout compiler depuis zéro pour avoir un système de base en état de marche ».
Pro-Linux.de (25 janvier 2005)
Le seul magazine Linux en ligne allemand présente les ventes des stations de travail Open Desktop de Genesi dans un article sur les stations de travail PegasosPPC avec Gentoo pré-installé. Pro-Linux cite l'annonce de la GWN de la semaine dernière et ajoute quelques notes sur la plate-forme en général, rapprochant - parmi d'autres choses - l'ODW à « une réincarnation de l'Amiga ».
La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 23 janvier 2005 et le 30 janvier 2005, l'activité sur le site se résume à :
Parmi les 7945 bugs actuellement ouverts, 109 sont marqués 'bloquant', 240 sont marqués 'critique' et 584 sont marqués 'majeur'.
Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :
Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :
7. Départs, arrivées et changements
Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :
Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :
Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo Linux :
Vous souhaitez contribuer à la GWN ? Envoyez-nous un courriel.
Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.
Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.
Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.
La GWN est aussi disponible dans les langues suivantes :