Gentoo Logo

Gentoo Weekly Newsletter: 21 février 2005

Table des matières :

1.  Nouvelles de Gentoo

Linux World Expo à Boston : le bilan

La « Linux World Conference and Exposition » s'est tenue la semaine dernière au « Hyne Convention Center » à Boston, Massachusetts, USA. Gentoo Linux avait un stand dans le pavillon .org, blottis entre les gars de Fedora et ceux du projet « Linux Terminal Server » avec une affiche montrant le large panel d'architectures pour lesquelles Gentoo est disponible. L'attraction principale était sans conteste le Mac Mini avec un écran de cinéma, apporté par Daniel Ostrow. Daniel avait aussi apporté un Sparc Ultra 60, quelques portables x86 et un AMD64 ; Mike Frysinger quant à lui avait apporté des « goodies » embarqués.

Une véritable équipe de volontaires a aidé les animateurs du stand. Derrière Mike et Daniel, Seemant Kulleen, Chris Gianelloni, Dylan Carlson, Jeffrey Forman, Peter Johanson, Luke Macken (lewk), Rajiv Manglani, Andy Fant, Chris Aniszczyk et Aaron Griffis firent quelques apparitions et donnèrent un coup de main.


Figure 1.1 : L'équipe du stand Gentoo au LWE à Boston

Fig. 1: devs-in-a-row

Note : Devant, de gauche à droite : Andrew Fant, Chris Gianelloni, Mike Frysinger, Rajiv Manglani. Chris Aniszcszyk est penché sur la table juste en dessous du poster Gentoo, les autres sont tous des visiteurs.

En dehors des demandes permanentes de CDs (que nous avions) et de T-shirts (que nous n'avions pas), il y avait un intérêt constant pour la version PPC et de nombreux commentaires de la part de personnes qui se rendaient compte que Gentoo a un rôle à jouer en entreprise. On note aussi les débuts imminents d'une startup basée sur Gentoo qui va fournir, via les mécanismes standards de Portage, des paquets compilés et personnalisés aux utilisateurs enregistrés. Un des temps forts de la semaine fut l'« anti-bof » où 30 à 40 utilisateurs et développeurs ont pu se réunir au premier étage du « Globe Bar and Grill ».

La LWE se tenait pour la première fois à Boston au lieu de New-York et, de l'avis général, c'était un succès. Il y avait une augmentation de 20% du nombre d'exposants et d'à peu près autant pour la fréquentation. Il semblerait que la LWE sera de retour l'année prochaine, alors commencez à planifier votre année. Merci à tous ceux qui ont aidé à faire un succès de notre présence. Pour ceux de la côte ouest, la LWE sera à San Francisco du 8 au 11 Août. Si vous êtes intéressé pour participer au stand à cette occasion, contactez l'équipe PR.

Dernier appel pour le FOSDEM

Plus de 40 développeurs, membres actifs et utilisateurs avancés ont confirmé leur présence au FOSDEM 2005 les 26 et 27 février à l'Université Libre de Bruxelles. L'auberge de jeunesse locale a littéralement été prise d'assaut par les participants de la « DevRoom » organisée par Gentoo à l'occasion de la plus grande rencontre sur les logiciels libres d'Europe. Le programme est rempli de conférences de développeurs venant de toute l'Europe. La vie le Samedi soir à Bruxelles fera du programme des rencontres des développeurs Gentoo de Dimanche matin un véritable challenge.

Entrée libre à la conférence Gentoo UK

Grâce au sponsoring des Universités de Salford et du « London Internet Exchange », LINX, la conférence Gentoo UK, prévue pour le 12 Mars à Salford, université de Manchester, sera en entrée libre. Il est demandé aux participants de s'enregistrer mais l'accès sera gratuit, il reste des places.

Inscription aisée aux files RSS de Gentoo

Michael Kohl a rendu disponible un fichier OPML qui permet de s'inscrire automatiquement à trois files RSS de Gentoo d'un seul coup, c-à-d les nouvelles de Gentoo Linux telles que publiées sur le site de Gentoo, les Gentoo Linux Security Announcements (GLSAs) (NdT, Annonces de Sécurité Gentoo Linux), et le feed (NdT, alimentation) pour les paquets pour x86. Beaucoup de lecteurs de RSS supportent l'importation depuis un fichier OPML, rendant les inscriptions faciles à gérer.

2.  Zone Futur

La Kuro-Box « gentoo-ifiée »

La Kuro-Box est un petit serveur NAS (NdT, Network Attached Storage : stockage en réseau) PowerPC destiné aux hackers Linux, dont le nom seul est déjà un attrait : plus ambigu que sa simple traduction française « noir », le « kuro » dans Kuro-Box désigne autant sa couleur que son côté occulte. Basée sur le Freescale MPC8241 (un processeur 603e), elle existe en deux versions :

  • la plus ancienne, cadencée à 200MHz avec 64Mo de RAM, un contrôleur ethernet 100Mb et un seul port USB (environ 160$ sans disque dur) ;
  • la version HG, cadencée à 266MHz avec 128Mo de RAM, un contrôleur GigaBit ethernet et deux ports USB (environ 240$ sans disque dur).

Dérivée de la "LinkStation" de Buffalo Technology, c'est probablement la plate-forme de développement Linux/PPC la moins chère actuellement sur le marché.


Figure 2.1 : La Kuro-Box de Buffalo, un sens nouveau au stockage en réseau

Fig. 1: Kuro-Box

L'histoire de la Kuro-Box commence au Japon début 2004, quand une société partenaire de Buffalo, Kurouto Shikou, décide de vendre sur le marché des « power users » les derniers stocks d'un ancien modèle de LinkStation. La plus large et ancienne communauté de hackers de Kuro-Box est donc japonaise et la quantité de documentation sur leur wiki ou sur le blog de Yasunari Yamashita montre à quel point elle est active. Depuis quelques mois, la Kuro-Box est aussi distribuée aux États-Unis et en Europe par Revogear et une nouvelle communauté non-japonaise s'est formée autour d'un forum et d'un wiki, qui dispose aujourd'hui d'une grande quantité d'informations en anglais.

Dans ces deux communautés, plusieurs tentatives pour remplacer le firmware officiel par une distribution Linux plus générique ont vu le jour, dès lors que la Kuro-Box a été disponible il y a maintenant environ un an. Le firmware original est trop orienté vers l'utilisation en tant que pur NAS, limité au partage de fichiers et d'imprimantes. Au contraire, une distribution Linux complète ouvrirait la voie à des expérimentations plus faciles et révélerait le véritable potentiel de cette plate-forme. Des installations de Gentoo avaient d'ailleurs déjà été tentées : jmgdean avait déjà publié sa Gentoo Total Conversion alpha1, et du travail avait également été abattu au sein de la communauté japonaise. Cependant, toutes ces tentatives s'avéraient être des installations de Gentoo Linux par dessus le firmware original ; la chaîne de développement était toujours centrée sur gcc-2.95, de nombreux fichiers échappaient au contrôle de Portage et il y avait immanquablement un peu de code non-libre qui subsistait. Ma version beta1 , au contraire, est entièrement construite depuis du code source et ce exclusivement par Portage. Elle est composée de :

  • une image stage3 qui peut être installée directement sur un disque dur vierge et qui remplace complètement le firmware original ;
  • un « overlay » pour Portage, avec quelques paquets nouveaux ou modifiés ;
  • un « profile » Portage spécialement adapté, basé sur Gentoo PPC 2004.3 
  • de nombreux paquets précompilés additionnels qui devraient couvrir les besoins les plus courant pour ce type de système.

La procédure d'installation est très similaire à celle des systèmes Gentoo habituels, si ce n'est qu'elle commence avec la Kuro-Box en mode « EM », celui dans lequel elle démarre quand elle ne dispose pas encore d'un système sur le disque dur. C'est un environnement très minimaliste, mais qui est accessible à la fois par telnet et ftp. De là, vous pouvez préparez votre disque dur, « chrooter » et installer l'image stage3. Vous passez alors la Kuro-Box en mode « Normal » et avec un peu de chance elle redémarrera sur une Gentoo toute fraîche, accessible par SSH. Des instructions détaillées sont disponibles sur le wiki.

Limitations connues et perspectives

La seule chose à n'être pas facilement modifiable est le contenu de la FlashROM, c'est à dire le système du mode EM et le noyau Linux. Le format en est bien connu et documenté (au moins en japonais), mais, contrairement à ce qui existe sur nombre d'autres périphériques basés sur Linux, il n'y a absolument aucun garde-fou quand on y touche ; une erreur lors du flash, ou bien un noyau mal configuré, et vous la tuerez pour de bon. En conséquence, la plupart des utilisateurs sont toujours coincés avec le noyau d'origine, qui est pourtant loin d'être parfait. Il y a actuellement deux directions d'explorées pour circonvenir à cette limitation :

  • Installer un véritable « bootloader » dans la FlashROM : U-Boot est probablement le meilleurs choix, mais les travaux autour de son utilisation sont à un stade encore trop précoce pour donner une estimation quant à sa future disponibilité ;
  • Remplacer dynamiquement le noyau en cours d'exécution : ceci a été rendu possible par le chargement d'un simple module, grâce au travail de jochang. L'intégration de ce chargement de noyau au processus de boot sera le principal objectif de la Gentoo beta2 (avec tous ses pré-requis, comme la création de paquets pour des sources de noyaux « kuro-ifiés », etc.).

Les autres axes de développement incluent, entres autres :

  • une amélioration du système de distribution, avec en particulier l'utilisation de rsync pour l'overlay et le profile, en remplacement de l'archive tar ;
  • pour répondre à une demande récurrente, l'ajout de meta-paquets couvrant des besoins courants comme « serveur mail » ou « serveur pour environnement MacOSX ». Ou bien peut-être que la solution retenue sera de publier des sortes de « stage4 » spécifiques, à voir ;
  • diverses améliorations mineures ci et là, comme un meilleur support des LEDs de diagnostic, peut-être plus de modules noyau précompilés, etc. ;
  • peut-être une procédure d'installation (semi-)automatique (depuis un LiveCD ?) : il se trouve que pour certains utilisateurs, l'installation de Gentoo par telnet sur une Kuro-Box fait office de premier contact avec Linux et il semblerait que ce soit pour certains un peu trop de difficultés à la fois...

Note : L'auteur, Thomas de Grenier de Latour (TGL), est un des modérateurs des Forums Gentoo, responsable de la section francophone. Il amènera une Kuro-Box au FOSDEM le week-end prochain à Bruxelles, donc si vous voulez en savoir plus sur cette petite boite ou bien la voir en action, assurez vous de passer par la DevRoom Gentoo.

3.  Sécurité Gentoo

PowerDNS : déni de service

Une vulnérabilité dans PowerDNS pourrait entraîner un déni de service temporaire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

ht://Dig: vulnérabilité de type « Cross-site scripting »

ht://Dig est vulnérable à des attaques de type « cross-site scripting ».

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Opera : nombreuses vulnerabilités

Opera est sujet à plusieurs vulnérabilités qui pourraient entraîner de la divulgation d'information et faciliter l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

VMware Workstation : chemin de recherche des bibliothèques non fiable

VMware peut charger des bibliothèques depuis un répertoire non fiable, autorisé en écriture à tous, ce qui peut entraîner l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

PostgreSQL : débordements de tampon dans l'interpréteur PL/PgSQL

PostgreSQL est vulnérable à plusieurs débordement de tampon dans l'interpréteur PL/PgSQL, ce qui entraîne potentiellement l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Emacs, XEmacs : vulnérabilités du formatage des chaînes dans movemail

L'utilitaire movemail distribué avec Emacs et XEmacs contient plusieurs vulnérabilités de formatage de chaînes, ce qui pourrait entraîner l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

lighttpd : divulgation du source des scripts

Un assaillant peut amener lighttpd à révéler le source des scripts qui devraient s'exécuter en tant qu'applications CGI ou FastCGI.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

wpa_supplicant : débordement de tampon

wpa_supplicant est sujet à un débordement de tampon qui pourraient entraîner un déni de service.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

KStars : débordement de tampon dans fliccd

KStars est vulnérable à un débordement de tampon qui pourrait entraîner l'exécution de code arbitraire avec privilèges élevés.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Midnight Commander : plusieurs vulnerabilités

Midnight Commander contient plusieurs erreurs de formatage de chaînes, des débordement de tampon et un débordement de tampon permettant l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Squid : déni de service par réponses DNS

Squid contient un bogue dans le traitement des réponses DNS qui permet un déni de service.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

GProFTPD : ulnérabilité dans le formatage des chaînes de gprostats

gprostats, distribué avec GProFTPD, contient une vulnérabilité de type formatage de chaîne qui pourrait entraîner l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

gFTP : sortie d'une arborescence

gFTP est vulnérable à des attaques de type « sortie d'arborescence » qui pourrait potentiellement permettre la création ou l'écrasement de fichiers arbitraires.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

4.  Entendu dans la communauté

gentoo-dev

Utilisation de Gentoo dans les émulateurs

Après un échec d'installation de gentoo dans MS VirtualPC, un utilisateur demande quel sont les autres expériences avec une gentoo dans un environnement émulé. Lisez ceci pour une belle collection d'expériences d'utilisateur (spécifiques à win32).

Amélioration des performances de Portage

Un utilisateur a trouvé un goulet d'étranglement dans portage qui, enlevé, semble réduire le temps de démarrage de près de 50 %. Bien que cela puisse être un exemple extrême, cela montre encore que les performances de portage sont loin d'être optimales.

GLEP33: Restructuration des Eclass

Après la large guerre menée la dernière fois que quelqu'un avait essayé de changer le chemin des eclass qui sont utilisés et répertoriés, John Mylchreest et Brian Harring proposent une nouvelle et calme proposition raisonnable. Elle peux être trouvée sur http://glep.gentoo.org/glep-0033.html

Les paquets d'utilisations contre ceux de développement

Stuart Herbert propose de penser à une séparation des ebuilds : « Cette année, RedHat a séparé beaucoup de leur paquet en deux parties. Une partie contenant que les paquets nécessaire à l'utilisation, et les autres paquets « devel » contenant les fichiers d'entêtes, etc., qui sont seulement nécessaires pour compiler un programme. Une chose intéressante à faire avec un serveur est de l'installer sans compilateurs. Moins il y en aura, moins il y aura de maintenance, de mises à jour, de réutilisation par les « blacks hats » (NdT, hackers mals intentionnés), etc, etc . » Mais, il semblerait qu'il y ait déjà de bonnes raison sde faire les choses comme à la façon « Gentoo ». Poursuivez ci-dessous avec une discussion présentant les « pour » et les « contre » des deux approches.

5.  Gentoo dans la presse

Security Focus (14 Février 2005)

Après avoir été cité dans un article de Security Focus la semaine passée, Thierry Carrez qui est développeur Gentoo et manager opérationnel pour l'équipe Gentoo Linux Security a eu sa propre colonne Lundi dernier : « More advisories, more security ». Il y est question des relations entre les activités des branches sécurité des distributions Linux et la sûreté globale pour les utilisateurs ; Thierry y explique que « les alertes de sécurité de la part d'éditeurs ou de mainteneurs ne devraient pas être perçues comme des mauvaises nouvelles. Il y a toujours des vulnérabilités dans un logiciel et quand un avertissement est publié, cela signifie que la faille a été identifiée et corrigée. Cela signifie aussi que les « gentils » ont fait leurs devoirs et que cela laisse une faille de moins aux « méchants » pour vous causer du tort ».

Linux Times (14 et 18 Février 2005)

La semaine dernière, le magazine en ligne australien « Linux Times » présentait un compte rendu d'installation sous le titre « Une semaine avec Gentoo Linux ». L'article décrit en détail l'installation de Gentoo Linux sur un matériel plutôt vieux et essaye de casser l'image de Gentoo comme étant difficilement accessible, en témoigne l'auteur Imre Kálomista, étudiant à l'université de Vienne : « S'il y avait une liste des plus forts préjugés sur GNU/Linux, "Gentoo est difficile à installer" serait classé parmi les premiers. Je vais vous livrer un secret : Gentoo est facile à installer ». Comme si cela ne suffisait pas, Gentoo est encore à l'affiche de Linux Times quatre jours plus tard dans un article sur Vidalinux v1.1, comparé à un système Gentoo normal. L'article conclue que le clone Portoricain binaire de Gentoo manque étrangement de support en paquets binaires, mais mentionne l'adhésion nécessaire à un club pour accéder aux paquets précompilés.

Cuddletech blog (12 Février 2005)

Dans son blog sur les nouvelles fonctionnalités de la gestion de la transparence, Ben Rockwood a traité de l'utilisation de Composite avec Xorg 6.8.2. Un nota mentionne d ailleurs la facilité d'installation dans son environnement Gentoo : « Grâce à Gentoo, j'ai simplement désinstallé XFree86 (via unmerge) et installé Xorg 6.8.2 ».

6.  Bugzilla

Résumé

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 13 février 2005 et le 20 février 2005, l'activité sur le site se résume à :

  • 813 nouveaux bugs,
  • 447 bugs fermés ou résolus,
  • 20 bugs rouverts (précédemment fermés).

Parmi les 8040 bugs actuellement ouverts, 101 sont marqués 'bloquant', 240 sont marqués 'critique' et 596 sont marqués 'majeur'.

Classement des bugs fermés

Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :

Classement des nouveaux bugs

Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :

7.  Départs, arrivées et changements

Départs

Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :

  • Aucun cette semaine

Arrivées

Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :

  • David Gümbel (ganymede) - wine

Changements

Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo Linux :

  • Aucun cette semaine

8.  Contribuez à la GWN

Vous souhaitez contribuer à la GWN ? Envoyez-nous un courriel.

9.  Commentaires

Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.

10.  S'abonner à la GWN

Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.

Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.

11.  Autres langues

La GWN est aussi disponible dans les langues suivantes :



Imprimer

Dernière mise à jour le 21 février 2005

Résumé : Ceci est la Gentoo Weekly Newsletter pour la semaine du 21 février 2005.

Ulrich Plate
Éditeur

Andrew Fant
Collaborateur

Thomas de Grenier de Latour
Collaborateur

Patrick Lauer
Collaborateur

Cyril Mougel
Traducteur

Thomas de Grenier de Latour
Traducteur

Lionel Bouton
Traducteur

François Soulier
Traducteur

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.