Gentoo Logo

Gentoo Weekly Newsletter : 25 avril 2005

Table des matières :

1.  Nouvelles de Gentoo

Projet Dolphin : CD de secours expérimental

Benjamin Judas a annoncé vendredi dernier que l'équipe d'ingénierie des dernières versions a créé un sous-projet expérimental intitulé « Project Dolphin » dans le but de fournir une version du LiveCD spécialisée dans la récupération de systèmes. Dans la même veine que le projet privé français SysRescueCD qui se base également sur le LiveCD Gentoo, le projet Dolphin vise à procurer tous les outils nécessaires à la récupération de systèmes endommagés, de disques durs sur le point de tomber en panne ou tout autre sytème ayant besoin de secours.


Figure 1.1 : Projet Dolphin - LiveCD pour missions de sauvetage

Fig. 1: RescueCD

Les points forts du CD incluent zsh, samba, bacula, mc, dar, mutt, xfsdump, ide-smart, netcat, nmap, chrootkit, partimage, ncftp, centericq, bind-tools, alsa-utils, mpg321. Une image ISO de test préliminaire, ne demandant qu'à être testée, a été mise à disposition dans la section « experimental » des miroirs Gentoo, dans le répertoire /experimental/x86/livecd/x86. Les utilisateurs sont fortement encouragés à soumettre leurs commentaires dans le meta-bug récemment présenté, soit pour signaler des problèmes, soit pour demander l'ajout de fonctionnalités. Merci à tous pour votre support !

Ajouts de listes de diffusion internationales Gentoo

Deux nouvelles listes de diffusion sont apparues la semaine dernière : la version néerlandaise de la Gentoo Weekly Newsletter est désormais distribuée en version texte par e-mail, sur gentoo-gwn-nl@gentoo.org, peu de temps après avoir été traduite de l'originale anglaise. Comme toutes les autres listes de diffusion de nouvelles, elle est en lecture seule. Les lecteurs de la GWN parlant le néerlandais et le flamand peuvent s'inscrire à la nouvelle liste en envoyant un e-mail à gentoo-gwn-nl-subscribe@gentoo.org et en suivant les instructions du message de confirmation qu'ils recevront.

Une liste de support et de discussion a été mise en place pour tous les utilisateurs Gentoo russes, comme l'a annoncé Konstantin V. Arkhipov la semaine dernière. gentoo-user-ru@gentoo.org est accessible en envoyant un message vide à gentoo-user-ru-subscribe@gentoo.org. Une liste complète de toutes les listes Gentoo officielles, à la fois anglaises et autres, est disponible avec les instructions d'utilisation sur la page des listes de diffusion.

2.  Développeur de la semaine

« Gentoo is Zen applied to software » -- Patrick Lauer (bonsaikitten)

Note : NdT, Gentoo, c'est l'esprit Zen appliqué au logiciel.


Figure 2.1 : Patrick Lauer aka Bonsaikitten

Fig. 1: bonsaikitten

Le développeur de cette semaine est bonsaikitten, Patrick Lauer dans la vie de tous les jours. Il n'a aucune allégiance à quelque faction de la horde des développeurs Gentoo, mais aime au contraire travailler sur un peu tous les sujets. Depuis fin 2004, il est également un contributeur régulier de la GWN. Plus précisément, les résumés de la liste gentoo-dev et ce chapitre, le « dev-of-the-week », sont habituellement de son fait.

Patrick exploite le serveur gentooexperimental.org, mettant à disposition des ressources pour des idées bizarres ou incomplètes, incluant, entre autres, tinderbox, le « script repository » et les candidats au remplacement de (web-)rsync. Planet Gentoo a d'abord été hébergé sur le serveur de Patrick avant d'être déplacé sur du matériel officiel exploité par l'équipe infrastructure de Gentoo.

Pendant la journée, il est étudiant en informatique à la « RWTH Aachen » en Allemagne où il a débuté sa thèse sur les « réseaux anonymes », ce qui lui laisse très peu de temps pour le reste. Néanmoins, après quatre ans et demi à l'université, il se sent près à aller de l'avant. Son environnement informatique est une pièce remplie de vieilleries, un quadri-Xeon, deux Athlons et (grâce à la faculté d'informatique de son université) un cluster de 16 processeurs.

Il utilise blackbox, firefox, licq, de temps en temps konqueror et -- à cause d'un verrouillage d'un éditeur -- evolution, qui semble devenir de moins en moins utile à chaque nouvelle version, « comme tous gnomes et trolls », selon Patrick. Il aime travailler en Python, mais d'autres langages ne lui posent pas de problème non plus - « sauf s'ils s'appellent Java et nécessitent de longues incantations pour chaque instruction ». Lorsque le temps le permet, on peut le retrouver en randonnées à vélo dans les bois et terrains autour d'Aachen. Il apprécie également la bonne chère, la bonne bière (belge) et la présence de femmes, de préférence très intelligentes et sexy (bien que ce dernier point n'arrive pas aussi souvent qu'il le désire). Sa devise est empruntée à Alfred Lord Tennyson : « It is better to have loved and lost than never to have loved at all ». NdT, « Il vaut mieux avoir aimé et perdu que de ne jamais avoir aimé ».

3.  Entendu dans la communauté

gentoo-dev

Quelques nouveaux ebuilds xorg

Pour tous ceux qui ont désespérement besoin des toutes dernières nouveautés, Donnie Berkholz a déposé quelques nouveaux ebuilds xorg dans portage. Les rapports de bugs sont bienvenus. En particulier les instantanés de la 6.8.99.* devraient être intéressants à essayer - mais soyez prévenus, ils peuvent se casser...

Renommage de catégorie

Comme il y a beaucoup de proxies (et pas uniquement des proxies http), la catégorie www-proxy pourrait être renommée net-proxy. Tous les proxies SOCKS, www, ftp, etc. seraient ainsi faciles à retrouver dans cette nouvelle catégorie.

Gentoo comme plate-forme de développement

Daniel Drake a démarré une discussion sur la façon d'utiliser Gentoo comme plate-forme de développement lorsqu'il est nécessaire de récupérer régulièrement des corrections depuis CVS. Comment maintenir le tout sous le contrôle de portage en étant en même temps à même de corriger les problèmes ? Portage supporte-t-il les ebuilds CVS de manière saine ? Lisez pour en apprendre plus.

Problèmes Apache

Comme certains s'en sont probablement rendus compte, l'équipe Apache Gentoo a appliqué des changements importants aux toutes dernières versions d'Apache. Cela est dû à des raisons variées, incluant (entre autres) une maintenance facilitée. Cela a causé de nombreux problèmes, car il n'y a pas de migration aisée et la plupart des utilisateurs ne désirent pas jeter leur configuration Apache et recommencer depuis zéro. C'est pour cela que ces nouvelles versions sont masquées jusqu'à ce que la situation soit résolue.

4.  Gentoo International

Suisse : Pentoo - LiveCD de détection d'intusion basé sur Gentoo

« Pentoo » est un acronyme pour « PENetration on genTOO » (NdT, pénétration sur Gentoo). Cette version est basée sur un noyau 2.6.10, elle utilise l'environnement Gnome et a pour but de fournir une plate-forme complète pour la détection d'intrusion, les tests de pénétration et la sécurité en général. Le contenu du LiveCD peut être mis à jour afin de maintenir les bases de signatures et de vulnérabilités pour les outils qui ont besoin d'être régulièrement mis à jour comme les plugins de Nessus ou les fichiers de signature, metasploits, etc. L'utilisateur peut éventuellement stocker les données persistantes sur une clef USB. L'auteur de Pentoo, Michael Zanetta, souligne que la distribution « doit être considérée comme une beta car je n'ai pas assez de temps pour la tester soigneusement » ; les commentaires et le retour d'expérience sont donc vraiment bienvenus sur bugs@pentoo.ch. Une roadmap du projet est aussi disponible.


Figure 4.1 : Tests de pénétrations basés sur Gentoo : la suisse 'Pentoo'

Fig. 1: Pentoo

5.  Gentoo dans la presse

Somos libres (25 avril 2005, en Espagne) (NdT, Nous sommes libres)

L'édition de ce jour du site péruvien « Free and Open Software User Group » (NdT, groupe d'utilisateurs des logiciels libres et ouverts) à Somos Libres relate une interview de Daniel Oliveira, une des têtes du projet Ututo développé à l'université de Buenos Aires en Argentine. Oliveira qui représente une équipe de 37 développeurs travaillant d'arrache-pied pour rendre Ututo accessible non seulement à monsieur tout-le-monde, mais aussi aux services municipaux et aux PME en Argentine, y explique l'historique et le statut courant du projet.

6.  Départs, arrivées et changements

Départs

Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :

  • Aucun cette semaine

Arrivées

Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :

  • Herbie Hopkins (Herbs) - AMD64

Changements

Les développeurs suivants ont changé de rôle au sein du projet Gentoo Linux :

  • Aucun cette semaine

7.  Sécurité Gentoo

phpMyAdmin : vulnérabilité de type cross-site scripting

phpMyAdmin est vulnérable à une attaque XSS.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Axel : vulnérabilité dans la gestion de la redirection HTTP

Un débordement de tampon a été découvert dans Axel. Il pourrait permettre l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Gld : exécution de code arbitraire à distance

Gld contient de nombreuse vulnérabilités sérieuses permettant potentiellement d'exécuter un code arbitraire en tant que root.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

JunkBuster : plusieurs vulnérabilités

JunkBuster est vulnérable à une corruption de tas et peut permettre à un assaillant de modifier le paramètrage dans certaines configurations.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

rsnapshot : usurpation de privilège locale

rsnapshot permet à un utilisateur local de prendre possession de fichiers locaux permettant ainsi d'outrepasser ses droits.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

OpenOffice.Org : débordement de tas dans les documents DOC

OpenOffice.Org est vulnérable à un débordement de tas lorsqu'il traite des documents DOC, ce qui pourrait permettre l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

monkeyd : plusieurs vulnérabilités

Des vulnérabilités de type formatage de chaînes et déni de service ont été découvertes dans le serveur HTTP monkeyd, pouvant permettre l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

PHP : plusieurs vulnérabilités

Plusiers vulnérabilités ont été découvertes et corrigées dans les fonctions de gestion d'images de PHP, pouvant donner lieu à des dénis de service ou l'exécution d'un code arbitraire à distance.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

CVS : plusieurs vulnérabilités

Plusieurs vulnérabilités importantes ont été découvertes dans CVS qui pourraient permettre à un assaillant de compromettre le serveur CVS à distance ou un déni de service.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

XV : plusieurs vulnérabilités

Plusieurs vulnérabilités ont été découvertes dans XV entraînant potentiellement l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Mozilla Firefox, Mozilla Suite : plusieurs vulnérabilités

Les nouvelles versions de Mozilla Firefox et de Mozilla Suite corrigent de nouvelles vulnérabilités, incluant la divulgation de contenu mémoire et des façons diverses d'exécuter du code Javascript outrepassant les droits d'accès.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

MPlayer : deux débordements de tas

Deux vulnérabilités ont été découvertes dans MPlayer, pouvant entraîner l'exécution d'un code arbitraire à distance.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

openMosixview : création de fichier temporaire non sécurisée

openMosixview et le « daemon » openMosixcollector sont vulnérables à une attaque de type symlink, permettant potentiellement à un utilisateur local d'écraser des fichiers arbitraires.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

RealPlayer, Helix Player : débordement de tampon

RealPlayer et Helix Player sont vulnérables à un débordement de tampon qui pourrait permettre l'exécution de code arbitraire à distance.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

KDE kimgio : débordement de tampon dans la gestion des PCX

KDE ne valide pas correctement les entrées dans sa gestion des images PCX, ce qui pourrait entraîner l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Kommander : exécution non sécurisée d'un script distant

Kommander exécute les scripts distants sans confirmation, permettant ainsi l'exécution d'un code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

8.  Bugzilla

Résumé

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 17 avril 2005 et le 24 avril 2005, l'activité sur le site se résume à :

  • 817 nouveaux bugs,
  • 493 bugs fermés ou résolus,
  • 14 bugs rouverts (précédemment fermés).

Parmi les 8497 bugs actuellement ouverts, 89 sont marqués 'bloquant', 231 sont marqués 'critique' et 628 sont marqués 'majeur'.

Classement des bugs fermés

Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :

Classement des nouveaux bugs

Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :

9.  Commentaires

Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires et aidez à faire une meilleure GWN.

10.  S'abonner à la GWN

Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.

Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.

11.  Autres langues

La Gentoo Weekly Newsletter est aussi disponible dans les langues suivantes :



Imprimer

Dernière mise à jour le 25 avril 2005

Résumé : Ceci est la Gentoo Weekly Newsletter pour la semaine du 25 avril 2005.

Ulrich Plate
Éditeur

Patrick Lauer
Collaborateur

Lionel Bouton
Traducteur

François Souliers
Traducteur

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.