Figure 1.1 : Projet Dolphin - LiveCD pour missions de sauvetage
Projet Dolphin : CD de secours expérimental
Benjamin Judas a annoncé vendredi dernier que l'équipe d'ingénierie des dernières versions a créé un sous-projet expérimental intitulé « Project Dolphin » dans le but de fournir une version du LiveCD spécialisée dans la récupération de systèmes. Dans la même veine que le projet privé français SysRescueCD qui se base également sur le LiveCD Gentoo, le projet Dolphin vise à procurer tous les outils nécessaires à la récupération de systèmes endommagés, de disques durs sur le point de tomber en panne ou tout autre sytème ayant besoin de secours.
Figure 1.1 : Projet Dolphin - LiveCD pour missions de sauvetage |
|
Les points forts du CD incluent zsh, samba, bacula, mc, dar, mutt, xfsdump, ide-smart, netcat, nmap, chrootkit, partimage, ncftp, centericq, bind-tools, alsa-utils, mpg321. Une image ISO de test préliminaire, ne demandant qu'à être testée, a été mise à disposition dans la section « experimental » des miroirs Gentoo, dans le répertoire /experimental/x86/livecd/x86. Les utilisateurs sont fortement encouragés à soumettre leurs commentaires dans le meta-bug récemment présenté, soit pour signaler des problèmes, soit pour demander l'ajout de fonctionnalités. Merci à tous pour votre support !
Ajouts de listes de diffusion internationales Gentoo
Deux nouvelles listes de diffusion sont apparues la semaine dernière : la version néerlandaise de la Gentoo Weekly Newsletter est désormais distribuée en version texte par e-mail, sur gentoo-gwn-nl@gentoo.org, peu de temps après avoir été traduite de l'originale anglaise. Comme toutes les autres listes de diffusion de nouvelles, elle est en lecture seule. Les lecteurs de la GWN parlant le néerlandais et le flamand peuvent s'inscrire à la nouvelle liste en envoyant un e-mail à gentoo-gwn-nl-subscribe@gentoo.org et en suivant les instructions du message de confirmation qu'ils recevront.
Une liste de support et de discussion a été mise en place pour tous les utilisateurs Gentoo russes, comme l'a annoncé Konstantin V. Arkhipov la semaine dernière. gentoo-user-ru@gentoo.org est accessible en envoyant un message vide à gentoo-user-ru-subscribe@gentoo.org. Une liste complète de toutes les listes Gentoo officielles, à la fois anglaises et autres, est disponible avec les instructions d'utilisation sur la page des listes de diffusion.
« Gentoo is Zen applied to software » -- Patrick Lauer (bonsaikitten)
Note : NdT, Gentoo, c'est l'esprit Zen appliqué au logiciel. |
Figure 2.1 : Patrick Lauer aka Bonsaikitten |
 |
Le développeur de cette semaine est bonsaikitten, Patrick Lauer dans la vie de tous les jours. Il n'a aucune allégiance à quelque faction de la horde des développeurs Gentoo, mais aime au contraire travailler sur un peu tous les sujets. Depuis fin 2004, il est également un contributeur régulier de la GWN. Plus précisément, les résumés de la liste gentoo-dev et ce chapitre, le « dev-of-the-week », sont habituellement de son fait.
Patrick exploite le serveur gentooexperimental.org, mettant à disposition des ressources pour des idées bizarres ou incomplètes, incluant, entre autres, tinderbox, le « script repository » et les candidats au remplacement de (web-)rsync. Planet Gentoo a d'abord été hébergé sur le serveur de Patrick avant d'être déplacé sur du matériel officiel exploité par l'équipe infrastructure de Gentoo.
Pendant la journée, il est étudiant en informatique à la « RWTH Aachen » en Allemagne où il a débuté sa thèse sur les « réseaux anonymes », ce qui lui laisse très peu de temps pour le reste. Néanmoins, après quatre ans et demi à l'université, il se sent près à aller de l'avant. Son environnement informatique est une pièce remplie de vieilleries, un quadri-Xeon, deux Athlons et (grâce à la faculté d'informatique de son université) un cluster de 16 processeurs.
Il utilise blackbox, firefox, licq, de temps en temps konqueror et -- à cause d'un verrouillage d'un éditeur -- evolution, qui semble devenir de moins en moins utile à chaque nouvelle version, « comme tous gnomes et trolls », selon Patrick. Il aime travailler en Python, mais d'autres langages ne lui posent pas de problème non plus - « sauf s'ils s'appellent Java et nécessitent de longues incantations pour chaque instruction ». Lorsque le temps le permet, on peut le retrouver en randonnées à vélo dans les bois et terrains autour d'Aachen. Il apprécie également la bonne chère, la bonne bière (belge) et la présence de femmes, de préférence très intelligentes et sexy (bien que ce dernier point n'arrive pas aussi souvent qu'il le désire). Sa devise est empruntée à Alfred Lord Tennyson : « It is better to have loved and lost than never to have loved at all ». NdT, « Il vaut mieux avoir aimé et perdu que de ne jamais avoir aimé ».
Quelques nouveaux ebuilds xorg
Pour tous ceux qui ont désespérement besoin des toutes dernières nouveautés, Donnie Berkholz a déposé quelques nouveaux ebuilds xorg dans portage. Les rapports de bugs sont bienvenus. En particulier les instantanés de la 6.8.99.* devraient être intéressants à essayer - mais soyez prévenus, ils peuvent se casser...
Renommage de catégorie
Comme il y a beaucoup de proxies (et pas uniquement des proxies http), la catégorie www-proxy pourrait être renommée net-proxy. Tous les proxies SOCKS, www, ftp, etc. seraient ainsi faciles à retrouver dans cette nouvelle catégorie.
Gentoo comme plate-forme de développement
Daniel Drake a démarré une discussion sur la façon d'utiliser Gentoo comme plate-forme de développement lorsqu'il est nécessaire de récupérer régulièrement des corrections depuis CVS. Comment maintenir le tout sous le contrôle de portage en étant en même temps à même de corriger les problèmes ? Portage supporte-t-il les ebuilds CVS de manière saine ? Lisez pour en apprendre plus.
Problèmes Apache
Comme certains s'en sont probablement rendus compte, l'équipe Apache Gentoo a appliqué des changements importants aux toutes dernières versions d'Apache. Cela est dû à des raisons variées, incluant (entre autres) une maintenance facilitée. Cela a causé de nombreux problèmes, car il n'y a pas de migration aisée et la plupart des utilisateurs ne désirent pas jeter leur configuration Apache et recommencer depuis zéro. C'est pour cela que ces nouvelles versions sont masquées jusqu'à ce que la situation soit résolue.
Suisse : Pentoo - LiveCD de détection d'intusion basé sur Gentoo
« Pentoo » est un acronyme pour « PENetration on genTOO » (NdT, pénétration sur Gentoo). Cette version est basée sur un noyau 2.6.10, elle utilise l'environnement Gnome et a pour but de fournir une plate-forme complète pour la détection d'intrusion, les tests de pénétration et la sécurité en général. Le contenu du LiveCD peut être mis à jour afin de maintenir les bases de signatures et de vulnérabilités pour les outils qui ont besoin d'être régulièrement mis à jour comme les plugins de Nessus ou les fichiers de signature, metasploits, etc. L'utilisateur peut éventuellement stocker les données persistantes sur une clef USB. L'auteur de Pentoo, Michael Zanetta, souligne que la distribution « doit être considérée comme une beta car je n'ai pas assez de temps pour la tester soigneusement » ; les commentaires et le retour d'expérience sont donc vraiment bienvenus sur bugs@pentoo.ch. Une roadmap du projet est aussi disponible.
Figure 4.1 : Tests de pénétrations basés sur Gentoo : la suisse 'Pentoo' |
 |
Somos libres (25 avril 2005, en Espagne) (NdT, Nous sommes libres)
L'édition de ce jour du site péruvien « Free and Open Software User Group » (NdT, groupe d'utilisateurs des logiciels libres et ouverts) à Somos Libres relate une interview de Daniel Oliveira, une des têtes du projet Ututo développé à l'université de Buenos Aires en Argentine. Oliveira qui représente une équipe de 37 développeurs travaillant d'arrache-pied pour rendre Ututo accessible non seulement à monsieur tout-le-monde, mais aussi aux services municipaux et aux PME en Argentine, y explique l'historique et le statut courant du projet.
6. Départs, arrivées et changements
Les développeurs suivants ont quitté l'équipe de développement de Gentoo Linux :
Les développeurs suivants se sont joints récemment à l'équipe de Gentoo Linux :
Les développeurs suivants ont changé de rôle au sein du projet Gentoo Linux :
phpMyAdmin : vulnérabilité de type cross-site scripting
phpMyAdmin est vulnérable à une attaque XSS.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Axel : vulnérabilité dans la gestion de la redirection HTTP
Un débordement de tampon a été découvert dans Axel. Il pourrait permettre l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Gld : exécution de code arbitraire à distance
Gld contient de nombreuse vulnérabilités sérieuses permettant potentiellement d'exécuter un code arbitraire en tant que root.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
JunkBuster : plusieurs vulnérabilités
JunkBuster est vulnérable à une corruption de tas et peut permettre à un assaillant de modifier le paramètrage dans certaines configurations.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
rsnapshot : usurpation de privilège locale
rsnapshot permet à un utilisateur local de prendre possession de fichiers locaux permettant ainsi d'outrepasser ses droits.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
OpenOffice.Org : débordement de tas dans les documents DOC
OpenOffice.Org est vulnérable à un débordement de tas lorsqu'il traite des documents DOC, ce qui pourrait permettre l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
monkeyd : plusieurs vulnérabilités
Des vulnérabilités de type formatage de chaînes et déni de service ont été découvertes dans le serveur HTTP monkeyd, pouvant permettre l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
PHP : plusieurs vulnérabilités
Plusiers vulnérabilités ont été découvertes et corrigées dans les fonctions de gestion d'images de PHP, pouvant donner lieu à des dénis de service ou l'exécution d'un code arbitraire à distance.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
CVS : plusieurs vulnérabilités
Plusieurs vulnérabilités importantes ont été découvertes dans CVS qui pourraient permettre à un assaillant de compromettre le serveur CVS à distance ou un déni de service.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Plusieurs vulnérabilités ont été découvertes dans XV entraînant potentiellement l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Mozilla Firefox, Mozilla Suite : plusieurs vulnérabilités
Les nouvelles versions de Mozilla Firefox et de Mozilla Suite corrigent de nouvelles vulnérabilités, incluant la divulgation de contenu mémoire et des façons diverses d'exécuter du code Javascript outrepassant les droits d'accès.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
MPlayer : deux débordements de tas
Deux vulnérabilités ont été découvertes dans MPlayer, pouvant entraîner l'exécution d'un code arbitraire à distance.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
openMosixview : création de fichier temporaire non sécurisée
openMosixview et le « daemon » openMosixcollector sont vulnérables à une attaque de type symlink, permettant potentiellement à un utilisateur local d'écraser des fichiers arbitraires.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
RealPlayer, Helix Player : débordement de tampon
RealPlayer et Helix Player sont vulnérables à un débordement de tampon qui pourrait permettre l'exécution de code arbitraire à distance.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
KDE kimgio : débordement de tampon dans la gestion des PCX
KDE ne valide pas correctement les entrées dans sa gestion des images PCX, ce qui pourrait entraîner l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Kommander : exécution non sécurisée d'un script distant
Kommander exécute les scripts distants sans confirmation, permettant ainsi l'exécution d'un code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 17 avril 2005 et le 24 avril 2005, l'activité sur le site se résume à :
Parmi les 8497 bugs actuellement ouverts, 89 sont marqués 'bloquant', 231 sont marqués 'critique' et 628 sont marqués 'majeur'.
Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :
Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :
Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires et aidez à faire une meilleure GWN.
Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-subscribe@gentoo.org.
Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn-unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.
La Gentoo Weekly Newsletter est aussi disponible dans les langues suivantes :