Gentoo Logo

Gentoo Weekly Newsletter: 9 janvier 2006

Table des matières :

1.  Nouvelles de Gentoo

Le FOSDEM arrive : l'événement principal de Gentoo en Europe

Trente développeurs ont déjà confirmé leur présence le mois prochain au FOSDEM, la plus grande conférence open-source d'Europe et l'événement le plus important dans le calendrier européen Gentoo, qui sera tenu à Bruxelles. L'année dernière aura vu la première réservation d'une « salle des développeurs » pour Gentoo, une journée entière et une salle de conférence entièrement consacrée à l'utilisation et au développement de Gentoo, avec une réunion exclusive des développeurs Gentoo systèmes embarqués d'où sont issus les changements dans la métastructure implémentés au cours de l'année dernière. Le FOSDEM 2006 s'ouvrira à nouveau au cours du dernier week-end de février, les samedi 25 et dimanche 26, avec la salle consacrée à Gentoo prévue pour le dimanche, et un emploi du temps prévisionnel déjà en place. Si vous pensez assister au FOSDEM et avez besoin d'aide pour trouver où loger à Bruxelles, veuillez contacter Patrick Lauer qui s'occupe de la coordination de la présence de Gentoo au FOSDEM cette année. En particulier si vous voulez remplir une des dernières fenêtres de temps disponibles et faire une présentation pour Gentoo.

Traducteurs lituaniens recherchés

Une petite équipe autour de Ernestas Liubarskij a récemment entrepris la traduction de la documentation Gentoo en lituanien (code ISO : lt). Ils ont besoin de plus de collaborateurs pour les assister dans ce projet, donc si vous lisez l'anglais, écrivez en lituanien et aimeriez rejoindre l'équipe, veuillez contacter directement Ernestas.

2.  Développeur de la semaine

« Je suis un gars open-source avec un esprit ouvert » -- Andrea Barisani


Figure 2.1 : Andrea Barisani alias lcars

Fig. 1: lcars

Andrea Barisani nous salue de la belle ville italienne de Trieste. Bien qu'essayant toujours de terminer son diplôme de physique, il gère aussi une entreprise - InversePath - avec un autre développeur Gentoo, Rob Holland.

Au cours de sa première année à l'université, Andrea a découvert son intérêt pour l'administration système et la sécurité. À l'université, il a déployé l'un des premiers serveurs de production Gentoo recensé. Par ses rapports de bogue et correctifs, il est devenu de plus en plus impliqué dans le projet Gentoo. L'environnement Gentoo existe toujours à l'Université, ainsi que les serveurs rsync1.it.gentoo.org et lists.gentoo.org, tous les deux gérés par Andrea. Ses autres tâches sous Gentoo incluent l'installation LDAP, le travail sur l'infrastructure générale, la gestion des listes de diffusions et faire la liaison sécurité pour le projet Infrastructure. mlmmj (le logiciel de listes de diffusion) bénéficie des nombreux correctifs qu'Andrea a créés alors qu'il adaptait et corrigeait les bogues du paquet pour le faire fonctionner avec Gentoo. De plus, de nombreux paquets liés à LDAP, sendmail, ftester (outil de test de pare-feu) et tenshi (analyseur de journaux) sont parmi les paquets qu'il maintient.

Andrea a déployé Gentoo sur une large variété de systèmes dès que cela était approprié : pare-feu, clusters, serveurs génériques... Étrangement, la question « KDE ou Gnome ? » le laisse muet. Andrea est un aficionado du mode texte à la sauce ssh, screen, mutt, vim et subversion. Dans de rares occasions seulement, il lance X et ce uniquement pour firefox ou Openoffice. Il gère 50 stations de travail et six serveurs à l'université, parmi d'autres choses, ce qui fait bien plus que compenser le modeste parc de machines x86 dont il dispose chez lui.

Andrea n'est pas strictement limité à Linux, comme il dit, « le monde est grand et nous avons de bons logiciels pour de nombreux usages différents ». Bien que Linux ait en général le plus de fonctionnalités, il lui manque souvent la consistance des projets BSD, donc il utilise ce qui marche le mieux pour ce qu'il fait. « On peut voir les bénéfices d'un bazar plus contrôlé sous BSD, et on peut voir les bénéfices d'un gros bazar sous GNU/ce-que-vous-voulez/Linux », dit-il.

Certains d'entre vous se rappellent peut-être « la compromission de rsync » d'il y a quelques temps quand une faille dans le code de rsync avait été exploitée pour prendre le contrôle des serveurs. Andrea fut parmi les premiers à diagnostiquer complètement la faille. Cette faille a aussi montré la puissance du développement open-source : en 36 heures, le bogue était corrigé et une nouvelle version de rsync était publiée. Une interview au sujet de cet incident peut être trouvée dans le Harvard Business Review, une courte biographie d'Andrea ainsi que des infos plus personnelles sont disponibles sur le site web d'InversePath et la page des orateurs de la conférence PacSec à Yokohama à laquelle Andrea a participé l'année dernière.

3.  Entendu dans la communauté

gentoo-dev

Textrels dans la politique des paquets

Mark Loeser a lancé une discussion technique intéressante sur les textrels. Portage fait un avertissement au sujet des textrels, car ils peuvent conduire à des problèmes de performance et de sécurité. Une bonne explication sur le pourquoi et le comment de cela peut être trouvée dans ce fil de discussion

GLEP 42 (nouvelles) sixième reprise

La discussion au sujet de la création d'un rapport sur les nouveautés de Portage qui s'est déroulée lors des dernières semaines est engagée à nouveau dans l'espoir d'arriver à une solution viable.

Viabilité des autres systèmes de contrôle de version pour les gros dépôts de fichiers.

Bien que CVS soit mature et assez stable, il n'offre pas toutes les fonctionnalités disponibles dans les nouveaux systèmes de contrôle de version. Certaines personnes ont tenté l'expérience de la migration du dépôt gentoo-x86 (ce qui n'arrivera pas dans un futur proche à cause de problèmes logistiques et administratifs). Donnie Berkholz demande à ce que des expériences soient faites avec les solutions alternatives, particulièrement dans une optique de performance et de montée en charge.

gentoo-server

Mise à jour du projet de serveur Roadrunner

Ricardo Loureiro a écrit une suite à son document PDF initial mentionné dans l'édition du 12 décembre 2005 de la GWN. Ce nouveau document traite du plan initial de disposition de la base de données MySQL nécessaire au stockage des informations sur les paquets. Il entre dans les détails, comme les types de données, et affiche beaucoup de progrès dans le sens des objectifs du projet.

4.  Gentoo international

Italie : et encore un dérivé de Gentoo

Affirmant vous donner la possibilité d'installer Gentoo Linux sur votre ordinateur en quelques minutes, les DVD Linux RR4 et RR64 que vous pouvez vous procurer chez Fabio Erculiani diffèrent de Gentoo sur quelques points. Le plus important étant un noyau par défaut avec le Reiser4 activé, ce qui va certainement faire frissoner beaucoup de développeurs Gentoo qui ne veulent sûrement pas voir arriver vos rapports de bogues à ce sujet à proximité du bugzilla officiel de Gentoo. Le projet RR4/64 reste un effort remarquable, car c'est un système « live » complet, avec KDE et Gnome, qui se démarre directement depuis le DVD. La troisième version bêta 64bits est disponible depuis le 26 décembre, comme une espèce de cadeau de Noël en retard de la part de Fabio à ses compagnons italiens, tout comme aux autres utilisateurs internationaux, eux aussi invités à l'essayer.

5.  Gentoo dans la presse

Asteria (décembre 2005)

Jon Hood, un développeur qui travaille pour Asteria Solutions Group, Inc. a pris la version bêta du Gentoo Installer pour une session d'essai, et il semblerait qu'il soit assez satiѕfait du résultat, qu'il qualifie de « merveilleux pas dans le droit chemin pour Gentoo », et est particulièrement ravi car « les gens ne sont pas supposés pouvoir UTILISER des logiciels de test et que ceux-ci MARCHENT, mais c'est exactement ce qui est arrivé. » Sa revue inclut une petite présentation qui documente chaque étape de l'installation faite via l'interface d'installation, assez intéressant pour tous ceux qui ne l'ont jamais vu marcher.

6.  Départs, arrivées et changements

Départs

Les développeurs suivants ont récemment quitté le projet Gentoo :

  • Aucun cette semaine

Arrivées

Les développeurs suivants se sont joints récemment au projet Gentoo :

  • Peter Volkov (pva) - netmon
  • Gunnar Wrobel (wrobel) - applications web

Changements

Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo :

  • Sven Vermeulen (swift) - démission du poste de chef de projet du Gentoo Documentation Project (GDP)
  • Xavier Neys (neysx) - reprise du rôle de chef de projet du GDP abandonné par swift

7.  Sécurité Gentoo

CenterICQ : multiples vulnérabilités

CenterICQ est vulnérable à un problème de Déni de Service et aussi potentiellement à l'exécution de code arbitraire à travers la bibliothèque ktools vulnérable incluse.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Mantis : multiples vulnérabilités

Mantis est sensible à plusieurs vulnérabilités allant de l'envoi de fichier et de l'injection SQL à des attaques de type « cross-site scripting » et « HTTP response splitting ».

Pour plus d'information, veuillez vous référer à l'annonce GLSA

Dropbear : gain de privilèges

Un dépassement de tampon dans Dropbear pourraient permettre aux utilisateurs authentifiés d'exécuter du code arbitraire en tant qu'utilisateur root.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

NBD Tools : dépassement de tampon dans le serveur NBD

Le serveur NBD est vulnérable à un dépassement de tampon qui pourrait avoir pour conséquence l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

rssh : gain de privilèges

Les utilisateurs locaux pourraient obtenir les droits root en faisant un chroot sur un répertoire arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

OpenMotif, bibliothèque X d'émulation x86 pour AMD64 : dépassement de tampon dans la bibliothèque libUil

On a découvert deux vulnérabilités par dépassement de tampon dans libUil, une partie de la boîte à outils OpenMotif, qui peut potentiellement mener à l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

scponly : multiples problèmes de gain de privilèges

Les utilisateurs locaux peuvent exploiter une faille de scponly pour obtenir les droits root et les utilisateurs restreints à scponly peuvent profiter d'une autre vulnérabilité pour échapper aux restrictions du shell.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

XnView : gain de privilèges

XnView peut chercher les bibliothèques partagées dans des emplacements non vérifiés, autorisant potentiellement les utilisateurs locaux à exécuter du code abitraire avec les privilèges d'un autre utilisateur.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

pinentry : gain de privilèges locaux

pinentry est vulnérable à un gain de privilèges.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

KPdf, KWord : multiples dépassements de tampons dans le code Xpdf inclus

KPdf et Kword incluent tous deux du code vulnérable de Xpdf pour traiter les fichiers PDF, les rendant vulnérables à l'exécution de code arbitraire.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

HylaFAX : multiples vulnérabilités

HylaFAX est vulnérable à l'exécution de code arbitraire et à des accès non-autorisés.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

VMware Workstation : vulnérabilité dans les réseaux NAT

Le système d'exploitation dans VMware peut exécuter du code arbitraire avec un gain de privilèges sur le système d'exploitation hôte à travers une faille dans la gestion des réseaux NAT.

Pour plus d'information, veuillez vous référer à l'annonce GLSA

8.  Bugzilla

Statistiques

La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 18 décembre 2005 et le 08 janvier 2006, l'activité sur le site se résume à :

  • 2338 nouveaux bugs,
  • 1184 bugs fermés ou résolus,
  • 84 bugs rouverts (précédemment fermés).

Parmi les 9097 bugs actuellement ouverts, 78 sont marqués 'bloquant', 173 sont marqués 'critique' et 498 sont marqués 'majeur'.

Classement des bugs fermés

Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :

Classement des nouveaux bugs

Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :

9.  Commentaires

Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.

10.  S'abonner à la GWN

Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+subscribe@gentoo.org.

Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.

11.  Autres langues

La GWN est aussi disponible dans les langues suivantes :



Imprimer

Dernière mise à jour le 9 janvier 2006

Résumé : Ceci est la Gentoo Weekly Newsletter pour la semaine du 9 janvier 2006.

Ulrich Plate
Éditeur

Patrick Lauer
Collaborateur

Chris White
Collaborateur

Gabriel Laskar
Traducteur

Bertrand Coppa
Traducteur

Thomas Kister
Relecteur

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.