Figure 2.1 : Andrea Barisani alias lcars
Le FOSDEM arrive : l'événement principal de Gentoo en Europe
Trente développeurs ont déjà confirmé leur présence le mois prochain au FOSDEM, la plus grande conférence open-source d'Europe et l'événement le plus important dans le calendrier européen Gentoo, qui sera tenu à Bruxelles. L'année dernière aura vu la première réservation d'une « salle des développeurs » pour Gentoo, une journée entière et une salle de conférence entièrement consacrée à l'utilisation et au développement de Gentoo, avec une réunion exclusive des développeurs Gentoo systèmes embarqués d'où sont issus les changements dans la métastructure implémentés au cours de l'année dernière. Le FOSDEM 2006 s'ouvrira à nouveau au cours du dernier week-end de février, les samedi 25 et dimanche 26, avec la salle consacrée à Gentoo prévue pour le dimanche, et un emploi du temps prévisionnel déjà en place. Si vous pensez assister au FOSDEM et avez besoin d'aide pour trouver où loger à Bruxelles, veuillez contacter Patrick Lauer qui s'occupe de la coordination de la présence de Gentoo au FOSDEM cette année. En particulier si vous voulez remplir une des dernières fenêtres de temps disponibles et faire une présentation pour Gentoo.
Traducteurs lituaniens recherchés
Une petite équipe autour de Ernestas Liubarskij a récemment entrepris la traduction de la documentation Gentoo en lituanien (code ISO : lt). Ils ont besoin de plus de collaborateurs pour les assister dans ce projet, donc si vous lisez l'anglais, écrivez en lituanien et aimeriez rejoindre l'équipe, veuillez contacter directement Ernestas.
« Je suis un gars open-source avec un esprit ouvert » -- Andrea Barisani
Figure 2.1 : Andrea Barisani alias lcars |
|
Andrea Barisani nous salue de la belle ville italienne de Trieste. Bien qu'essayant toujours de terminer son diplôme de physique, il gère aussi une entreprise - InversePath - avec un autre développeur Gentoo, Rob Holland.
Au cours de sa première année à l'université, Andrea a découvert son intérêt pour l'administration système et la sécurité. À l'université, il a déployé l'un des premiers serveurs de production Gentoo recensé. Par ses rapports de bogue et correctifs, il est devenu de plus en plus impliqué dans le projet Gentoo. L'environnement Gentoo existe toujours à l'Université, ainsi que les serveurs rsync1.it.gentoo.org et lists.gentoo.org, tous les deux gérés par Andrea. Ses autres tâches sous Gentoo incluent l'installation LDAP, le travail sur l'infrastructure générale, la gestion des listes de diffusions et faire la liaison sécurité pour le projet Infrastructure. mlmmj (le logiciel de listes de diffusion) bénéficie des nombreux correctifs qu'Andrea a créés alors qu'il adaptait et corrigeait les bogues du paquet pour le faire fonctionner avec Gentoo. De plus, de nombreux paquets liés à LDAP, sendmail, ftester (outil de test de pare-feu) et tenshi (analyseur de journaux) sont parmi les paquets qu'il maintient.
Andrea a déployé Gentoo sur une large variété de systèmes dès que cela était approprié : pare-feu, clusters, serveurs génériques... Étrangement, la question « KDE ou Gnome ? » le laisse muet. Andrea est un aficionado du mode texte à la sauce ssh, screen, mutt, vim et subversion. Dans de rares occasions seulement, il lance X et ce uniquement pour firefox ou Openoffice. Il gère 50 stations de travail et six serveurs à l'université, parmi d'autres choses, ce qui fait bien plus que compenser le modeste parc de machines x86 dont il dispose chez lui.
Andrea n'est pas strictement limité à Linux, comme il dit, « le monde est grand et nous avons de bons logiciels pour de nombreux usages différents ». Bien que Linux ait en général le plus de fonctionnalités, il lui manque souvent la consistance des projets BSD, donc il utilise ce qui marche le mieux pour ce qu'il fait. « On peut voir les bénéfices d'un bazar plus contrôlé sous BSD, et on peut voir les bénéfices d'un gros bazar sous GNU/ce-que-vous-voulez/Linux », dit-il.
Certains d'entre vous se rappellent peut-être « la compromission de rsync » d'il y a quelques temps quand une faille dans le code de rsync avait été exploitée pour prendre le contrôle des serveurs. Andrea fut parmi les premiers à diagnostiquer complètement la faille. Cette faille a aussi montré la puissance du développement open-source : en 36 heures, le bogue était corrigé et une nouvelle version de rsync était publiée. Une interview au sujet de cet incident peut être trouvée dans le Harvard Business Review, une courte biographie d'Andrea ainsi que des infos plus personnelles sont disponibles sur le site web d'InversePath et la page des orateurs de la conférence PacSec à Yokohama à laquelle Andrea a participé l'année dernière.
Textrels dans la politique des paquets
Mark Loeser a lancé une discussion technique intéressante sur les textrels. Portage fait un avertissement au sujet des textrels, car ils peuvent conduire à des problèmes de performance et de sécurité. Une bonne explication sur le pourquoi et le comment de cela peut être trouvée dans ce fil de discussion
GLEP 42 (nouvelles) sixième reprise
La discussion au sujet de la création d'un rapport sur les nouveautés de Portage qui s'est déroulée lors des dernières semaines est engagée à nouveau dans l'espoir d'arriver à une solution viable.
Viabilité des autres systèmes de contrôle de version pour les gros dépôts de fichiers.
Bien que CVS soit mature et assez stable, il n'offre pas toutes les fonctionnalités disponibles dans les nouveaux systèmes de contrôle de version. Certaines personnes ont tenté l'expérience de la migration du dépôt gentoo-x86 (ce qui n'arrivera pas dans un futur proche à cause de problèmes logistiques et administratifs). Donnie Berkholz demande à ce que des expériences soient faites avec les solutions alternatives, particulièrement dans une optique de performance et de montée en charge.
Mise à jour du projet de serveur Roadrunner
Ricardo Loureiro a écrit une suite à son document PDF initial mentionné dans l'édition du 12 décembre 2005 de la GWN. Ce nouveau document traite du plan initial de disposition de la base de données MySQL nécessaire au stockage des informations sur les paquets. Il entre dans les détails, comme les types de données, et affiche beaucoup de progrès dans le sens des objectifs du projet.
Italie : et encore un dérivé de Gentoo
Affirmant vous donner la possibilité d'installer Gentoo Linux sur votre ordinateur en quelques minutes, les DVD Linux RR4 et RR64 que vous pouvez vous procurer chez Fabio Erculiani diffèrent de Gentoo sur quelques points. Le plus important étant un noyau par défaut avec le Reiser4 activé, ce qui va certainement faire frissoner beaucoup de développeurs Gentoo qui ne veulent sûrement pas voir arriver vos rapports de bogues à ce sujet à proximité du bugzilla officiel de Gentoo. Le projet RR4/64 reste un effort remarquable, car c'est un système « live » complet, avec KDE et Gnome, qui se démarre directement depuis le DVD. La troisième version bêta 64bits est disponible depuis le 26 décembre, comme une espèce de cadeau de Noël en retard de la part de Fabio à ses compagnons italiens, tout comme aux autres utilisateurs internationaux, eux aussi invités à l'essayer.
Jon Hood, un développeur qui travaille pour Asteria Solutions Group, Inc. a pris la version bêta du Gentoo Installer pour une session d'essai, et il semblerait qu'il soit assez satiѕfait du résultat, qu'il qualifie de « merveilleux pas dans le droit chemin pour Gentoo », et est particulièrement ravi car « les gens ne sont pas supposés pouvoir UTILISER des logiciels de test et que ceux-ci MARCHENT, mais c'est exactement ce qui est arrivé. » Sa revue inclut une petite présentation qui documente chaque étape de l'installation faite via l'interface d'installation, assez intéressant pour tous ceux qui ne l'ont jamais vu marcher.
6. Départs, arrivées et changements
Les développeurs suivants ont récemment quitté le projet Gentoo :
Les développeurs suivants se sont joints récemment au projet Gentoo :
Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo :
CenterICQ : multiples vulnérabilités
CenterICQ est vulnérable à un problème de Déni de Service et aussi potentiellement à l'exécution de code arbitraire à travers la bibliothèque ktools vulnérable incluse.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Mantis : multiples vulnérabilités
Mantis est sensible à plusieurs vulnérabilités allant de l'envoi de fichier et de l'injection SQL à des attaques de type « cross-site scripting » et « HTTP response splitting ».
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Un dépassement de tampon dans Dropbear pourraient permettre aux utilisateurs authentifiés d'exécuter du code arbitraire en tant qu'utilisateur root.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
NBD Tools : dépassement de tampon dans le serveur NBD
Le serveur NBD est vulnérable à un dépassement de tampon qui pourrait avoir pour conséquence l'exécution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Les utilisateurs locaux pourraient obtenir les droits root en faisant un chroot sur un répertoire arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
On a découvert deux vulnérabilités par dépassement de tampon dans libUil, une partie de la boîte à outils OpenMotif, qui peut potentiellement mener à l'exécution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
scponly : multiples problèmes de gain de privilèges
Les utilisateurs locaux peuvent exploiter une faille de scponly pour obtenir les droits root et les utilisateurs restreints à scponly peuvent profiter d'une autre vulnérabilité pour échapper aux restrictions du shell.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
XnView peut chercher les bibliothèques partagées dans des emplacements non vérifiés, autorisant potentiellement les utilisateurs locaux à exécuter du code abitraire avec les privilèges d'un autre utilisateur.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
pinentry : gain de privilèges locaux
pinentry est vulnérable à un gain de privilèges.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
KPdf, KWord : multiples dépassements de tampons dans le code Xpdf inclus
KPdf et Kword incluent tous deux du code vulnérable de Xpdf pour traiter les fichiers PDF, les rendant vulnérables à l'exécution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
HylaFAX : multiples vulnérabilités
HylaFAX est vulnérable à l'exécution de code arbitraire et à des accès non-autorisés.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
VMware Workstation : vulnérabilité dans les réseaux NAT
Le système d'exploitation dans VMware peut exécuter du code arbitraire avec un gain de privilèges sur le système d'exploitation hôte à travers une faille dans la gestion des réseaux NAT.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 18 décembre 2005 et le 08 janvier 2006, l'activité sur le site se résume à :
Parmi les 9097 bugs actuellement ouverts, 78 sont marqués 'bloquant', 173 sont marqués 'critique' et 498 sont marqués 'majeur'.
Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :
Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :
Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.
Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+subscribe@gentoo.org.
Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.
La GWN est aussi disponible dans les langues suivantes :