Campagne de recrutement de l'équipe de sécurité
La sécurité a toujours été l'un des plus forts aspects du projet Gentoo. Pour empêcher que la qualité des GLSA chute, l'équipe de sécurité a commencé à chercher activement de l'aide supplémentaire parmi les développeurs existants et futurs. Cette campagne de recrutement vise à compenser les problèmes potentiels qui peuvent retarder la résolution des bogues de sécurité, que ce soit des mainteneurs de paquets manquants ou inactifs, mais aussi un manque de coordinateurs GLSA. Les autres parties qui ont besoin de plus de support sont le projet KISS (NdT, système consultatif de sécurité du noyau) et l'intégration de glsa-check dans Portage. Si vous êtes capable et motivé pour aider dans n'importe lequel de ces problèmes de sécurité, veuillez contacter l'un des chefs de projet/sous-projet suivants :
Note : Veuillez consulter le dernier rapport de conférence de l'équipe de sécurité pour plus de détails. |
Changement de catégorie Bugzilla pour le projet d'installateur
Les mainteneurs de bugs.gentoo.org ont enlevé l'ancien composant « Gentoo Linux Installer » (GLI) de la catégorie « Gentoo Linux ». À la place, ils ont ajouté un composant « Installer » en tant que sous-catégorie de « Gentoo Release Media ». Tous les anciens bogues ont déjà été réassignés et si vous voulez soumettre un rapport au sujet de l'installateur, veuillez utiliser le nouveau composant !
Ruby on Rails 1.1 RC1 atteint Portage
La première version release candidate (NdT, candidat à la version stable) de Ruby on Rails 1.1 est maintenant dans Portage. Pour les utilisateurs en ~arch, cela va rajouter les nouvelles versions à leur installation gem sans enlever les anciennes. Ils pourront utiliser la nouvelle version et verrouiller leur code sur l'ancienne version si nécessaire. Les versions de Portage se finissent toutes par .4008 qui représente le numéro de version du répertoire subversion du projet principal pour la version 1.1_RC1.
Les utilisateurs qui sont intéressés par l'essai de ces nouvelles versions sont encouragés à le faire et à soumettre des rapports de bogue soit à Gentoo soit à http://dev.rubyonrails.org selon le cas. Pour ceux qui veulent verrouiller leurs applications Rails existantes sur une version particulière, ils peuvent regarder les URL suivantes pour plus d'information sur comment faire :
Fuseau horaire aux antipodes
Les données de fuseaux horaires de Gentoo n'ont pas été mises à jour à temps pour supporter le changement fait pour les Commonwealth Games qui se tiennent en Australie jusqu'à la fin du mois de mars. Plusieurs états australiens ont repoussé la date de passage à l'heure d'été au 2 avril. Pour empêcher les horloges de tourner une heure en avance pendant une semaine, regardez ce fil de discussion :
Soudain le donjon s'effondre
Les jeux sous Gentoo sont-ils par défaut non sécurisés ? Une faille récemment découverte dans Nethack a enflammé ce débat animé. La faille n'est cependant pas dans Nethack. Elle est causée par la façon dont Gentoo gère les jeux et ne pose problème pour aucune autre distribution. Devrions-nous trouver une nouvelle façon de gérer le groupe games ? Venez vous joindre au débat !
ZDNet France (20 mars 2006, en français)
« Renaissance » est le titre d'un film d'animation de Christian Volckman se déroulant à Paris en 2054. Une jeune scientifique est kidnappée et un sombre officier de police essaie de la retrouver. Bien que de vrais acteurs humains aient été impliqués dans le tournage de ce « Matrix animé », il s'agissait simplement de capturer leurs mouvements et de transformer ceux-ci en images noir et blanc générées par ordinateur -- entièrement rendues sur une grappe de calcul de 200 serveurs Gentoo Linux. Le site web français ZDNet a clairement pensé que cela valait un article basé sur un entretien avec Julien Doussot, directeur technique d'« Attitude Studio », l'équipe créative ayant travaillé sur les scènes. Projeté en salles en France depuis la semaine dernière.
« A distro of power » (NdT, une distribution puissante) est ce que dit Joseph Quigley de Gentoo dans son témoignage publié mardi dernier en tant que dernier ajout à la mini-série des « My Desktop OS » (NdT, mon système d'exploitation de bureau) de Newsforge. Bien qu'il ait essayé Gentoo sur ce qu'il appelle un « système bas de gamme », il a été impressioné de « pouvoir regarder un DVD et compiler KDE simultanément avec peu d'interruptions ou d'artefacts. » Il y a ceux qui ne seront pas d'accord avec le fait que son Sempron 2300 1,58 GHz avec 512 Mo de RAM soit en bas de gamme, mais de toute façon : « si vous avez un système plus haut de gamme, vous ne serez pas déçu non plus » dit Quigley.
4. Départs, arrivées et changements
Les développeurs suivants ont récemment quitté le projet Gentoo :
Les développeurs suivants se sont joints récemment au projet Gentoo :
Les développeurs suivants ont récemment changé de rôle dans le projet Gentoo :
PeerCast : débordement de tampon
PeerCast est vulnérable à un débordement de tampon qui pourrait amener à l'exécution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Pngcrush : débordement de tampon
Pngcrush est vulnérable à un débordement de tampon qui peut potentiellement amener à l'exécution de code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
cURL/libcurl : débordement de tampon dans la manipulation des URL TFTP
libcurl est affecté par un débordement de tampon dans la manipulation des URL pour le protocole TFTP qui pourrait être exploité pour compromettre le système d'un utilisateur.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Macromedia Flash Player : exécution de code arbitraire
On a identifié de multiples failles qui permettent l'exécution de code arbitraire sur le système d'un utilisateur par la manipulation de fichiers SWF malveillants.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
Sendmail : « race condition » dans la manipulation de signaux asynchrones
Sendmail est vulnérable à une « race condition » qui pourrait amener à l'exécution de code arbitraire avec les droits de sendmail.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
PHP : failles de formatage de chaîne et XSS
De multiples failles dans PHP permettent à des assaillants distants d'injecter des en-têtes HTTP arbitraires, faire du « cross site scripting » ou dans certains ca d'exécuter du code arbitraire.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
NetHack, Slash'EM, Falcon's Eye : escalade de privilèges locale
NetHack, Slash'EM et Falcon's Eye sont vulnérables à des failles d'escalade de privilèges locales qui pourraient éventuellement permettre l'exécution de code arbitraire en tant qu'autres utilisateurs.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
RealPlayer : faille de débordement de tampon
RealPlayer est vulnérable à un débordement de tampon qui pourrait amener à l'exécution de code arbitraire à distance.
Pour plus d'information, veuillez vous référer à l'annonce GLSA
La communauté Gentoo utilise Bugzilla (bugs.gentoo.org) pour répertorier et suivre les bugs, notifications, suggestions et autres interactions avec l'équipe de développement. Entre le 19 mars 2006 et le 26 mars 2006, l'activité sur le site se résume à :
Parmi les 9756 bugs actuellement ouverts, 66 sont marqués 'bloquant', 150 sont marqués 'critique' et 536 sont marqués 'majeur'.
Les développeurs et équipes qui ont fermé le plus de bugs durant cette période sont :
Les développeurs et équipes à qui le plus de bugs ont été assignés durant cette période sont :
Aidez-nous à améliorer la GWN, envoyez-nous vos commentaires.
Pour vous abonner à la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+subscribe@gentoo.org.
Pour vous désabonner de la Gentoo Weekly Newsletter, envoyez un e-mail vierge à gentoo-gwn+unsubscribe@gentoo.org depuis l'adresse utilisée pour votre abonnement.
Pour vous abonner à la version traduite en français, envoyez un e-mail vierge à gentoo-gwn-fr+subscribe@gentoo.org. Utilisez gentoo-gwn-fr+unsubscribe@gentoo.org pour vous désabonner.
La GWN est aussi disponible dans les langues suivantes :