Gentoo Weekly Newsletter: 30 Dicembre 2002

1.  Gentoo News

Indice

• Gentoo a LinuxWorld Expo in Gennaio
• Aggiornamento della scadenza di rilascio di Gentoo Linux 1.4
• Rilascio Gentoo Linux 1.4_rc2 per il test
• Nuova strategia di sviluppo del kernel
• Nuova procedura formale di rilascio

Gentoo a LinuxWorld Expo in Gennaio

Daniel Robbins e altri membri del team Gentoo saranno a LinuxWorld Expo, dal 22 al 24 Gennaio a New York. Saranno allo stand 8 nel padiglione .org e si spera di avere una accattivante veste grafica che valorizzi a dovere Gentoo Linux. Se siete da quelle parti fermatevi e manifestate il vostro entusiasmo per Gentoo!

Aggiornamento della scadenza di rilascio di Gentoo Linux 1.4

Daniel Robbins ha recentemente annunciato di aver pianificato una data di uscita per Gentoo 1.4. Mentre il piano attuale soggetto a cambiamenti in base a bug e feedback dagli utenti, la data attualmente programmata per l'uscita il 14 Gennaio 2003, appena in tempo per Linux World 2003 a New York. Tra le novit di Gentoo c' un processo di produzione pi preciso, comprendente cinque fasi principali che porteranno la release candidate 1.4 attraverso una serie di test e feedback che dovrebbe consolidare la qualit e la stabilit del prodotto finale.

La versione finale 1.4 includer tutte le migliorie introdotte nelle rc1 e rc2 e inoltre:

• Supporto completo integrato per Xft2
• Nuova struttura di base per eliminare la dipendenza da tmpfs
• Un pi ampio set di pacchetti GRP
• Supporto opzionale integrato per il prelink

Rilascio Gentoo Linux 1.4_rc2 per il test

L'ultima release candidate prima della versione finale di Gentoo Linux 1.4 programmata per il rilascio il giorno 31 di Dicembre. Come molti utenti hanno gi visto, la maggior parte dei file sono gi stati resi disponibili su ibiblio. Le aggiunte dell'ultimo minuto alla rc2 non pronte in tempo comprendevano i tocchi finali ai CD di installazione (LiveCD) e la documentazione. Di nuovo nella release 1.4 rc2 ci sono:

• Il primo rilascio delGentoo Reference Platform (GRP) -- una collezione di ebuild testati specificamente per una maggiore stabilit.
• Nuovi LiveCDs con un maggior numero di hardware supportato, tecnologia superiore e qualche decorazione in pi.
• Versioni aggiornate di gcc, binutils, portage e molti altri pacchetti.

Nuova strategia di sviluppo del kernel

Daniel Robbins ha recentemente proposto una nuova strategia di sviluppo del kernel per Gentoo Linux, con l'obiettivo principale di aumentare il numero delle periferiche supportate e la stabilit dei kernel utilizzati nel progetto Gentoo. Secondo questa strategia Gentoo far perno su molte delle patch che fanno riferimento al kernel RedHat, visto che molti produttori di hardware si affidano a RedHat come loro primario/unico partner Linux. Oltre a godere del maggiore supporto hardware dei sorgenti del kernel RedHat, gli utenti Gentoo potranno avvalersi anche di caratteristiche e tecnologie che non costituiscono parte del normale kernel RedHat, ad esempio XFS, EVMS, Win4Lin e tante altre. Inoltre lo sviluppo di gentoo-sources e xfs-sources si diversificher, in qualche modo: gentoo-sources si concentrer sull'alta performance mentre xfs-sources sulla massima compatibilit hardware e versatilit del kernel.

Nuova procedura formale di rilascio

Come parte del processo di rilascio della versione 1.4 Daniel Robbins ha proposto un piano formale di rilascio per garantire che tutto il team di sviluppo conosca il processo e le scadenze per le release future. Il punto cardine della nuova strategia l'allontanamento dal singolo "release manager", che responsabilizza una persona sola di ogni aspetto, per favorire invece un "processo di release", basato su una seria di istruzioni in cui tutto il team di sviluppo contribuisca alla gestione del rilascio. A grandi linee il nuovo piano di rilascio consiste di cinque passi principali:

• Decisione Iniziale -- La reale decisione di rilasciare una nuova versione di Gentoo Linux.
• Upgrade dei pacchetti -- Un periodo di tempo (tipicamente 14 giorni) in cui gli sviluppatori si concentrano sul rendere stabili i pacchetti instabili.
• Build e Test -- I builders incaricati per ciascuna architettura eseguono il processo di building per una generica CPU per tutti gli stage a partire da un recente snapshot di Portage.
• Build e Test per il rilascio -- L'intera versione passa attraverso un processo di building distribuito includendo i pacchetti GRP.
• Rilascio -- La nuova versione di Gentoo viene rilasciata alla Community.

2.  Sicurezza

Indice

• GLSA: openldap
• GLSA: cyrus-imapd
• GLSA: cyrus-sasl
• GLSA: KDE-3.0.x
• GLSA: canna
• GLSA: wget
• GLSA: perl
• Ultimi avvisi di sicurezza

GLSA: openldap

Ci sono svariati buffer overflow e bug vari che, sfruttati da attaccanti remoti, potrebbero cedere l'accesso a sistemi che montano server LDAP vulnerabili.

• Gravit: alta - potenziale esecuzione remota di codice arbitrario.
• Versioni vulnerabili: openldap-2.0.25-r2
• Soluzione: sincronizzare ed emergere cyrus-sasl.
• GLSA Announcement
• Advisory

GLSA: cyrus-imapd

L'implementazione di Sieve di Cyrus contiene nel parser un paio di classici buffer overflow basati su stringa. Chiunque abbia i privilegi per eseguire gli script Sieve pu sfruttarli. Solo le versioni di libsieve fino alla 2.1.2 e le versioni di Cyrus IMAP fino alla 2.1.10 sono vulnerabili.

• Gravit: alta - potenziale esecuzione remota di codice arbitrario.
• Versioni vulnerabili: cyrus-imapd 2.1.10 e precedenti
• Soluzione: sincronizzare ed emergere cyrus-imapd.
• GLSA Announcement
• Advisory

GLSA: cyrus-sasl

La mancanza di adeguati controlli sulla lunghezza del buffer nella canonicalizzazione del nome utente pu consentire ad un attaccante di eseguire codice arbitrario sui server che utilizzano la libreria SASL di Cyrus.

• Gravit: alta - potenziale esecuzione remota di codice arbitrario.
• Versioni vulnerabili: cyrus-sasl 2.1.9
• Soluzione: sincronizzare ed emergere cyrus-sasl.
• GLSA Announcement
• Advisory

GLSA: KDE-3.0.x

KDE-3.0.x a volte non riesce a mettere tra virgolette i parametri dei comandi nelle chiamate alla shell. In questo modo una email o una pagina web appositamente creata possono permettere ad un attaccante di eseguire comandi arbitrari con i privilegi dell'utente vittima. Esistono gi exploits.

• Gravit: alta - potenziale esecuzione remota di codice arbitrario con i privilegi dell'utente vittima.
• Versioni vulnerabili: kde-3.0.4 e precendenti della serie kde-3.x.
• Soluzione: sincronizzare ed emergere kde.
• GLSA Announcement
• Advisory

GLSA: canna

Le versione 3.6 e precedenti del server canna sono soggetti ad un overflow dello heap che consente un exploit remoto teorizzato, ma non ancora accertato in casi reali. Inoltre le medesime versioni del server non riescono a riconoscere alcune richieste.

• Gravit: da moderata ad alta - attacchi DoS e cessione di informazioni, l'exploit remoto consente l'esecuzione di codice con i privilegi del server canna.
• Versioni vulnerabili: canna-3.6
• Soluzione: sincronizzare ed emergere canna.
• GLSA Announcement
• Advisory

GLSA: wget

Wget pu permettere ad un amministratore malizioso di ftp di sovrascrivere alcuni file chiave e potenzialmente guadagnare privilegi sul computer vittima attraverso la sostituzione di file eseguibili. Non sono stati accertati casi reali.

• Gravit: moderata - gli attacchi DoS e l'exploit remoto sono attenuati dalla necessit della collaborazione della vittima.
• Versioni vulnerabili: wget-1.8.2-r1 e precedenti
• Soluzione: sincronizzare ed emergere wget.
• GLSA Announcement

GLSA: perl

Il modulo Safe di perl (Safe.pm) presenta una potenziale vulnerabilit nel momento in cui se un "compartment" sicuro viene riutilizzato, esso non pi sicuro (a causa dell'impossibilit di alterare le maschere dell'operazione).

• Gravit: moderata - macchinoso e richiede codice che riutilizzi "compartment" sicuri.
• Versioni Vulnerabili: perl-5.8.0-r5 e precedenti
• Soluzione: sincronizzare ed emergere perl o, pi semplicemente emergere Safe.
• GLSA Announcement
• Advisory

Ultimi avvisi di sicurezza

Durante la settimana scorsa non sono stati inviati a bugzilla nuovi importanti bug di sicurezza. Perci useremo questa sezione per riassumere i bug di sicurezza del sistema ancora pendenti (comunque la maggior parte di questi "bug" sono stati risolti in pacchetti che attualmente sono in fase di testing e si potrebbero unmaskare ed emergere anche subito).

• evolution
• glibc
• freeswan
• libpng
• cups

3.  Notizie dalla Community

Web Forums

I forum sono di nuovo raggiungibili

Nitro dice che il cuore del forum, il server MySQL non era raggiungibile la vigilia di Natale (probabilmente si stava facendo uno zabaione caldo). Il problema si verificato nel momento in cui crashato un nuovo server appena messo online. A questo punto si ripristinata la configurazione precedente e il nuovo server sotto test. Fortunatamente non ci sono state perdite di dati e tutto il database stato ripristinato; solo quei pochi che hanno creato il loro account durante il periodo di guasto, dovranno crearlo nuovamente.

Allarme Dual Boot!

La gente sta spacchettando i propri doni natalizi, questa pu essere la ragione che spiega l'attuale ondata di configurazioni dual boot che si riscontra nei forum. Almeno questa l'impressione che si trae dall'attivit nei seguenti threads. Per chi avesse intenzione di configurare gentoo in dual boot con qualche altro obsoleto sistema operativo questi sono ottimi punti da cui cominciare:

Ovunque utenti di gentoo linux

Che cosa c' ancora da fare una volta che il proprio sistema gentoo installato e ottimizzato a dovere? Parecchie discussioni sono in corso, ad esempio si stanno creando vari team di Gantoo per diversi progetti di calcolo distribuito, come SETI@home, distributed.net's RC-5-72, Folding@home, ClimatePrediction.Net. Dopo aver assegnato un'adeguata priorit i client di questi progetti possono utilizzare il tempo CPU inutilizzato per contribuire a calcoli (potenzialmente) utili, senza alcuna diminuzione delle performance del sistema. Il team SETI@home in questo momento il pi numeroso con 85 utenti da tutto il mondo e la bellazza di 76 anni di tempo di calcolo, ma il team Folding@home non da meno. Per avere ulteriori informazioni su come configurare i client, entrare a far parte dei team e gli effetti della partecipazione al progetto SETI@home sulla bolletta dell'elettricit di un utente entusiasta, visitate i seguenti thread:

• SETI: Gentoo Linux Users Everywhere (85 users)
• folding@home and Gentoo Linux Users Everywhere
• RC-5-72 started yesterday

gentoo-user

Gentoo contro FreeBSD

Portage, il sistema di pacchetti di Gentoo, assomiglia senza dubbio al sistema dei port di FreeBSD. Allora, qual' il migliore? I sostenitori di Gentoo diranno ovviamente che il pi recente ovviamente il migliore, come insegna la teoria dell'evoluzione. I fedeli di FreeBSD ci riporteranno a Marlon Brando nel Padrino e diranno che si stava meglio allora. In realt sarebbe stupido precipitarsi a conclusioni avventate. Charles Burns ha formulato un'ottima risposta che mette a confronto i due sistemi operativi. E in materia di utenza domestica o hardware esotico non c' niente meglio di Gentoo.

Non temete il downgrade

In qualche occasione emerge vi dir che sta per downgradare qualche pacchetto importante. Ad esempio edb potrebbe richiedere il downgrade di freetype, infondendo subito il gran timore di perdere quei bei caratteri. Non abbiate paura. Molti pacchetti coesistono tranquillamente tra di loro e le versioni nuove non vengono rimosse dopo il downgrade. Ad esempio Glib2 e Glib1 convivono senza problemi all'interno dello stesso sistema. Jean Smith ha suggerito un'idea che speriamo chiarisca il punto.

gentoo-dev

La release definitiva di Gentoo?

M. Zuelsdorff ha scritto: "Sto seguendo le discussioni nel gruppo di sviluppo di Gentoo da pi di un anno ormai. Tutto ci che salta fuori "un problema con questo" e "un problema con quello". Qualche giorno fa c'era qualcosa che addirittura sembrava essere "davvero incasinato". La mia domanda , quando pensate che Gentoo arrivi davvero ad una versione definitiva?" . La maggior parte delle risposte hanno convenuto sul fatto che il carattere possa avere qualche peso in queste situazioni e che ci si lamenti molto pi spesso di quanto si dica che tutto funziona. Arthur Britto venuto fuori dicendo: "hai appena messo il dito su uno dei pi grossi problemi di Gentoo: la scoperta e la risoluzione manuale dei problemi. Quando un pacchetto non funziona qualcuno deve (1) scoprirselo da s, (2) cercare nelle mailing list di Gentoo e del programma, (3) cercare nei forum di Gentoo e del programma, (4) provare ad abbozzare una diagnosi del problema per essere sicuro che non sia un problema locale, (5) se vi la possibilit cercare di risolvere il problema e (6) renderlo noto a tutti gli altri sviluppatori." Daniel Robbins (Ideatore di Gentoo Linux) ha concluso la discussione con i passi da seguire per risolvere la situazione.

Selezionatore di flag USE.

John Nilsson ha scritto una e-mail in cui ha detto di essere interessato a scrivere un'interfaccia per selezionare le flag USE e quelle del GCC. Le interfacce gi esistono, ufed e kportage. Ma, come sempre nel free software, c' spazio per migliorare!

4.  Gentoo International

Un'altra documentazione di Linux in francese

La comunit francese di Gentoo molto entusiasta di una nuovissima guida all'installazione e configurazione di Linux di Christian Casteyde. Seppur non incentrato su Gentoo (l'autore sembra pi essere sostenitore di SuSE e Slackware), un documento molto completo e per la maggior parte aggiornato, mette molto l'accento sulle features particolari di XFree86 4.x e del kernel 2.4.x. Si chiama Yet Another "Guide d'Installation de Linux", o YAGIL, ed di sicuro un'ottima occasione per dare una spolverata al francese.

Gentoo Shinnenkai - Festa dell'anno nuovo di Gentoo-Japan...

In un grandioso sforzo collettivo, gli attivisti giapponesi di Gentoo hanno confermato un appuntamento per il primo incontro del 2003. Il luogo preciso ancora da decidersi, ma quello che deciso che tutti gli utenti e sviluppatori di Gentoo si incontraranno a Tokyo il 17 Gennaio 2003 dalle 19:00. Il modo pi semplice di rendere nota la vostra presenza probabilmente il canale IRC: #gentoo-ja sul server irc.freenode.net; oppure possibile spedire una mail agli organizzatori.

5.  Portage Watch

Aggiornamenti per la sicurezza (vedi sopra)

• openldap - corretto in openldap-2.0.27 e seguenti
• cyrus-imapd - corretto in cyrus-imapd-2.1.11 e seguenti
• cyrus-sasl - corretto in cyrus-sasl-2.1.10 e seguenti
• Perl - corretto in perl-5.6.10-r10 / perl-5.8.0-r6 e seguenti
• wget - corretto in wget-1.8.2-r2 e seguenti
• canna - corretto in canna-3.6-r1 e seguenti
• kde-3.0.x - corretto in kde-3.0.5a e seguenti

I seguenti pacchetti stabili sono stati aggiunti a portage questa settimana

• app-crypt/keylookup : "un tool per richiedere chiavi PGP ai keyservers." "http://www.palfrader.org/keylookup/"
• app-games/gnurobots : "gioco/passatempo in cui dovete creare un programma per un piccolo robot, quindi lasciarlo libero e guardarlo esplorare in autonomia un mondo." "http://www.gnu.org/directory/games/gnurobots.html"
• app-games/gnushogi : "versione giapponese degli schacchi (riga di comando + versione X)." "http://www.gnu.org/directory/games/gnushogi.html"
• dev-java/xdoclet : "un motore di generazione di codice orientato principalmente a EJB." "http://xdoclet.sf.net/"
• dev-perl/File-Temp : "File::Temp pu essere usato per creare ed aprire file temporanei in modo sicuro." "http://www.cpan.org/modules/by-module/File/File-Temp-0.12.readme"
• dev-perl/Graph : "Graph un modulo per creare grafici." "http://www.cpan.org/modules/by-module/Graph/Graph-0.20101.readme"
• dev-perl/Heap : "Heap - Estensione di Perl per tenere i dati parzialmente ordinati." "http://www.cpan.org/modules/by-module/Heap/Heap-0.50.readme"
• dev-perl/MIME-Lite : "generatore di messaggi MIME in versione leggera." "http://search.cpan.org/src/ERYQ/MIME-Lite-2.117.readme"
• dev-perl/SOAP-Lite : "fornisce una semplice e leggera interfaccia al protocollo SOAP (sic) sia da lato client che da lato server." "http://cpan.valueclick.com/modules/by-module/SOAP/SOAP-Lite-0.55.readme"
• dev-perl/Text-Shellwords : "fornisce la routine shellwords() che legge righe di testo e ritorna un insieme di 'tokens' usando le stesse regole della shell di Unix." "http://www.cpan.org/modules/by-module/Text/Text-Shellwords-1.00.readme"
• dev-perl/Time-modules : "un modulo Perl per il parsing di Data/Ora." "http://www.cpan.org/modules/by-module/Time/MUIR/modules/Time-modules-2002.1001.readme"
• media-libs/lib3ds : "libreria generica per gestire i files .3DS di 3D-Studio Release 3 e 4." "http://lib3ds.sourceforge.net/"
• media-libs/libjsw : "fornisce delle API uniformi e configurazione a livello di utente per joysticks e game controllers" "http://wolfpack.twu.net/libjsw/"
• media-sound/aseqview : "sequencer per ALSA per visualizzare/filtrare gli eventi ricevuti." "http://www.alsa-project.org/~iwai/alsa.html"
• net-analyzer/wepattack : "Tool WLAN per forzare le chiavi WEP 802.11" "http://wepattack.sourceforge.net/"
• net-misc/bwwhois : "client whois scritto in Perl progettato per utilizzare il nuovo Shared Registration System" "http://whois.bw.org/"
• app-emacs/yc : "YC - Yet another Canna client on Emacsen - un client Canna (l'ennesimo ;) ) per Emacsen." "http://www.ceres.dti.ne.jp/~knak/yc.html"

Aggiornamenti a pacchetti importanti

• sys-apps/portage - portage-2.0.47_pre1.ebuild; portage-2.0.47_pre2.ebuild;
• kde-base/kde - kde-3.0.5a.ebuild;
• sys-kernel/* - development-sources-2.5.53.ebuild; lolo-sources-2.4.20.1_pre6.ebuild; lolo-sources-2.4.20.1_pre7.ebuild; lolo-sources-2.4.20.1_pre8.ebuild; openmosix-sources-2.4.20-r1.ebuild; usermode-sources-2.4.19-r36.ebuild; usermode-sources-2.4.19-r37.ebuild; usermode-sources-2.4.19-r38.ebuild; usermode-sources-2.4.19-r39.ebuild; usermode-sources-2.4.19-r40.ebuild; xfs-sources-2.4.20_pre1.ebuild; xfs-sources-2.4.20_pre2.ebuild;
• sys-devel/perl - perl-5.8.0-r7.ebuild;

6.  Bugzilla

Indice

• Statistiche
• Bugs della settimana

Statistiche

La comunit di Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. negli ultimi 7 giorni, l'attivit sul sito stata la seguente:

• 190 nuovi bugs questa settimana
• 1166 bugs totali attualmente classificati come "nuovi"
• 535 bugs totali attualmente assegnati agli sviluppatori
• 54 bugs precedentemente chiusi ed ora riaperti.

Gli sviluppatori ed i teams con il pi elevato carico di lavoro relativo a bugs sono:

• Nicholas Jones, con 260 bugs aperti
• Martin Schlemmer, con 120 bugs aperti
• Brandon Low, con 105 bugs aperti
• The KDE Team, con 106 bugs aperti
• The Gnome Team, con 60 bugs aperti

Bugs della settimana

Ogni settimana, indicheremo alcuni bugs, degni di nota perch hanno provocato significative discussioni, sono particolarmente fastidiosi o difficili da risolvere, sono divertenti o semplicemente perch ci sembrano interessanti. I bugs trattati questa settimana sono (elencati in ordine casuale):

• Il bug 9459 relativo ad occasionali problemi di corruzione di files dopo incorretti arresti del sistema usando ReiserFS e Gentoo-Sources.
• Il bug 12537 discute il problema nel cambiare il gid di smmsp nell'ultimo baselayout - che causa problemi con sendmail.
• Il bug 8324 critica la mancanza della possibilit di scegliere la lingua della tastiera (per tastiere non americane) nella release candidate del CD di installazione della versione 1.4. Daniel Robbins ha detto che il problema sar risolto prima del rilascio finale.
• Il bug 11384 discute un problema nella compilazione delle glibc usando -march=pentium4. Il problema apparentemente interno al gcc, e dunque non pu essere risolto. Comunque, il bug un eccellente esempio di interazione tra l'utente che segnala il problema e lo sviluppatore.
• Il bug 9633 segnala un problema nell'effettuare il boot della release candidate del CD di installazione della versione 1.4 su alcune architetture (Fujitsu P2000) senza la possibilit di specificare dei parametri di boot. Apparentemente, la soluzione, che probabilmente verr adottata, potrebbe richiedere una modifica al kernel utilizzato per l'installazione.

7.  Trucchi e consigli

Ottenere informazioni sui pacchetti installati

I nuovi utenti di Gentoo spesso chiedono come ottenere una lista dei pacchetti installati dall'albero di Portage. Chi risponde dovrebbe conoscere l'abbondanza di strumenti che possono essere utilizzati per ottenere tali informazioni. A partire dal pkglist di Portage, a qpkg e epm (una sorta di clone di rpm), che sono parte di gentoolkit, fino a scorrere da soli l'albero di directory in /var/db/pkg/, ci sono certamente diverse possibilit di scelta. Mostriamo qui due modi di elencare tutti i pacchetti installati, il primo usando pkglist (che si trova in /usr/lib/portage/bin/, spesso non incluso in $PATH), ed il secondo lanciando un find in /var/db/pkg/:

    pkglist
    find /var/db/pkg/ -mindepth 2 -maxdepth 2 -printf "%P\n"
    

Oppure, se volete sapere a quale pacchetto appartenga un file, ci sono un paio di modi di procedere utilizzando gli strumenti messi a disposizione dall'ebuild gentoolkit:

    epm -qf /usr/bin/xpmtoppm
    netpbm-9.12-r4
    qpkg -f /usr/bin/namei
    sys-apps/util-linux *
    

8.  Partenze, Arrivi e Cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

• Nessuno per questa settimana

Arrivi

i seguenti sviluppatori sono recentemente entrati a far parte del team di Gentoo:

• Jan Seidel (tuxus) -- MIPS
• John Lennard (yakmoose) -- win4lin
• Christian Birchinger (joker) -- Sparc

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato incarico all'interno del progetto Gentoo.

• Nessuno per questa settimana

9.  Iscriviti alla lista di distribuzione di GWN

Preferisci ricevere GWN via posta elettronica? Iscriviti alla nostra lista di ditribuzione inviando un'email vuota a gentoo-gwn-subscribe@gentoo.org

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email

11.  Commenti a GWN

Mandateci i vostri commenti e aiutateci a rendere GWN migliore.