Gentoo Logo

Gentoo Weekly Newsletter: 13 Gennaio 2003

Indice:

1.  Gentoo News

Indice

Albero di portage "congelato" in vista di Gentoo Linux 1.4_rc3/final

L'8 Gennaio, l'albero di portage è stato congelato, vista l'imminenza del rilascio di Gentoo Linux 1.4. I pacchetti che a oggi non sono masked in Portage probabilmente riusciranno ad essere presenti nella versione 1.4_final. Come parte della nuova formal release policy di Gentoo, fino al momento del rilascio potranno essere accettate solamente le modifiche che risolvono bugs o problemi di sicurezza. Attualmente Gentoo Linux 1.4 è nella fase di "Build and Test", nella quale alcuni sviluppattori, per ogni architettura supportata, hanno l'incarico di compilare un insieme di stage tarballs per CPU "generiche", utilizzando una "fotografia" dell'attuale albero di Portage.

Modifiche al supporto di gcc in Gentoo Linux

Gcc è stato da poco aggiornato, in Portage, alla versione 3.2.1-r6. Gentoo Linux ora offre la possibilità di utilizzare sia la versione 2.9.x di gcc che la 3.2.1 sullo stesso sistema, tramite il nuovo tool gcc-config, che permette all'utente di selezionare manualmente quale versione di gcc usare quando viene effettuato l'emerge di un nuovo pacchetto. Oltre a questo, per completare correttamente tale upgrade è necessario che gli utenti della versione 1.4 di Gentoo Linux compiano alcune operazioni:

Codice 1.1: aggiornamento a gcc-3.2.1-r6

		# emerge -u gcc
		# env-update && source /etc/profile (portage
		  dovrebbe lanciare env-update automaticamente, ma non fa certo male farlo due volte)
		
		  Se avete installato colorgcc, dovrete riemergerlo
		# emerge colorgcc
		
		  Se avete disabilitato l'autoclean, dovrete effettuare l'unmerge
		  delle vecchie versioni di gcc
		# emerge clean gcc
		
		  Infine, assicuratevi che le diverse versioni di gcc siano
		  installate correttamente
		# emerge gentoolkit (se non l'avete gia' installato precedentemente)
		# qpkg -I -v -nc gcc
		
		  Dovreste ottenere il seguente output
		# gcc-3.2.1-r6
		# gcc-2.95.3-r8 (solo per sistemi con installato anche gcc-2.9.x)
		# gcc-config-1.2.7
		

Gli utenti di Gentoo Linux 1.2 dovrebbero seguire i seguenti passi per emergere gcc-2.95.3-r8:

Codice 1.2: aggiornamento a gcc-2.95.3-r8

		# emerge -u gcc
		# env-update && source /etc/profile (portage
                  dovrebbe lanciare env-update automaticamente, ma non fa certo male farlo due volte)
		
		  Se avete installato colorgcc, dovrete riemergerlo
		# emerge colorgcc
		
		  Se avete disabilitato l'autoclean, dovrete effettuare l'unmerge
                   delle vecchie versioni di gcc
		# emerge clean gcc
		
		  Infine, assicuratevi che le diverse versioni di gcc siano
		  installate correttamente
		# emerge gentoolkit (se non l'avete già installato precedentemente)
		# qpkg -I -v -nc gcc
		
		  Dovreste ottenere il seguente output
		# gcc-3.2.1-r6 (solo per sistemi con installato anche gcc-3.2.1)
		# gcc-2.95.3-r8 
		# gcc-config-1.2.7
		

Gli utenti di Gentoo hanno un controllo ancora maggiore sul sistema grazie a virtual/bootloader e virtual/editor

Partendo da un suggerimento di Charles Brewer, Gentoo Linux ora offre all'utente un maggiore controllo sui bootloader e sugli editor, grazie ai nuovi pacchetti virtual/bootloader e virtual/editors. Come virtual/bootloader, gli utenti x86 possono installare lilo o grub. In precedenza, invece, grub era una dipendenza di base per il sistema. Il pacchetto virtual/editor permette all'utente di scegliere tra un gran numero di editor, tra cui joe, vile, elvis, vi, vim, emacs, xemacs, nano e pico. Gli utenti che desiderassero sfruttare i vantaggi offerti da questi nuovi pacchetti per liberarsi di grub o di nano possono seguire le seguenti istruzioni:

Codice 1.3: aggiornamento da grub a lilo utilizzando virtual/bootloader

		# emerge rsync
		# emerge lilo
		# emerge unmerge grub
		

Per disinstallare nano invece basta utilizzare i seguenti comandi:

Codice 1.4: aggiornamento necessario per cambiare editor utilizzando virtual/editor

		# emerge rsync
		# emerge your_favorite_editor (dove your_favorite_editor è uno degli editor elencati sopra)
		# emerge unmerge nano
		

2.  Gentoo Security

Indice

GLSA: libpng

Le librerie vulnerabili non computano correttamente gli offset, il che consente un buffer overflow remoto e la potenziale esecuzione di codice arbitrario oltre ad attacchi DoS tramite crash della macchina.

  • Gravità: alta - esecuzione di codice da remoto.
  • Versioni vulnerabili: libpng-1.2.5-r1 e precedenti
  • Soluzione: sincronizzare ed emergere libpng. Se è installata anche la versione libpng-1.0.12-r1 o precedenti, lo slot può essere aggiornato emergendo media-libs/libpng-1.0.12-r2
  • GLSA Announcement
  • Advisory

GLSA: lcdproc

Il sistema lcdproc contiene parecchi bug su condizioni al contorno che potrebbero permettere un DoS remoto tramite crash del server o esecuzione remota di codice arbitrario. E' già disponibile un exploit.

  • Gravità: alta - esecuzione remota di codice ed exploit disponibile.
  • Versioni vulnerabili: lcdproc-0.4.1-r1 e precedenti
  • Soluzione: sincronizzare ed emergere lcdproc.
  • GLSA Announcement
  • Advisory

GLSA: httpfetcher

la libreria httpfetcher è vulnerabile a svariati buffer overflow. Questa libreria viene usata da molti altri pacchetti e potrebbe potenzialmente consentire l'esecuzione di codice arbitrario su macchine vulnerabili. Sono già disponibili exploit.

  • Gravità: alta - esecuzione remota di codice ed exploit disponibile.
  • Versioni vulnerabili: http-fetcher-1.0.1 e precedenti
  • Soluzione: sincronizzare ed emergere http-fetcher.
  • GLSA Announcement
  • Advisory

GLSA: monopd

Il game server monopd contiene un buffer overflow che consente esecuzione remota di codice arbitrario.

  • Gravità: alta - esecuzione remota di codice.
  • Versioni vulnerabili: monopd-0.4.3-r1 e precedenti
  • Soluzione: sincronizzare ed emergere monopd.
  • GLSA Announcement
  • Advisory

GLSA: libmcrypt

A causa di dell'inadeguato controllo dell'input e di piccoli memory leaks nella libreria libmcrypt sono possibili DoS remoti tramite crash del server verso macchine vulnerabili.

  • Gravità: moderata - DoS remoto.
  • Versioni vulnerabili: libmcrypt-2.5.1-r4 e precedenti
  • Soluzione: sincronizzare ede emergere libmcrypt.
  • GLSA Announcement

GLSA: dhcpcd

Il server dhcpcd può essere configurato in modo da eseguire uno script (/sbin/dhcpcd-*.exe). Lo script esterno utilizza valori ricevui dal server che non sono adeguatamente controllati e può essere exploitato da un server DHCP malizioso. Esiste la possibilità di esecuzione di comandi arbitrari con privilegi di root. L'opzione vulnerabile non è attivata di default in Gentoo.

  • Gravità: alta - rischi per i privilegi di root.
  • Versioni vulnerabili: dhcpcd-1.3.20_p0-r1 e precedenti
  • Soluzione: sincronizzare ed emergere dhcpcd.
  • GLSA Announcement
  • Advisory

Ultimi avvisi di sicurezza

Non ci sono stati avvisi riguardanti la sicurezza nell'ultima settimana. Un problema precedente con mod_php sembra sia stato risolto, ma non è stato rilasciato un avviso ufficiale e il bug report rimane aperto. Consultare:

3.  Notizie dalla community

Web Forums

Non si può fermare il progresso

Un buon numero di thread questa settimana trattano di gioe e dolori delle due nuove feature più succulente nell'imminente nuova versione 1.4 di Gentoo Linux: il prelinking dei binari e la Gentoo Reference Platform. Si consiglia la lettura per tutti quelli che vogliono provare con mano:

And the winner is...

env-update && source /etc/profile... Il passaggio durante le vacanze a gcc3.2.1-r6 ha portato ad un incredibile numero di domande: "gcc: command not found", "make menuconfig doesn't work" e altri attacchi di panico hanno tenuto banco nei forum la scorsa settimana. La stessa sorte è capitata ai canali IRC, al newsgroup alt.os.linux.gentoo e la mailing list non è proprio venuta in aiuto. Ladies and Gentoomen, la risposta ufficiale è in questo thread: aggiornate l'ambiente...

Un occhio nella nicchia

Lontano dai colpi della guerra degli editor e dalla jihad degli overclockers, si è sviluppato lentamente un thread decisamente pacifico a proposito delle applicazioni che si meriterebbero più attenzione. Se vi siete mai chiesti se per un desktop linux ci fosse qualcosa di più di quel che compare nel menu KDE, ma non potete stare dietro a freshmeat.net, sarete felici di sapere dell'esistenza di un thread che presenta alcuni software pregiati e per lo più sconosciuti descritti con passione dai vostri fedeli Genooisti:

gentoo-user

Regolare l'orologio di sistema: ntpdate sostituito da ntpd

Alcuni iscritti alla mailing list user si son divertiti a cercare di sicronizzare il proprio orologio di sistema con un server NTP. Sono stati spediti una cinquantina di messaggi, più o meno utili, nella ricerca della corretta configurazione di ntpd, il demone che si occupa di sincronizzare l'orologio del computer con il mondo reale. Qualsiasi cosa abbiate sempre desiderato conoscere su NTP, ma non avete mai osato chiedere la potete trovare qui.

gentoo-dev

Compilare un sistema per conto terzi.

John Nilsson ha postato una e-mail chiedendo come poter utilizzare un sistema ottimizzato per athlon-xp per compilare un secondo sistema ottimizzato però per 486. La domanda ricade nel caso più generale in cui si desidera compilare pacchetti su un sistema veloce per poi installarli su uno più lento, di modo che siano ottimizzati per il secondo. Timo A. Hummel ha proposto una soluzione "hard". Arnold deVos ha portato il suo contributo e lo stesso John Nilsson ha proposot quella che sembra essere La Cosa Giusta(TM): distcc.

Chairmineto a proposito della Variabile IUSE. Burton Samograd ha chiesto quale sia l'utilizzo corretto della variabile IUSE all'interno degli ebuild. Questo ha dato vita ad una lunga discussione durante la quale sono state date due versioni. Nick Jones ha citato una prossima feature di portage che ha battezzato "rebuild-on-use-change". Questa feature dovrebbe occuparsi di ricompilare i pacchetti coinvolti nel momento in cui si cambiano le USE flag. Maik Schreiber ha proposto una spiegazione: "Le flag USE per definizione specificano feature *opzionali*. Perciò nel tuo caso se il pacchetto *richiede* ncurses non lo includi in IUSE (visto che comunque non consideri la flag USE "ncurses")." Ha inoltre citato una possibile origine della parola IUSE.

4.  Gentoo International

Gentoo User Group Korea

Il 2003 è il turno dell'asia di promuovere Linux in grande scala, dice l'oroscopo. La Corea è già molto avanti nello sviluppo, avendo a disposizione molti progetti di spicco del mondo Linux, pensiamo ad Hancom Office o a YOPY. La Corea vanta anche una delle comunità Linux più attive al mondo. Jungmin Seo, nel team di sviluppo Gentoo da novembre dello scorso anno, è anche webmaster di del forum http://users.gentoo.or.kr. Il software utilizzato è un sistema PHP bulletin coreano open source, JSBoard, e la grafica del sito è stata completamente rinnovata il mese scorso.Come ciliegina c'è un canale IRC #gentoo molto attivo con dozzine di utenti abituali su irc.hanirc.org, e niente meno che tre mirror completi. Seo, che vive tra Corea e Inghilterra, si occupa della documentazione di Gentoo "e roba di CJK", dice, ma cerca di distribuire il carico di lavoro del gruppo user quanto più possibile. Al contrario del webmaster in questi giorni tutto sudato per lo stress degli esami presso la University of York, il sito della community sta per subire un importante cambiamento di aspetto-lift nelle sue sezioni, in particolare il Wiki e la galleria degli screenshot sono in via di completo redesign.


Figura 4.1: Neat: Il sito del Gentoo User Group Coreano completamente rivisitato

Fig. 1

Le restrizioni statunitensi sono valide per Gentoo?

Un innocente thread ha scatenato un po' di incertezza riguardo alla legalità di utilizzare Gentoo in nazioni che sono attualmente soggette all'embrargo degli Stati Uniti. Alcune importanti distribuzioni sembrano ricadere in queste regole e si rifiutano di vendere a nazioni citate nell' EAR, altri vedono le cose in una maniera più tranquilla. Ma al di la del grado di paranoia o liberalismo che i rivenditori di software adottano per se stessi, è legale scaricare i sorgenti di ssh dall'Avaana o da Pyongyang semprechè il mirror che distribuisce i file sia fisicamente ubicato al di fuori degli Stati Uniti? Probabilmente no, ma sembra quasi impossibile imporre qualsiasi tipo di politica restrittiva su qualcosa di così voltile, così internazionalmente vago come Gentoo Linux...

5.  Portage Watch

I seguenti pacchetti stabili sono stati aggiunti a portage questa settimana

Aggiornamenti a pacchetti importanti

  • sys-apps/portage - portage-2.0.47.ebuild; portage-2.0.47_pre4.ebuild;
  • kde-base/kde - kde-3.1_rc6.ebuild;
  • sys-kernel/* - sparc-sources-2.4.20-r1.ebuild; xfs-sources-2.4.20_pre3.ebuild;
  • dev-db/mysql - mysql-4.0.7.ebuild;
  • dev-php/php - php-4.3.0-r1.ebuild;
  • sys-devel/perl - perl-5.8.0-r8.ebuild;
  • app-admin/gentoolkit - gentoolkit-0.1.17-r6.ebuild; gentoolkit-0.1.17-r7.ebuild; gentoolkit-0.1.17-r8.ebuild;

6.  Bugzilla

Indice

Statistiche

La comunità di Gentoo usa Bugzilla (bugs.gentoo.org) per annotaree tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. Negli ultimi 7 giorni, l'attività sul sito è stata la seguente:

  • 267 nuovi bugs questa settimana
  • 1305 bugs totali attualmente classificati come 'nuovi'
  • 537 bugs totali attualmente assegnati agli sviluppatori
  • 49 bugs precedentemente chiusi ed ora riaperti.
Ci sono attualmente 1891 bugs aperti in bugzilla. Di questi: 38 sono classificati 'bloccanti', 72 sono classificati 'critici', e 114 sono classificati 'primari'.

GWN ha deciso di modificare la lista degli sviluppatori da quelli con il maggior numero di bugs aperti a quelli che ne hanno chiuso il maggior numero. Gli sviluppatori ed i teams che questa settimana hanno chiuso il maggior numero di bugs sono:

La lista dei bugs aperti per ciascun sviluppatore può essere trovata alla pagina Gentoo Bug Count Report.

Bugs della settimana

Ogni settimana, indicheremo alcuni bugs, degni di nota perchè hanno provocato significative discussioni, sono particolarmente fastidiosi o difficili da risolvere, sono divertenti o semplicemente perchè ci sembrano interessanti. I bugs trattati questa settimana sono (elencati in ordine casuale):

  • Il bug 12246, anche se chiuso, è degno di nota per il traffico generato nei forums e nelle mailing lists riguardo al correggere con env-update un link a gcc perso (dopo aver installato gcc-3.2.1-r6).
  • Il bug 13614 è legato al precedente bug, e rimane aperto, in quanto il nuovo gcc non permette di utilizzare colorgcc.
  • Il bug 13255 discute il problema di un blocco di emerge quando un server rsync non risponde (o un firewall blocca la porta utilizzata) durante la fase di installazione di Gentoo.
  • Il bug 13055 descrive la richiesta di una nuova funzionalità per portage, in modo che "emerge -p" mostri anche le USE flags che verrebbero utilizzate. Bell'esempio di interazione della comunità nel richiedere nuove funzionalità.
  • Il bug 12538 è un bug, dal traffico piuttosto elevato, relativo a problemi nel compilare kdelibs con qt-3.1.1

7.  Trucchi e consigli

Tenere traccia di emerge world

Gli ebuilds di Gentoo richiedono all'utente di completare la configurazione. Tipicamente questi ebuilds spiegano esattamente quali comandi utilizzare a tale scopo. Tuttavia, quando si esegue un emerge update world, queste indicazioni scompaiono dallo schermo molto rapidamente e sono perse una volta che si passa all'installazione dei pacchetti successivi. Per aggirare questo problema, l'output di emerge può essere indirizzato in un file di log. Per fare ciò, possiamo usare il comando 'tee', che permette di osservare emerge in azione mentre l'output viene anche scritto su file.

Codice 7.1

(Si potrebbe usare anche l'opzione --deep)
# emerge --update world 2>&1 | tee -a /tmp/emerge.log

Nota: Il costrutto 2>&1 specifica di loggare si l'output che gli eventuali errori. per maggiori informazioni sulla redirezione di input/output leggete http://linux.oreillynet.com/pub/a/linux/lpt/13_01.html

8.  Partenze, Arrivi e Cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

  • nessuno per questa settimana

Arrivi

I seguenti sviluppatori sono recentemente entrati a far parte del team di Gentoo:

  • nessuno per questa settimana

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato incarico all'interno del progetto Gentoo:

  • nessuno per questa settimana

9.  Iscriviti alla lista di distribuzione di GWN

Preferisci ricevere GWN via posta elettronica? Iscriviti alla nostra lista di ditribuzione inviando un'email vuota a gentoo-gwn-subscribe@gentoo.org.

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email

11.  Commenti a GWN

Mandateci i vostri commenti e aiutateci a rendere GWN migliore.



Stampa

Aggiornato il 13 gennaio 2003

Oggetto: Questa è la Gentoo Weekly Newsletter per la settimana dal 13 Gennaio 2003.

Kurt Lieber
Editor

AJ Armstrong
Contributor

Brice Burgess
Contributor

Yuji Carlos Kosugi
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Ulrich Plate
Contributor

Peter Sharp
Contributor

Mathy Vanvoorden
Dutch Translation

Tom Van Laerhoven
Dutch Translation

Nicolas Ledez
French Translation

Guillaume Plessis
French Translation

Eric St-Georges
French Translation

John Berry
French Translation

Martin Prieto
French Translation

Michael Kohl
German Translation

Steffen Lassahn
German Translation

Matthias Brandstetter
German Translation

Thomas Raschbacher
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

        Daniel Ketel
Japanese Translation

        Yoshiaki Hagihara
Japanese Translation

        Andy Hunne
Japanese Translation

        Yuji Carlos Kosugi
Contributor, Japanese Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Lanark
Spanish Translation

Rafael Cordones Marcos
Spanish Translation

Julio Castillo
Spanish Translation

Jaime Freire
Spanish Translation

Sergio Gómez
Spanish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.