Gentoo Weekly Newsletter: 20 Gennaio 2003

1.  Gentoo News

Indice

• La prossima release di Gentoo sarà la 1.4_rc3

La prossima release di Gentoo sarà la 1.4_rc3

La prossima release di Gentoo pare che sarà la 1.4_rc3 invece che la definitiva 1.4. Questa decisione è stata dettata da molti fattori, tra cui:

• KDE 3.1 non è ancora stato rilasciato ma pare che uscirà a breve.
• Il kernel 2.4.20 ha problemi con l'IDE sulle macchine x86. Sebbene ci siano già patch in arrivo è necessario più tempo per poterle considerare stabili
• Il gcc-3.2.1_r6 è stato appena rilasciato e necessita di una ulteriore fase di test
• I recenti upgrade a XFree86 richedono ulteriori test

2.  Gentoo Security

Indice

• GLSA: dhcp
• GLSA: fnord
• GLSA: mod_php php
• Ultimi avvisi di sicurezza

GLSA: dhcp

Il paccetto dhcp di ISC presenta diversi buffer overflow che potrebbero permettere ad un attaccante di eseguire codice arbitrario da remoto. Non sono ancora stati presentati exploit.

• Gravità: alta - esecuzione remota di codice arbitrario.
• Versioni Vulnerabili: le versioni di net-misc/dhcp precedenti alla dhcp-3.0_p2 (la 3.0_p2 è la versione che corregge i problemi)
• Soluzione: sincronizzare ed emergere dhcp
• GLSA Announcement
• Advisory

GLSA: fnord

E' stato scoperto un buffer overrun nel codice CGI di fnord. Comunque la funzione vulnerabile non ritorna, e quindi non è molto verosimile che venga presentato un exploit.

• Gravità: bassa - probabilmente non verrà realizzato un exploit.
• Versioni vulnerabili: net-www/fnord-1.6
• Soluzione: sincronizzare ed emergere fnord
• GLSA Announcement
• Advisory

GLSA: mod_php php

Esiste una falla nella funzione wordwrap() di php che, se utilizzata per l'input da utente, potrebbe essere essere vittima di un buffer overflow. Non è stato ancora prodotto un exploit.

• Gravità: moderata - difficile creare un exploit.
• Versioni vulnerabili: dev-php/php-4.2.3 e precedenti; dev-php/mod_php-4.2.3 e precedenti
• Soluzione: sincronizzare ed emergere php e/o mod_php
• GLSA Announcement
• Advisory

Ultimi avvisi di sicurezza

I nuovi avvisi di sicurezza della settimana riguardano:

• media-sound/mpg123
• app-editors/vim

3.  Notizie dalla community

Web Forums

Gentoo sui portatili

Chiunque abbia mai provato a installare Linux sul proprio portatile da un CD con interfaccia Firewire o PCMCIA avrà ben presente quanto sia necessario che Linux lo supporti: questo fa parte dell'arte di avere a che fare con hardware che è stato mal configurato dai produttori e dai rivenditori di BIOS per essere utilizzato con sistemi operativi preinstallati. Fortunatamente i forum sono pieni di threads che armeggiano con le peculiarità di ogni PC portatile, siano essi laptop, notebook o altro. Esiste addirittura un movimento guidato da Gentoo per fondare un nuovo Linux-on-Laptops.net, l'archivio più famoso per chi cerca di installare Linux su qualcosa di portatile, ma anche purtroppo la risorsa meno aggiornata disponibile. Ecco una lista dei thread più importanti per questo campo e il collegamento al Linux-on-the-go di Gentoo:

• Linux On the Go
• Software suspend
• /proc/cpuinfo shows incorrect MHz for Pentium 800
• Is there a way to sync my laptop with my desktop?
• Vaio R505 w/ Slimdock
• LCD Screen X problems

Sondaggi

Mano a mano che cresce il numero di utenti dei forum i risultati dei sondaggi diventano sempre più affidabili. Risulta che l'utente medio di Gentoo paghi tra i 30 e i 60 dollari al mese per una connessione a Internet a 500+ kbit/s, che non abbia sedie specifiche per il computer e che giri in furgoncini Giapponesi. La maggior parte di questi sondaggi non ha un gran valore scientifico, ma alcuni di essi sono divertenti. Impossibile fare una lista completa, ma date un'occhiata a questi e provate a cercarne altri:

• How much do you pay for your internet?
• How fast is your internet connection?
• Post a picture of your actual desktop
• What cars do you drive?
• So, what did you name YOUR computer(s)?

PDA per Linux: Sharp Zaurus e Gentoo

Un discreto numero di thread si occupa dei problemi che presenta la connessione al PC tramite rete USB dei più conosciuti PDA con Linux, i Sharp della serie Zaurus. Vista la crescente gamma di modelli e le ingenti necessità di personalizzazione del driver usbdnet, non dovrebbe essere un'operazione complicata, ma, nonostante tutti gli strumenti compresi nel kernel, molti frequentatori del forum non sono riusciti a farlo funzionare. Se invece vi siete riusciti e vi ricordate anche come, qui ci sono un po' di thread in cui potreste rendere felici molte persone:

• Zaurus network problem reward if your advice is successful!
• usbdnet patch
• Zaurus and Gentoo
• Is the Sharp Zaurus any good?

gentoo-user

La ricerca risolve i problemi

Un recente thread sul fatto che portage 2.0.46-r6 sovrascriveva accidentalmente /etc/make.conf ha scatenato un po' di attrito tra gli utenti. Lo sviluppatore Nicholas Jones ha insistito sul fatto che non è affatto stato un incidente, ma piuttosto che l'autore si sia dimenticato di specificare alcune condizioni specifiche e si è considerato portage 2.0.46-r6 buggato. E' venuto poi a galla che portage aveva copiato il make.conf originale in .cfg0000_make.conf come dovrebbe giustamente fare con tutti i file di configurazione in /etc. Questo comportamento di default viene definito tramite "CONFIG_PROTECT" nelle variabili di ambiente. Questo thread chiarisce anche che gli sviluppatori Gentoo consigliano di documentarsi prima di fare accuse.

KMail con supporto S/MIME e PGP/MIME

Stephen Boulet ha inviato un messaggio chiedendo come fare in modo che Kmail e OpnPGP collaborino correttamente. Paul de Vrieze ha risposto e comunicato un bug da lui presentato sull'argomento. Una lunga discussione si è poi sviluppata sulle varie complicazioni che comporta la gestione delle chiavi e delle firme digitali. Questo thread è una grande risorsa per chi desidera attivare il supprto PGP e/o S/MIME in Kmail. Gli utenti interessati ad un HOWTO più generale a proposito dell'utilizzo di GnuPG per firmare la posta possono fare riferimento alla sezione Tips and Tricks di questo mese.

gentoo-dev

Little Tool for Portage.

Alastair Tse scrive: "Una paio di mesi fa ho scritto un piccolo programmino per aiutarmi a visuallizare i Changelog in portage. Dopo un po' ho aggiunto altre feature che mi son sembrate utili, come il calcolo della dimensione dei pacchetti installati e la visualizzazione delle variabili USE in utilizzo per un ebuild." Il tool si chiama etcat: Portage Information Extractor. Nick Jones ha puntualizzato che le anche recenti versioni di portage forniscono informazioni sui cambiamenti del Changelog tramite l'utilizzo della opzione da linea di comando --changelog.

4.  Gentoo International

Akemashite Omedetou Gozaimasu

... o buon anno di Giapponese. Venerdì notte ha visto la prima festa di capodanno di Gentoo Japan, un evento che è quasi sicuro diventerà un appuntamento fisso, almeno per i quindici partecipanti di quest'anno. Chiunque conta qualcosa nell'ambiente Gentoo giapponese era presente, trangugiando gran quantità di birra e sake nel tentativo di non spargere nulla sui portatili e notebook accompagnata da Kimchi-Nabe (pesce di ogni sorta immerso in una coppa di piccante verdura coreana...). Notevole l'assenza dei Gentooisti dell'area del Kansai, compreso un buon numero di sviluppatori di ebuild di Osaka e Kyoto che ovviamente sono persone molto più impegnate e non hanno certo tempo di sbevazzare a Tokyo. [NB: Il team GWN ti invita a tenerci informati di altri eventi del genere nel tuo paese.]

Un forum per utenti Gentoo in Cina

Mentre la base di utenti dei forum di Gentoo ufficiali sta crescendo fuori da ogni controllo, l'impossibilità di visualizzare i caratteri cinesi ha portato a commenti un po' frustrati da parte di alcuni Gentooisti cinesi. Finchè non verrà aggiunto il supporto per il set di caratteri CJK, i Gentooisti cinesi potrebbero voler dare un'occhiata all'attiva comunità nata intorno al forum cinese di Gentoo su LinuxSir.com. Combinando ciò che a loro piace chiamare "Linux DIY" il forum raccoglie gli utenti sia di Gentoo che di Linux-from-Scratch sotto uno stesso tetto. Viene hostato da Linux,Sir!, una delle più ampie comunità di smanettoni di lingua cinese, che diffonde un tipico supporto tecnico e svago in stile BBS incentrato su svariate distribuzioni Linux. LinuxSir al momento asccoglie più di 7500 utenti, prevalentemente da Shangai, Chengdu, Dalian, ma anche dal resto della Cina ovviamente. la popolarità del forum Gentoo è seconda solo al forum RedHat ma ha già sorpassato Debian, SuSE, Mandrake e Turbolinux, alla faccia del loro famoso supporto CJK e supporto per i cinesi. Il software utilizzato in Linux,Sir! (vBulletin) è basato su MySQL proprio come forums.gentoo.org e di default utilizza i caratteri GB2312 (il set di caratteri cinesi semplificato).

5.  Portage Watch

I seguenti pacchetti stabili sono stati aggiunti a portage questa settimana

• app-emulation/win4lin : Win4Lin permette di far girare applicazioni Windows quasi in modo nativohttp://www.netraverse.com/
• app-games/gxmame : GXMame è un frontend per XMame che utilizza le librerie GTK, il suo scopo è fornire la stessa GUI di mame32 http://gmame.sourceforge.net
• app-misc/mime-types : fornisce il file mime.typeshttp://www.gentoo.org/
• app-misc/xnc : un file managere per X simile a Norton Commanderhttp://xnc.dubna.su/
• app-sci/tbass : Balsa è allo stesso tempo un ambiente per la sistesi di sistemi hardware asincroni e il linguaggio che permette di descrivere tali sistemihttp://www.cs.man.ac.uk/amulet/projects/balsa/
• app-sci/systemc : una piattaforma basata su C++ per VLSI e system-level co-design http://www.systemc.org/
• app-sci/vstgl : Visual Signal Transition Graph Lab http://vstgl.sourceforge.net/
• app-text/mftrace : traces TeX fonts to PFA or PFB fonts (formerly pktrace) http://www.cs.uu.nl/~hanwen/mftrace/
• dev-lang/stratego : Stratego, linguaggio per term-rewriting http://www.stratego-language.org
• dev-lang/erlang : il linguaggio di programmazione Erlang, ambiente runtime e ampia collezione di libreriehttp://www.erlang.org/
• dev-lang/bigwig : un linguaggio di programmazione ad alto livello per lo sviluppo di servizi Web interattivihttp://www.brics.dk/bigwig/
• dev-libs/cgicc : Una libreria di classi C++ per scrivere applicazioni CGIhttp://www.cgicc.org
• dev-libs/libevent : Una libreria per eseguire una funzione quando si verifica un evento specifico su un file descriptor http://monkey.org/~provos/libevent/
• dev-util/cproto : genera prototipi di funzione C a partire da codice sorgente Chttp://cproto.sourceforge.net/
• media-gfx/icoutils : un insieme di programmi per estrarre e convertire immagini contenute in file di icone e cursori di Microsoft Windows (.ico, .cur)http://www.student.lu.se/~nbi98oli
• media-gfx/pfaedit : editor e convertitore di font postscript http://pfaedit.sourceforge.net/
• net-analyzer/nagios-core : Nagios 1.0 core - Host and service monitor cgi, docs etc... http://www.nagios.org/
• net-analyzer/nagios-imagepack : Nagios imagepacks - Icone e immagini per Nagios http://www.nagios.org
• net-mail/sylpheed-claws : Versione 'bleeding edge' di Sylpheed http://sylpheed-claws.sf.net
• net-misc/arpd : ARP reply daemon permette ad un unico host di reclamare tutti gli indirizzi non assegnati di una LAN per scopi di monitoraggio o simulazionehttp://www.citi.umich.edu/u/provos/honeyd/
• net-www/adzapper : redirector per squid che intercetta pubblicità , contatori e alcuni bugshttp://adzapper.sourceforge.net/
• net-www/squirm : redirector per Squid http://squirm.foote.com.au
• sys-devel/cc-config : Utility per cambiare il compilatore gcc da usare, tra quelli installatihttp://www.gentoo.org/
• sys-libs/lrmi : LRMI è una libreria che permette di richiamare anche sotto Linux le routines del BIOS in real modehttp://www.sourceforge.net/projects/lrmi/

Aggiornamenti a pacchetti importanti

• sys-apps/portage - portage-2.0.46-r6.ebuild; portage-2.0.46-r8.ebuild; portage-2.0.46-r9.ebuild;
• x11-base/xfree - xfree-4.2.99.3-r2.ebuild;
• sys-kernel/* - ac-sources-2.4.21_pre3-r2.ebuild; ac-sources-2.4.21_pre3-r3.ebuild; ac-sources-2.4.21_pre3-r4.ebuild; alpha-sources-2.4.20-r2.ebuild; development-sources-2.5.55.ebuild; development-sources-2.5.56.ebuild; development-sources-2.5.57.ebuild; development-sources-2.5.58.ebuild; gentoo-sources-2.4.20-r1.ebuild; gs-sources-2.4.21_pre3.ebuild; lolo-sources-2.4.20.1.ebuild; lolo-sources-2.4.20.1_rc3.ebuild; sparc-sources-2.4.20-r2.ebuild; xfs-sources-2.4.20_pre4.ebuild; xfs-sources-2.4.20_pre5.ebuild;
• dev-php/php - php-4.3.0-r2.ebuild;
• sys-devel/perl - perl-5.8.0-r9.ebuild;
• app-admin/gentoolkit - gentoolkit-0.1.17-r9.ebuild;

6.  Bugzilla

Indice

• Statistiche
• Classifica dei bug chiusi
• Classifica dei bug nuovi

Statistiche

La comunità  di Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. Negli ultimi 7 giorni, l'attività  sul sito è stata la seguente:

• 265 nuovi bugs questa settimana
• 1382 bugs totali attualmente classificati 'nuovi'
• 548 bugs totatli attualmente assegnati agli sviluppatori
• 54 bugs precedentemente chiusi ed ora riaperti

La lista dei bugs aperti per ciascun sviluppatore può essere trovata alla pagina Gentoo Bug Count Report.

Classifica dei bug chiusi

Gli sviluppatori ed i teams che questa settimana hanno chiuso il maggior numero di bug sono:

• The Gnome Team, con 13 bugs chiusi
• Martin Schlemmer, con 13 bugs chiusi
• John P. Davis, con 12 bugs chiusi
• Mike Frysinger, con 10 bugs chiusi
• Michael Cummings, con 8 bugs chiusi

Classifica dei bug nuovi

Gli sviluppatori ed i teams a cui questa settimana è stato assegnato il maggior numero di bug sono:

• Michael Cummings, con 25 nuovi bugs
• Daniel Robbins, con 12 nuovi bugs
• Martin Schlemmer, con 11 nuovi bugs
• The Gnome Team, con 9 nuovi bugs

7.  Trucchi e consigli

Usare GnuPG per firmare la posta elettronica

GNU Privacy Guard (GnuPG) una versione open source del software commerciale per la creazione di firme digitali Pretty Good Privacy (PGP). Questa sezione di GWN questa settimana mostrerà  come creare una chiave, come esportare tale chiave su un public keyserver, ed infine come aggiungere la propria firma digitale alle email.

# emerge gnupg

(Create la directory .gnupg)
% mkdir $HOME/.gnupg

#  gpg --gen-key
gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Please select what kind of key you want:
   (1) DSA and ElGamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
Your selection? 1

About to generate a new ELG-E keypair.
              minimum keysize is  768 bits
              default keysize is 1024 bits
    highest suggested keysize is 2048 bits
What keysize do you want? (1024) 1024

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 0
Key does not expire at all
Is this correct (y/n)? y

You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Real name: John Doe
Email address: john.doe@example.com
Comment:

You selected this USER-ID:
	"John Doe <john.doe@example.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.

(Assicuratevi di scegliere una buona password e NON DIMENTICATELA)
Enter passphrase: secret
Repeat passphrase: secret

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

gpg: /home/johndoe/.gnupg/trustdb.gpg: trustdb created
public and secret key created and signed.
key marked as ultimately trusted.

(La stringa di otto caratteri è la vostra Key ID (A268D066))
pub  1024D/A268D066 2003-01-17 John Doe <john.doe@example.com>
     Key fingerprint = D435 4979 610B 0BAB F107  64F8 FAF5 94E0 A268 D066
sub  1024g/AB3B30AF 2003-01-17

Ora che la chiave è stata generata, bisogna esportarla su un public keyserver. Pur non essendo obbligatorio, questo è il modo più semplice per permettere ad altre persone di ottenere la parte pubblica della vostra chiave e di controllare la vostra firma digitale. Per inviare la vostra chiave dovete conoscerne il Key ID.

(Il vostro Key ID è la stringa di otto caratteri dopo 1024D/)
% gpg --list-keys
/home/johndoe/.gnupg/pubring.gpg
-------------------------------
pub  1024D/A268D066 2003-01-17 John Doe <john.doe@example.com>
sub  1024g/AB3B30AF 2003-01-17

Adesso potete esportare la vostra chiave.

% gpg --send-keys --keyserver wwwkeys.pgp.net A268D066
gpg: success sending to `wwwkeys.pgp.net' (status=200)

Adesso che la vostra chiave e stata creata e resa pubblica, potete iniziare a firmare la posta elettronica. Per portare a termine questo passo dovrete ricordare il vostro Key ID. Se non lo ricordate, rileggete il paragrafo precedente.

Seguite i seguenti passi per configurare la crittografia in Evolution:

1. Cliccate su Tools->Settings.
2. Selezionate il pulsante Mail Accounts e l'account per il quale userete la chiave.
3. Cliccate Edit e quindi l'etichetta Security. Scrivete il vostro Key ID nel campo PGP/GPG Key ID.
4. Cliccate OK.

set pgp_decode_command="gpg %?p?--passphrase-fd 0? --no-verbose --batch --output - %f"
set pgp_verify_command="gpg --no-verbose --batch --output - --verify %s %f"
set pgp_decrypt_command="gpg --passphrase-fd 0 --no-verbose --batch --output - %f"
set pgp_sign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --detach-sign --textmode %?a?-u %a? %f"
set pgp_clearsign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --textmode --clearsign %?a?-u %a? %f"
(Inserite il vostro Key ID dopo l'opzione --encrypt-to preceduto da 0x)
set pgp_encrypt_only_command="gpg --batch --quiet --no-verbose --output - --encrypt --textmode --armor --always-trust --encrypt-to 0xA268D066 -- -r %r -- %f"
set pgp_encrypt_sign_command="gpg --passphrase-fd 0 --batch --quiet --no-verbose --textmode --output - --encrypt --sign %?a?-u %a? --armor --always-trust --encrypt-to 0xA268D066 -- -r %r -- %f"
set pgp_import_command="gpg --no-verbose --import -v %f"
set pgp_export_command="gpg --no-verbose --export --armor %r"
set pgp_verify_key_command="gpg --no-verbose --batch --fingerprint --check-sigs %r"
set pgp_list_pubring_command="gpg --no-verbose --batch --with-colons --list-keys %r" 
set pgp_list_secring_command="gpg --no-verbose --batch --with-colons --list-secret-keys %r" 
set pgp_autosign=yes
set pgp_sign_as=0xA268D066
set pgp_replyencrypt=yes
set pgp_timeout=1800
set pgp_good_sign="^gpg: Good signature from"

Quando scrivete un messaggio, premete p per firmare o crittografare. Per aggiungere solamente la firma, selezionate s. Ora potete inviare il vostro messaggio, che verrà  firmato con la vostra firma digitale.

8.  Partenze, Arrivi e Cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

• nessuno per questa settimana

Arrivi

I seguenti sviluppatori sono recentemente entrati a far parte del team di Gentoo:

• Alain Penders (RexOrient) -- Subversion e nforce2 kernel hacking

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato incarico all'interno del progetto Gentoo:

• nessuno per questa settimana

9.  Iscriviti alla lista di distribuzione di GWN

Preferisci ricevere GWN via posta elettronica? Iscriviti alla nostra lista di distribuzione inviando un'email vuota a gentoo-gwn-subscribe@gentoo.org.

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email.

11.  Commenti a GWN

Mandateci i vostri commenti e aiutateci a rendere GWN migliore.

12.  Altre lingue

La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:

• Danese
• Francese
• Giapponese
• Inglese
• Italiano
• Portoghese (Brasile)
• Portoghese (Portogallo)
• Spagnolo
• Tedesco