Gentoo Weekly Newsletter: 27 Gennaio 2003

1.  Gentoo News

Indice

• Gentoo Linux a LinuxWorld Expo
• Integrazione dei GLSA in Portage

Gentoo Linux a LinuxWorld Expo

Gentoo Linux ha fatto gran mostra di sè settimana scorsa a LinuxWorld Expo. Mettendo in mostra la nuovissima versione di Unreal Tournament 2003 per Linux, lo stand di Gentoo ha attratto a sè una gran folla. Molti dei presenti non sapevano di Gentoo e questa è stata un'ottima occasione di informare un pubblico di alto livello sui vantaggi di Gentoo Linux. Tra la gran varietà di persone interessate è emerso uno spiccato interesse da parte della comunità scientifica e molti visitatori si sono dimostrati interessati all'utilizzo di Gentoo Linux per i loro progetti di ricerca.

E' stata anche una bellissima occasione per molti sviluppatori e appassionati utenti di incontrarsi finalmente di persona. Per dirla tutta, quasi una dozzina di sviluppatori sono intervenuti in parte o tutta la manifestazione. Incredibilmente poche persone si sono dimostrate come sono in IRC. Per coloro che non hanno avuto la possibilità di essere presenti a LWE ecco alcune significative immagini:

Figura 1.1: Lo stand di Gentoo alla LWE

Figura 1.1: Gerk ha passato gran parte del tempo a masterizzare CD per i visitatori

Figura 1.1: Seemant Kuleen (sinistra) e Daniel Robbins

Integrazione dei GLSA in Portage

Nick Jones ha annunciato la di aver intenzione di integrare gli avvisi di sicurezza di Gentoo Linux (Gentoo Linux Security Announcements) direttamente in Portage. Il metodo proposto sarebbe di converstire i GLSA in formato XML per realizzare una migliore integrazione con Portage, consentire agli utenti di di aggiornare solo i pacchetti interessati dalle GLSA. I dettagli devono ancora essere definiti ma questa sarà sicuramente una feature salutata con entusiasmo da molti utenti e renderà più semplice l'amministrazione sui server dove la stabilità è essenziale.

2.  Gentoo Security

Indice

• GLSA: vim vim-core gvim
• GLSA: cvs
• GLSA: kde-2.2.x
• Ultimi avvisi di sicurezza

GLSA: vim vim-core gvim

L'editor vim e i pacchetti ad esso associati contengono un bug che consente l'esecuzione di comandi al di fuori della sandbox. Questo permetterebbe ad un file di testo appositamente creato di eseguire codice con i privilegi di utente. L'advisory suggerisce la presenza, ancora non confermata di problemi simili con le variabili locali di emacs. E' stato presentato un exploit.

• Gravità: Da moderata ad alta - esecuzione di codice arbitrario.
• Versioni vulnerabili: app-editors/vim-core (precedente la 6-1-r4), vim (precedenti la 6.1-r19), gvim (precedenti la 6.1-r6).
• Soluzione: sincronizzare ed emergere -u vim-core vim gvim
• GLSA Announcement
• Advisory

GLSA: cvs

I nomi delle directory, se appositamente creati, possono attivare un errore in CVS che potrebbe far deallocare un puntatore due volte. Questo potrebbe aiutare nella ricerca degli indirizzi dello heap e preparare altri attacchi utilizzando i privilegi del server CVS (anche root). Non esistono exploit pubblici.

• Gravità: Critica - rilascio di informazioni a remoto, vulnerabilità di sistemi soggetti a doppia deallocazione.
• Versioni vulnerabili: versioni di dev-util/cvs precedenti alla 1.11.5
• Soluzione: Synchronizzare ed emergere -u cvs
• GLSA Announcement
• Advisory

GLSA: kde-2.2.x

In alcuni casi, KDE potrebbe non mettere tra virgolette i parametri di esecuzione. Questo potrebbe consentire l'esecuzione di comandi arbitrari (con i privilegi dell'utente vittima) tramite l'utilizzo di URL appostitamente forgiati, indirizzi di posta e nomi di file. Sono già stati presentati exploit. Questo problema è correlato ad un precedente avviso di una vulnerabilità in kde-3.0.x.

• Gravità: Alta - esecuzione remota di codice, exploits in circolazione.
• Versioni vulnerabili: kde-base/kde2.2.x
• Soluzione: sincronizzare ed emergere -u kde
• GLSA Announcement
• Advisory

Ultimi avvisi di sicurezza

Non ci sono ulteriori avvisi di sicurezza questa settimana. Il bug di mpg123 citato la scorsa settimana

• media-sound/mpg123

3.  Sviluppatore della settimana

Nicholas Jones

Figura 3.1: Nicholas Jones

Nicholas Jones, lo sviluppatore della settimana, che inaugura anche questa rubrica, è l'attuale manteiner di Portage. Gli iscritti alle mailing list lo conoscreanno per la sua risposta alla recente papera riguardante /etc/make.conf, mentre i frequentatori del canale IRC (#gentoo su irc.freenode.net) o dei forum lo conosceranno come "carpaski", rispknde alle richieste di feature per Portage e si occupa della risoluzione di vari problemi. In realtà è proprio da IRC che Nick si è avvicinato al team Gentoo: era un affezionato che aiutava sempre e inviava ebuild e patch, allora gli sviluppatori lo hanno preso e responsabilizzato! Adesso in qualità di mantainer di Portage progetta e implementa le nuove caratteristiche di Portage, cercando di massimizzare la modularità per agevolare le fasi di test e debug; ma si occupa anche di analizzare le segnalazioni di bug, cercare problemi da risolvere e feature che potrebbero essere aggiunte a Portage.

Attaccatissimo -come lui stesso ammette- alla console di testo, Nick predilige applicazioni come Midnight Commander, vi, lsof a bash. Utilizza Enlightenment 16.5 - e solo quello - come window manager e mutt per la posta. Tramite le sue abilità di scripting , Nick ha lavorato amministrando da remoto macchine UNIX; ha lavorato anche come network engineer su una dorsale governativa degli Stati Uniti. Ancora più incredibile, quando non è occupato dall'hacking e il testing di Portage o da lavori di amministrazione, lo si può trovare a studiare presso l'Illinois Institute of Technology a Chicago, Illinois. A questo punto è difficile capire come resti del tempo per altre attività, ma Nick dice che gli piacciono il vino e la musica - sia l'ascolto, sia suonare la sua chitarra - senza contare frisbee e racquetball.

4.  Notizie dalla Community

Web Forums

Problemi con emerge-webrsync

Un recente thread si è trasformato in allarme, nel momento in cui si è scoperto che un aggiornamento ad emerge-webrsync del pacchetto gentoolkit haveva la possibilità di cancellare l'intera directory /usr locale. emerge-webrsync è uno strumento per aggiornare automaticamente la directory di portage locale dagli snapshot giornalieri su macchine che non possono utilizzare emerge sync (per esempio perchè bloccate da un firewall che filtra rsync). Un buon numero di utenti hanno segnalato gravi (potenzialmente irrisolubili) danni alle loro installazioni.. Il problema è stato riportato in questo bug report. L'inconveniente è stato risolto nella versione r11.

Grandi lamentele su Ibiblio

Tutto il mondo sta cercando di avere una decente velocità di scaricamento da Ibiblio che rende disponibili i pacchetti delle installazioni Gentoo. Non era una gran problema quando tutti si accontentavano di recuperare un pacchetto stage1 da li, ma da quando si è introdotto la Gentoo Reference Platform, la collezione di binari precompilati, le immagini dei CD sono cresciute fino a 500 Mega cadauna, e le lementele si fanno sentire più forti, sul canale IRC, come sui forum. Se non fosse che molti semplicemente non hanno adotatto nessuno dei numerosi mirror ufficiali ben in mostra sul sito, ma continuano con Ibiblio...

• Ibiblio està lenta...
• Problems accessing ibiblio...
• ibiblio suddenly slow!
• ibiblslow.org

E' risorta la scrittura automatica

Uno dei classici di ogni tempo sui forum è ritornato: dopo una sosta per Natale e Capodanno il post con la "Story by post" (racconto a più mani) ha ripreso vita. L'opera è intrecciata in singole righe che combaciano perfettamente con il soggetto generale del racconto (anche se nessuno sa quale sia): ogni contributo arricchisce la scena che comprende allo stato attuale il gatto della marmellata, Ellen Feiss, il wonder boy, Peter Falk e tanti altri mentre ancora non ci capacitiamo di come sia potuta cominciare un opera in prosa all'interno di un forum di supporto.. Un'altra thread dello stesso genere è stato abbandonato per un po' di tempo - almeno fino ad adesso. Questo ha anche il suo meta-thread:

• Story By Post
• Chain Thread
• Chain Thread Offramp

Statistiche del Forum

fghellar, ono dei più attivi partecipanti ai forum e contatore ufficiale, ha inviato un aggiornamento sul numero degli utenti registrati al momento. Difficile capire quanti di essi siano effettivamente attivi o almeno leggano regolarmente, ma i crudi numeri sono comunque impressionanti. Le statistiche ufficiali possono essere esaminate cliccando sul link apposito nel menu in alto, ma per una prospettiva storica della crescita del forum di Gentoo provate il primo link:

• 1k users
• Official forum statistics

gentoo-user

Ulteriore elogio di Phoenix

Una lunga discussione ha preso luogo su gentoo-user a proposito della inaffidabilità di Mozilla. Sembra che quasi tutti si lamentino del cattivo supporto per i plugin, la lentezza ineluttabile e i continui crash -- specialmente con i sorgenti di Mozilla di Gentoo. Anche se Rafa ha inviato un suggerimento per la compilazione di Mozilla senza mail e news e Steve ha precisato l'utilizzo dei sorgenti di mozilla.org, le lamentele rimangono comunque piuttosto comuni. Phoenix è stato tirato in ballo come alternativa e il pubblico non ha fatto altro che lodarlo. Phoenix è una leggera riprogettazione del browser di Mozilla che effettivamente su Gentoo gira molto più rapidamente, comprende java e i plugin di flash senza problemi. Il thread incoraggia anche i più entusiasti utenti di Mozilla a passare a Phoenix. Se stai sbattendo la testa su Mozilla, può essere che ti interessi Phoenix, semprechè possa fare a meno delle news e mail di Mozilla.

Performance del Kernel

Molti utenti di Gentoo non si accontentano di un sistema che funziona bene. Preferiamo avere il nostro software ben personalizzato per ottenere quei due o tre cavalli in più da una macchina che già ne fornisce centinaia. Il kernel è proprio dove si può estrarre questa potenza ulteriore. Lasciamo un attimo stare le CFLAGS. Gentoo ha la possibilità di utilizzare vari generi di kernel oltre a quelli di gentoo e ciascuno ha i suoi proprio vantaggi e svantaggi, in base alla patch che sono state applicate. Questa ultime patch vengono applicate sui kernel vanilla (quelli ufficiali di Linus) per creare un nuovo kernel. Ad esempio rmap. Aniruddha Shankar ha dato inizio alla discussione manifestando il suo entusiasmo per l'utilizzo del kernel di Con Kolivas (-ck) per il suo desktop. Come sempre gli utenti Gentoo sono invitati a disegnare il proprio sistema in base alle loro necessità e un buon modo di cominciare è la personalizzazione del kernel.

gentoo-dev

gentoo-dev

Tecniche per la gestione dei file in /etc. Jeff Kowing chiedeva che metodo usare per gestire l'aggiornamento dei file in /etc dopo un upgrade. Matthew Walker ha dato una risposta molto stringata in cui dice che etc-update potrebbe essere il tool che sta cercando.

Kernel Gentoo e kernel tradizionali. Dewet Diener ha aperto una discussione chiedendo: "Mi chiedo in che stato siano i sorgenti del kernel Gentoo rispetto alle versioni più comuni come quella originale e -ac. Viene utilizzato in ambienti di produzione senza problemi?". Kim Nielsen ha risposto che "Il kernel Gentoo è abbastanza stabile ma Gentoo non è mai stata una distribuzione per server anche se non si comporta male come server, al livello di RedHat o Debian. E' sempre stata intesa come una distribuzione da sviluppatori e orientata al networking." Thomas T. Veldhouse è allora intervenuto dicendo "Non penso che ci sia nessuna intenzione di questo genere. Da quel che vedo e da come conosco Gentoo, può essere ottima per ogni utilizzo che sembra ragionevole. Non è mai stata progettata per qualche applicazione particolare. [...] è compito dell'amministratore fare in modo che i cambiamenti in Gentoo non rendano instabile una macchina di produzione".

5.  Gentoo International

Siti Europei non ufficiali dedicati a Gentoo

Mentre il sito ufficiale di Gentoo si trova un po' in difficoltà nel dover gestire sempre più lingue a causa dell'incredibile onda di popolarità che l'ha investito, diversi siti non di lingua inglese stanno iniziando ad occuparsi del supporto nei confronti delle numerose comunità locali. Oggi, diamo uno sguardo più da vicino ad alcuni dei siti Europei: gli utenti di lingua francese, ad esempio, hanno a disposizione gia' da diversi mesi un sito con news 'dinamiche' e forum di discussione. La sezione dei forum non è attiva quanto la board Francese su forums.gentoo.org, ma entrambe riescono a convivere tranquillamente. ma la vera forza di "Da Gentoo" risiede nella sua gestione delle news, disponibili non solo tramite i normali browser: le news di Gentoofr.org sono accessibili anche tramite PDAs e telefoni cellulari WAP-enabled. Il progetto Gentoo Tedesco è probabilmente uno dei primi esterno agli US (ha avuto inizio più o meno nell'Aprile 2002), ma è ancora decisamente attivo. Gentoo.de (come molti altri siti internazionali, ad esempio Corea e Giappone) è incentrato sulla documentazione, ma soprattutto fornisce un gran numero di ebuild supplementari "regionali" ebuilds con spellchecker e versioni localizzate di Openoffice-bin, e altri tool per utenti con problemi specifici della propria nazioni (una tarball di PPPoE per gli utenti DSL tedeschi può essere scaricata dall'FTP server del progetto). Il sito Danese si concentra al pari sui progetti e sullo sviluppo, ed è attualmente in cerca di contributori e di persone che possano aiutare con lo sviluppo in PHP. La sezione delle news invece ha bisogno di un po' di cure, dato che non ha visto aggiornamenti dal Maggio 2002. Il sito Norvegese è decisamente più modesto degli altri, apparentemente orientato solo a fornire i link ai mirror e a fonti di documentazione e di informazioni. Non è però carino indicare solo i siti web: in effetti c'è davvero un gran traffico sui diversi canali IRC di lingua non inglese su Freenode! Chiunque voglia rendersi conto di quanti siano gli utenti Gentoo nei vari stati Europei non deve fare altro che fare un giro nei canali Danese o Portoghese #gentoo-nl e #gentoo-pt su irc.freenet.org ... con un canale come #gentoo-fi, chi può avere bisogno di un sito Finlandese. Gli Svedesi hanno addirittura le loro statistiche IRC personali:

• France: Da Gentoo French Page
• Germany: Gentoo Linux - Das deutschsprachige Portal
• Denmark: Gentoo Linux Danmark
• Norway: Gentoo Linux Norge
• Sweden: IRC channel statistics

6.  Portage Watch

I seguenti pacchetti stabili sono stati aggiunti a portage questa settimana

Aggiornamenti a pacchetti importanti

• sys-devel/gcc - gcc-3.2.1-r7.ebuild;
• sys-kernel/* - aa-sources-2.4.21_pre3-r1.ebuild; development-sources-2.5.59-r1.ebuild; development-sources-2.5.59-r2.ebuild; development-sources-2.5.59.ebuild; gs-sources-2.4.21_pre3-r1.ebuild; gs-sources-2.4.21_pre3-r2.ebuild; mips-sources-2.4.19.ebuild; openmosix-sources-2.4.20-r2.ebuild;
• net-www/apache - apache-2.0.44.ebuild;
• app-admin/gentoolkit - gentoolkit-0.1.17-r10.ebuild; gentoolkit-0.1.17-r11.ebuild;

7.  Bugzilla

Indice

• Statistiche
• Classifica dei bug chiusi
• Classifica dei bug nuovi

Statistiche

La comunità di Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. Negli ultimi 7 giorni, l'attività sul sito è stata la seguente:

• 258 nuovi bug questa settimana
• 1491 bug totali classificati 'nuovi'
• 559 bug totati attualmente assegnati agli sviluppatori
• 54 bug precedentemente chiusi ed ora riaperti

La lista dei bugs aperti per ciascun sviluppatore può essere trovata alla pagina Gentoo Bug Count Report.

Classifica dei bug chiusi

Gli sviluppatori ed i teams che questa settimana hanno chiuso il maggior numero di bug sono:

• Martin Schlemmer, con 38 bug chiusi
• Nick Hadaway, con 17 bug chiusi
• M. Holzer, con 14 bug chiusi
• Donny Davies, con 10 bug chiusi
• Seemant Kulleen, con 8 bug chiusi

Classifica dei bug nuovi

Gli sviluppatori ed i teams a cui questa settimana è stato assegnato il maggior numero di bug sono:

• Martin Schlemmer, con 10 nuovi bug
• Nick Hadaway, con 6 nuovi bug
• Seth Chandler, con 6 nuovi bug
• The Gnome Team, con 5 nuovi bug

8.  Trucchi e consigli

Usare Procmail e SpamAssassin per bloccare lo spam e filtrare le mailing list

Il proliferare di email non desiderate, o spam, diventa ogni giorno un fenomeno più diffuso. Comunque, ci sono diversi strumenti che aiutano a prevenire lo spam. Questa settimana impareremo ad usare Procmail e SpamAssassin per filtrare la posta in arrivo e bloccare lo spam. Procmail è un programma che permette di filtrare le email, smistandole in cartelle separate e di effettuare molti tipi diversi di preprocessing. SpamAssassin è un programma che usa tecniche euristiche per identificare lo spam.

Dato che sia Procmail che SpamAssassin sono in Portage, l'installazione si riduce ad un semplice comando emerge.

# emerge net-mail/procmail
# emerge dev-perl/Mail-SpamAssassin

(Aggiungiamo il demone SpamAssassin al runleve di default)
# rc-update add spamd default

Ogni filtro di Procmail è detto ricetta. Per mantenere le cose in ordine, creeremo una directory $HOME/.procmail in cui separare le varie ricette.

% mkdir $HOME/.procmail

Quanto eseguito, procmail per prima cosa legge il file $HOME/.procmailrc. Questo file dovrebbe contenere la posizione della vostra mailbox e la directory in cui cercare le varie ricette.

VERBOSE=no

DEFAULT="$HOME/.maildir/"
MAILDIR="$HOME/.maildir/"

PMDIR="$HOME/.procmail"
LOGFILE="$PMDIR/log"

INCLUDERC=$PMDIR/lists.rc
INCLUDERC=$PMDIR/spam.rc

Il prossimo passo consiste nel configurare i filtri per le mailing list. Dato che la maggior parte delle liste usa l'intestazione List-Id, possiamo facilmente separare tali email dalla posta normale.

:0
*   ^List-Id: Gentoo Linux mail <gentoo-security\.gentoo\.org>
.gentoo-security/

:0
*   ^List-Id: Gentoo Linux mail <gentoo-user\.gentoo\.org>
.gentoo-user/

Adesso possiamo configurare il filtro per lo spam. Questa ricetta semplicemente richiama SpamAssassin usando spamc e quindi controllo l'intestazione X-Spam-Status. Se il messaggio è identificato come spam, viene spostato in un'apposita directory.

:0 fw
| /usr/bin/spamc -f

:0
* X-Spam-Status: Yes
.spam/

La configurazione è ora pronta per filtrare la posta e bloccare lo spam. per maggiori informazioni su Procmail o SpamAssassin, leggete la loro documentazione con man procmail e perldoc Mail::SpamAssassin o i rispettivi siti web http://www.procmail.org e http://www.spamassassin.org.

9.  Partenze, Arrivi e Cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

• nessuno per questa settimana

Arrivi

I seguenti sviluppatori sono recentemente entrati a far parte del team di Gentoo:

• nessuno per questa settimana

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato incarico all'interno del progetto Gentoo:

• nessuno per questa settimana

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email.

11.  Commenti a GWN

Mandateci i vostri commenti e aiutateci a rendere GWN migliore.

12.  Altre lingue

La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:

• Danese
• Francese
• Giapponese
• Inglese
• Italiano
• Portoghese (Brasile)
• Portoghese (Portogallo)
• Spagnolo
• Tedesco