Gentoo Logo

Gentoo Weekly Newsletter: 24 Febbraio 2003

Indice:

1.  Gentoo News

Summary

Gentoo si allea con NeTraverse

Il progetto Gentoo ha recentemente raggiunto un accordo con NeTraverse per offrire Win4Lin ad un prezzo ridotto per gli utenti Gentoo. Win4Lin consente di far girare le applicazioni per Windows senza diminuzione di performance e può far coestistere la stabilità di Linux con il grande numero di applicazioni disponibili per Windows.

Gli utenti Gentoo che acquisteranno la Gentoo Edition di Win4Lin potranno usufruire di uno sconto di 10$ sugli 89.99$ del prezzo corrente. Inoltre ogni acquisto aiuterà lo sviluppo di Gentoo Linux. Esiste anche una versione di prova per 30 giorni di Win4Lin disponibile nel Portage tree.

Gentoo 1.4 si avvicina

In Gennaio avevamo scritto di come Gentoo Linux 1.4_rc3 fosse atteso per il 14 Gennaio in linea con il programma steso secondo il nuovo Formal Release Process. Ovviamente questa versione non è ancora uscita e sia utenti che sviluppatori hanno avuto modo di lamentarsi dei continui ritardi, il Portage Tree vecchio e la confusione generale che avvolge il processo di rilascio. Fortunatamente con la recente nomina di Brad Cowen come Gentoo Release Coordinator, il processo di rilascio sembra riguadagnare il tempo perso. Brad ha recentemente istruito il team di sviluppo Gentoo a proposito del rilascio della prossima release candidate 1.4_rc3:

Vorrei spendere un momento per rendere noto a tutti a che punto siamo arrivati. Si pensa di rilasciare la RC3 ufficiale giovedì 27. Questa release includerà gli stage preparati dai team per sparc, x86 e ppc. Il port x86 sarà una release limitata che includerà un unico set di stage per tutte le architetture e non saranno inclusi pacchetti del GRP.

Brad ha anche aggiunto che dopo il rilascio della rc3 si propone di seguire con precisione il processo formale di rilascio. Questo implica che, dopo la rc3, il Portage tree verrà riaperto per un periodo di due settimane e gli sviluppatori potranno stabilizzare i loro pacchetti.

Foto dal FOSDEM

Come già raccontato, Gentoo Linux era presente al FOSEDEM e l'evento è stato un successo in ogni sua parte. Come anche si è verificato a New York per LinuxWorld, molti dei visitatori non conoscevano ancora Gentoo Linux; è stata quindi una grande opportunità per fare in modo di diffondere il verbo di Gentoo in Europa, ma anche per incontrare tanti sviluppatori. Daniel Robbins ha anche avuto modo di parlare di free software con calma in compagnia di Richard Stallman. Ecco alcune delle foto dell'evento per coloro che non erano presenti:


Figura 1.1: Jack Morgan, Verwilst e Popsickle al Fosdem -- o una pubblicità della Coca Cola?

Fig. 1: Jack Morgan, Verwilst e Popsickle al Fosdem -- o una pubblicità della Coca Cola?


Figura 1.1: Wout Mertens e Daniel Robbins scoprono una singolarità quantistica

Fig. 1: Wout Mertens e Daniel Robbins scoprono una singolarità quantistica

2.  Gentoo Security

Indice

GLSA: webmin

Webmin contiene una vulnerabilità che potrebbe consentire acesso non identificato. Non sono stati segnalati exploit disponibili.

  • Gravità: Critica - Accesso remoto con privilegi di amministratore
  • Versioni vulnerabili: app-admin/webmin precedenti a webmin-1.070
  • Soluzione: emerge rsync, emerge -u webmin, emerge clean.
  • Advisory

GLSA: openssl

OpenSSL, tramite un apposito attacco man-in-the-middle e la misura dei tempi di rifiuto di un testo cifrato modificat, può consentire ad un attaccante di determinare che condizione ha determinato il rifiuto del testo. Questa informazione si presta ad un attacco che può provocare la compromissione del messaggio. L'attacco è stato dimostrato in teoria.

  • Gravità: Critica - Compromissione remota del testo cifrato
  • Versioni vulnerabili: dev-libs/openssl precedenti a openssl-0.96i o openssl-0.9.7a
  • Soluzione: emerge rsync, emerge -u openssl, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: bitchx

BitchX puà essere indotto in segmentation fault con un pacchetto modificato causando un attacco denial of service.

  • Gravità: Moderata - DOS remoto per unìa applicazione non critica.
  • Versioni vulnerabili: net-irc/bitchx precedenti a bitchx-1.0.19-r4
  • Soluzione: emerge rsync, emerge -u bitchx, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: mod_php

PHP 4.3.0 ha introdotto un errore che disabilita le opzioni cgi-security "--enable-force-cgi-redirect" e "cgi.force_redirect". Questo potrebbe permettere ad un attaccante di guadagnare l'accesso al filesystem con i privilegi dell'utente sotto cui viene fatto girare il modulo PHP per le CGI.

  • Gravità: Alta - Compromissione remota del filesystem
  • Versioni vulnerabili: dev-php/mod_php-4.3.0
  • Soluzione: emerge rsync, emerge -u mod_php, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: nethack

Nethack contiene una vulnerabilità buffer overflow che può consentire una scalata di privilegi da parte del giocatore fino all'uid del gioco. E' stato pubblicato un exploit. Il primo scopo dell'exploit sarebbe di modificare i punteggi e i file dei personaggi. In ogni caso ogni scalata di privilegi è un pericolo per la sicurezza e potrebbe essere pericoloso se l'uid di nethack ha accesso ad altre risorse.

  • Gravità: bassa - Scalata di privilegi in un gioco
  • Versioni vulnerabili: app-games/nethack precedenti a nethack-3.4.0-r6
  • Soluzione: emerge rsync, emerge -u nethack, emerge clean.
  • GLSA Announcement
  • Advisory

GLSA: w3m

Il browser w3m (un browser per console utilizzato ogni tanto in emacs) non riesce a interpretare correttamente i tag img nell'html. Questa vulnerabilità potrebbe essere sfruttata da una pagina web creata ad arte per accedere a file sulla macchina locale.

  • Gravità: Alta - Compromissione remota del filesystem
  • Versioni vulnerabili: net-www/w3m precedenti a w3m-0.3.2.2
  • Soluzione: emerge rsync, emerge -u w3m, emerge clean.
  • GLSA Announcement

GLSA: syslinux

Il bootloader syslinux presenta diversi problemi di sicurezza se fatto girare con privilegi di root. Il codice è stato modificato per utilizzare il pacchetto mtools per accedere al disco. Syslinux non dovrebbe essere fatto girare setuid.

  • Gravità: Alta - Compromissione dei privilegi di root.
  • Versioni vulnerabili: sys-apps/syslinux precedenti a syslinux-2.02
  • Soluzione: emerge rsync, emerge -u syslinux, emerge clean.
  • GLSA Announcement

GLSA: mailman

La pagina di errore di default nell'interfaccia web di mailman, un manager di mailing list, presenta una vulnerabilità cross-site scripting che può permettere l'esecuzione remota di codice coi privilegi del server.

  • Gravità: Alta - Esecuzione remota di codice.
  • Versioni vulnerabili: net-mail/mailman precedenti a mailman-2.1.1
  • Soluzione: emerge rsync, emerge -u mailman, emerge clean.
  • GLSA Announcement
  • Advisory

Ultimi bug di sicurezza

I seguenti bug di sicurezza sono stati segnalati questa settimana:

3.  Lo sviluppatore della settimana

John P. Davis


Figura 3.1: John P. Davis

Fig. 1: John P. Davis

John P. Davis, lo sviluppatore di questa settimana, è il coordinatore responsabile della squadra Documentazione di Gentoo Linux e amministratore del sistema Bugzilla di Gentoo. John che ha cominciato scrivendo il Gentoo Linux Printing HOWTO, adesso coordina sviluppatori e traduttori nell'ambito della documentazione e lavora su bugzilla per renderlo più utile possibile. Si vanta di come le sue modifiche arricchiscano bugzilla ed è entusiasta di vedere che la squadra di addetti alla documentazione si sta allargando e sviluppando. Per ora John ha collaborato solo al progetto Gentoo ma spera di aiutare anche qualche altro progetto Open in futuro.

John possiede una workstation che monta Athlon XP con RAID0 e un server Athlon che ospita uberdavis.com, il suo pupillo, al momento in ristruttorazione. Utilizza Enlightenment con il tema Aqua, Sylpheed per la posta elettronica e apprezza iconv, iptables, grep, sed, the GIMP e nmap. Durante il giorno John studia informatica al college Mount Union ad Alliance, Ohio, e lavora per l'help desk del suo college. Nel tempo libero passa il tempo con la sua ragazza Mary, beve bawls, gira in bicicletta in montagna, scia, ama le immersioni e la vita da college.

4.  news dalla Community

Web Forums

Lingue estere alla ribalta

Il messaggio è semplice: innanzitutto è necessario raggiungere la massa critica postando in un thread che misuri quante persone sono interessate ad un forum in lingua, poi sono necessarie le FAQ e qualche altro documento in lingua e infine si devono offrire uno o due moderatori; se dunque c'è una chiara dimostrazione dell'esistenza di una comunità consistente gli amministratori se ne accorgeranno. Gli italiani sono partiti gran bene la settimana scorsa e sono a buon punto; invece la comunità giapponese è abbstanza lontana dalla massa critica e ha bisogno di un po' di pubblicità prima che venga aperto un forum dedicato. La mancanza di interesse è sgradevole ma moltissimi dei partecipanti al canale IRC #gentoo-jp non hanno ancora una login sul forum...

Emulare l'impronunciabile

Il videogiocatori sono stati i primissimi a discutere su che emulatore o macchina virtuale sia la più adatta ad emulare Windows, ma far girare applicazioni Windows commerciali su Linux è diventato argomento comune dal momento in cui c'è stata la possibilità di introdurre il "desktop professionale" nei sistemi Open Source e si ha necessità di strumenti che ancora non vengono resi disponibili per Linux nativamente. Non c'è di certo mancanza di programmi per farlo, tra Wine, Plex86, Bochs ( la nuova versione 2.2 è fresca di settimana) nell'ambito gratuito e i i più potenti cugini commerciali come Crossover, WineX, Win4Lin e VMware resta solo l'imbarazzo della scelta. Ci si è scannato in gran flame sui compiti di ciascun emulatore, ma da un po' di tempo si discute su qualcosa di più concreto: come rendere il tutto funzionale. I forum dimostrano tutto questo movimento e NeTraverse si è addirittura proposta per una versione Gentoo del noto Win4Lin con un ingenete sconto!

Ancora un'altra architettura: Gentoo su MIPS

Settimana scorsa il solitamente calmo forum delle architetture alternative ha subito un ondata di gente che ha segnalato Gentoo Linux su SGI Indy e Indigo2. Dopo due mesi dall'ultima iniziativa di portare Gentoo su MIPS si registrano installazioni funzionanti su modelli basati su R4400 e R5500. Se siete in possesso di un Elan o un Extreme o addirittura un O2 e vi chiedete che altro, oltre ad Irix ci possa girare, entrate nel gruppo Indy nel nuovo canale IRC #gentoo-mips su irc.freenode.net e rispondete a questi thread:

gentoo-user

Problemi Hardware

mettere insieme componenti come condesatori mezzi rotti e CPU bollenti spesso può rendere complicato diagnosticare errori hardware. Sorseggiare caffè, chiudere gli occhi e individuare il componente difettoso è un gran metodo, ma potrebbe non funzionare se non siete maestri Jedi. Bruno Lustosa ha lamentato diversi errori di compilazione in diversi threads. sarà il BIOS? La memoria? La CPU? Il kernel malizioso? Dopo tanti suggerimenti, Bruno sembra vicino alla verità. Ernie Shroder in particolare ci ha ricordato un bell'articolo del grande unico Daniel Robbins. L'articolo è estremamente utile visto che Daniel ci guida nei meandri della diagnostica di problemi CPU e RAM in un sistema Linux.

RedHatismo

Alla richiesta di kivo, finalmente il tool epm è stato reso disponibile. EPM è pronto come ebuild (sys-apps/epm) con questa descrizione: un sistema tipo rpm per Gentoo. Dovrebbe servire ad una più facile trasizione da un sistema RedHat, facendo in modo che i RedHattisti si sentano a casa scrivendo 'epm -qf `which kivio'.

Ulteriore RedHatismo

C'è stata una discussioni estremamente estenuante a proposito del sistema init di Gentoo. In particolare sono stati al centro del sibattito i dettagli del sistema Gentoo rispetto ad altre implementazioni di SysV. C'era in gioco l'apparente richiesta di Phil Barnet di script di "astrazione", in particolare lo script "service", disponibile su altre distro. La controparte di Gentoo ha prodotto uno dei famosi rifiuti di Andrew Dacey, "Il punto fondamentale di Gentoo è di essere configurabile, quasi nulla viene imposto all'utente. Tenendo presente questo non dovrebbe essere incluso di default alcun livello di astrazione presente in altre distro o sistemi operativi anche se molto comuni". nel corso della discussione si è quindi pensato di rendere disponibili delle ebuild in questo senso.

gentoo-dev

GCC tra mito e realtà

Tom Eastman ha scritto un articolo molto chiaro sulle opzioni di compilazione del GCC orientato all'ottimizzazione..

RFC per gli utenti Gentoo Emacs

Matthew Kennedy ha annunciato in un messaggio alla mailing list che ha apportato una modifica al modo in cui Emacs viene installato nei sistemi Gentoo. Questo consentirà di presonalizzare Emacs ancora di più.

5.  Gentoo International

Convegni regionbali di utenti Gentoo

I gentooisti viennesi si sono dati appuntamento martedì 4 marzo 2003 alle 19 presso il Siebensternbräu in iebensterngasse 19, 1070 Vienna. Se siete liberi e in zona in quel periodo e volte eunirvi a loro comunicatelo rispondendo a questo thread nei forum. Intanto gli utenti della Geramania del nord stanno cercando un modo di vedersi quasta settimana dalle parti di Amburgo, ma non abbiamo avuto in tempo per la pubblicazione i dettagli. Anche loro comunque hanno un thread nei forum per organizzare l'appuntamento esatto.

Svenska Gentoo IRC Hemsida

http://gentoo.linux.se è il nuovissimo indirizzo web per gli svedesi; finora è solo una appendice web al noto canale IRC. Mostra le statistiche del canale IRC, alcuni profili degli utenti più affezionati e un pastebot per uploadare un file di configurazione o un messaggio di errore di una qualche ebuild e generare automaticamente un URL da incollare nel canale IRC #gentoo-se su irc.freenode.net.

Taskforce italiana per la documentazione

Mentre i sui connazionali sono al lavoro per la promozione di un forum italiano, Marco Mascherpa ha organizzato una mailing list dedicata ai traduttori italiani per collaborare nella traduzione dell'intera mole di documentazione Gentoo esistente e aggiornare le versioni italiane già in circolazione. Se il vostro italiano è all'altezza e siete disponibili ad aiutare contattate subito Marco.

6.  Portage Watch

I seguenti pacchetti stabili sono stati aggiunti a portage questa settimana

Nota: A causa dell'imminente rilascio della verione 1.4_final, l'albero di Portage è 'congelato'. Per questo, nessun pacchetto stabile è stato aggiunto questa settimana.

Aggiornamenti a pacchetti importanti

  • sys-apps/portage - portage-2.0.47-r2.ebuild;
  • gnome-base/gnome - gnome-2.2-r2.ebuild;
  • sys-kernel/* - aa-sources-2.4.21_pre4-r3.ebuild; development-sources-2.5.60-r2.ebuild; development-sources-2.5.61-r1.ebuild; development-sources-2.5.61.ebuild; development-sources-2.5.62.ebuild; gs-sources-2.4.21_pre4.ebuild; hppa-sources-2.4.20_p27.ebuild; lolo-sources-2.4.20.2_pre2.ebuild; redhat-sources-2.4.18.24.8.0.ebuild;
  • dev-db/mysql - mysql-4.0.10.ebuild;
  • dev-php/php - php-4.3.1.ebuild;
  • sys-devel/perl - perl-5.6.1-r11.ebuild;

7.  Bugzilla

Indice

Statistiche

La comunità  di Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. Negli ultimi 7 giorni, l'attività  sul sito è stata la seguente:

  • 294 nuovi bug questa settimana
  • 336 bug chiusi o risolti questa settimana
  • 8 bug precedentemente chiusi ed ora riaperti
  • 1796 bug totali attualmente classificati 'nuovi'
  • 558 bug totali attualmente assegnati agli sviluppatori
In Bugzilla ci sono attualmente 2411 bug aperti. Di questi: 46 sono classificati "bloccanti", 82 sono classificati "critici", e 171 sono classificati "primari".

Classifica dei bug chiusi

Gli sviluppatori ed i teams che questa settimana hanno chiuso il maggior numero di bug sono:

Classifica dei bug nuovi

Gli sviluppatori ed i teams a cui questa settimana è stato assegnato il maggior numero di bug sono:

8.  Trucchi e consigli

Mirror

Mentre cresce l'utenza di Gentoo una lamentela comune è la lentezza dei mirror primari. Molti nella community hanno risposto a questo aggiungendo ulteriori mirror per distribuire il carico. Dove dunque si trovano questi mirror? Un modo è di cercare sul sito presso http://www.gentoo.org/main/en/mirrors.xml. Un altro, più semplice è di usare il comodo strumento mirrorselect. MirrorSelect è una semplice interfaccia ncurses che vi consente di scegliere che mirror si vuole utilizzare per quella macchina.

MirrorSelect è disponibile in Portage e un semplice emerge è quindi tutto ciò che serve per instllarlo.

Codice 1.1: Installazione di MirrorSelect

# emerge mirrorselect

Per utilizzare MirrorSelect lanciate semplicemente il comando mirrorselect in un prompt e selezionate il vostro/i mirror preferito/i.

Codice 1.1: Utilizzo di MirrorSelect

# mirrorselect

Figura 1.1: Uso di MirrorSelect

Fig. 1: mirrorselect

Una volta che avete seleziuonato i mirror selezionate OK e il vostro /etc/make.conf verrà aggiornato coi nuovi mirror.

Codice 1.1

Selected: ftp://ftp.gtlib.cc.gatech.edu/pub/gentoo http://gentoo.oregonstate.edu http://distro.ibiblio.org/gentoo 
Mirrors set successfully

9.  Partenze, Arrivi e Cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

  • nessuno per questa settimana

Arrivi

I seguenti sviluppatori sono recentemente entrati a far parte del team di Gentoo:

  • Robert Coie (rac) -- perl, ricerca di bug
  • James Boddington (Aiken) -- Gentoo/SPARC, Gentoo/ARM
  • Jon Ellis (jje) -- affari di musica
  • Alastair Tse (liquidx) -- python, GNOME, Gentoo/ARM
  • Ken Nowack (antifa) -- Documentazione Gentoo

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato incarico all'interno del progetto Gentoo:

  • nessuno per questa settimana

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email.

11.  Commenti a GWN

mandateci i vostri commenti e aiutateci a rendere GWN migliore.

12.  Altre lingue

La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:



Stampa

Aggiornato il 24 Febbraio 2003

Oggetto: Questa è la Gentoo Weekly Newsletter per la settimana del 24 Febbraio 2003.

Kurt Lieber
Editor

AJ Armstrong
Contributor

Brice Burgess
Contributor

Yuji Carlos Kosugi
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Ulrich Plate
Contributor

Peter Sharp
Contributor

Mathy Vanvoorden
Dutch Translation

Tom Van Laerhoven
Dutch Translation

Roel Adriaans
Dutch Translation

Peter Dijkstra
Dutch Translation

Nicolas Ledez
French Translation

Guillaume Plessis
French Translation

Eric St-Georges
French Translation

John Berry
French Translation

Martin Prieto
French Translation

Michael Kohl
German Translation

Steffen Lassahn
German Translation

Matthias F. Brandstetter
German Translation

Thomas Raschbacher
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

Daniel Ketel
Japanese Translation

Yoshiaki Hagihara
Japanese Translation

Andy Hunne
Japanese Translation

Yuji Carlos Kosugi
Japanese Translation

Yasunori Fukudome
Japanese Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Bruno Ferreira
Portuguese (Portugal) Translation

Gustavo Felisberto
Portuguese (Portugal) Translation

Ricardo Jorge Louro
Portuguese (Portugal) Translation

Lanark
Spanish Translation

Rafael Cordones Marcos
Spanish Translation

Julio Castillo
Spanish Translation

Sergio Gómez
Spanish Translation

Pablo Pita Leira
Spanish Translation

Carlos Castillo
Spanish Translation

Tirant
Spanish Translation

Jaime Freire
Spanish Translation

Lucas Sallovitz
Spanish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.