Gentoo Weekly Newsletter: April 7th, 2003

1.  Gentoo News

Indice

• Ovviamente era uno scherzo
• Portage passa ad un nuovo formato più sicuro

Ovviamente era uno scherzo

Lo scorso numero che è stato appositamente ritardato di un giorno per essere pubblicato il 1 Aprile conteneva una storia riguardante l'adozione del formato RPM per la gestione dei pacchetti. I risultati di questo pesce d'aprile sono andati be oltre il previsto, forse anche troppo secondo alcuni. Inutile dire che era uno scherzo e che il team di sviluppo Gentoo non ha nessuna intenzione di abbandonare il formato ebuild come mezzo di gestione dei pacchetti.

E adesso smettetela di spedirci mail inferocite.

Portage passa ad un nuovo formato più sicuro

Nell'intento di aumentare la sicurezza di Gentoo Linux, il team di sviluppo di Portage sta iniziando a implementare alcune nuove feature in Portage che consentiranno l'introduzione di un maggiore livello di sicurezza nel sistema di gestione dei pacchetti e di distribuzione. Una delle prime feature che gli utenti gradiranno sarà il digest di ogni file coinvolto nel processo di merging, ad esempio ebuild, patch e sorgenti. Oltre ad offrire meggiore sicurezza questi digest saranno di aiuto per isolare e riconoscere ebuild o altri file non funzionanti sui vari mirror, sia di rsync che di sorgenti.

Il passo successivo del processo sarà di firmare i digest con una chiave GPG per garantire la non-repudiation. E' ancora in discussione nel team di sviluppo il come raggiungenere questo obiettivo nella maniera migliore, ma l'idea che va per la maggiore è che ogni sviluppatore firmi personalmente le sua ebuild e che poi una "superchiave" di Gentoo firmi tutte le chiavi degli sviluppatori per creare una rete sicura. Le chiavi degli sviluppatori saranno rese disponibili tramite i keyserver pubblici ma anche su www.gentoo.org.

L'obiettivo di ciò che è già stato denominato "Secure Portage" è di fornire un sistema di gestione dei pacchetti solido che garantisca sicurezza nel processo di installazione. Al momento non esistono riferimenti temporali per la realizzazione dell'intero sistema, ma la parte dei digest è già in fase di testing e il resto arriverà presto.

2.  Gentoo Security

Indice

• GLSA: sendmail
• GLSA: krb5 and mit-krb5
• GLSA: openafs
• GLSA: dietlibc
• Ultimi bug di sicurezza
• gentoo-security

GLSA: sendmail

Sendmail presenta un overflow dello stack nella fase di controllo degli indirizzi email. Questa vulnerabilità può essere sfruttata da remoto per eseguire un attacco DoS, ottenere il controllo del server sendmail o eseguire codice arbitrario con i privilegi del server (tipicamente root).

• Gravità: Critica - Accesso a root da remoto.
• Versioni vulnerabili: net-mail/sendmail precedenti a sendmail-8.12.9
• Rectification: emerge rsync, emerge sendmail, emerge clean.
• GLSA Announcement
• Advisory

GLSA: krb5 and mit-krb5

Sono state identificate vari vulnerabilità nelle implementazioni krb5 e mit-krb5 del protocollo di autenticazione Kerberos. Tra le altre esistono un buffer underrun che consente un attacco DoS sul demone di amministrazione di Kerberos, un attacco con testo in chiaro arbitrario e probloemi di buffer underrun e overrun che consentirebbero nomi e host particolari che potrrebbero essere usati per altri attacchi.

• Gravità: Criticaa - Compromissione dell'autenticazione.
• Versioni vulnerabili: app-crypt/krb5 precedenti a krb5-1.2.7-r2 e app-crypt/mit-krb5 precedenti a mit-krb5-1.2.7
• Soluzione: emerge rsync, emerge krb5 e/o mit-krb5, emerge clean.
• GLSA Announcement
• Advisory

GLSA: openafs

Una debolezza di crittografia in Kerberos 4 consente un attacco con testo arbitrario che consente di impersonare altri principals del realm. Il file system distribuito openafs utilizza Kerberos 4 ed è dunque vulnerabile all'attacco.

• Gravità: Critica - Compromissione dell'autenticazione.
• Versioni vulnerabili: net-fs/openafs precedenti a openafs-1.3.2-r1
• Soluzione: emerge rsync, emerge openafs, emerge clean.
• GLSA Announcement
• Advisory

GLSA: dietlibc

La funzione xdrmem_getbytes() compresa in dietlibc continete un overflow di intero che potrebbe essere utilizzato da un attaccante remoto per seguire una chiamata RPC che consentirebbe un exploit sul servizio vulnerabile.

• Gravità: Alta - Exploit remoto.
• Versioni vulnerabili: dev-libs/dietlibc precedenti a dietlibc-0.22-r1
• Soluzione: emerge rsync, emerge dietlibc, emerge clean.
• GLSA Announcement
• Advisory

Ultimi bug di sicurezza

Non ci sono nuovi bug di sicurezza questa settimana.

gentoo-security

Marcus Martin ha proposto una idea per includere una funzionalità "emerge security" per aggiornare automaticamente i pacchetti oggetto di GLSA. La discussione che ne è seguita è arrivata alla conclusione che non è una brutta idea (sebbene possa non essere banale da implementare) e la proposta è stata archiviata come bug #5835.

Chris Frey ha inviato uno script che fornisce un set di firme md5 sul server di portage principale per consentire agli utenti Gentoo di controllare l'autenticità delle ebuild. E' una proposta per tamponare il problema in attesa delle ebuild firmate. L'idea ha sollevato un po' di pareri e alcuni criticano il fatto che la soluzione potrebbe affollare i server e distrarre gli sviluppatori dalla realizzazione di una soluzione definitiva al problema. La discussione è stata conclusa da Nicholas Jones che ha puntualizzato che il problema è discutibile visto che la soluzione dovbrebbe essere incorporata in portage-2.0.47.

3.  Sviluppatore della settimana

Seth Chandler

Figura 3.1: Seth Chandler, aka sethbc

Tutti amano lamentarsi della lentezza di OpenOffice, ma è comunque una delle più complete e compatibili suite per ufficio esistenti. Lo sviluppatore di questa settimana, Seth Chandler, è responsabile dei pacchetti openoffice e openoffice-bin; inoltre mantiene keychain, scrive documentazione ed è anche uno dei tre leader del tem PPC. Il suo primo compito, correggere i bug di Openoffice, prenede la maggior parte del suo tempo, ma aiuta anche qua e la quando altri sviluppatori vengono a mancare. Seth ha iniziato ad utilizzare Gentoo circa due anni fa ed è stato invitato nel team di sviluppo Gentoo da Spanky che lo conosceva da scuola perchè c'era bisogno di qualcuno che si occupasse di OpenOffice. Tramite la sua collaborazione con Gentoo è diventato frequentatore abituale dei canali IRC e mailing list di OpenOffice; ha inoltre contribuito alla IssueZilla di OpenOffice perchè il carattere innovativo di Gentoo comporta anche che i problemi vengano rilevati prima qui che in altre distro.

Seth studia presso il Worcester Polytechnic Institute e frequenterà una delle tante facoltà di legge a cui è stato ammesso (Cornell, UGA, UConn, Emory, BU, Vanderbilt; deve ancora avere notizie da UVA e Yale). I suoi tre computer (un Dual P3, un Dual Athlon MP2100 e un Powerbook da quindici pollici) montano tutti Gentoo, sebbene Il Mac abbia un dual boot con MacOSX. Fa girare Waimea-cvs e qmail su tutte le macchine e le sue applicazioni preferite sono gaim-cvs, xchat-2, kmail, aterm, e gkrellm. Entrambe le sua macchine x86 hanno l'ultima versione del kernel che al momento dell'intervista era la 2.5.65-mm2.

Seth fa parte del team degli Atlanta Braves e lavora li da ormai quindici anni; suo padre è il medico della squadra. Dice che va a scuola solo quando non ci son partite.

4.  News dalla Community

Web Forums

Sempre aggiornatissimi!

Lo sviluppo del kernel di linux si sta dirigendo velocemente verso la versione 2.6 e parecchi thread nei forum denotano chiaramente che gli utenti Gentoo stanno seguendo lo sviluppo molto da vicino, con qualche piccolo problema a volte..

• development kernel 2.5.66 what works / doesn't work for you?
• Patches for mm-sources 2.5.66r3

Il miglior pesce d'aprile di sempre

Da primo link della lista si intuisce che i forum l'avevano già detto. Ma la minaccia dell'abbandono di Portage ha colpito nel vivo di molti appassionati e diversi utenti sono rimasti shockati per ore. hanno maledetto i monitor e imprecato verso amici e parenti, minacciando di cancellare il proprio portage tree prima del tempo; ci son cascati! E abbagliati dal timore che Gentoo passasse agli RPM solo qualcuno del forum Tedesco si è accorto della seconda notizia falsa dello scorso numero della GWN.

• No GWN today?
• Portage 2.1 moving to RPM
• emerge -> rpm? (German)
• Portage 2.1 e lsb (Italian)
• Gentoo basé sur les rpm ??? (French)

Gruppo di utenti Gentoo del New Jersey

Gli utenti Gentoo del New Jersey potrebbero essere interessati alla proposta di dweigert in Gentoo Chat di dare vita ad un gruppo di utenti Gentoo del New Jersey. Sembra che l'iniziativa si focalizzi sul New Jersey Centrale per adesso, ma tutti i residenti nello stato sono invitati. Date un'occhiata al thread per avere informazioni più precise sul date e luoghi:

• New Jersey Gentoo Users?

gentoo-user

Utilizzo aziendale di Gentoo?

Con più di 60 mail fino ad ora, il thread più affollato della settimana su gentoo-user tratta di (grandi) aziende che abbiano adottato Gentoo in un contento di produzione. Molti hanno risposto che non credono che Gentoo sia adatto alla produzione, visti i vari problemi che presentano le proprio configurazioni personali. Altri invece hanno segnalato che Gentoo si comporta bene in produzione, serverndo fino a 150000 client. Le opinioni ovviamente variano molto e in molti casi sono andate offtopic, ma la discussioni ha presentato alcune interessanti osservazioni a proposito dell'utilizzo di Gentoo in un contesto di produzione.

• Survey: Gentoo Corporate Usage?

Gestione dei pacchetti per software per cui non esiste ebuild

Jan Drugowitsch ha chiesto informazioni a proposito della gestione di pacchetti software non compresi in Portage. Le risposte sono state varie ed esaurienti, con indicazioni a vari progetti open source che potrebbero essere d'aiuto.

• Package management for non-ebuild software

gentoo-dev

Domanda a proposito della programmazione di Portage

Robin H. Johnson ha chiesto delucidazioni a proposito della disponibilità di documentazione sulle API del database di Portage ed è stato ben sorpreso quando gli è stato suggerito di scrivere python [RETURN] help() [RETURN] portage per entrare nell'help interattivo di Python.

Un equivalente per ACCEPT_KEYWORDS="~arch"?

Jani Monoses si chiedeva se esiste una comoda alternativa all'utilizzo del noioso ACCEPT_KEYWORDS="~arch" emerge package_name. Thomas M. Beaudry ha suggerito l'utilizzo degli alias di bash (man bash). Un altro Thomas ha proposto il suo alias alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'.

5.  Gentoo International

Un Meta-Progetto Francese per una Meta-Distribuzione

Gentoo France sta re-emergendo: Dopo la nascita di gentoofr.org lo scorso Luglio (e mantenendo buoni rapporti con precedenti progetti), una nuova organizzazione fondata da Baptiste Simon, Guillaume Morin e Mark Krauth chiamata frgentoo.net sta cercando di mettere assieme un po' di persone desiderose di aiutare per una nuova iniziativa di traduzioni in Francese della documentazione e dei tutorial di Gentoo, per organizzare canali IRC e mailing list, e più in generale di dare qualcosa in più rispetto alla media. Il nuovo club vuole fornire un ampio spettro di servizi legati a Gentoo Linux, in Francia, ed è determinato a darsi da fare sul serio sin dal primo giorno. Le elezioni per l'assegnamento delle posizioni da ricoprire all'interno di frgentoo si terranno alla fine del mese, la presentazione delle candidature per i ruoli di coordinatore e project leader chiuderà il giorno 11 Aprile, mentre le elezioni si svolgeranno tramite voto elettronico tra il 14 ed il 20 Aprile. Andate su alpha.gentoo.org per informazioni più dettagliate.

International Event Calendar

Mentre la comunità di Köln-Bonn community sta ancora discutendo pubblicamente l'agenda del loro primo meeting, negli US due eventi cominciano ad essere imminenti:

• USA: La University of Southern Mississippi in Hattiesburg ha organizzato un "Gentoo Saturday" il 12 Aprile. Le prestazioni del kernel in sviluppo e l'aiuto nella fase di installazione saranno al centro dell'evento, che si terrà nel campus Universitario nel Bobby Chain Technology Building, Stanza 202 dalle 10:00 alle 14:00. Leggete il corrispondente forum thread, ulteriori dettagli sono qui.
• USA: Se abitate in posti con nomi tipo Metuchen, Old Bridge o Hackensack, il primo meeting del New Jersey Gentoo Linux User Group potrebbe essere quello che stavate aspettando. L'allegro NJ-GLUG ha stabilito che il Cafe52, su Easton Avenue in New Brunswick, sarà il luogo designato per il loro primo incontro, il 16 Aprile alle 20:00. Il coordinamento di questo meeting è fatto in questo forum thread.
• Germaniail 14 Maggio è la data ufficiale per gli utenti Gentoo della regione di Köln/Bonn, e adesso anche stabilito un'ora (17:00) ed un luogo: Hellers Brauhaus, Roonstrasse. Comunicate agli la vostra intenzione di partecipare qui.

6.  Portage Watch

I seguenti pacchetti stabili sono stati aggiunti questa settimana a Portage

• app-games/tetrix : Un server GNU TetriNEThttp://tetrinetx.sourceforge.net/

Aggiornamenti a pacchetti importanti

• sys-apps/portage - portage-2.0.47-r13.ebuild;
• sys-kernel/* - gs-sources-2.4.21_pre6.ebuild; hardened-sources-2.4.20.ebuild; mm-sources-2.5.66-r2.ebuild; mm-sources-2.5.66-r3.ebuild; ppc-sources-2.4.20-r4.ebuild; selinux-sources-2.4.20-r3.ebuild; sparc-sources-2.4.20-r7.ebuild;

NNuove variabili USE

• debug - Agisce su configure e sui makefile per compilare per il debugging. L'effetto cambia a seconda dei pacchetti, ma in genere aggiungerà perlomeno -g a CFLAGS. Ricordati di settare anche FEATURES+=nostrip.
• emacs - Aggiunge il supporto per GNU Emacs

7.  Bugzilla

Indice

• Statistiche
• Classifica dei bug chiusi
• Classifica dei bug nuovi

Statistiche

La comunità  di Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs, notifiche, suggerimenti e altre interazioni con il team di sviluppo. Negli ultimi 7 giorni, l'attività sul sito è stata la seguente:

• 288 nuovi bug questa settimana
• 751 bug chiusi o risolti questa settimana
• 3 precedentemente chiusi ed ora riaperti
• 2386 bug totali attualmente classificati come 'nuovi'
• 450 bug totali assegnati agli sviluppatori

Attualmente in Bugzilla ci sono 2895 aperti. Di questi: 63 sono classificati 'bloccanti', 107 sono classificati 'critici', sono 227 sono classificati'primari'.

Classifica dei big chiusi

Gli sviluppatori e i team che questa settimana hanno chiuso il maggior numero di bug sono:

• The Gnome Team, con 64 bug chiusi
• Daniel Robbins, con 29 bug chiusi
• Nick Hadaway, con 28 bug chiusi
• George Shapovalov, con 26 bug chiusi
• Martin Schlemmer, con 21 bug chiusi
• Martin Holzer, con 21 bug chiusi

Classifica dei bug nuovi

Gli sviluppatori e i team a cui questa settimana è stato assegnato il maggior numero di bug sono:

• Nick Hadaway, con 23 nuovi bug
• Martin Schlemmer, con 19 nuovi bug
• The x86-kernel Team, con 17 nuovi bug
• Matthew Kennedy, con 16 nuovi bug
• Bob Johnson, con 15 nuovi bug

8.  Consigli e trucchi

Cambiare gli attributi dei file

Il tip di questa settimana spiega come usare chattr per mantenere sicuri alcuni importanti file di sistema. Il comando "change attribute", o chattr, può essere usato per aggiungere o cambiare gli attributi dei file relativi a aggiornamenti sincroni, sicurezza dei file più stretta, eccetera. Tuttavia, questo comando è disponibile solo su partizioni ext2 e ext3.

Qui sotto è riportata una lista degli attributi più comuni, e i relativi flag. Per una lista più completa leggete man chattr.

• (A) Non aggiornare atime
• (S) Aggiornamento sincrono
• (a) Solo concatenamento
• (d) No dump
• (i) 'Immutable'
• (j) Data journalling
• (t) No tail-merging

Innanzitutto assicuratevi che chattr sia installato, emergendo e2fsprogs.

# emerge e2fsprogs

Per settare gli attributi di un file, usate il comando chattr mentre per visualizzare gli attributi, utilizzate il comando lsattr

(Imposta il bit 'immutable' su un file in modo che non possa essere né modificato né cancellato)
# chattr +i myfile
# lsattr myfile
----i-------- myfile
(Testiamo il flag 'immutable' cercando di cancellare il file)
# rm myfile
rm: cannot remove `myfile': Operation not permitted
(Impostiamo myfile in modalità 'solo concatenamento')
# chattr +a myfile
# lsattr myfile
-----a------- myfile
# echo testing > myfile
myfile: Operation not permitted
# echo testing >> myfile
(nessun errore - il file è stato concatenato)

Questi attributi sono utili, ad esempio, per assicurarsi che alcuni file importanti non siano accidentalmente candellati. Ricordate che nemmeno root può cancellare un file con gli attributi 'immutable' o 'append-only' senza prima rimuovere esplicitamente questi attributi. L'uso di questi flag sui file /etc/passwd o /etc/shadow li mette al sicuro da un accidentale rm -f e oltretutto assicura che con un exploit non possano essere creati nuovi account. Mantere dei file 'append-only' implica che, una volta scritti, i dati che contengono non possono essere cancellati. I log sono ottimi candidati a questo utilizzo, in modo che non possano essere alterati. Con chattr e lsattr, avete dunque dei nuovi strumenti per mantenere sicuro il vostro sistema.

9.  Partenze, arrivi e cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team di Gentoo:

• Peter Brown (rendhalver)

Arrivi

I seguenti sviluppatori si sono recentemente uniti al team di Gentoo:

• Makoto Yamakura (yakina) -- Japanese documentation
• Peter Bilitch (hsinhsin) -- Gentoo documentation
• John Mylchreest (johnm) -- Gentoo documentation
• Joe Kallar (blademan) -- Sparc documentation
• Ashton Mills (martigen) -- Gentoo documentation
• Thomas Pedley (shallax) -- Gentoo xbox
• Robin Johnson (robbat2) -- ufed, mysql, php

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux:

• nessuno per questa settimana

10.  Contribuisci a GWN

Ti interessa contribuire alla Gentoo Weekly Newsletter? Mandaci una email.

11.  Commenti a GWN

Mandateci i vostri commenti e aiutateci a rendere GWN migliore.

12.  Altre lingue

La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:

• Danese
• Francese
• Giapponese
• Inglese
• Italiano
• Portoghese (Brasile)
• Portoghese (Portogallo)
• Spagnolo
• Tedesco