Gentoo Logo

Gentoo Weekly Newsletter: 6 Ottobre 2003

Indice:

1.  Gentoo News

Indice

Indici di Performance di Gentoo Linux.

Il 23 Settembre 2003 Jose Alberto Suarez Lopez ha esposto una presentazione presso HispaLinux 2003 in cui ha dimostrato la brillantezza del tempo di caricamento della versione 1.4 di Gentoo. Gentoo Linxu 1.4 per Pentium III, con e senza prelink è stata messa a confronto con una installazione di default di una Mandrake 9.1 sempre su Pentium III. I risultati hanno dimostrato che Gentoo Linux 1.4 con prelink ha superato in performance Mandrake 9.1 in tutti i test e anche senza prelinking Mozilla si è caricato nella metà del tempo in Gentoo e NetBeans più del doppio più velocemente.

Le conclusioni che possiamo evincere sono che le ottimizzazioni di default per Pentium III di Gentoo Linux fanno differenze apprezabili nel tempo di caricamento delle applicazioni più comuni. Inoltre i prelinking sembra aumentare notevolmente la velocità di caricamento delle applicazioni KDE. Gentoo Linux in generale è in grado di fornire una migliore performance nel caricamento perchè cerchiamo di offrire ai nostri utenti le ultime e le migliori tecnologie in fatto di software, come le ultime aggiunte per i compilatori e perchè forniamo pacchetti binari precompilati ottimizzandoli per specifici modelli di CPU (offriamo anche un semplice metodo per compilare Gentoo da zero). Per ulteriori informazioni leggete il resto della ricerca. Per ottenere l'ultima version ottimizzata di Gentoo visitate Gentoo Store.

2.  Gentoo Security

Indice

GLSA: teapop

Descrizione:

teapop presenta una sql injection nel modulo di autenticazione postgresql e mysql.

  • Gravità: Alta - sql injection, exploit remoto.
  • Versioni Vulnerabili: precedenti a teapop-0.3.7
  • Soluzione: emerge sync; emerge teapop; emerge clean
  • GLSA Announcement

GLSA: mpg123

Descrizione:

mpg123 contiene un overflow basato sullo heap che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sulla macchina della vittima.

  • Gravità: Alta - buffer overflow.
  • Versioni Vulnerabili: precedenti a 0.59r-r3
  • Soluzione: emerge sync; emerge mpg123; emerge clean
  • GLSA Announcement

GLSA: net-ftp/proftpd

Descrizione:

ISS X-Force ha scoperto una vulnerabilità che potrebbe rendersi pericolosa nel momento in cui un file creato ad arte venisse uploadato ad un server proftpd.

  • Gravità: Alta - Vulnerabilità su file ASCII remoto.
  • Versioni Vulnerabili: precedenti a net-ftp/proftpd-1.2.9_rc2
  • Soluzione: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
  • GLSA Announcement

GLSA: media-video/mplayer

Descrizione:

E' stato trovato un buffer overflow sfruttabile da remoto in MPlayer. Un host malizioso potrebbe creare un header ASX dannoso e costringere MPlayer ad eseguire codice arbitrario nel parsing dell'header.

  • Gravità: Alta - Buffer Overflow
  • Versioni Vulnerabili: precedenti a mplayer-0.91 =mplayer-1.0_pre1
  • Soluzione: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
  • GLSA Announcement

GLSA: openssl

Dall'advisory:

"1. Alcune codifiche ASN.1 che vengono rifiutate come scorrette dal parser possono causare un bug nella deallocazione della corrispondente struttura dati corrompendo lo stack. Questo effetto può essere usato come Denial Of Service. Non è noto se l'attacco possa essere utilizzato per eseguire codice malizioso. Questo problema non riguarda OpenSSL 0.9.6.

2. Valori insoliti del tag ASN.1 possono causare in alcune circostanze letture oltre i limiti causando Denial Of Service.

3. Una chiave pubblica creata male in un certificato causerà il crash del codice di verifica se è stato impostato per ignorare gli errori di decodifica della chiave pubblica. Gli errori di decodifica della chiave pubblica di norma non vengono ignorati a parte per fini di debug, quindi il problema non dovrebbe riguardare ambienti di produzione. Lo sfruttamento di questo problema potrebbe portare ad un Denial Of Service.

4. A causa di un errore nella gestione del protocollo SSL/TSL un server analizzerà il certificato di un client anche quando non è specificatamente richiesto. Questo non è proprio una vulnerabilità ma significa che tutti i server SSL/TSL che usano OpenSSl possono essere attaccati utilizzando le vulnerabilità 1, 2 e3 anche se non venisse abilitata l'autenticazione del client."

  • Gravità: Media - exploit remoto
  • Versioni Vulnerabili: precedenti a 0.9.6k
  • Soluzione: emerge sync; emerge openssl; emerge clean
  • GLSA Announcement

Ultime segnalazioni di vulnerabilità

Nell'ultima settimana sono state segnalate le seguenti vulnerabilità:

3.  Lo sviluppatore della settimana

Thomas Raschbacher


Figura 3.1: Thomas Raschbacher

Fig. 1: Thomas Raschbacher

Questa settimana vi parliamo di Thomas Raschbacher (LordVan), la mente del Gentoo's printing team e spesso contributore di correzioni ed ebuild per python e DVB. Dà anche una mano al team di traduzione Tedesco, inclusa la gestione della nostra amata GWN. Il suo lavoro consiste principalmente nello svilppare nuovi ebuild e nel correggere quelli già esistenti. Oltre al suo lavoro per Gentoo, Thomas ha fornito numerose traduzioni al progetto Gnome e diverse patch per Twisted, oltre che qualche lavoretto per progetti più piccoli. E' molto orgoglioso del lavoro di sviluppo web che ha realizzato con Twisted, e pensa di renderlo open source.

Thomas ha a che fare con Linux ormai da parecchio tempo, avendo iniziato ad usare una Slackware nel 1996. E' passato a Gentoo subito dopo averne sentito parlare, nell'Agosto 2002. Thomas è diventato uno sviluppatore della distribuzione nel Dicembre di quell'anno, dopo (come dice lui stesso) "essere stato troppo fastidioso a causa dei suoi ebuild e delle sue correzioni inviate" a Seemant Kulleen. Thomas descrive Gentoo come una "dannatamente bella distribuzione per la quale vorrei poter fare di più".

Thomas vive Judenau-Baumgarten, nel Sud dell'Austria. Ha completato gli studi di Technical Informatics alla Higher Technical School e la sua Matura (equivalente del nostro Diploma di Maturità). Lavora in proprio e si occupa di consulenze per acquisto di computer, web design e supporto Linux. E' un appassionato di arti marziali, e attualmente si dedica al Ninjutsu (oltre a studiare Giapponese). Gli piacciono le classiche serie amate dai geek, come Star Trek, Anime e Manga. Proprio per questo, la sua citazione preferite è tratta dal classico Anime End of Evangelion (una conversazione fra i personaggi di Shinji e Rei): "Then... where is my dream? It is the continuation of reality. Where is... my reality? It is at the end of your dream. (Dunque --- dov'è il mio sogno? E' la continuazione della realtà. Dov'è ... la mia realtà? E' alla fine del tuo sogno) ". Infine, Thomas è assiduo organizzatore e partecipante di LAN party.

Thomas lavora principalmente su un server Celeron, una workstation di sviluppo e un web server di produzione. Inoltre, ha un laptop, un palmare Zaurus, nonchè workstation e server di test assortiti. I suoi strumenti di sviluppo principali includono python, sed e grep. Comunica con usando mutt, MozillaFirebird, Xchat-2 e MozillaThunderbird. Gli piace molto anche gnotime, un completo strumento per la gestione dei progetti. Come molti di noi, al risveglio, come prima cosa, controlla la posta.

4.  Sentito nella comunità

Gli ultimi giorni di PHP

I giorni in cui c'erano solo poche migliaia di utenti del forum era un momento di divertimento quando apparivano triplette o più dello stesso post. Ma in questi giorni la causa per i post multipli (volgarmente: postorrhea) erano le lente risposte del database quando qualcuno pemeva il tasto di invio in condizioni di pesante traffico, e si, post multipli possono capitare anche se si preme il tasto una volta sola. Mentre i moderatori del forum tedesco, per cercare di alleviare il carico almeno un poco, hanno seriamente chiesto di far notare duplicati, post inutili, molto vecchi e senza risposta che potrebbero essere cancellati senza far male a nessuno, i difficilmente sopportabili problemi di prestazioni hanno indotto l'amministratore del sito klieber ad avviare una discussione apera a proposito di possibili alternative al software corrente del forum, phpBB, sollecitando opinioni a proposito di pacchetti commerciali come potenziale rimpiazzo:

Portage nella Rete

Con stable.gentoo.org archiviato, e il package database nel sito di Gentoo in un qualche modo reticente quando si parla di commenti e stato dei pacchetti, thrasher6670 ha avuto l'idea di mettere su un sito semi-automatizzato, ma interattivo tenendo traccia del contenuto del Portage tree e offrendo la possibilità agli utenti di aggiungere impressioni per ciascun pacchetto. Da quello che ha detto lui stesso nella thread che ha iniziato (ripetuto nel sito), thrasher6670 potrebbe aver bisogno di una mano per il web design...

GWN non-inglese via mail

Si, è possibile, perfino senza le mailing list per le singole lingue. Grazie a Ginko per il suo piccolo script Perl che scarica automaticamente, converte e spedisce le copie fresche della GWN appena appiono nel sito di Gentoo:

gentoo-user

Benchmarking/tweaking della scheda video

Volete giocare all'ultimo FPS sulla vostra ATI/Nvidia? Potreste essere interessati a testing and configuring AGPGART .

FileManager peso-piuma per Gentoo

Molti utenti sono attratti da Gentoo perchè offre un tipo di soluzione peso-piuma, "solo ciò che vuoi" per i loro bisogni. Allo stesso modo ad alcuni utenti piace avere lo stesso tipo di desktop. Date un'occhiata a questa thread per un po' di suggerimenti di alcuni di essi.

gentoo-dev

La grande caccia al bug di Gentoo!

Non preoccupatevi di cercare per uova di pasqua a pasqua, cominciate a cercare pe alcuni dei bug di Gentoo e vincete dell'hardware! Siete interessati a diventare un maestro di caccia al bug per Gentoo? Date un'occhiata qui per le linee guida, e cominciate a schiacciarli!

5.  Gentoo International

Germania: Ricordi per gli eventi di questa settimana

I gentooisti dell'area di Francoforte sono riusciti ad infiltrare il loro meeting dopo la GWN: Era stato annunciato, tenuto e oltre prima che abbiamo letto la thread nel forum corrispondente... ma la settimana tedesca più impegnativa di quest'anno sta per cominciare, e ci piacerebbe ricordarlo a chiunque nella zona questa volta:

6.  Portage Watch

Portage Watch is on hiatus this week.

7.  Bugzilla

Sommario

Statistiche

La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo.Tra il 19 Settembre 2003 e il 25 Settembre 2003, l'attività sul sito è stata:

  • 496 nuovi bug durante questo periodo
  • 464 bug chiusi durante questo periodo
  • 13 bug precedentemente chiusi sono stati riaperti

Degli attuali 4140 bug aperti: 92 sono classificati come 'bloccanti', 196 sono classificati come 'critici', e 335 sono classificiati come 'primari'.

Classifica dei bug chiusi

Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo:

Classifica dei nuovi bug

Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:

8.  Tips and Tricks

Usare qpkg

Il trucco di questa settimana vi mostra alcuni usi d base di "query package" (qpkg) che vi permette di ottenere informazioni sui pacchetti installati e disinstallati sul vostro sistema. Pu essere usato pertrovare quale pacchetto possiede un determinato file, per trovare pacchetti duplicati, ottenere la lista dei file installat da un pacchetto, e molto altro.

Per ottenere qpkg avete bisogno di installare app-portage/gentoolkit.

Codice 8.1: Installare gentoolkit

# emerge app-portage/gentoolkit
  

Ora che avete installato qpkg, potete iniziare ad usarlo per esaminare il vostro sistema. Il primo esempio è di vedere quale pacchetto possiede un determinato file. Questo si fa con l'opzione --find-file (o in alternativa --find-pattern.

Nota: Per avere una lista completa dei pacchetti e la versione installata sulla vostra macchina usate il comando qpkg --installed --verbose.

Codice 8.2: Trovare il pacchetto che possiede un file

(Quale pacchetto possiede /etc/crontab?)
% qpkg --find-file /etc/crontab
sys-apps/vcron *

(Che versione di vcron? (--verbose))
% qpkg --find-file --verbose /etc/crontab
sys-apps/vcron-3.0.1-r1 *

(Dov'è l'ebuild per questo file? (--verbose --verbose))
% qpkg --find-file --verbose --verbose /etc/crontab
   /var/db/pkg/sys-apps/vcron-3.0.1-r1/vcron-3.0.1-r1.ebuild
sys-apps/vcron-3.0.1-r1 *
  

Per avere la lisrta di tutti i file che installa un pacchetto, usate l'opzione --list.

Codice 8.3: Lista di tutti i file installati da un pacchetto

% qpkg --list units
(La directory viene omessa per brevità)
app-sci/units-1.74 *
CONTENTS:
/usr/bin/units
/usr/share/doc/units-1.74
/usr/share/doc/units-1.74/README.gz
/usr/share/doc/units-1.74/NEWS.gz
/usr/share/doc/units-1.74/INSTALL.gz
/usr/share/doc/units-1.74/COPYING.gz
/usr/share/doc/units-1.74/ChangeLog.gz
/usr/share/man/man1/units.1.gz
/usr/share/info/units.info.gz
/usr/share/units/units.dat
  

L'ultimo esempio vi mostra come trovare quale pacchetto dipende da uno specifico pacchetto usando --query-deps.

Codice 8.4: Trovare le dipendenze

% qpkg --installed --query-deps mozilla
net-www/mozilla-1.4-r3 *
DEPENDED ON BY:
        net-mail/evolution-1.4.3
        net-www/galeon-1.3.9

Nota: Non specificare --installed causa che qpkg guarda l'intero Portage tree che probabilmente non è quello che volete.

Questo vi mostra come iniziare con qpkg. Per maggiori opzioni guardate qpkg --help o man 1 qpkg.

9.  Partenze, arrivi e cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:

  • nessuno questa settimana

Arrivi

I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:

  • Brad House (brad_mssw) -- amd64
  • Joel Hillster (hillster) -- miscellanious ebuilds
  • Rob Cakebread (pythonhead) -- python

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux:

  • nessuno questa settimana

10.  Contribuite alla GWN

Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email.

11.  Commenti alla GWN

Mandateci i vostri commentie aiutateci a rendere la GWN migliore.

12.  Informazioni per l'Iscrizione alla GWN

Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org.

Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti.

13.  Altre lingue

La Gentoo Weekly Newsletter è anche disponibile nei seguenti linguaggi:



Stampa

Aggiornato il 6 Ottobre 2003

Oggetto: Questa è la Gentoo Weekly Newsletter per la settimana a partire dal 6 Ottobre 2003.

Yuji Carlos Kosugi
Editor

AJ Armstrong
Contributor

Brian Downey
Contributor

Cal Evans
Contributor

Chris Gavin
Contributor

Luke Giuliani
Contributor

Shawn Jonnet
Contributor

Michael Kohl
Contributor

Kurt Lieber
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Gerald J Normandin Jr.
Contributor

Ulrich Plate
Contributor

Mathy Vanvoorden
Dutch Translation

Hendrik Eeckhaut
Dutch Translation

Jorn Eilander
Dutch Translation

Bernard Kerckenaere
Dutch Translation

Peter ter Borg
Dutch Translation

Jochen Maes
Dutch Translation

Roderick Goessen
Dutch Translation

Gerard van den Berg
Dutch Translation

Matthieu Montaudouin
French Translation

Martin Prieto
French Translation

Antoine Raillon
French Translation

Sebastien Cevey
French Translation

Jean-Christophe Choisy
French Translation

Thomas Raschbacher
German Translation

Steffen Lassahn
German Translation

Matthias F. Brandstetter
German Translation

Lukas Domagala
German Translation

Tobias Scherbaum
German Translation

Daniel Gerholdt
German Translation

Marc Herren
German Translation

Tobias Matzat
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

Christian Apolloni
Italian Translation

Stefano Lucidi
Italian Translation

Yoshiaki Hagihara
Japanese Translation

Katsuyuki Konno
Japanese Translation

Yuji Carlos Kosugi
Japanese Translation

Yasunori Fukudome
Japanese Translation

Takashi Ota
Japanese Translation

Radoslaw Janeczko
Polish Translation

Lukasz Strzygowski
Polish Translation

Michal Drobek
Polish Translation

Adam Lyjak
Polish Translation

Krzysztof Klimonda
Polish Translation

Atila "Jedi" Bohlke Vasconcelos
Portuguese (Brazil) Translation

Eduardo Belloti
Portuguese (Brazil) Translation

João Rafael Moraes Nicola
Portuguese (Brazil) Translation

Marcelo Gonçalves de Azambuja
Portuguese (Brazil) Translation

Otavio Rodolfo Piske
Portuguese (Brazil) Translation

Pablo N. Hess -- NatuNobilis
Portuguese (Brazil) Translation

Pedro de Medeiros
Portuguese (Brazil) Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Bruno Ferreira
Portuguese (Portugal) Translation

Gustavo Felisberto
Portuguese (Portugal) Translation

José Costa
Portuguese (Portugal) Translation

Luis Medina
Portuguese (Portugal) Translation

Ricardo Loureiro
Portuguese (Portugal) Translation

Sergey Galkin
Russian Translator

Sergey Kuleshov
Russian Translator

Alex Spirin
Russian Translator

Dmitry Suzdalev
Russian Translator

Anton Vorovatov
Russian Translator

Denis Zaletov
Russian Translator

Lanark
Spanish Translation

Fernando J. Pereda
Spanish Translation

Lluis Peinado Cifuentes
Spanish Translation

Zephryn Xirdal T
Spanish Translation

Guillermo Juarez
Spanish Translation

Jesús García Crespo
Spanish Translation

Carlos Castillo
Spanish Translation

Julio Castillo
Spanish Translation

Sergio Gómez
Spanish Translation

Aycan Irican
Turkish Translation

Bugra Cakir
Turkish Translation

Cagil Seker
Turkish Translation

Emre Kazdagli
Turkish Translation

Evrim Ulu
Turkish Translation

Gursel Kaynak
Turkish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.