Gentoo Weekly Newsletter: 6 Ottobre 2003

1.  Gentoo News

Indice

• Indici di Performance di Gentoo Linux.

Indici di Performance di Gentoo Linux.

Il 23 Settembre 2003 Jose Alberto Suarez Lopez ha esposto una presentazione presso HispaLinux 2003 in cui ha dimostrato la brillantezza del tempo di caricamento della versione 1.4 di Gentoo. Gentoo Linxu 1.4 per Pentium III, con e senza prelink è stata messa a confronto con una installazione di default di una Mandrake 9.1 sempre su Pentium III. I risultati hanno dimostrato che Gentoo Linux 1.4 con prelink ha superato in performance Mandrake 9.1 in tutti i test e anche senza prelinking Mozilla si è caricato nella metà del tempo in Gentoo e NetBeans più del doppio più velocemente.

Le conclusioni che possiamo evincere sono che le ottimizzazioni di default per Pentium III di Gentoo Linux fanno differenze apprezabili nel tempo di caricamento delle applicazioni più comuni. Inoltre i prelinking sembra aumentare notevolmente la velocità di caricamento delle applicazioni KDE. Gentoo Linux in generale è in grado di fornire una migliore performance nel caricamento perchè cerchiamo di offrire ai nostri utenti le ultime e le migliori tecnologie in fatto di software, come le ultime aggiunte per i compilatori e perchè forniamo pacchetti binari precompilati ottimizzandoli per specifici modelli di CPU (offriamo anche un semplice metodo per compilare Gentoo da zero). Per ulteriori informazioni leggete il resto della ricerca. Per ottenere l'ultima version ottimizzata di Gentoo visitate Gentoo Store.

2.  Gentoo Security

Indice

• GLSA: teapop
• GLSA: mpg123
• GLSA: net-ftp/proftpd
• GLSA: media-video/mplayer
• GLSA: openssl

GLSA: teapop

Descrizione:

teapop presenta una sql injection nel modulo di autenticazione postgresql e mysql.

• Gravità: Alta - sql injection, exploit remoto.
• Versioni Vulnerabili: precedenti a teapop-0.3.7
• Soluzione: emerge sync; emerge teapop; emerge clean
• GLSA Announcement

GLSA: mpg123

Descrizione:

mpg123 contiene un overflow basato sullo heap che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sulla macchina della vittima.

• Gravità: Alta - buffer overflow.
• Versioni Vulnerabili: precedenti a 0.59r-r3
• Soluzione: emerge sync; emerge mpg123; emerge clean
• GLSA Announcement

GLSA: net-ftp/proftpd

Descrizione:

ISS X-Force ha scoperto una vulnerabilità che potrebbe rendersi pericolosa nel momento in cui un file creato ad arte venisse uploadato ad un server proftpd.

• Gravità: Alta - Vulnerabilità su file ASCII remoto.
• Versioni Vulnerabili: precedenti a net-ftp/proftpd-1.2.9_rc2
• Soluzione: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
• GLSA Announcement

GLSA: media-video/mplayer

Descrizione:

E' stato trovato un buffer overflow sfruttabile da remoto in MPlayer. Un host malizioso potrebbe creare un header ASX dannoso e costringere MPlayer ad eseguire codice arbitrario nel parsing dell'header.

• Gravità: Alta - Buffer Overflow
• Versioni Vulnerabili: precedenti a mplayer-0.91 =mplayer-1.0_pre1
• Soluzione: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
• GLSA Announcement

GLSA: openssl

Dall'advisory:

"1. Alcune codifiche ASN.1 che vengono rifiutate come scorrette dal parser possono causare un bug nella deallocazione della corrispondente struttura dati corrompendo lo stack. Questo effetto può essere usato come Denial Of Service. Non è noto se l'attacco possa essere utilizzato per eseguire codice malizioso. Questo problema non riguarda OpenSSL 0.9.6.

2. Valori insoliti del tag ASN.1 possono causare in alcune circostanze letture oltre i limiti causando Denial Of Service.

3. Una chiave pubblica creata male in un certificato causerà il crash del codice di verifica se è stato impostato per ignorare gli errori di decodifica della chiave pubblica. Gli errori di decodifica della chiave pubblica di norma non vengono ignorati a parte per fini di debug, quindi il problema non dovrebbe riguardare ambienti di produzione. Lo sfruttamento di questo problema potrebbe portare ad un Denial Of Service.

4. A causa di un errore nella gestione del protocollo SSL/TSL un server analizzerà il certificato di un client anche quando non è specificatamente richiesto. Questo non è proprio una vulnerabilità ma significa che tutti i server SSL/TSL che usano OpenSSl possono essere attaccati utilizzando le vulnerabilità 1, 2 e3 anche se non venisse abilitata l'autenticazione del client."

• Gravità: Media - exploit remoto
• Versioni Vulnerabili: precedenti a 0.9.6k
• Soluzione: emerge sync; emerge openssl; emerge clean
• GLSA Announcement

Ultime segnalazioni di vulnerabilità

Nell'ultima settimana sono state segnalate le seguenti vulnerabilità:

• Apache 2.0.47 & mod_cgi: denial of service

3.  Lo sviluppatore della settimana

Thomas Raschbacher

Figura 3.1: Thomas Raschbacher

Questa settimana vi parliamo di Thomas Raschbacher (LordVan), la mente del Gentoo's printing team e spesso contributore di correzioni ed ebuild per python e DVB. Dà anche una mano al team di traduzione Tedesco, inclusa la gestione della nostra amata GWN. Il suo lavoro consiste principalmente nello svilppare nuovi ebuild e nel correggere quelli già esistenti. Oltre al suo lavoro per Gentoo, Thomas ha fornito numerose traduzioni al progetto Gnome e diverse patch per Twisted, oltre che qualche lavoretto per progetti più piccoli. E' molto orgoglioso del lavoro di sviluppo web che ha realizzato con Twisted, e pensa di renderlo open source.

Thomas ha a che fare con Linux ormai da parecchio tempo, avendo iniziato ad usare una Slackware nel 1996. E' passato a Gentoo subito dopo averne sentito parlare, nell'Agosto 2002. Thomas è diventato uno sviluppatore della distribuzione nel Dicembre di quell'anno, dopo (come dice lui stesso) "essere stato troppo fastidioso a causa dei suoi ebuild e delle sue correzioni inviate" a Seemant Kulleen. Thomas descrive Gentoo come una "dannatamente bella distribuzione per la quale vorrei poter fare di più".

Thomas vive Judenau-Baumgarten, nel Sud dell'Austria. Ha completato gli studi di Technical Informatics alla Higher Technical School e la sua Matura (equivalente del nostro Diploma di Maturità). Lavora in proprio e si occupa di consulenze per acquisto di computer, web design e supporto Linux. E' un appassionato di arti marziali, e attualmente si dedica al Ninjutsu (oltre a studiare Giapponese). Gli piacciono le classiche serie amate dai geek, come Star Trek, Anime e Manga. Proprio per questo, la sua citazione preferite è tratta dal classico Anime End of Evangelion (una conversazione fra i personaggi di Shinji e Rei): "Then... where is my dream? It is the continuation of reality. Where is... my reality? It is at the end of your dream. (Dunque --- dov'è il mio sogno? E' la continuazione della realtà. Dov'è ... la mia realtà? E' alla fine del tuo sogno) ". Infine, Thomas è assiduo organizzatore e partecipante di LAN party.

Thomas lavora principalmente su un server Celeron, una workstation di sviluppo e un web server di produzione. Inoltre, ha un laptop, un palmare Zaurus, nonchè workstation e server di test assortiti. I suoi strumenti di sviluppo principali includono python, sed e grep. Comunica con usando mutt, MozillaFirebird, Xchat-2 e MozillaThunderbird. Gli piace molto anche gnotime, un completo strumento per la gestione dei progetti. Come molti di noi, al risveglio, come prima cosa, controlla la posta.

4.  Sentito nella comunità

Gli ultimi giorni di PHP

I giorni in cui c'erano solo poche migliaia di utenti del forum era un momento di divertimento quando apparivano triplette o più dello stesso post. Ma in questi giorni la causa per i post multipli (volgarmente: postorrhea) erano le lente risposte del database quando qualcuno pemeva il tasto di invio in condizioni di pesante traffico, e si, post multipli possono capitare anche se si preme il tasto una volta sola. Mentre i moderatori del forum tedesco, per cercare di alleviare il carico almeno un poco, hanno seriamente chiesto di far notare duplicati, post inutili, molto vecchi e senza risposta che potrebbero essere cancellati senza far male a nessuno, i difficilmente sopportabili problemi di prestazioni hanno indotto l'amministratore del sito klieber ad avviare una discussione apera a proposito di possibili alternative al software corrente del forum, phpBB, sollecitando opinioni a proposito di pacchetti commerciali come potenziale rimpiazzo:

• Migrating to a commercial PHP-based forums package
• Ablösung von phpBB? Boardprobleme und Co.(in German)

Portage nella Rete

Con stable.gentoo.org archiviato, e il package database nel sito di Gentoo in un qualche modo reticente quando si parla di commenti e stato dei pacchetti, thrasher6670 ha avuto l'idea di mettere su un sito semi-automatizzato, ma interattivo tenendo traccia del contenuto del Portage tree e offrendo la possibilità agli utenti di aggiungere impressioni per ciascun pacchetto. Da quello che ha detto lui stesso nella thread che ha iniziato (ripetuto nel sito), thrasher6670 potrebbe aver bisogno di una mano per il web design...

• Portage website (the thread)
• Portage website (the site)

GWN non-inglese via mail

Si, è possibile, perfino senza le mailing list per le singole lingue. Grazie a Ginko per il suo piccolo script Perl che scarica automaticamente, converte e spedisce le copie fresche della GWN appena appiono nel sito di Gentoo:

• GWN automagically sent to your Mailbox

gentoo-user

Benchmarking/tweaking della scheda video

Volete giocare all'ultimo FPS sulla vostra ATI/Nvidia? Potreste essere interessati a testing and configuring AGPGART .

FileManager peso-piuma per Gentoo

Molti utenti sono attratti da Gentoo perchè offre un tipo di soluzione peso-piuma, "solo ciò che vuoi" per i loro bisogni. Allo stesso modo ad alcuni utenti piace avere lo stesso tipo di desktop. Date un'occhiata a questa thread per un po' di suggerimenti di alcuni di essi.

gentoo-dev

La grande caccia al bug di Gentoo!

Non preoccupatevi di cercare per uova di pasqua a pasqua, cominciate a cercare pe alcuni dei bug di Gentoo e vincete dell'hardware! Siete interessati a diventare un maestro di caccia al bug per Gentoo? Date un'occhiata qui per le linee guida, e cominciate a schiacciarli!

5.  Gentoo International

Germania: Ricordi per gli eventi di questa settimana

I gentooisti dell'area di Francoforte sono riusciti ad infiltrare il loro meeting dopo la GWN: Era stato annunciato, tenuto e oltre prima che abbiamo letto la thread nel forum corrispondente... ma la settimana tedesca più impegnativa di quest'anno sta per cominciare, e ci piacerebbe ricordarlo a chiunque nella zona questa volta:

• 8 October: Ruhrgebiet Gentoo User Meeting in Oberhausen(precise location description at the link)

• 9 October: Köln/Bonn Gentoo User Meeting in Bonn

• 11 October: Practical Linux Day in Gießen(featuring a Gentoo booth and presentation)

6.  Portage Watch

Portage Watch is on hiatus this week.

7.  Bugzilla

Sommario

• Statistiche
• Classifica dei bug chiusi
• Classifica dei nuovi bug

Statistiche

La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo.Tra il 19 Settembre 2003 e il 25 Settembre 2003, l'attività sul sito è stata:

• 496 nuovi bug durante questo periodo
• 464 bug chiusi durante questo periodo
• 13 bug precedentemente chiusi sono stati riaperti

Degli attuali 4140 bug aperti: 92 sono classificati come 'bloccanti', 196 sono classificati come 'critici', e 335 sono classificiati come 'primari'.

Classifica dei bug chiusi

Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo:

• George Shapovalov, con 37 bug chiusi
• Gentoo Linux Gnome Desktop Team, con 26 bug chiusi
• PHP Bugs Team, con 22 bug chiusi
• Gentoo Games, con 20 bug chiusi
• Gentoo Sound Team, con 14 bug chiusi

Classifica dei nuovi bug

Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:

• Portage team, con 25 nuovi bug
• Martin Schlemmer, con 13 nuovi bug
• Gentoo Linux Gnome Desktop Team, con 11 nuovi bug
• x86 Kernel Team, con 10 nuovi bug
• Gentoo Sound Team, con 9 nuovi bug

8.  Tips and Tricks

Usare qpkg

Il trucco di questa settimana vi mostra alcuni usi d base di "query package" (qpkg) che vi permette di ottenere informazioni sui pacchetti installati e disinstallati sul vostro sistema. Pu essere usato pertrovare quale pacchetto possiede un determinato file, per trovare pacchetti duplicati, ottenere la lista dei file installat da un pacchetto, e molto altro.

Per ottenere qpkg avete bisogno di installare app-portage/gentoolkit.

# emerge app-portage/gentoolkit
  

Ora che avete installato qpkg, potete iniziare ad usarlo per esaminare il vostro sistema. Il primo esempio è di vedere quale pacchetto possiede un determinato file. Questo si fa con l'opzione --find-file (o in alternativa --find-pattern.

(Quale pacchetto possiede /etc/crontab?)
% qpkg --find-file /etc/crontab
sys-apps/vcron *

(Che versione di vcron? (--verbose))
% qpkg --find-file --verbose /etc/crontab
sys-apps/vcron-3.0.1-r1 *

(Dov'è l'ebuild per questo file? (--verbose --verbose))
% qpkg --find-file --verbose --verbose /etc/crontab
   /var/db/pkg/sys-apps/vcron-3.0.1-r1/vcron-3.0.1-r1.ebuild
sys-apps/vcron-3.0.1-r1 *
  

Per avere la lisrta di tutti i file che installa un pacchetto, usate l'opzione --list.

% qpkg --list units
(La directory viene omessa per brevità)
app-sci/units-1.74 *
CONTENTS:
/usr/bin/units
/usr/share/doc/units-1.74
/usr/share/doc/units-1.74/README.gz
/usr/share/doc/units-1.74/NEWS.gz
/usr/share/doc/units-1.74/INSTALL.gz
/usr/share/doc/units-1.74/COPYING.gz
/usr/share/doc/units-1.74/ChangeLog.gz
/usr/share/man/man1/units.1.gz
/usr/share/info/units.info.gz
/usr/share/units/units.dat
  

L'ultimo esempio vi mostra come trovare quale pacchetto dipende da uno specifico pacchetto usando --query-deps.

% qpkg --installed --query-deps mozilla
net-www/mozilla-1.4-r3 *
DEPENDED ON BY:
        net-mail/evolution-1.4.3
        net-www/galeon-1.3.9

Questo vi mostra come iniziare con qpkg. Per maggiori opzioni guardate qpkg --help o man 1 qpkg.

9.  Partenze, arrivi e cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:

• nessuno questa settimana

Arrivi

I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:

• Brad House (brad_mssw) -- amd64
• Joel Hillster (hillster) -- miscellanious ebuilds
• Rob Cakebread (pythonhead) -- python

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux:

• nessuno questa settimana

10.  Contribuite alla GWN

Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email.

11.  Commenti alla GWN

Mandateci i vostri commentie aiutateci a rendere la GWN migliore.

12.  Informazioni per l'Iscrizione alla GWN

Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org.

Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti.

13.  Altre lingue

La Gentoo Weekly Newsletter è anche disponibile nei seguenti linguaggi:

• Olandese
• Inglese
• Tedesco
• Francese
• Giapponese
• Italiano
• Polacco
• Portoghese (Brasile)
• Portoghese (Portogallo)
• Russo
• Spagnolo
• Turco