Gentoo Weekly Newsletter: 24 Novembre 2003

1.  Gentoo News

Indice

• Rapporto sull'incontro dei manager Gentoo del 17 Novembre 2003
• Aggiornamento del desktop Gentoo

Rapporto sull'incontro dei manager Gentoo del 17 Novembre 2003

Sono stati pubblicati sulla pagina dei Gentoo Managers' Meetings il log e il riassunto dell'incontro di settimana scorsa. Durante l'incontro sono state discusse tre questioni: innanzitutto Daniel Robbins ha parlato di Catalyst, un nuovo sistema per costruire LiveCD e stage. Catalyst, che è una riscrittura del vecchio codice per produrre i pacchetti dei vari stage1, stage2 e stage3, sarà un unico programma modulare in grado di produrre con affidabilità e predicibilità gli stage, i LiveCD e i set di pacchetti binari per tutte le architetture; poi Sven Vermeulen ha annunciato che la sezione riguardante l'installazione del Gentoo Handbook è pronto per gli utenti; infine il responsabile dell'infrastruttura Kurt Lieber ha chiesto che cosa si facesse per facilitare il controllo della qualità in Gentoo, gli ha risposto Seemant Kulleen dicendo che releng si se ne sta occupando tramite lo sviluppo di Catalyst e strumenti simili e inoltre si stavano discutendo ulteriori idee in #gentoo-qa.

Aggiornamento del desktop Gentoo

Stato attuale

Durante le ultime settimane è stato svolto un po' di lavoro riguardante il mondo desktop di Gentoo. Un gruppo di sviluppatori del team Gentoo Desktop si sono organizzati per assicurare ogni pacchetto relativo al desktop sia mantenuto costantemente. Questo gruppo ha iniziato creando herd (collezioni di ebuild simili gestite da un gruppo di sviluppatori), aggiornando vecchi pacchetti alle ultime versioni e testandoli per poi renderli stabili. Al momento sono in lavorazione x11-misc, x11-wm e x11-plugins.

Chi vuol essere uno sviluppatore Gentoo?

Siamo alla ricerca di almeno due persone esperte da dedicare a questo scopo. Il team KDE ha bisogno di aiuto e gradirebbe un volontario in grado di dare una mano. Anche il gruppo di gnustep che comprende gnustep, afterstep, windowmaker e altre applicazioni relative è abbastanza statico e avrebbe bisogno di una persona. Potrebbero rendersi disponibili altri posti, non esitate quindi a contattare tseng su IRC nel canale #gentoo-desktop o inviare una mail a Brandon Hale.

Gli interessati dovrebbero essere preferibilmente utenti di Linux da molto tempo utilizzandolo come desktop. Sono richieste ampie capacità di risoluzione degli errori visto che i candidati lavoreranno anche per risolvere i bug segnalati dagli utenti. Viene inoltre gradita la familiarità con Bugzilla e CVS, si preferisce infine una buona conoscenza dell'inglese.

2.  Gentoo Security

GLSA: apache

Da http://httpd.apache.org/dev/dist/Announcement:

Questa versione di Apache è principalmente di correzione a bug e problemi di sicurezza. Alla fine di questo documento si riporta una lista delle correzioni. Nel file CHANGES c'è una lista dei cambiamenti. Di interessante c'è che la versione 1.3.29 identifica e risolve un potenziale problema di sicurezza:

• CAN-2003-0542 (cve.mitre.org): risolve un buffer overflow in mod_alias e mod_rewrite che si verificava se veniva configurata una regular expression con più di nove risultati.

Consideriamo Apache 1.3.29 la migliore versione di Apache 1.3 disponibile e raccomandiamo a tutti gli utenti di versioni precedenti, specialmente delle serie 1.1.x e 1.2.x di aggiornare quanto prima. Non verranno rilasciate ulteriori versioni nella serie 1.2.x.

• Versioni Vulnerabili: precedenti a apache-1.3.29
• Soluzione: emerge sync; emerge -pv apache; emerge '>=net-www/apache-1.3.29'; emerge clean; /etc/init.d/apache restart
• GLSA Announcement

GLSA: kdebase

Innanzitutto le versioni di KDM precedenti a 3.1.3 sono vulnerabili ad un bug con scalata di privilegi con una configurazione particolare di PAM. Non sono affetti gli utenti che non utilizzano PAM con KDE e chi utilizza PAM con i normali metodi di autenticazione crypt/MD5 di Unix.

In secondo luogo KDM utilizza un algoritmo di generazione del cookie debole. Si consiglia l'aggiornamento a KDE 3.1.4 che utilizza /dev/urandom come sorgente non predicibile di entropia per aumentare il livello di sicurezza.

Visitate http://www.kde.org/info/security/advisory-20030916-1.txt per leggere l'advisory di sicurezza di KDE e ottenere le patch per le versioni di KDE precedenti.

• Versioni Vulnerabili: KDE precedenti a 3.1.3 e 3.1.3
• Soluzione: emerge --sync; emerge '>=kde-base/kde-3.1.4'; emerge clean
• GLSA Announcement

GLSA: opera

Il browser Opera può causare un overflow di un buffer allocato nello heap con alcuni HREF durante il rendering dell'HTML. Anche il sistema di posta è vulnerabile ed un attaccante potrebbe inviare una email con un HREF malformato o inserire l'HREF malizioso in un sito.

Visitate http://www.atstake.com/research/advisories/2003/a102003-1.txt per ulteriori dettagli.

• Gravità: Alta - buffer overflow nel rendering di certi HREF
• Versioni Vulnerabili: 7.11, 7.20
• Soluzione: emerge --sync; emerge '>=net-www/opera-7.22'; emerge clean
• GLSA Announcement

GLSA: hylafax

Durante una revisione del codice del server hfaxd il team di sicurezza SuSE ha scoperto un bug di formato che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario come root. In ogni caso il bug non si attiva con la configurazione di default di hylafax.

SuSE-SA:2003:045 illustra il problema ed è disponibile qui: http://lwn.net/Articles/57562/

• Gravità: Normale - Exploit di codice da remoto non attivabile nella configurazione di default
• Versioni Vulnerabili: precedenti e 4.1.7
• Soluzione: emerge --sync; emerge '>=net-misc/hylafax-4.1.8'; emerge clean
• GLSA Announcement

Ultime segnalazioni di vulnerabilità

Nell'ultima settimana sono state segnalate le seguenti vulnerabilità:

• sys-libs/pam
• net-www/jboss
• sys-libs/pam

3.  Lo sviluppatore della settimana

La rubrica è in pausa questa settimana.

4.  Sentito nella comunità

Oltre X

"Posso usarlo senzafare un buco nel mio PC?" è stata la prima reazione spontanea all'annuncio di port001's di ebuild per l'Xserver alternativo di Keith Packard (formalmente conosciuto come kdrive), che include le estensioni Render e una Visual X a 32 bit per presentare contenuto con alpha-blending allo schermo. La thread del forum è cominciata la scorsa domenica, è abbastanza vitale e un must assoluto per chiunque voglia avere finestre translucenti... L'autore effetivo dell'ebuild spyderous e l'iniziatore della thread port001 sono ancora in giro a rispondere alle domande:

• Freedesktop.org XServer ebuilds
• Spyderous' repository and instructions

Profili di risparmio energentico per portatili

Ben radicato nella tradizione di donare eccellente documentazione alla sezione del forum col medesimo nome, optilude ha depositato una collezione di script per la gestione dell'energia su laptop e notebook, riguardante cambi di frequenza della CPU e aggiustamento della retroilluminazione, ma potenzialmente includenti altre funzioni:

• [SCRIPTS] Power profiles for laptops

gentoo-user

Pericoli di unmerge?

Citando il manuale di Portage: 'Unmerging packages can be dangerous...removal of various libraries may cause software to fail". Il membro della user list Jason ha fatto notare che questa è un limitazione fondamentale in Portage. Controllate come gli altri la pensano a proposito di questo argomento qui .

5.  Gentoo International

Incontro Vienna Gentoo Linux Users Group (VGLUG) in dicembre

La gente di Vienna continua a scegliere i posti più strani per i loro incontri. Questa volta (giovedì 2 dicembre, ore 19:00) sarà al Cafe Oskar, un posto di ritrovo particolare dove, a giudicare dalle immagini sul loro sito web - parte della gente pare amare ballare sui tavoli. Mettete via quei notebook, Gentoomen... domande, rimarchi, RSVP alla Forum coordination thread.

6.  Portage Watch

Portage Watch ? in vacanza questa settimana.

7.  Bugzilla

Sommario

• Statistiche
• Classifica dei bug chiusi
• Classific dei nuovi bug

Statistiche

La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo. Tra il 14 Novembre 2003 e il 20 Novembre 2003, l'attività sul sito è stata:

• 457 nuovi bug durante questo periodo
• 296 bug chiusi o risolti durante questo periodo
• 11 bug precedentemente chiusi sono stati riaperti

Degli attuali 4145 bug aperti: 106 sono classificati come 'bloccanti', 189 sono classificati come 'critici', e 319 sono classificati come 'primari'.

Classifica dei bug chiusi

Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:

• AMD64 Porting Team, con 39 bug chiusi
• Markus Nigbur, con 15 bug chiusi
• Mozilla Gentoo Team, con 12 bug chiusi
• Gentoo Games, con 12 bug chiusi
• Gentoo KDE Team, con 11 bug chiusi
• Portage Team, con 11 bug chiusi

Classifica dei nuovi bug

Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:

• Net-Dialup Team, con 15 nuovi bug
• Net-Mail Packages, con 13 nuovi bug
• Martin Schlemmer, con 13 nuovi bug
• Portage team, con 8 nuovi bug

8.  Tips and Tricks

Uccidere una console virtuale sospesa

Il trucco di questa settimana vi mostra come ripristinare una console virtuale sospesa (senza riavviare). Per far questo, avete bisogno di sys-apps/lsof dal portage.

Usare lsof, trovare il processo di login della console sospesa.

# lsof /dev/vc/3
COMMAND   PID  USER   FD   TYPE DEVICE SIZE NODE NAME
login    7114  root    0u   CHR    4,3        17 /dev/vc/3
login    7114  root    1u   CHR    4,3        17 /dev/vc/3
login    7114  root    2u   CHR    4,3        17 /dev/vc/3
zsh     30630 david    0u   CHR    4,3        17 /dev/vc/3
zsh     30630 david    1u   CHR    4,3        17 /dev/vc/3
zsh     30630 david    2u   CHR    4,3        17 /dev/vc/3
zsh     30630 david   10u   CHR    4,3        17 /dev/vc/3

Uccidete il processo associato con questo login e la console dovrebbe rigenerarsi.

  # kill -9 7114 30630

9.  Partenze, arrivi e cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:

• nessuno questa settimana

Arrivi

I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:

• nessuno questa settimana

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux.

• nessuno questa settimana

10.  Contribuite alla GWN

Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email.

11.  Commenti alla GWN

Mandateci i vostri commentie aiutateci a rendere la GWN migliore.

12.  Informazioni per l'Iscrizione alla GWN

Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org.

Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti.

13.  Altre lingue

La Gentoo Weekly Newsletter è anche disponibile nelle seguenti lingue:

• Olandese
• Inglese
• Tedesco
• Francese
• Giapponese
• Italiano
• Polacco
• Portoghese (Brasile)
• Portoghese (Portogallo)
• Russo
• Spagnolo
• Turco