Gentoo Logo

Gentoo Weekly Newsletter: 15 Novembre 2004

Indice:

1.  Gentoo News

Orgogliosi di presentare: Gentoo Linux 2004.3

Questa è la quarta ed ultima release di gentoo Linux del 2004 e si concentra in modo particolare sulla correzione di bug e sulla maggiore facilità e robustezza del prodotto. la release 2004.3 comprende tutte le principali architetture di gentoo: amd64, hppa, ppc, sparc, x86 e una prima versione di ppc64. Inoltre sono disponibili una versione sperimentale alpha e gli stage per ia64 e s390. Il team embedded ha infine rilasciato gli stage per arm, mips, ppc e x86, che possono essere tutti reperiti nella directory /experimental. Maggiori informazioni su 2004.3 possono essere trovate sulla pagina ufficiale e nel ChangeLog.

Altre novità della versione 2004.3: sia amd64 che ppc sono passati a gcc 3.4 come compilatore di default. Sparc è presente solo nella versione sparc64, mentre amd64 e x86 sono entrambe passate ad un singolo kernel per il LiveCD. Ancora più interessante, è stata migliorata la collaborazione tra i team delle varie architetture, in modo da produrre un risultato quanto più omogeneo possibile.

2004.3 è stata resa disponibile nei mirror nei giorni scorsi ed è disponibile anche via bittorrent su torrents.gentoo.org e tracker.netdomination.org. Distribuita al pubblico a mezzanotte di Lunedì 15 Novembre 2004, come programmato, è l'ultima versione di Gentoo che adotta la divisione trimestrale delle release annuali; dal 2005 infatti ve ne saranno solo due semestrali, 2005.0 nella prima metà dell'anno e 2005.1 nella seconda metà.

Sebbene per Gentoo le versioni siano molto meno importanti che per le altre distribuzioni, e i rilasci aggiornano semplicemente i software per le nuove installazioni, lo stato dell'arte di ciascuna versione rilasciata rappresenta il risultato del lavoro di ciascuno degli sviluppatori ed un importante punto di partenza per chiunque voglia installare Gentoo. Grazie a tutti gli sviluppatori e collaboratori per avere reso questa versione migliore che mai!

Il team X11 alla ricerca di collaboratori

Il team X11 necessita di aiuto per le implementazioni di X, sia xorg-x11 che xfree. In particolare si cercano collaboratori a proprio agio con il C e pronti a scavare nel codice di X: gli interessati possono rivolgersi a Donnie Berkholz e al Developer Relations project non appena possibile: ci sono più di 200 bug in attesa di risoluzione!

Pulizie stagionali per il kernel

Gli incaricati della gestione del kernel sono al lavoro per fare un po' di pulizia nella categoria sys-kernel di Portage. Una serie si pacchetti popolari e non non vengono aggiornati da diverso tempo o sono stati incorporati nel kernel attuale. Questi pacchetti sono stati già rimossi da Portage o verranno eliminati al più presto per essere sostituiti da pacchetti alternativi: coloro che ancora utilizzano tali pacchetti sono pregati di migrare a uno dei kernel più recenti a scelta. Una lista dei pacchetti e dei consigli di migrazione sono disponibili qui, uniti ad un avviso riguardante un cambio di comportamento del pacchetto hotplug, vedi la rubrica Tips and Tricks odierna.

2.  Sviluppi futuri

MetaKDE: Dividere le ebuild di KDE

Questo progetto di Dan Armak e Simone Gotti viene incontro ad una vecchia richiesta, quella di avere ebuild separate per ciascuna applicazione kde. Invece che lanciare emerge kdebase kdepim sarà possibile lanciare emerge konqueror kmail.

In realtà pochissimi utenti utilizzano correntemente tutte le oltre 300 applicazioni di kde e il fatto di pacchettizzarle in pochi enormi e monolitici pacchetti non segue decisamente lo stile Gentoo. Dividerli diminuisce notevolmente il tempo di installazione, lo spazio su disco e rende più semplice la gestione degli aggiornamenti, in particolare quelli di sicurezza. Rende infine possibile l'utilizzo di flag USE più specifiche.

Questi vantaggi hanno ovviamente un prezzo. La ragione per cui le applicazioni KDE non sono state divise da subito è che per ogni applicazione che si installa viene scompattato un enorme archivio tar ed eseguito ogni volta configure, cosa che richiede diverso tempo. Dai calcoli effettuati, il costo di installare tutte le applicazioni KDE separatamente rispetto all'installazione monolitica sarebbe di diverse ore di compilazione. Due anni fa era ancora un costo inaccettabile (per un riassunto della discussione consultare questo bug report.

Ma nel tempo gli strumenti si soono resi più rapidi, non solo l'hardware, ma anche autotools e gli script di KDE. Al punto che si è deciso di provare e vedere cosa succede. la nuova confcache (seguire questa rubrica per ulteriori dettagli) è un ulteriore miglioramento. Al momento il progetto è completo per il 95%. Alcune ebuild sono già disponibili presso kde-metaebuilds.berlios.de e non sembrano avere problemi se non la mancanza di alcune feature. Queste ultime presentano anche alcuni piccoli miglioramenti di cui mancano quelle monolitiche.

Si sta ora procedendo all'inserimento delle ebuild in Portage. Il programma sarebbe di introdurle gradualmente, iniziando dai pacchetti meno utilizzati. Le ebuild kdebindings-derived sono già pronte e probabilmente verranno rese unmasked a brevissimo. La speranaza è che le ebuild separate diventino la scelta di default in tempo per l'uscita di KDE 3.4. Nel frattempo qualsiasi impressione o suggerimento saranno graditissimi.

3.  Gentoo security

zgv: Multipli buffer overflow

zgv contiene multipli buffer overflow che possono portare all'esecuzione di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

Portage, Gentoolkit: Vulnerabilità file temporanei

dispatch-conf (incluso in Portage) e qpkg (incluso in Gentoolkit) sono vulnerabili agli attacchi symlink, permettendo a un utente locale di sovrascrivere file arbitrari con i diritti dell'utente che sta eseguendo lo script.

Per ulteriori informazioni consultare il GLSA Announcement

Kaffeine, gxine: Utilizzabile remoto buffer overflow

Kaffeine e gxine contengono un buffer overflow che può essere sfruttato quando si accede al contenuto di un server HTTP specialmente con le intestazioni inserite.

Per ulteriori informazioni consultare il GLSA Announcement

OpenSSL, Groff: Gestione insicura di file temporanei

groffer, incluso nel pacchetto Groff, e lo script der_chop, incluso nel pacchetto OpenSSL, sono vulnerabili agli attacchi symlink, permettendo a un utente locale di sovrascrivere file arbitrari con i diritti dell'utente che sta eseguendo il programma.

Per ulteriori informazioni consultare il GLSA Announcement

Path name buffer overflow

zip contiene un buffer overflow quando si crea un archivio ZIP di file con path name molto lunghi. Questo può portare all'esecuzione di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

mtink: Gestione insicura di file temporanei

mtink è vulnerabile agli attacchi symlink, permettendo a un utente locale di sovrascrivere file arbitrari con i diritti dell'utente che sta eseguendo il programma.

Per ulteriori informazioni consultare il GLSA Announcement

Apache 2.0: Denial of Service tramite consumo di memoria

Un difetto in Apache 2.0 può permettere a un attaccante remoto di causare un Denial of Service.

Per ulteriori informazioni consultare il GLSA Announcement

Pavuk: Multipli buffer overflow

Pavuk contiene multipli buffer overflow che possono permettere a un attaccante remoto di eseguire codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

ez-ipupdate: Vulnerabilità format string

ez-ipupdate contiene una vulnerabilità format string che può portare all'esecuzione di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

Samba: Remoto Denial of Service

Un difetto di convalida input in Samba può permettere a un attaccante remoto di causare un Denial of Service tramite consumo eccessivo di cicli della CPU.

Per ulteriori informazioni consultare il GLSA Announcement

Davfs2, lvm-user: Gestione insicura di file temporanei

Davfs2 e lo script lvmcreate_initrd (inclusi nel pacchetto lvm-user) sono vulnerabili agli attacchi symlink, permettendo a un utente locale di sovrascrivere file arbitrari con i diritti dell'utente che li esegue.

Per ulteriori informazioni consultare il GLSA Announcement

4.  Voci dalla comunità

gentoo-dev

Riorganizzazione media-sound

Chris White ha deciso di riorganizzare l'intera categoria media-sound. I quasi 300 pacchetti saranno divisi in 15-20 nuove categorie. Le discussioni per una differente organizzazione dei pacchetti sono state dichiarate in questo thread.

Trojan per Gentoo

Dopo un lungo periodo di inattività sul suo bug, colui che l'ha messo offre un modo per i mirror rsync di trojanize installazioni Gentoo dalla manipolazione degli eclasses. Poichè ancora non sono segnati, un server rsync compromesso potrebbe diventare un grande rischio di sicurezza.

Rilevare gcj e altri gcc moduli di linguaggio?

Questo è il caso specifico della domanda: C'è un modo di dipendere da un pacchetto compilato con una specifica flag USE? Come sembra, questa funzionalità utile ancora non c'è in portage. Al momento ci sono solo alcuni workarounds, ma è ancora la causa di qualche fallimento di compilazione e strani bug.

5.  Gentoo International

Italy: G-Day update

As reported last week, the Italian Linux Society - a not-for-profit organization that coordinates Italian Linux user groups (LUG) - once a year organizes a "Linux Day", a fundamental event for Linux users in every major Italian city where local LUGs runs meetings, conferences, install parties, and other activities for their community. Linux Day 2004 on 27 November will be held in about one hundred different cities around Italy. The Italian Gentoo community, driven by activists of the GeCHI (Gentoo Channel Italia), has decided to build on the experience of last year's inaugural Gentoo-related event during Linux Day in Venice, and will organize a "Gentoo Day" or G-Day. G-Day is going to be a great opportunity to meet, discuss, share ideas and show Gentoo Linux to other Linux users and beginners. After a bit of discussion where to hold the G-Day, the GeCHI finally settled for Prato last week. The all-day event, presented in co-operation with the Prato Linux User Group (PLUG), will start at 9:30 and finish around midnight on 27 November.

The GeCHI evangelists will set up a demonstration area with PCs, PPCs, and a PlayStation2, where they will show different Gentoo uses and capabilities. Distfiles and rsync mirrors will be provided locally for the convenience of visitors who wish to install Gentoo Linux on their own hardware on the spot. They have prepared brochures showing pros and cons of Gentoo systems, and about using Gentoo in educational, desktop and enterprise environments. Handbooks and CDs will be distributed to people who would like to try Gentoo. During the whole day, in a conference hall next to the demo area, GeCHI speakers will hold talks and Q&A sessions, with topics ranging from "Introduction to Gentoo Linux" for beginners, via "Gentoo in enterprise environments" for professional system administrators, to technical issues like "Securing a Gentoo box" and "Managing multiple Gentoo installations". Proceeds for the gadgetry (T-Shirts, case stickers) sold at the event will be donated to the Gentoo Foundation.

Some live coverage can be tapped into via the Italian Gentoo Fora, in particular this thread in the official Gentoo Forum and the GeCHI's own G-Day forum.

Brazil: Gentoo Linux at CONISLI, São Paulo

CONISLI, the "Congresso Internacional de Software Livre" (International Free Software Conference) in the city of São Paulo was held for the first time only last year, but it has already become one of the most important Free Software events in Brazil. This year it was held on 5 and 6 November at the Palácio das Convenções do Anhembi, already twice as big as the first event at São Paulo's university where it was held in 2003. The main focus this year was on "Developing Software", and on top of various talks and workshops on the conference schedule (including Marcelo Gondim's intriguingly titled presentation "Shopping with Gentoo Linux"), CONISLI also provided exhibition space for free software communities, where the particularly strong Brazilian Gentoo users group set up a booth and held a meeting of their own, to discuss ideas, exchange information and nurture the growth of Gentoo among Brazilian Linux users.


Figura 5.1: Gentoo Linux at CONISLI 2004

Fig. 1: Gentoo Brazil

Nota: Left to right: Annihilator, Enderson (Enderson Maia), Chatoo (Wagner Hebert), Angra (Diego R. Grein), Lulyis (Luana Leonor), Toskinha (Sulamita Garcia), fl0cker (Luiz Agostinho), Marcelo_ (Marcelo Lima), Bani (Vanessa Sabino), Aninha (Ana Paula), Gentoo developer AngusYoung (Otavio Piske)

More photos from the event can be found here:

Germany: Annual General Meeting (AGM) of "Friends of Gentoo e.V.", 20 November 2004

The first AGM of the German not-for-profit association "Friends of Gentoo e.V." is going to be held next Saturday, 20 November 2004 from 19:00 at the Gasthof Harlos in Oberhausen, a pub with a history of monthly regional Gentoo user meetings. On the agenda are elections for the board of directors, a report on last year's activities and motions for amendments to the statutes. The meeting is open to the public, but only current members of the association have the right to vote.

Germany: First Gentoo user meeting in Nuremberg, 1 December 2004

Bavaria's second largest city is going to host the next Gentoo user meeting (GUM) in Germany, the first one in this area, organised by a freshly constituted Gentoo User Group Nürnberg (GUGN). If you happen to be around that part of the country on 1 December, meet the others at the Landbierparadies after 19:30. All necessary details including maps can be had at an improvised GUGN website, and a Forum thread coordinates who and how many are planning to show up.

6.  Gentoo in the press

O'Reilly: Knoppix Hacks (October 2004)

"100 Industrial-Strength Tips & Tools" is the subtitle of a brandnew book from O'Reilly, "Knoppix Hacks", published just last month, and hack #36 on p. 110f explains how to "Install Gentoo with Knoppix". Providing several reasons why installing Gentoo Linux is best done from a LiveCD (as opposed to from inside an existing Linux installation), the article promotes doing this not from a Gentoo ISO, but from booting a Knoppix CD. Never mind, as long as you get "all the benefits of having a Gentoo system, such as the excellent portage package manager," as author Alex Garbutt puts it, alongside his personal recommendation of playing Frozen Bubble while waiting for the installation to finish.

7.  Bugzilla

Summary

Statistics

The Gentoo community uses Bugzilla (bugs.gentoo.org) to record and track bugs, notifications, suggestions and other interactions with the development team. Between 07 November 2004 and 14 November 2004, activity on the site has resulted in:

  • 795 new bugs during this period
  • 548 bugs closed or resolved during this period
  • 29 previously closed bugs were reopened this period

Of the 7397 currently open bugs: 129 are labeled 'blocker', 240 are labeled 'critical', and 556 are labeled 'major'.

Closed bug rankings

The developers and teams who have closed the most bugs during this period are:

New bug rankings

The developers and teams who have been assigned the most new bugs during this period are:

8.  Tips and Tricks

Hotplugging? Coldplugging!

Today's tip comes straight from Gentoo's kernel package maintainer and developer department, and it reflects quite an important change in the behaviour of a core mechanism during the boot process. The sys-apps/hotplug package is commonly installed on desktop systems in order to provide automatic loading of modules when hardware is plugged in during system operation. As well as automatically loading modules when new devices are plugged in, the previous hotplug releases also scanned the system hardware at bootup and loaded modules for any detected hardware.

Technically, autoloading modules at bootup is not hotplugging, and as such, this functionality has been removed from the latest hotplug release. If you previously relied on hotplug autoloading modules at bootup and wish to keep it that way, then all you need to do is install the more appropriately named coldplug package:

Codice 8.1: Emerge and activate coldplug

emerge coldplug
rc-update add coldplug boot

Bear in mind that it is generally safer to include the modules you want to autoload in the /etc/modules.autoload.d/kernel-2.x file, though. Do yourself a favor and switch back to the canonical way if you ever experience problems with coldplug.

9.  Moves, adds, and changes

Moves

The following developers recently left the Gentoo team:

  • None this week

Adds

The following developers recently joined the Gentoo Linux team:

  • Stefan Schweizer (genstef) - External kernel modules

Changes

The following developers recently changed roles within the Gentoo Linux project:

  • Henrik Brix Andersen (brix) - Kernel

10.  Contribute to GWN

Interested in contributing to the Gentoo Weekly Newsletter? Send us an email.

11.  GWN feedback

Please send us your feedback and help make the GWN better.

12.  GWN subscription information

To subscribe to the Gentoo Weekly Newsletter, send a blank email to gentoo-gwn-subscribe@gentoo.org.

To unsubscribe to the Gentoo Weekly Newsletter, send a blank email to gentoo-gwn-unsubscribe@gentoo.org from the email address you are subscribed under.

13.  Other languages

The Gentoo Weekly Newsletter is also available in the following languages:



Stampa

Aggiornato il 15 Novembre 2004

Oggetto: Questa è la Gentoo Weekly Newsletter del 15 Novembre 2004.

Ulrich Plate
Caporedattore

Brian Downey
Redazione

Christian Hartmann
Redazione

Patrick Lauer
Redazione

Emmet Wagle
Redazione

Marco Mascherpa
Traduzione

Stefano Lucidi
Traduzione

Stefano Rossi
Traduzione

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.