Gentoo Logo

Gentoo Weekly Newsletter: January 31, 2005

Content:

1.  Gentoo News

Trusted Gentoo

Gli sviluppatori Gentoo dedicati alla crittografia hanno seguito un'idea di Joseph Pingenot e hanno messo in programma per quest'anno di far supportare a Gentoo la piattaforma Trusted Computing Platform Alliance o TCPA del Trusted Computing Group.

TCG è uno standard aperto per la definizione hardware di funziuoni crittografiche (Trusted Platform Module - TPM) che mantengano le chiavi private alla larga dalla memoria. L'hardware fornisce anche funzioni di boot sicure (TCG Software Stack - TSS) in grado di assicurare che le chiavi non vengano utilizzate se viene cambiato con uno non certificato.

Le applicazioni TSS delle architetture TCG che sarebbe interessanti per Gentoo sono:

TPM consente la registrazione delle chiavi crittografiche nell'hardware invvece che conservarle nel filesystem. Ad esempio:

Se si fosse interessati a donare hardware o contribuire allo sviluppo di quest'area contattare Henrik Brix Andersen o Peter Johanson. Gli sviluppatori dovranno essere in grado di lavorare indipendentemente e avere una buona conoscenza delle architetture di sicurezza e programmazione C. Un emulatore TPM che pèuò essere utile è già disponibile.

Si cercano sviluppatori EM64T, hardware, e tester AMD64

Il team gentoo AMD64 è alla ricerca di collaboratori in grado di estendere il supporto ai processori Intel x86-64, la linea EMT64T. Gli sviluppatori dovranno disporre di hardware di loro proprietà e concentrarsi pricipalmente sull'analisi del kernel, visto che i chipset e le schede madri EMT64T sono diverse. Contattare Jason Huebel se si fosse interessati al compito.

In un annuncio separato, si cercano anche tester per l'architettura, cioè utenti che siano in grado di aiutare ad eliminare bug e poter così considerare stabili una serie di applicazioni già presenti.

Rilascio del GameCD Gentoo/PPC

Il team PPC ha progettato il primo LiveCD completamente grafico per le piattaforme PowerPC, con un gioco 3D multiplayer basato su OpenGL/SDL chiamato Cube. Una variante per Macintosh dell'originale progettato per PegasosPPC è già in progetto. Mentre il GameCD da 198 MB è già disponibile per il download dai mirror (nella directory experimental/ppc/livecd), un intero cluster di ODW con Cube darà vita alla presentazione nella stanza degli sviluppatori Gentoo presso il FOSDEM di Brussels, il 26 e 27 di Febraio 2005.


Figure 1.1: Etichetta disegnata da by Christian Hartmann

Fig. 1: Etichetta del CD

2.  Future Zone

Obiettivi sui progetti per il 2005

Continuiamo la nostra ricerca sugli obiettivi prefissati dai progetti in Gentoo Linux, e questa settimana parliamo dei progetti del gruppo Hardened:

Hardened

  • Revisione dei metodi e delle politiche attuali
  • Miglioramento del CFLAGS filtering (sopratutto "-fPIC" e "-fstack-protector")
  • Introdurre stage AMD64/Sparc64/PPC64, e più hardware visto che è stato acquistato
  • Migliorare la documentazione Grsecurity2
  • Migliorare e estendere il supporto SELinux
  • Sviluppare e documentare le politiche RSBAC
  • Maggiore e migliore documentazione in generale
  • Aggiungere nuovi sviluppatori
  • Eleggere un nuovo comitato Hardened
  • Introdurre un LiveCD di salvataggio
  • Supportare e migliorare patchset dek kernel
  • Promuovere Gentoo Hardened Project al di fuori di Gentoo e aumentarne la sviluppo in Gentoo

3.  Gentoo security

Konversation: Vulnerabilità varie

Konversation contiene vulnerabilità multiple che possono portare a esecuzione remota di comandi o perdita di informazioni.

Per ulteriori informazioni consultare il GLSA Announcement

Evolution: Integer overflow nel camel-lock-helper

Un overflow nel programma camel-lock-helper può essere sfruttato da un attaccante per eseguire codice arbitrario con privilegi elevati.

Per ulteriori informazioni consultare il GLSA Announcement

AWStats: Esecuzione remota di codice

AWStats ha problemi a convalidare certi input, che può portare a esecuzione remota di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

GraphicsMagick: Heap overflow nella decodifica PSD

GraphicsMagick è vulnerabile a heap overflow quando decodifica file Photoshop Document (PSD), che può portare a esecuzione di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

Perl: Vulnerabilità rmtree e DBI tmpfile

La libreria Perl DBI e la funzione File::Path::rmtree sono vulnerabili a attacchi symlink.

Per ulteriori informazioni consultare il GLSA Announcement

SquirrelMail: Vulnerabilità multiple

SquirrelMail ha problemi a verificare input di utenti, che può portare a esecuzione di codice arbitrario e account webmail compromessi.

Per ulteriori informazioni consultare il GLSA Announcement

ngIRCd: Buffer overflow

ngIRCd è vulnerabile a un buffer overflow che può essere usato per far crashare il demone e per esecuzione di codice arbitrario.

Per ulteriori informazioni consultare il GLSA Announcement

TikiWiki: Esecuzione arbitraria di comandi

Un bug in TikiWiki permette a certi utenti di uploadare e eseguire script PHP.

Per ulteriori informazioni consultare il GLSA Announcement

VDR: Problema di sovrascrittura di file arbitrari

VDR accede in modo insicuro a file con privilegi elevati, e può avere sovrascrittura di file arbitrari.

Per ulteriori informazioni consultare il GLSA Announcement

f2c: Creazione insicura di file temporanei

f2c è vulnerabile a attacchi symlink, permettono a un utente locale di sovrascrivere file arbitrari.

Per ulteriori informazioni consultare il GLSA Announcement

ncpfs: Vulnerabilità multiple

Le utility ncpfs contengono difetti multipli, ed hanno esecuzione remota di codice arbitrario o locale accesso a file con privilegi elevati.

Per ulteriori informazioni consultare il GLSA Announcement

4.  Voci dalla comunità

Web forums

Nuova (o vecchia) utility di Portage

Una delle molte utility di ricerca di Portage, portagedb, è stata rinominata in "Ebuild Index" o eix. Lo sviluppatore Pythonhead riconosce che questa alternativa a esearch "va meglio con ogni versione" e elenca eix nel suo meta-thread:

Il beagle è il migliore amico dell'uomo?

Niente di nuovo in questa settimana nella sezione inglese del Forum, ma quella francese ha parlato di un software paragonabile a SpotLight che Apple vuole integrare nel rilascio Tiger di Mac OS X. Il Mono-based Beagle non solo è una alternativa free Linux a la ricerca sul desktop in tempo reale di Apple, è anche già utilizzabile, almeno fino a un certo grado...

gentoo-dev

Ricordarsi la politica di upgrade degli ebuild

Jason Wever ha scritto per far si che si ricordi la politica di upgrade degli ebuild: "Di recente, ci sono stati molti aggiornamenti a ebuild con arch keywords saltate. Non fatelo se non per una ragione ben specifica (bug di sicurezza, dipendenze non funzionanti, vedere la politica per questo), e se c'è una valida ragione, dite quali sono le architetture con problemi e perchè avete saltato le loro keywords."

[RFC] Versioni per eclasses

Daniel Goller e Patrick Lauer hanno cominciato un thread chiedendo opinioni per le versioni per eclasses. Questa proposta (ricorre ogni sei mesi) ha provocato uno dei più grandi flamewar della gentoo-dev negli ultimi mesi, e è rimasta irrisolta.

Gentoo-dev sembra essere alterato

Nello stesso momento in cui c'è stato il flamewar di cui abbiamo parlato sopra, un altro thread ad alto traffico ha interessato gentoo-dev e si parla di firme, identità e paranoia. La domanda iniziale sulle firme non funzionanti è stata dimenticata, e gli sviluppatori e gli utenti hanno discusso del problema della identità nelle maggiori comunicazioni elettroniche e di altre opinioni simili.

Problemi BAS/c

Ciaran McCreesh ha parlato di alcuni problemi con il nuovo Buildtime e Statistics client BAS/c. Il thread seguente ha molte interessanti informazioni per tutti gli hacker degli ebuild che sono tra di voi, come gli ebuild dovrebbero essere scritti (e alcuni buoni esempi di cosa non fare)

5.  Gentoo in the press

Gentoo/OpenSolaris media fallout

"Mixed feelings" è la frase che meglio descrive la valutazione della notizia del rilascio di Sun OpenSolaris da parte della comunità open-source. Sia che siano critici o meno sulle mosse di Sun, molti autori si sono tolti il cappello per Portaris e il progetto Gentoo/OpenSolaris come un'aspetto molto interessante della cosa. Questa è una lista di articoli che coprono sia l'annuncio di Sun che quello Gentoo da tutto il mondo:

Mad Penguin (25 January 2005)

"Gentoo done right" è il titolo di un articolo di Mad Penguin su Vidalinux, la distro derivata da Gentoo che si installa via Anaconda di RedHat e fornisce i binari per il core del sisema Gentoo. La distribuzione Portoricana - "essentially a stage 3 install" - riceve una recensione entusiasta, e l'autore Adam Doxtater la raccomanda "a chiunque desidera provare Gentoo Linux ma non ha il tempo di compilare tutto from scratch per avere un sistema base up and running."

Pro-Linux.de (25 January 2005)

Il magazine Linux tedesco online-only parla di Genesi's Open Desktop Workstations in un articolo su PegasosPPC-Workstations con Gentoo preinstallato. Pro-Linux cita l'annuncio della GWN scorsa e aggiunge alcune note sulla piattaforma in generale, identifica - tra le altre cose - ODW come "una reincarnazione dell'Amiga."

6.  Bugzilla

Sommario

Statistiche

La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo. Tra il 23 Gennaio 2004 e il 30 Gennaio 2005, l'attività sul sito è stata:

  • 884 nuovi bug durante questo periodo
  • 516 bug chiusi o risolti durante questo periodo
  • 29 bug precedentementi chiusi sono stati riaperti durante questo periodo

Degli attuali 7945 bug aperti: 109 sono classificati come 'bloccanti', 240 sono classificati come 'critici', e 584 sono classificati come 'primari'.

Classifica dei bug chiusi

Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:

Classifica dei nuovi bug

Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:

7.  Partenze, arrivi e cambiamenti

Partenze

I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:

  • nessuno questa settimana

Arrivi

I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:

  • Fernando Serboncini (fserb) - Python
  • Kyle England (kengland) - Infrastructure

Cambiamenti

I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux.

  • John Davis (zhen) - Stepped down from Release Engineering Strategic Lead
  • Aaron Walker (ka0ttic) - Joined netmon
  • Daniel Black (dragonheart) - Left embedded - joined ppc and netmon
  • Otavio Rodolfo Piske (AngusYoung) - Joined netmon

8.  Contribuite alla GWN

Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email.

9.  Commenti alla GWN

Mandateci i vostri commentie aiutateci a rendere la GWN migliore.

10.  Informazioni per l'Iscrizione alla GWN

Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org.

Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti.

11.  Altre lingue

La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:



Print

Page updated January 31, 2005

Summary: Questa è la Gentoo Weekly Newsletter del 31 Gennaio 2005

Ulrich Plate
Caporedattore

Daniel Black
Redazione

Danny van Dyk
Redazione

Patrick Lauer
Redazione

Marco Mascherpa
Traduzione

Stefano Lucidi
Traduzione

Stefano Rossi
Traduzione

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.