Gentoo Weekly Newsletter: January 31, 2005Gli sviluppatori Gentoo dedicati alla crittografia hanno seguito un'idea di Joseph Pingenot e hanno messo in programma per quest'anno di far supportare a Gentoo la piattaforma Trusted Computing Platform Alliance o TCPA del Trusted Computing Group. TCG è uno standard aperto per la definizione hardware di funziuoni crittografiche (Trusted Platform Module - TPM) che mantengano le chiavi private alla larga dalla memoria. L'hardware fornisce anche funzioni di boot sicure (TCG Software Stack - TSS) in grado di assicurare che le chiavi non vengano utilizzate se viene cambiato con uno non certificato. Le applicazioni TSS delle architetture TCG che sarebbe interessanti per Gentoo sono:
TPM consente la registrazione delle chiavi crittografiche nell'hardware invvece che conservarle nel filesystem. Ad esempio:
Se si fosse interessati a donare hardware o contribuire allo sviluppo di quest'area contattare Henrik Brix Andersen o Peter Johanson. Gli sviluppatori dovranno essere in grado di lavorare indipendentemente e avere una buona conoscenza delle architetture di sicurezza e programmazione C. Un emulatore TPM che pèuò essere utile è già disponibile. Si cercano sviluppatori EM64T, hardware, e tester AMD64 Il team gentoo AMD64 è alla ricerca di collaboratori in grado di estendere il supporto ai processori Intel x86-64, la linea EMT64T. Gli sviluppatori dovranno disporre di hardware di loro proprietà e concentrarsi pricipalmente sull'analisi del kernel, visto che i chipset e le schede madri EMT64T sono diverse. Contattare Jason Huebel se si fosse interessati al compito. In un annuncio separato, si cercano anche tester per l'architettura, cioè utenti che siano in grado di aiutare ad eliminare bug e poter così considerare stabili una serie di applicazioni già presenti. Rilascio del GameCD Gentoo/PPC Il team PPC ha progettato il primo LiveCD completamente grafico per le piattaforme PowerPC, con un gioco 3D multiplayer basato su OpenGL/SDL chiamato Cube. Una variante per Macintosh dell'originale progettato per PegasosPPC è già in progetto. Mentre il GameCD da 198 MB è già disponibile per il download dai mirror (nella directory experimental/ppc/livecd), un intero cluster di ODW con Cube darà vita alla presentazione nella stanza degli sviluppatori Gentoo presso il FOSDEM di Brussels, il 26 e 27 di Febraio 2005.
Obiettivi sui progetti per il 2005 Continuiamo la nostra ricerca sugli obiettivi prefissati dai progetti in Gentoo Linux, e questa settimana parliamo dei progetti del gruppo Hardened: Hardened
Konversation: Vulnerabilità varie Konversation contiene vulnerabilità multiple che possono portare a esecuzione remota di comandi o perdita di informazioni. Per ulteriori informazioni consultare il GLSA Announcement Evolution: Integer overflow nel camel-lock-helper Un overflow nel programma camel-lock-helper può essere sfruttato da un attaccante per eseguire codice arbitrario con privilegi elevati. Per ulteriori informazioni consultare il GLSA Announcement AWStats: Esecuzione remota di codice AWStats ha problemi a convalidare certi input, che può portare a esecuzione remota di codice arbitrario. Per ulteriori informazioni consultare il GLSA Announcement GraphicsMagick: Heap overflow nella decodifica PSD GraphicsMagick è vulnerabile a heap overflow quando decodifica file Photoshop Document (PSD), che può portare a esecuzione di codice arbitrario. Per ulteriori informazioni consultare il GLSA Announcement Perl: Vulnerabilità rmtree e DBI tmpfile La libreria Perl DBI e la funzione File::Path::rmtree sono vulnerabili a attacchi symlink. Per ulteriori informazioni consultare il GLSA Announcement SquirrelMail: Vulnerabilità multiple SquirrelMail ha problemi a verificare input di utenti, che può portare a esecuzione di codice arbitrario e account webmail compromessi. Per ulteriori informazioni consultare il GLSA Announcement ngIRCd è vulnerabile a un buffer overflow che può essere usato per far crashare il demone e per esecuzione di codice arbitrario. Per ulteriori informazioni consultare il GLSA Announcement TikiWiki: Esecuzione arbitraria di comandi Un bug in TikiWiki permette a certi utenti di uploadare e eseguire script PHP. Per ulteriori informazioni consultare il GLSA Announcement VDR: Problema di sovrascrittura di file arbitrari VDR accede in modo insicuro a file con privilegi elevati, e può avere sovrascrittura di file arbitrari. Per ulteriori informazioni consultare il GLSA Announcement f2c: Creazione insicura di file temporanei f2c è vulnerabile a attacchi symlink, permettono a un utente locale di sovrascrivere file arbitrari. Per ulteriori informazioni consultare il GLSA Announcement Le utility ncpfs contengono difetti multipli, ed hanno esecuzione remota di codice arbitrario o locale accesso a file con privilegi elevati. Per ulteriori informazioni consultare il GLSA Announcement Nuova (o vecchia) utility di Portage Una delle molte utility di ricerca di Portage, portagedb, è stata rinominata in "Ebuild Index" o eix. Lo sviluppatore Pythonhead riconosce che questa alternativa a esearch "va meglio con ogni versione" e elenca eix nel suo meta-thread: Il beagle è il migliore amico dell'uomo? Niente di nuovo in questa settimana nella sezione inglese del Forum, ma quella francese ha parlato di un software paragonabile a SpotLight che Apple vuole integrare nel rilascio Tiger di Mac OS X. Il Mono-based Beagle non solo è una alternativa free Linux a la ricerca sul desktop in tempo reale di Apple, è anche già utilizzabile, almeno fino a un certo grado...
Ricordarsi la politica di upgrade degli ebuild Jason Wever ha scritto per far si che si ricordi la politica di upgrade degli ebuild: "Di recente, ci sono stati molti aggiornamenti a ebuild con arch keywords saltate. Non fatelo se non per una ragione ben specifica (bug di sicurezza, dipendenze non funzionanti, vedere la politica per questo), e se c'è una valida ragione, dite quali sono le architetture con problemi e perchè avete saltato le loro keywords." [RFC] Versioni per eclasses Daniel Goller e Patrick Lauer hanno cominciato un thread chiedendo opinioni per le versioni per eclasses. Questa proposta (ricorre ogni sei mesi) ha provocato uno dei più grandi flamewar della gentoo-dev negli ultimi mesi, e è rimasta irrisolta. Gentoo-dev sembra essere alterato Nello stesso momento in cui c'è stato il flamewar di cui abbiamo parlato sopra, un altro thread ad alto traffico ha interessato gentoo-dev e si parla di firme, identità e paranoia. La domanda iniziale sulle firme non funzionanti è stata dimenticata, e gli sviluppatori e gli utenti hanno discusso del problema della identità nelle maggiori comunicazioni elettroniche e di altre opinioni simili. Problemi BAS/c Ciaran McCreesh ha parlato di alcuni problemi con il nuovo Buildtime e Statistics client BAS/c. Il thread seguente ha molte interessanti informazioni per tutti gli hacker degli ebuild che sono tra di voi, come gli ebuild dovrebbero essere scritti (e alcuni buoni esempi di cosa non fare) Gentoo/OpenSolaris media fallout "Mixed feelings" è la frase che meglio descrive la valutazione della notizia del rilascio di Sun OpenSolaris da parte della comunità open-source. Sia che siano critici o meno sulle mosse di Sun, molti autori si sono tolti il cappello per Portaris e il progetto Gentoo/OpenSolaris come un'aspetto molto interessante della cosa. Questa è una lista di articoli che coprono sia l'annuncio di Sun che quello Gentoo da tutto il mondo:
"Gentoo done right" è il titolo di un articolo di Mad Penguin su Vidalinux, la distro derivata da Gentoo che si installa via Anaconda di RedHat e fornisce i binari per il core del sisema Gentoo. La distribuzione Portoricana - "essentially a stage 3 install" - riceve una recensione entusiasta, e l'autore Adam Doxtater la raccomanda "a chiunque desidera provare Gentoo Linux ma non ha il tempo di compilare tutto from scratch per avere un sistema base up and running." Pro-Linux.de (25 January 2005) Il magazine Linux tedesco online-only parla di Genesi's Open Desktop Workstations in un articolo su PegasosPPC-Workstations con Gentoo preinstallato. Pro-Linux cita l'annuncio della GWN scorsa e aggiunge alcune note sulla piattaforma in generale, identifica - tra le altre cose - ODW come "una reincarnazione dell'Amiga." La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo. Tra il 23 Gennaio 2004 e il 30 Gennaio 2005, l'attività sul sito è stata:
Degli attuali 7945 bug aperti: 109 sono classificati come 'bloccanti', 240 sono classificati come 'critici', e 584 sono classificati come 'primari'. Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:
Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:
7. Partenze, arrivi e cambiamenti I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:
I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:
I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux.
Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email. Mandateci i vostri commentie aiutateci a rendere la GWN migliore. 10. Informazioni per l'Iscrizione alla GWN Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org. Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti. La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:
|
|
