Gentoo Weekly Newsletter: 14 Febbraio 2005Aggiornamento della piattaforma e dell'hardware dei Forum Come annunciato nella rubrica Future zone di tre settimane fa, i Forum Gentoo sono stati spostati su una nuova piattaforma hardware, hanno ricevuto un aggiornamento di phpBB che ripulisce il codice, applica tutte le correzioni più recenti e completa l'usabilità del forum con diverse nuove feature. Tra le novità ci sono un migliore supporto per le lingue straniere, nuovi link che consentono l'indicizzazione da parte dei motori di ricerca e alcune altre caratteristiche meno visibili quali l'abilità dei moderatori di unire thread, cosa che non era possibile in precedenza. A parte un paio di intoppi, l'aggiornamento è avvenuto correttamente e nessuno degli utenti ha potuto notare disservizi durante il processo. Congratulazioni a Christian Hartmann e Lance Albertson per l'efficace lavoro svolto! Calendario degli eventi Gentoo di Marzo Sono giorni importanti per i Gentooisti: l'agenda non è mai stata così piena di manifestazioni, conferenze e presentazioni come nelle ultime quattro settimane. Ecco una lista degli eventi prossimi venturi, inclusa la LWE che comincia domani a Boston.
Team Sicurezza Gentoo - Intervista a Thierry Carrez Se si ha la consuetudine dei controllare le caratteristiche dei problemi di sicurezza e le discussioni che ne conseguono nel mondo di Linux, si avrà fatto caso che le scoperte e le comunicazioni di Gentoo a tali problemi seguono rapidamente le rilevazioni inziali. In realtà i Gentoo Linux Security Announcements (GLSAs) sono una fonte citata spesso nell'ambito della sicurezza anche al di fuori di Gentoo. Questa reputazione è una caratteristica importante per una comunità che non dispone di un braccio commerciale che possa sostenere un centro di ricerche dedicato all'argomento. Thierry Carrez (koon), uno dei responsabili operativi del Security Team di Gentoo ha accettato di spiegare brevemente in che modo il lavoro del team ha suscitato così ampi apprezzamenti nell'identificazione e risoluzione dei problemi di sicurezza. Potresti darci una rapida idea del processo dell'identificazione e risoluzione dei problemi di sicurezza? Quali passi ci sono? Chi se ne occupa? Di che strumenti si fa uso? Seguiamo la Vulnerability Treatment Policy per il trattamenti dei bug. In breve le vulnerabilità pubbliche vengono segnalate dagli utenti, dai nostri esperti di sicurezza o dagli svilupopatori, a seconda dei casi. A volte le notifiche avvengono attraverso canali confidenziali (delle liste di produttori specifici o contatto diretto con sviluppatori o esperti). A questo punto il bug passa nello stato upstream durante il quale si attende una correzione da parte degli sviluppatori originali; lo stato ebuild durante il quale si sollecita una nuova ebuild corretta dal mantenitore del pacchetto; lo stato stable in cui si testa la correzione su tutte le architetture e si richiede la stabilizzazione; infine lo stato glsa in cui viene rilasciata una GLSA ove necessario. A volte ci si blocca in uno di questi stati e dobbiamo arrangiarci da noi. A volte non si trova una soluzione e siamo costretti a mascherare il pacchetto per evitare il rischio di lasciarlo attivo e insicuro. La gestione dei bug di sicurezza consiste spesso nel chiamare le persone giuste al momento giusto per farle intervenire. Questo compito viene assolto dai coordinatori delle GLSA e non è automatico. Ci affidiamo molto ad altri sviluppatori Gentoo, manutentori e gestori di architetture, per le correzioni e le fasi di test. In che modo venite a sapere dei problemi di sicurezza? Mailing list? Allarmi? Vengono fatti test all'interno del team? Ci affidiamo ai nostri utenti per la notifica di quante più vulnerabilità possibile. Il team di sicurezza cerca di raccogliere anche tutte quelle che passano sotto silenzio. Le falle di sicurezza si possono trovare su mailing list pubbliche come BugTraq o Full-Disclosure e spesso si trovano anche notifiche private e provenienti da altre distribuzioni. Veniamo riconosciuti come parte della comunità di sicurezza Linux e quindi riceviamo notifiche delle vulnerabiltà prima che vengano rese pubbliche. Per restituire il favore abbiamo recentemente forndato un laboratorio di ricerca per trovare vulnerabilità nuove autonomamente, ma anche i gestori dei pacchetti trovano diverse vulnerabilità durante il loro lavoro. Quando viene rilevata una vulnerabilità come viene documentata? La maggior parte delle volte copiamo semplicemente le informzioni dell'advisory ufficiale e vediamo se hanno senso anche in Gentoo Linux, in seguito ne valutiamo la gravità. la gravità determina le priorità e cerchiamo di rispettare i tempi descritti nella Vulnerability Treatment Policy. Esiste una procedura formale per la risoluzione di un baco assegnato a qualcuno? Come vengono impostate le priorità? La soluzione come viene documentata e testata? Ciascun coordinatore GLSA può prendere in affidamento un bug e seguire personalmente tutto il processo. Nel caso qualcosa si blocchi qualsiasi esperto di sicurezza del team può intervenire. Le priorità vengono scelte in base alla gravità del bug sulla base della Vulnerability Treatment Policy. Quando viene resa disponibile una soluzione come viene documentata? Chi si occupa della GLSA? E come vengono diffuse ed archiviate? La soluzione viene documentata nella bozza della GLSA che deve essere approvata da almeno due persone prima di essere rilasciata. Utilizziamo uno strumento che si chiama GLSAMaker per controllare la coerenza delle GLSA. La GLSA viene stilata dal coordinatore GLSA o a volte da uno degli altri collaboratori meno esperti. Le GLSA vengono inviate via maila gentoo-announce ed altre liste di sicurezza ed automaticamente vengono pubblicate su RDF feed e sulla Gentoo Security page. Infine vengono copiate dai moderatori del forum per essere pubblicate anche li. I sorgenti XML delle GLSA fanno parte dell'albero di Portage (in metadata/glsa) e vengono trasferite su tutte le macchine per consentire l'utilizzo, per ora ancora sperimentale di glsa-check, parte del pacchetto gentoolkit. Chi sono gli utenti finali delle GLSa al di fuori di Gentoo? Altre organizzazioni ricevono le notifiche? Viene avvisato anche linuxsecurity.com in modo che includano le GLSA nella loro advisories page. Anche il MITRE CVE dictionary include collegamenti alle GLSA. Esistono strumenti automatici che vengono utilizzati per gestire queste procedure? Usiamo GLSAMaker, un tool scritto da Tim Yamin (plasmaroo), per semplificare la scrittura dei sorgenti XML delle GLSA e le relative versioni testuali. A che punto è lo sviluppo della funzionalità "emerge security" che ha lo scopo di identificare e risolvere le vulnerabilità del sistema usando portage? Questa caratteristica è ancora in fase di test con lo strumento glsa-check, parte del pacchetto gentoolkit. Consente di identificare quali problemi di sicurezza interessino il sistema e di automaticamente risolvere i problemi dei pacchetti in questione. Una volta pronto verrà integrato in Portage. Gli utenti possono già provare questo strumento e segnalare eventuali problemi usando bugzilla. Dove è possibile reperire informazioni sul team di sicurezza? la pagina principale è il Gentoo Security portal disponibile presso security.gentoo.org. Contiene tutti i collegamenti alle policy in uso, alle ultime GLSA e altre informazioni utili. Chi volesse unirsi al team può consultare la Security project webpage ed in particolare la GLSA Coordinators guide e la Security padawans page per avere una precisa idea di che profili abbiamo bisogno. Quali sono le utlime iniziative intraprese dal team di sicurezza? Nell'ultimo anno abbiamo costruito procedure in modo da documentare tutte le pratiche svolte dal team in guide di riferimento. Inoltre abbiamo costituito un nuovo team per tenere sotto controllo il problema della sicurezza a ciclo continuo. Quali altre informazioni può essere interessante sapere? La nostra struttura interna. Kurt Lieber (klieber) è il nostro responsabile strategico, Sune Kloppenborg Jeppesen (jaervosz) ed io ci occupiamo della parte operativa. Open-Xchange (OX) è il server groupware open-source su cui è basato il SuSE Linux Openexchange Server di Novell : (SLOX). Open-Xchange è stato un prodotto non open-source fino al 30 Agosto 2004, quando è stato rilasciato sotto sotto la licenza GNU Public License. OX ha fatto leva su una tecnologia popolare server open-source, integrando progetti esistenti (SMTP, IMAP, LDAP, Apache, Tomcat, e PostgreSQL) per trasportare una comunicazione potente e un ambiente collaborativo. Alcune caratteristiche di interesse includono e-mail, gestione di progetto, una memoria versioning, registrazione comune e una conoscenza base. Può essere accessibile sia con un'interfaccia web o con client come Evolution, la suite Mozilla (Thunderbird e Sunbird) e applicazioni di terze parti che supportano WebDAV. Open-Xchange è in sviluppo e un rilascio stabile (v0.8) è previsto nel Marzo 2005. Se desiderate vedere come è OX prima di intraprendere una installazione, potete provare la online demo. Installazione e supporto Ci sono due modi per installare OX su Gentoo Linux: con ebuild su Bugzilla (non è sul portage tree), o con l'installazione manuale. Una pagina Wiki spiega l'installazione usando ebuild, ma per i passi necessari per avere OX funzionante, un HOWTO per installazione manuale copre le configurazioni prerequisite per estendere e migliorare Open-Xchange. Per domande specifiche Gentoo in un thread sul forum con centinaia di post si trovano molte risposte. Se non siete familiari con i server usati da OX, prepartevi a imparare e leggere molto. La maggior parte dei problemi riguardano la configurazione LDAP, integrazione Apache/Tomcat e autenticazione SASL. Tutti i server che servono a OX devono essere configurati e funzionanti prima di procedere con l'installazione di Open-Xchange.
OpenMotif: Vulnerabilità multiple in libXpm Vulnerabilità multiple sono state scoperte in libXpm, incluso in OpenMotif, che può portare a esecuzione remota di codice. (NB: Questa è la stessa vulnerabilità che è stata riparata in xorg-x11 lo scorso Novembre) Per ulteriori informazioni consultare il GLSA Announcement PostgreSQL: Scalata ai privilegi locali PostgreSQL server può essere ingannato da un attaccante locale per eseguire codice arbitrario. Per ulteriori informazioni consultare il GLSA Announcement Python: Esecuzione arbitraria di codice attraverso SimpleXMLRPCServer Server XML-RPC basati su Python possono essere vulnerabili per esecuzione remota di codice arbitrario. Per ulteriori informazioni consultare il GLSA Announcement pdftohtml: Vulnerabilità in Xpdf incluso pdftohtml include vulnerabile codice Xpdf per gestire file PDF, rendendo esso vulnerabile alla esecuzione di codice arbitrario nel convertire un file PDF. Per ulteriori informazioni consultare il GLSA Announcement Mailman: Vulnerabilità trasversale directory Mailman non riesce a rendere input giusti, con una rilevazione di informazioni. Per ulteriori informazioni consultare il GLSA Announcement Webmin: Perdita di informazioni nel pacchetto binario Gentoo Pacchetto binario Webmin include un file che contiene la password locale criptata di root. Per ulteriori informazioni consultare il GLSA Announcement Perl: Vulnerabilità in perl-suid wrapper Vulnerabilità che portano alla sovrascrittura di file e alla esecuzione di codice con privilegi elevati sono stati scoperti in perl-suid wrapper. Per ulteriori informazioni consultare il GLSA Announcement mod_python: Vulnerabilità Publisher Handler mod_python contiene una vulnerabilità in Publisher Handler che porta a rilevazione di informazioni. Per ulteriori informazioni consultare il GLSA Announcement Rimuovere USE-flags dal tree Michiel de Bruijne scrive: "Ci sono alcuni ebuild nel tree che non fanno uso di USE-flag. Così disabilitando la USE-flag si ottengono altre caratteristiche. Considerando le dipendenze extra, disabilitare la USE-flag è una possibilità. Ci sono alcuni strani effetti a questo..." La seguente discussione mostra abbastanza bene perchè queste USE-flags non sono buone. Stabilizzazione automatica di pacchetti Ogni 6 mesi viene fuori questa discussione: I pacchetti in portage come possono rimanere aggiornati? L'approccio più semplice potrebbe essere quello di una stabilizzazione automatica dopo un certo periodo di tempo. Questo thread mostra perchè per la maggior parte non è una buona idea. Chiudere o risolvere i bug? Marius Mauch scrive: "Ho notato che alcuni nuovi sviluppatori cambiano lo status del bug da RESOLVED a CLOSED. Lo trovo inutile. Possiamo metterci d'accordo sul non farlo, a meno che ci non sia un motivo tecnico? Non vedo nessun vantaggio, i bug chiusi sono divisi in due "categorie" senza differenza." USA: Gentoo Bugday event at Oregon State University LUG Gentoo Bugdays si tiene regolarmente ogni primo Sabato del mese, con gli svilupppatori e gli utenti da ogni parte su IRC e scremano Gentoo bugzilla per qualunque cosa che sembri debba venir corretta. Il 5 Febbraio, il Linux User Group dell'università dell'Oregon ha colto l'oppurtunità e ha trasformato l'evento virtuale in uno reale. Dodici mebri dell'OSLUG si sono incontrati al Weatherford Hall, il college dove risiede OSU. Aiutati da una lista di bug precompilata dagli organizzatori del Gentoo bugday per questa occasione, hanno spremuto i bug dalle 9:00 alle 16:00, con il canale IRC ufficiale #gentoo-bugs in overhead, e computer assortiti sparpaglati per tutta l'aula, ognuno con un determinato Gentoo bug hunter di fronte allo schermo.
Germania: Rilasciato tool di Storage per Gentoo Linux Le release commerciali di applicazioni Linux con supporto officiale oltre a RedHat/SuSE/Mandrake sono scarse. Una compagnia tedesca, SEP AG, ha annunciato la disponibilità del loro prodotto di storage management "SEP sesam" per Gentoo Linux. "Ci concentriamo solitamente su SuSE Linux, ma avevamo Gentoo sui nostri radar da quando abbiamo visto l'impressionante installazione che Lars Weiler fece su un HP Proliant clusterlo scorso anno al LinuxTag in Karlsruhe," recalls SEP's sales manager Johann Krahfuss (cf. GWN report 28 Giugno 2004). "Così quando il nostro primo cliente ha chiesto l'adattamento di SEP sesam a Gentoo Linux, non è stato proprio una sopresa." Il German federal research institution Fraunhofer Gesellschaft ha fatto la prima richiesta per un'installazione di SEP sesam in ambiente Gentoo Linux, "e non avendo incontrato alcun problema, abbiamo capito che era pronto per la release ufficiale," dice Krahfuss. Una versione di test per 30 giorni (incluso il supporto) può essere scaricata dal sito web sezione download. SEP sesam è stato creato per il data storage management su reti eterogenee, che includono Linux, BSD, Solaris, TRU/64, OpenVMS, Windows e Mac OS X. La compagnia lo presenterà la prssima serttimana al CRN Storage Solution Days 2005 in Neuss (link solo in tedesco). Newsforge (8 e 9 Febbraio 2005) Newsforge ha pubblicato un'articolo in due parti su usare MySQL per il benchmark delle performance degli OS, come analizzato e scritto da Tony Bourke. Il check delle performance abbraccia i sistemi operativi open per server, Net- e FreeBSD, Solaris 10, e Linux come piattaforme per l'esecuzione di MySQL, e "tra una moltitudine di distribuzioni" Gentoo è stata scelta come parte Linux del test,sia con 2.4 che kernel 2.6 (gentoo-sources) su ReiserFS. "Con Gentoo è stato relativamente semplice installare NPTL per il 2.6, usato nei test con il 2.6," dice Tony Bourke, "non sembra invece fare alcuna differenza quando confronto i risultati diversi da NPTL 2.6." Mentre la prima parte spiega i tools e le metodologie, l'attuale confronto delle performance è pubblicato in articolo separato - con fantastici risultati, Gentoo Linux vince brillantemente ogni test individuale. Abbastanza divertente, la vittoria di Gentoo ha scatenato dei reclami su "ingiusto vantaggio" dell'uso di una distro source-based, possibilmente ottimizzata per il processorecome piattaforma di comparazione. Il presidente della Sun Jonathan Schwartz china il capo su Gentoo OpenSolaris in un'intervsta pubblicata su CNET la scorsa settimana. Dove mostra il modello di direzione di OpenSolaris all'intervistatore Stephen Shankland, egli pretende sostiene"che Solaris ora è una piattaforma neutrale" e si aspetta "10 o più" distribuzioni non Sun di OpenSolaris. Security Focus (2 February 2005) L'articolista Jason Miller dice che la gestione della sicurezza nel kernel Linux è sbagliata, "e bisogna trovare una soluzione adesso."L'articolo a securityfocus.com, una pubblicazione per lo più letta da professionisti della sicurezza, è molto critica su come vengono segnalati i bugs di sicurezza nel kernel Linux. Ma l'autore, che si proclama "un grande sostenitore dei sistemi operativi basati su BSD" ha anche buone notizie: "una volta che cominciamo a considerare le attuali distribuzioni del kernel Linux come sistemi operativi completi, troviamo alcune distribuzioni con contatti ufficiali di sicurezza, nello stesso modo in cui pagine relative alla sicurezza simili a queste provvedevano alla maggioranza dei sistemi operativi bastati su BSD. La sicurezza di Gentoo Linux è un buon esempio di questo." Eric Boutilier, un ingegnere di Sun, Inc. si stà equipaggiando per lo sviluppo di Gentoo su OpenSolaris, e ha postato il suo primo tentativo di familiarizzare con Portage su Linux su suo blog nel sito di Sun. La sua scelta di installazione è peculiare - il clone di Gentoo Vidalinux invece di un'installazione standard standard, su un laptop di cinque anni fa ha rapidamente fatto un sync come un normale utente Portage per una lunga compilazione: "Oh bene. Alla fine ho avuto tutto compilato e funzionante." La comunità Gentoo usa Bugzilla (bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo. Tra il 06 Febbraio 2004 e il 13 Febbraio 2005, l'attività sul sito è stata:
Degli attuali 8036 bug aperti: 102 sono classificati come 'bloccanti', 243 sono classificati come 'critici', e 600 sono classificati come 'primari'. Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:
Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:
Lo sviluppatore Gentoo Brian Herring ha messo a punto un modo per identificare le versioni di pacchetti installati non più disponibili in Portage - sia nell'albero ufficiale sia da PORTDIR_OVERLAY. Qui c'è il suo metodo, come comando Python su una singola rigadi comando:
Vediamo esattamente come funziona. Per esempio, se un pacchetto, dice, foo-1.2.3 è installato, e la versione 1.2.3 non è più nell'albero, ma foo-1.2.3-r1 è disponibile, lo script ignora il pacchetto package, si innesca solo sulle applicazioni che sono completamente sparite da Portage. Funziona anche per i pacchetti individuali che tenete nell'albero overlay tree, per esempio su /usr/local/portage, sono valutate insieme con i pacchetti nell'albero ufficiale di Portage. Provatelo, non potete far danni, si limita solo a notificare quello che trova, lasciando all'utente la decisione di cosa fare con queste informazioni. 9. Partenze, arrivi e cambiamenti I seguenti sviluppatori hanno recentemente lasciato il team Gentoo:
I seguenti sviluppatori si sono recentemente uniti al team Gentoo Linux:
I seguenti sviluppatori hanno recentemente cambiato ruolo all'interno del progetto Gentoo Linux.
Vi interessa contribuire alla Gentoo Weekly Newsletter? Mandateci una email. Mandateci i vostri commentie aiutateci a rendere la GWN migliore. 12. Informazioni per l'Iscrizione alla GWN Per iscrivervi alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-subscribe@gentoo.org. Per annullare l'iscrizione alla Gentoo Weekly Newsletter, mandate un email vuoto a gentoo-gwn-unsubscribe@gentoo.orgdall'indirizzo email con il quale siete iscritti. La Gentoo Weekly Newsletter è disponibile anche nelle seguenti lingue:
|
|
