Il team per la sicurezza cerca aiuto
La sicurezza è stata sempre uno degli aspetti più importanti di Gentoo. Per prevenire il fatto che la qualità delle GLSA possa diminuire, il team per la sicurezza cerca ulteriore aiuto tra gli sviluppatori presenti e tra coloro che desiderassero entrare a far parte del team. La ricerca di nuove persone cerca di compensare i problemi che possono far ritardare la chiusura di bug di sicurezza, inclusi quelli che riguardano pacchetti con manutentori mancanti o inattivi, ma anche una mancanza di coordinatori delle GLSA. Altre aree che hanno bisogno di più aiuto sono il progetto KISS (kernel security advisory system) e l'integrazione di glsa-check in Portage. Chi volesse aiutare per ognuno di questi problemi, può contattare uno dei seguenti responsabili di progetto/sottoprogetto:
Nota: Vedere l'ultimo security team meeting report per ulteriori dettagli. |
Cambiamento in Bugzilla per il progetto installer
I manutentori di bugs.gentoo.org hanno rimosso il vecchio componente "Gentoo Linux Installer" (GLI) nella categoria "Gentoo Linux". Hanno aggiunto il componente "Installer" come una sottocategoria di "Gentoo Release Media". Tutti i vecchi bug sono stati già riassegnati, e se volete aggiungere un bug riguardo l'installer, per favore usate il nuovo componente.
Ruby on Rails 1.1 RC1 in Portage
Il primo release candidate di Ruby on Rails 1.1 è in Portage. Per gli utenti con ~arch, aggiungerà le nuove versioni alle proprie gem installation senza rimuovere quelle vecchie. Gli utenti possono fare uso della nuova versione, e possono ancora bloccare il codice della vecchia versione, se lo vogliono. Le versioni in Portage finiscono tutte con .4008, che rappresenta il numero del commit nel repository degli sviluppatori di Ruby on Rails per la release 1.1_RC1.
Gli utenti interessati a provare le nuove versioni sono invitati a farlo, e possono mandare bug a Gentoo o http://dev.rubyonrails.org. Coloro che volessero bloccare le proprie applicazioni esistenti Rails in una versione specifica, possono vedere i seguenti URL per informazioni sul come fare:
Timezone non aggiornato
L'orario dei dati di Gentoo non è stato aggiornato in tempo per supportare il cambiamento dell'ora fatto per i Commonwealth Games tenuti in Australia fino alla fine di Marzo. Molti stati australiani hanno rimandato questo cambiamento al 2 Aprile. Per prevenire che le date risultino essere un'ora avanti per un'intera settimana, controllate questo thread:
Improvvisamente il dungeon collassa
I giochi in Gentoo sono insicuri? Una vulnerabilità in Nethack scoperta di recente ha scatenato questo acceso dibattito. La vulnerabilità però non è in Nethack. E' causata dal modo con cui Gentoo gestisce i giochi e non è stato un problema per nessuna altra distro. Dovremmo trovare un nuovo modo per gestire il gruppo games? Guardate e partecipate al dibattito.
ZDNet France (20 marzo 2006, in francese)
"Renaissance" è il titolo di un film animato di Christian Volckman ambientato a Parigi nell'anno 2054. Un giovane scienziato è stato rapinato ed un oscuro agente di polizia tenta di stargli dietro. Mentre attori reali sono coinvolti nella creazione di questo "Matrix animato", c'era soltanto da catturare i loro movimenti per poi modificarli con immagini generate dal computer in bianco e nero -- disegnate interamente su di un cluster con 200 server Gentoo Linux. Il sito web francese di ZDNet crede chiaramente che la cosa meriti un articolo, che è basato su di un'intervista con Julien Doussot, un direttore tecnico dell' "Attitude Studio", il team creativo che sta dietro le scene. È nei cinema in Francia dalla scorsa settimana.
"A distro of power" è come chiama Joseph Quigley Gentoo Linux nella sua testimonianza, pubblicata lo scorso martedì nell'ultima edizione della mini serie Newsforge "My Desktop OS". A dispetto dell'utilizzo di Gentoo in modo da lui chiamato "low-end system," è stato impressionato dal fatto che è possibile "guardare un DVD e compilare KDE simultaneamente con poche interruzioni o disturbi." C'è chi non è d'accordo a chiamare il suo 1.58GHz Sempron 2300 con 512MB di RAM come un sistema low end, ma ancora: "Se hai un sistema higher-end, non sei deluso lo stesso," dice Quigley.
4. Cambiamenti negli sviluppatori di Gentoo
I seguenti sviluppatori hanno recentemente abbandonato il progetto Gentoo:
I seguenti sviluppatori si sono aggiunti al progetto Gentoo:
I seguenti sviluppatori hanno recentemente cambiato ruolo nel progetto di Gentoo:
PeerCast è vulnerabile a un buffer overflow che può portare alla esecuzione di codice arbitrario.
Per ulteriori informazioni consultare il GLSA Announcement
Pngcrush è vulnerabile a un buffer overflow che può portare alla esecuzione di codice arbitrario.
Per ulteriori informazioni consultare il GLSA Announcement
cURL/libcurl: Buffer overflow nella gestione di TFTP URL
libcurl è affetto da un buffer overflow nella gestione degli URL per il protocollo TFTP, che potrebbe essere sfruttato per compromettere un sistema dell'utente.
Per ulteriori informazioni consultare il GLSA Announcement
Macromedia Flash Player: Esecuzione di codice arbitraria
Multiple vulnerabilità sono state identificate, e permettono esecuzione di codice arbitraria su un sistema dell'utente attraverso la gestione di file SWF pericolosi.
Per ulteriori informazioni consultare il GLSA Announcement
Sendmail: Race condition nella gestione di segnali asincroni
Sendmail è vulnerabile a una race condition che può portare alla esecuzione di codice arbitrario con privilegi sendmail.
Per ulteriori informazioni consultare il GLSA Announcement
PHP: Vulnerabilità format string e XSS
Multiple vulnerabilità in PHP permettono a attaccanti remoti di inserire intestazioni arbitrarie HTTP, effettuare cross site scripting o in alcuni casi eseguire codice arbitrario.
Per ulteriori informazioni consultare il GLSA Announcement
NetHack, Slash'EM, Falcon's Eye: Scalata locale di privilegi
NetHack, Slash'EM e Falcon's Eye sono vulnerabili a vulnerabilità di scalata locale di privilegi che possono permettere l'esecuzione di codice arbitrario come altri utenti.
Per ulteriori informazioni consultare il GLSA Announcement
RealPlayer: Vulnerabilità buffer overflow
RealPlayer è vulnerabile a un buffer overflow che può portare alla remota esecuzione di codice arbitrario.
Per ulteriori informazioni consultare il GLSA Announcement
La comunità Gentoo usa Bugzilla ( bugs.gentoo.org) per annotare e tenere traccia di bugs notifiche, suggerimenti e altre interazioni con il team di sviluppo. Tra il 19 marzo 2006 ed il 26 marzo 2006, l'attività sul sito è stata la seguente:
Dei 9756 bugs correntemente aperti: 66 sono stati classificati 'bloccanti', 150 'critici', e 536 'primari'.
Gli sviluppatori e i team che hanno chiuso il maggior numero di bug durante questo periodo sono:
Gli sviluppatori e i team a cui sono stati assegnati il maggior numero di nuovi bug durante questo periodo sono:
Per favore spedisci un tuo commento per rendere la GWN ancora migliore.
8. Informazioni per l'iscrizione alla GWN
Per iscriverti alla Gentoo Weekly Newsletter, invia un email vuoto a gentoo-gwn+subscribe@gentoo.org.
Per cancellare la tua iscrizione alla Gentoo Weekly Newsletter, invia un email vuoto a gentoo-gwn+unsubscribe@gentoo.org dall'indirizzo con cui sei iscritto.
La Gentoo Weekly Newsletter è anche disponibile nelle seguenti lingue: