Gentoo Weekly Newsletter: 2003年2月24日号

1.  Gentooニュース

概要

• NeTraverseがGentoo Linuxのパートナーに
• Gentoo Linux 1.4の更新
• FOSDEMでの写真

NeTraverseがGentoo Linuxのパートナーに

Gentoo LinuxプロジェクトはWin4LinをGentooユーザに特別価格で提供するためにNeTraverseと合意に達しました。Win4LinはGentoo Linux上でWindowsアプリケーションを本来の速さで動かすことができ、またLinuxの安定性と莫大な数に及ぶWindowsアプリケーションとの橋渡しをしてくれます。

Win4LinのGentoo Editionを購入するユーザは正規価格である89.99ドルより10ドル安く楽しめます。そのうえ、各購入者はGentoo Linuxの開発のさらなるサポートが出来ます。Win4Linの30日間限定評価版もPortage treeにて入手できます。

Gentoo Linux 1.4の更新

Gentoo Linux 1.4_rc3が公式のリリース過程を新たに採用して練られた計画を基にして、1月14日にリリースする予定であったことを以前報告しました。今になってもリリースされていないことや古いPortage treeや全般的な混乱がリリースの過程を取り囲み、ユーザや開発者一同はその遅れが重なることにますます不満が募っています。幸運にも、Gentooリリースコーディネーターとして最近任命された(日本語訳)Brad Cowenさんにより、1.4のリリース過程は失った推進力を取り戻しつつあります。Bradさんは最近次のリリース候補である1.4_rc3の状態を憂慮しGentoo開発チームを更新しました：

私は、ちょっと立ち止まって、みんなにリリースするまでにどれくらいの道のりがあるのか知ってほしかったんです。計画では27日木曜日に公式のRC3をリリースする予定です。このリリース候補では、SPARCやx86、PPCの各チームから集めたステージのファイルを含めるつもりです。x86版は限定リリースになると思います。つまり、「誰にでも大丈夫な」コンパイル済みステージ集がひとつだけ入っていて、GRPパッケージは収録されないだろう、ということです。

さらにBradさんによると、rc3リリース後は、公式のリリース過程に合わせてきっちりと計画するとのことです。このため、Portage treeはrc3リリース後2週間程度フリーズ状態を解かれ、開発者がマスクされているパッケージをマスクされていない状態に移行することができるようになります。

FOSDEMでの写真

Gentoo Linuxは、以前報告した(日本語訳)ようにFOSDEM参加したわけですが、みんながこのイベントは大成功だと言っていました。ニューヨークで行われたLinux Worldでの出席者の多くはGentoo Linuxをあまり知りませんでしたから、今回はヨーロッパでGentoo Linuxについての話を広め、フリーソフトウェア開発者と交流するためのすばらしい機会だったわけです。 Daniel RobbinsさんもRichard Stallmanさんとつっこんだ話をする機会を得ました。もちろん、フリーソフトウェアについて話したわけですけど。 :) さて、イベントに出席できなかったみなさんのためにいくつか写真をお見せしましょう。

図 1.1: FOSDEMでのJack Morganさん、Verwilstさん、Popsickleさん -- というかこれってコーラのコマーシャル？

図 1.1: Wout MertensさんとDaniel Robbinsさん、量子特異点を発見するの図

2.  Gentooセキュリティ

概要

• GLSA: openssl
• GLSA: webmin
• GLSA: bitchx
• GLSA: mod_php
• GLSA: nethack
• GLSA: w3m
• GLSA: syslinux
• GLSA: mailman
• セキュリティ関連の最新バグレポート

GLSA: openssl

OpenSSLには、アタッカーがman-in-themiddle攻撃を行い、偽造した暗号文が拒否される際の応答時間を計測することで、偽造した暗号文を拒否したのがどのエラー状態だったのか(paddingなのかverificationなのか)を、アタッカーに見破られてしまう可能性があります。これは、平文の解読につながる他の攻撃を始めるのに充分な情報です。理論的には、この攻撃は証明されています。

• 重要度：危険 - リモートからの暗号解読
• 影響を受けるパッケージ：openssl-0.96iもしくはopenssl-0.9.7aより前のバージョンのdev-libs/openssl
• 修正方法：Portage treeを更新後、emerge -u opensslとemerge cleanを実行
• GLSAアナウンス
• アドバイザリ

GLSA: webmin

Webminには認証されていないアクセスを許可する脆弱性があります。攻撃用のデモコードはまだ報告されていません。

• 重要度：危険 - リモートから管理者権限でのアクセスが可能
• 影響を受けるパッケージ：webmin-1.070より前のバージョンのapp-admin/webmin
• 修正方法：Portage treeを更新後、emerge -u webminとemerge cleanを実行
• アドバイザリ

GLSA: bitchx

BitchXは悪意あるパケットが送られるとsegfaultする可能性があり、これはDoS攻撃を受ける脆弱性につながります。

• 重要度：中 - 致命的なサービスではないものの、リモートからDoS攻撃を受ける可能性あり
• 影響を受けるパッケージ：bitchx-1.0.19-r4より前のバージョンのnet-irc/bitchx
• 修正方法：Portage treeを更新後、emerge -u bitchxとemerge cleanを実行
• GLSAアナウンス
• アドバイザリ

GLSA: mod_php

PHP 4.3.0のCGIセキュリティ関連のオプションである'--enable-force-cgi-redirect'や'cgi.force_redirect'が働かないというバグが報告されました。このため、アタッカーは、PHPのCGIモジュールを使用しているシステム上のWebサーバの権限で、サーバ内のファイルにアクセスすることができるようになります。

• 重要度：高 - リモートへのファイルシステムの情報の漏曳
• 影響を受けるパッケージ：dev-php/mod_php-4.3.0
• 修正方法：Portage treeを更新後、emerge -u mod_phpとemerge cleanを実行
• GLSAアナウンス
• アドバイザリ

GLSA: nethack

NetHackには、プレーヤーの権限をこのゲームのUIDまで上昇させることができる脆弱性があります。攻撃用のデモファイルはすでに公開済みです。この脆弱性は、主にスコアやキャラクターのファイルの改ざんに使用できるだけです。しかしながら、権限の上昇はどんなものであれセキュリティー的に問題ですし、NetHackのUIDが他にも権限がある場合危険なことになりかねません。

• 重要度：低 - ゲームが持つ権限まで権限の上昇が可能
• 影響を受けるパッケージ：nethack-3.4.0-r6より前のバージョンのapp-games/nethack
• 修正方法：Portage treeの更新とemerge -u nethackとemerge cleanの実行
• GLSAアナウンス
• アドバイザリ

GLSA: w3m

w3mブラウザ(emacs内で使われることもあるテキストベースのブラウザ)は、HTML中のIMGタグのエスケープ処理を適切に行っていません。この脆弱性により、巧妙に作られたWebページにアクセスしてしまうと、ローカルマシンのファイルにアクセスされてしまう可能性があります。

• 重要度：高 - リモートへのファイルシステムの情報の漏曳
• 影響を受けるパッケージ：w3m-0.3.2.2より前のバージョンのnet-www/w3m
• 修正方法：Portage treeを更新後、emerge -u w3mとemerge cleanを実行
• GLSAアナウンス

GLSA: syslinux

syslinuxブートローダにはroot権限で動作する際にセキュリティ上の弱点があることが判明しました。コードは、ディスクへアクセスするためのmtoolsパッケージを利用できるようにするため、修正されています。syslinuxはsetuidで実行されるべきではありません。

• 重要度：高 - root権限の奪取
• 影響を受けるパッケージ：syslinux-2.02より前のバージョンのsys-apps/syslinux
• 修正方法：Portage treeを更新後、emerge -u syslinuxとemerge cleanを実行
• GLSAアナウンス

GLSA: mailman

mailmanのWebインターフェースのデフォルトエラーページにはクロスサイトスクリプティング脆弱性があり、このため、そのサーバの特権レベルでリモートからコードが実行できる可能性があります。

• 重要度：高 - リモートからのコードの実行が可能
• 影響を受けるパッケージ：mailman-2.1.1より前のバージョンのnet-mail/mailman
• 修正方法：Portage treeの更新後、emerge -u mailmanとemerge cleanを実行
• GLSAアナウンス
• アドバイザリ

セキュリティ関連の最新バグレポート

今週報告された新しいバグレポートは以下のとおりです：

• sys-apps/acupsd
• app-admin/webmin
• net-misc/vnc

3.  開発者紹介

John P. Davisさん

図 3.1: John P. Davisさん

今週紹介するJohn P. DavisさんはGentoo Linuxドキュメンテーションの主任開発者／コーディネーターとGentooのBugzillaシステムの管理人です。Gentoo Linuxプリンティングガイド(日本語訳)を書く事でGentooのお手伝いを始めたJohnさんはドキュメンテーションの開発者と翻訳者をコーディネイトし、出来るだけ開発者とユーザーの皆さんに便利になるようにBugzillaのソースをハックしてます。今までJohnさんが貢献したOSSプロジェクトはGentooだけですが、将来他のプロジェクトも手伝いたいそうです。

JohnさんはRAID0を稼働してるAthlon XPワークステーションと彼の遊び場のuberdavis.comをホストするAthlonサーバーを走らせてます。WMにはAquaテーマのEnlightenment、そしてメーラはSylpheedを使い、iconv、iptables、grep、sed、GIMP、そしてnmapのファンだそうです。日中はオハイオ州のアライアンスにあるマウントユニオン大学でコンピュータサイエンスを勉強してるJohnさんは大学のヘルプデスクでも働いてます。ガールフレンドのメアリーさんと時間を過ごすこと、Bawlsを飲むこと、マウンテンバイク、スキー、ダイビング、そして大学生活を楽しんでます。

4.  コミュニティーの話題

Webフォーラム

母国語キャンペーン

手順は簡単です：自分の母国語のフォーラムがないとしたら、興味がある人達をフォーラム設立をアピールするためのスレッドに集め、FAQ等のドキュメントを訳し、モデレーターが一人か二人ボランティアします。生き生きしたコミュニティーがあるみたいなら、管理人達はすぐに新しいフォーラムを作るでしょう。イタリア人のみなさんは先週から勢いを増してますが、日本人たちはまだまだ人数が足りなく、キャンペーンする必要があるみたいです。興味がある人がいないわけでわないでしょうが、#gentoo-jpの常連でフォーラムIDをまだ持ってない人がかなりいるみたいですね...

• Japanese Gentoo user
• italian forum

エミュレーションはタイヘンだ

どのエミュレータ/バーチャルマシンが一番Windowsに近い環境を再現できるかを最初に議論したのはゲーマー達でしたが、Linux版が無いソフトをよく必要とするDTPユーザーがオープンソースなOSを使い始めるにつれて、ウィンドウズのアプリケーションをLinuxで稼働する事をもっと多く見るようになりました。Wine、Plex86、そしてBochs(2.0.2が先週リリースされたばかりです)等のフリーな選択肢が多くありますし、Crossover、WineX、Win4Lin、そしてVMWareなどの商用ソフトもありますから、この中から一つ選べば良いわけです。前はよくどうすべきかが熱く議論されましたが、最近はどの方法が一番効率良いかが議論されてます。Win4Linを取り扱っているる会社のNetraverseがGentoo用のWin4Linビルドを割引で提供してることも含めて色々な事がフォーラムで挙がっています。

• WIN4LIN
• Codeweaver's Crossover Plugin and Gentoo
• running photoshop
• MS Office 2000, wine and Gentoo

新しいアーキテクチャがもう一つ：MIPSでGentoo

先週、普段静かなAlternate ArchitecturesフォーラムがGentoo LinuxをSGIのIndyとIndigo2で稼働した人達で賑わいました。2ヵ月前のMIPS版のアピール以来、R4400とR5000ベースのモデルで導入の成功が確認されました。Elan、Extreme、またはO2等のマシンをお持ちの方でIrix以外に何を稼働できるのか考えている方は、irc.freenode.netの#gentoo-mips、そしてこちらのスレッドをどうぞ：

• #gentoo-mips
• mips gentoo

gentoo-user

ハードウェアの問題

漏出してるコンデンサや高温になったCPU等を使ってると、コーヒーをすすり、目を閉じて壊れた部品を見つけることができるジェダイの匠は別ですが、ハードの問題を診断するのが難しくなります。Bruno Lustosaさんは最近幾つかのスレッドで疑わしいコンパイル失敗を煩っています。原因はBIOS？メモリ？CPU？邪悪なカーネル？色々な提案が寄せられ、Brunoさんは問題を制することができそうです。特にErnie ShroderさんはDaniel Robbinsさん本人が書いた記事を挙げました。LinuxシステムのCPUやRAM問題の診断に関するこの記事は読み応えがたっぷりあります。

Red Hatユーザー向けのツール

kivoに関する議論の中で、epmというツールが挙げられました。epmはebuild(sys-apps/epm)になっていて、説明に書いてあるように、Gentoo Linuxのためのrpmもどきです。これはRed HatユーザーにGentooに馴染ませるために、例えば'epm -qf `which kivio`'みたいなコマンドを実行できるようにします。

Red Hat系のinitスクリプト

Gentooのinitシステムに関する長い議論が起こりました。意外なことに、Sys V系のシステムとGentooのシステムの違いに関するものではなく、Phil Barnetの"抽象"スクリプトの 要求、特に他のディストリビューションにある'service'スクリプトが議論されました。Andrew Daceyさんの反論はGentooの思想を表しました：「Gentooの良さはユーザーが色々な設定を自分で決めることができることでなので、他のOSやディストリビューションに含まれてる抽象レイヤーはどんなに普及してるものでもデフォルトでは含まれるべきではないです」。議論が続くにつれ、ebuildの提案等も投稿されました。

5.  世界のGentoo

ヨーロッパ各地域のGentooミーティング

ウィーンのGentooユーザ達が日時と場所を決めました：2003年3月4日の19:00時、Siebensternbräu, Siebensterngasse 19 in 1070 Wienです。近くにいる、暇があって行きたい人は、人数を把握する必要があるんでフォーラムのこのスレッドに投稿してください。また、北ドイツのユーザは今週ハンブルグの近辺で集まりたいそうですが、明細はこのGWNの発行時には間に合いませんでした。彼らも日時や場所を決めるためのフォーラムのスレッドを持ってます。

Svenska Gentoo IRC Hemsida

http://gentoo.linux.seはスウェーデンのGentooのページで、"まだ"IRCチャンネルへのWebガイドのようなものしかありません。チャンネルの統計情報、IRC常連数人のプロフィール、そして設定ファイルやエラーメッセージをコピペしててアップロードすればirc.freenode.netの#gentoo-seチャンネルに張り付けられるURLを発行するペーストボット等があります。

イタリア語ドキュメンテーション翻訳チーム

同志らがイタリア語フォーラム設立キャンペーンをしている中、Marco Mascherpaさんはイタリア語訳者らがGentooのドキュメンテーションの訳や、既に訳された物の修正等をコーディネイトするためのMLを設立しました。イタリア語を話せて、手伝いたい方は Marcoさんにメールをどうぞ。

6.  Portage Watch

以下のstableパッケージが今週Portage treeに追加されました

重要なパッケージの更新

• sys-apps/portage - portage-2.0.47-r2.ebuild;
• gnome-base/gnome - gnome-2.2-r2.ebuild;
• sys-kernel/* - aa-sources-2.4.21_pre4-r3.ebuild; development-sources-2.5.60-r2.ebuild; development-sources-2.5.61-r1.ebuild; development-sources-2.5.61.ebuild; development-sources-2.5.62.ebuild; gs-sources-2.4.21_pre4.ebuild; hppa-sources-2.4.20_p27.ebuild; lolo-sources-2.4.20.2_pre2.ebuild; redhat-sources-2.4.18.24.8.0.ebuild;
• dev-db/mysql - mysql-4.0.10.ebuild;
• dev-php/php - php-4.3.1.ebuild;
• sys-devel/perl - perl-5.6.1-r11.ebuild;

7.  Bugzilla

概要

• 統計情報
• バグ解決ランキング
• バグ割り当てランキング

統計情報

Gentooではバグ、提案、通告などにBugzilla(bugs.gentoo.org)を用いています。 この7日間の結果は：

• 新しいバグが294個
• 解決したバグが336個
• 直ったと思われていて今週再度発覚したバグが8個
• 'new'とマークされているバグは1796個
• 558個の現在取り込み中のバグ

バグ解決ランキング

今週もっとも多くのバグを解決した開発者とチームは以下のとおりです：

• Nicholas Jones：29個のバグを解決
• Martin Schlemmer：18個のバグを解決
• The Gnome Team：17個のバグを解決
• Nick Hadaway：13個のバグを解決

バグ割り当てランキング

今週もっとも多くの新しいバグを割り当てられた開発者とチームは以下のとおりです：

• Nick Hadaway：new bugs
• The Gnome Team：18個の新しいバグ
• Nicholas Jones：15個の新しいバグ
• Martin Schlemmer：14個の新しいバグ
• George Shapovalov：, with 11 new bugs

8.  Tips and Tricks

ミラーよ、ミラーよ、ミラーさん

Gentooのユーザー数が増えている中、主要なミラーが遅いという不満がよく聞かれます。コミュニティーの多くの人々はこの声に応え、負荷を軽くするためにミラーを加えてくれました。 でも、どうやってそういうミラーを見つければいいんでしょう？http://www.gentoo.org/main/en/mirrors.xmlにあるサイトで調べるというのもひとつの手です。でも、お手軽ツールのmirrorselectを使うという方法もあります(こっちの方が簡単です)。mirrorselectはシンプルなncursesインターフェースを持つツールで、あなたのマシンでどのミラーを使いたいのか設定できます(複数選択も可能です)。

mirrorselectはPortageで利用できるので、emergeするだけでインストールすることができます。

# emerge mirrorselect

mirrorselectを使用するには、ターミナルプロンプトでmirrorselectと入力し、使いたいミラー(複数選択可能)を選ぶだけです。

# mirrorselect

図 1.1: mirrorselectを使う

ミラーを選び終わったら、OKを選択してください。あなたが選んだミラーに応じた内容で、/etc/make.confが更新されているはずです。

Selected: ftp://ftp.gtlib.cc.gatech.edu/pub/gentoo http://gentoo.oregonstate.edu http://distro.ibiblio.org/gentoo 
Mirrors set successfully

9.  Gentooチームの動き

移動

次の開発者が最近Gentooを後にしました：

• 今週は無し

追加

次の開発者が最近Gentooチームに入りました：

• Robert Coie (rac) -- perl、バグ探し
• James Boddington (Aiken) -- Gentoo/SPARC、Gentoo/ARM
• Jon Ellis (jje) -- 音素材
• Alastair Tse (liquidx) -- python、GNOME、Gentoo/ARM
• Ken Nowack (antifa) -- Gentooドキュメント

変更

次の開発者は最近Gentooチーム内の役割が変わりました：

• 今週は無し

10.  GWNに参加するには

GWNチームに参加したい方はメールをどうぞ。

11.  フィードバックをお待ちしています

御意見、御感想はこちらへお送りください。

12.  他の言語でのGWN

Gentoo Weekly Newsletterは以下の言語でも読むことが出来ます：

• オランダ語
• 英語
• ドイツ語
• フランス語
• 日本語
• イタリア語
• ポルトガル語(ブラジル)
• ポルトガル語(ポルトガル)
• スペイン語