図 9.1: Denuを使ってメニューを作成
2004年12月の最後の週に、攻撃者が160以上のホストから1時間以内に約8500のユーザアカウントを登録してきました。 フォーラム管理者はこれらの登録の防止策を講じていましたが、 ユーザは、大量のフォーラムアカウント登録について報告し始めました。 数時間後、昔から活動していない大量のアカウントを道づれに15696ユーザアカウントが削除されました。
これらの大量の登録が今後発生しないように、画像認証がフォーラムのユーザアカウント登録手順に追加されました。 この機能は、もともとphpBB 2.2の開発バージョンに実装されていて、その変更がphpBBのversion 2.0.11にバックポートされたものです。 同じ変更がforums.gentoo.orgにインストールされているカスタムバージョンのphpBBにも適用されました。
これを読んでいるころには、gentoo-dev-sourcesのLinux 2.6.10リリースが安定版となっているか、 サポートされるシステムアーキテクチャについてテストの最終段階となっているでしょう。 Linux 2.6.10は、クリスマス・イブの夜更けにリリースされましたが、 2.6.9かそれ以前に存在していると認識しているほとんどすべての問題を修正しており、 長い年月の間で、最高のカーネルリリースであることがわかるでしょう。 これに関連した新しい問題はほとんど報告されていません。主要なものは、既に修正されています。 カーネル2.6ユーザは、できるだけ早くアップグレードすることを推奨します。 このリリースでは、最近見つかったセキュリティホールも修正されています。
gentoo-devメーリングリストのあるスレッドはいくらかのGentooプロジェクトの目標を明らかにしています。以下にその発表された概要を示します。
リリースエンジニアリング
カーネル
Gentoo/BSD
LinPopUp: メッセージの返信処理におけるバッファオーバーフロー
LinPopUpには、任意のコードの実行を許してしまう可能性のあるバッファオーバーフローが存在します。
詳細についてはGLSA Announcementを参照して下さい。
a2psパッケージに含まれているfixpsとpsmandupのスクリプトはシンボリックリンク攻撃に対して脆弱で、任意のファイルの上書きを許してしまう可能性があります。さらにa2psのファイル名を扱う処理部分に存在する脆弱性は、結果として任意のコマンドの実行を招く可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Mozilla、Firefox、Thunderbird: 様々な脆弱性
バッファオーバーフローの可能性からアンチスプーフィングにおけるテンポラリファイルの情報漏洩問題にわたるまでの様々な脆弱性が、Mozillaベースのプロダクトに発見され、そして改修されました。
詳細についてはGLSA Announcementを参照して下さい。
Shoutcast Server: リモートからのコードの実行
Shoutcast Serverには、任意のコードの実行を招いてしまう可能性のあるバッファオーバーフローが存在します。
詳細についてはGLSA Announcementを参照して下さい。
mit-krb5: libkadm5srvにおけるヒープオーバーフロー
MITのKerberos5管理ライブラリ(libkadm5srv)には、任意のコードの実行を招いてしまう可能性のあるヒープオーバーフローが存在します。
詳細についてはGLSA Announcementを参照して下さい。
任意のコードの実行を許してしまう可能性のある整数データの演算処理におけるオーバーフローが、TIFFライブラリのイメージデコードルーチンとtiffdumpユーティリティで発見されました。
詳細についてはGLSA Announcementを参照して下さい。
xine-libには、任意のコードの実行を許してしまう可能性のある複数のオーバーフローが存在します。
詳細についてはGLSA Announcementを参照して下さい。
情報漏洩やリモートからの不正利用を招く可能性のある複数の脆弱性がphpGroupWareに発見されました。
詳細についてはGLSA Announcementを参照して下さい。
xzgvには任意のコードの実行を招く可能性のある複数のオーバーフローが存在します。
詳細については GLSA Announcementを参照して下さい。
Vilistextumには、アタッカーが悪意あるウェブページを利用して任意のコードを実行することを許してしまうバッファオーバーフローが存在します。
詳細についてはGLSA Announcementを参照して下さい。
XFree86が削除され混乱が発生
ユーザがxorg-x11を使うようにGentoo開発者が仕向けることは、別に今に始まったことではありませんが、今年の1月1日をもってXFree86をPortageから削除したことは、多くの人にとって驚きだったようです。たくさんありすぎるので、代表としてこちらのスレッドをどうぞ。
サイト全体のモデレータにEarthwingsが就任
Earthwingsはすでに数ヶ月以上もGerman forumのモデレータでしたが、このたびサイト全体のモデレータに就任しました。
ハードウェアで不幸にならないためには
ノートPCユーザなら誰でも、モバイル環境だと設定が場所によって異なるという、同じ難問を抱えています。ありがちなのは、企業LANと自宅で設定が異なるといったネットワーク関連の問題なのですが、ハードウェア関連の問題であることもあります。ノートPCだと、ハードウェアドッキングステーションを使うことが多く、中にはネットワークカード、ビデオアダプタやSCSIが付いているものもあります。Linuxの場合はたいてい、/etc以下のファイルに設定がハードコードされていることがほとんどですので、Linuxユーザには頭の痛い問題です。素敵なモバイル生活をエンジョイするにはどうしたらよいのでしょう?
Bashで盛り上がりましょう!
あるディレクトリのたくさんのファイルを削除する正しい方法について議論するのって、まさにLinux的な話題ですね。xargs、findもありますし、ループで削除することだってできます。様々な角度からの参考になる回答が今週もいっぱいです!
CPU使用率を「監視」?
半分ネタなのですが、あるリストメンバーが「参考になる」Newsforgeのリンクを投稿してくれました。その名も"Hot Babe"というCPUモニタリングパッケージです。(訳注 職場で読むこともあるかもしれないので)GWNにはgentoo-userのスレッドへのリンクだけにしておきます;)
意見募集中: コンパイル時間を短縮するには?
Stuart Herbertが、コンパイルにかかる時間を短くできる方法を質問しました。Gentooユーザ向けのいろいろな方法が紹介されているこちらのスレッドをどうぞ。
さようならxfree
こちらのお知らせをもちまして、Gentooでは正式にxfreeをサポートしなくなりました。すべてのユーザに対して、xorgに移行することが推奨されています。.
2005.0 2.4 & 2.6 stages
John Davisが、Gentoo Relengプロジェクトを代表して、 2005.0のstagesにはどのカーネルヘッダとソースを入れるべきかを尋ねています。彼曰く「ビルドするにあたっての選択肢としては、(a)2.6 stagesだけ、(b)2.4 stagesだけ、(c)2.4と2.6 stages両方、です」。リリースという観点から言うと、stagesはどちらかの1つの方が好ましいのですが、まだ2.4カーネルを使っているユーザもたくさんいます。ちょっと長めのこのスレッドでは、予想されるたくさんのこまごまとした問題を取り上げていて、みんなを等しく幸せにするのが以下に難しいかがわかるでしょう:-)
デスクトップ以外の分野でGentooを使っているユーザ向けのgentoo-server@gentoo.orgから、注目のスレッドをご紹介しましょう。単純な質問からいろんな話に発展しています。
Gentoo Linux Security Teamの一員でPPC開発者でもあるRajiv Manglani氏が、マサチューセッツ州ケンブリッジにあるマサチューセッツ工科大学(MIT)において、Gentooに関する入門的な講演(1月10日)および上級向け講演(1月24日)を行います。 どちらの講演もMITのStudent Information Processing Board (SIPB)の後援で開催され、1月10日および24日月曜日の午後8時より、4号棟の237号室(10日)、231号室(24日)で行われます。 初回の公演では、概要や実際にGentooシステムを動かすことに焦点を置き、1月24日の「Advanced Gentoo Linux」では、Portageやebuildスクリプトの生成、qpkgおよびetcatといったシステムツールなどをより深堀した議論が行われるでしょう。 詳細はRajivのGentoo Independent Activities Periodに掲載されています。 聴講したい人はStudent Information Boardに参加表明することを忘れないでください。
Prairie Linux User Group (PLUG)は、ウィニペグにあるHoly Cross小学校にGentoo Linuxを導入することを計画しています。 この計画では、かつていろいろなバージョンのWindowsが動いていたハードウェアを再生してLinux搭載に切替えます。 その理由はWindowsでアップグレードする際のライセンス料金、セキュリティに関する不安、Windowsでアップグレードするとハードウェアの増強が必要になること、そして現在のプラットフォームが学校における教育上の要件を満たしていないこと、などが挙げられます。 計画には30台のワークステーションへのLinux Terminal Server Project (LTSP)導入と、openmosixが動作するサーバ用のGentoo Linux導入が含まれます。 1月20日木曜日に、PLUGはウィニペグ大学に集まり(2M70号室にて19時開始)、1月23日日曜日の10時から始まる実環境テストに備えて、いくつかの調整を行います。 システム負荷テストには30人の小学生が招待され、事前に告知された通りにシステムが動き続けるかどうかを確認します。 「システムが要件どおりに動けば、そのまま設置完了となることでしょう」と、PLUG会員でGentoodev-perl開発者の卵でもあり、公式Gentooミラーサーバ(gentoo.eliteitminds.com)の管理者でもあるMike Crawfordは予想しています。 詳しくはPLUGミーティングのおしらせにて。
Linux JournalのAndrew Cowieは、上級者が利用するツールとして、Portageの広範な部分を取材対象とした"Gentoo for all the unusual reasons,"(訳注:それでもGentooを使用する独特の理由)の記事中で必要以上なお世辞を述べています。スクリーンショットともにうまくGentooのインストールや、ソフトウェアのアップデートの過程を詳細なステップで説明する前に、記事の冒頭で「Gentooを開発用ワークステーション向けの、最先端を突き進むディストリビューションと思っているかもしれません。しかしシステムを最新に保つ必要がある、いくつかの業務システムにおいては、シンプルなパッケージ管理システムがあるということ、それ自体がGentooを選択される理由となっています。」と書いています。十分に調査された記事は、LJでの人気記事になり、先週、たくさんのコメントをもらいました。今回の記事はGWNでは取り上げていないので、人気に拍車をかけていないにもかかわらずです。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。2005年1月2日から2005年1月9日までのデータは以下のような結果になっています。
現在オープンしているバグ7862個のうち、117個が「極めて重大(Blocker)」、229個が「重大(Critical)」、568個がが「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました。
Denu - Portage用の実用的なメニュー生成器(ウィンドウマネージャー用)
FluxboxからGnomeやKDEに切り替えることが多いですか?メニューから失くしてしまったアプリケーションのエントリが取り戻せないなら、もっと他のウィンドウマネージャを試してみたいと思いますか?今週はそんなあなたにピッタリのすばらしい裏ワザを用意しました。: Denuはメニューの生成をアシストしてくれる新しいツールです。様々なウィンドウマネージャに対応して、構造化されたメニューを生成してくれます。あるウィンドウマネージャ用のメニューから他のウィンドウマネージャ用のメニューへも簡単に変換できます。Denuはオンラインデータベースと同期をとって、ソフトウェアのアップデートなしにプログラムの定義をアップデートできるようにします。そして最高なのは: Portage自身がインストールされたプログラムのデータを提供します!
コード表示 9.1: Denuをemergeする |
# cd $PORTDIR_OVERLAY/x11-misc/denu
必要なら特定のoverlayを作成します(DenuはまだPortageツリーに含まれていません)
# wget http://dl.sourceforge.net/sourceforge/denu/denu-2.1.2-r1.ebuild
# emerge denu
|
先に進む前に、上書きされたくないメニューの設定をバックアップしておいて下さい。さあそれではdenuを一般ユーザとして起動しましょう、Denuはrootでは起動しません。
図 9.1: Denuを使ってメニューを作成 |
|
Denuをインストールして最初にすることは、Update(プログラム定義用)とSysupdate(インストールされているプログラムの現在のリスト用)を起動することです。どちらもスタートアップ時には起動されませんので、Portageを使って新しいプログラムをインストールした後は再度Sysupdateを実行して下さい。
メニューを作成するにはふたつの方法があります: インストールツリーから手でエントリを拾い上げてメニューに加えていくか、Autofillとコマンドを打ってDenuにプログラムが持っている情報をベースに自動でメニューを生成させるか、です。新しく生成されたメニューを再構成する場合はシンプルにドラッグ&ドロップします。メニューシステムは、物事をアルファベット順に並べるGnomeとKDEがなければ、エントリの順番を遵守してくれます。generateボタンをクリックするとあなたが望むウィンドウマネージャもしくはデスクトップ環境に一致するボックスのひとつが現われます。Fluxboxのようないくつかのウィンドウマネージャではすぐにあなたのメニューを使えるようになりますが、他のウィンドウマネージャの場合は再設定や再起動が必要かもしれません。
Denuはまだ開発途中ですが、作者のShuxはGUIのメニューに必要と思われる項目としてPortageツリーの半分を既にスキャンし終っています。残りの半分(あるいは将来的に追加が必要と思われるもの)のために、Denuはまだデータベースに登録されていない他のアプリケーションを取り込むためのツールを用意しています。プログラムやプログラムのカテゴリ、説明などを追加することなども少しずつ簡単にできるようになってきています。すべての質問やそれに対する回答については、フォーラム中のDenu 2.0スレッドを逐次参照して下さい。
Gentoo Weekly Newsletterに参加したいと思った方はメールください。
ご意見、ご感想はこちらへお送りください。あなたのメールがGWNをさらによくする手助けとなります。
Gentoo Weekly Newsletterを購読するには、gentoo-gwn-subscribe@gentoo.org宛に本文・件名に何も書かないでメールを送ってください。
Gentoo Weekly Newsletterの購読を解除するには、本文・件名に何も書かないでgentoo-gwn-unsubscribe@gentoo.org宛てにメールを送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます