図 1.1: Christian HartmannによるPPC向けのGentoo Linux GameCD
当初はJoseph Pingenotに提案されて、Gentooの暗号化グループは、トラステッド・コンピューティング・グループ(TCG、Trusted Computing Group、以前はトラステッド・コンピューティング・プラットフォーム連合、あるいはTCPA(Trusted Computing Platform Alliance)として知られていました)のGentooでのサポートについて年間を通して議題とするという目標を設定しました。
TCGは、暗号化機能を特徴づけるハードウェア仕様(トラステッド・プラットフォーム・モジュール、TPM(Trusted Platform Module))のオープンスタンダードです。 それは、秘密鍵をシステムメモリから排除します。 ハードウェアは、トラステッド・ブート機能(TCGソフトウェア・スタック、TSS(TCG Software Stack))も提供します。 これは、もしオペレーティングシステムが信頼できないものに変更された場合、秘密鍵が確実に使用できないようにします。
Gentooに望まれるTCGアーキテクチャを持つTSSアプリケーションには次のようなものがあります。
TPMでは、ファイルシステム上に秘密鍵を置くのではなく、ハードウェアの暗号化鍵を保存されます。 例には次のようなものがあります。
もし、ハードウェアを寄付する、あるいは、この分野の開発にを引き受けることに興味があるなら、 Henrik Brix AndersenまたはPeter Johansonに連絡を取ってください。 開発者は、大部分は独力で作業し、セキュリティアーキテクチャとC言語によるプログラミングに精通する必要があるでしょう。 役に立つであろうTPMエミュレータが入手可能です。
EM64T開発者、ハードウェア、およびAMD64のアーキテクチャ・テスター求む
Gentoo/AMD64チームは、インテルのx86および64bitプロセッサ、EM64T製品群のサポートを拡大する作業を手伝ってくれる開発者を募集しています。 EM64Tメインボードは異なっているため、開発者達は、自身でハードウェアを所有しており、主にカーネルテストを実施する必要があります。 もし、この件を手伝ってみようと思った人は、Jason Huebelと連絡を取ってください。
別の告知で、 AMD64も"アーキテクチャ・テスター"または"AT"を探しています。 すなわち、バグを潰し、既に入手可能なさまざまなアプリケーションのebuildを安定化させる手伝いをしてくれる非開発者の人を募集しています。
PPCチームは、Cubeと呼ばれる3DマルチプレーヤーOpenGL/SDLゲームをfeatureしたPowerPCプラットフォーム向けの最初の完全なグラフィカルLiveCDを試作しました。 PegasosPPC向けに設計され、Macintoshハードウェア上で起動するCDは、既に動作しています。 198MBのGame CDはミラーサイトから入手可能(experimental/ppc/livecdディレクトリにあります)です。 Cubeを稼動させたODWのクラスタ丸ごと全部が、2005年2月26~27日にブリュッセルで開催されるFOSDEMにおいて、Gentoo開発者たちのブースにて行われるプレゼンテーションで紹介されるでしょう。
図 1.1: Christian HartmannによるPPC向けのGentoo Linux GameCD |
|
Gentoo Linuxのプロジェクトが設定した目標についての報道の続きで、今週はHardenedグループの計画を見てみましょう。
Hardened
Konversationにはリモートからのコマンド実行や情報漏洩などを招く可能性のある複数の脆弱性が存在しています。
詳細についてはGLSA Announcementを参照して下さい。
Evolution: camel-lock-helperに整数データの演算処理におけるオーバフロー
camel-lock-helperアプリケーションに存在するオーバーフローのため、アタッカーが昇格した権限を使って任意のコードを実行することが可能です。
詳細についてはGLSA Announcementを参照して下さい。
AWStatsはある入力内容についての妥当性の検証に失敗してしまうため、リモートから任意のコードを実行される可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
GraphicsMagick: PSDファイルデコード時のヒープオーバーフロー
GraphicsMagickにはフォトショップドキュメント(PSD)のデコード時にヒープオーバーフローが発生するという脆弱性が存在するため、任意のコードの実行を招く可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Perl: rmtreeとDBIのテンポラリファイルに関する脆弱性
PerlのDBIライブラリとFile::Path::rmtree関数は、シンボリックリンク攻撃に対して脆弱です。
詳細についてはGLSA Announcementを参照して下さい。
SquirrelMailはユーザの入力を正しくサニタイズできないため、任意のコードの実行やウェブメールアカウントの不正使用などを招く可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
ngIRCdにはバッファオーバーフローが存在し、デーモンをクラッシュさせたり任意のコードを実行したりするために利用することが可能です。
詳細についてはGLSA Announcementを参照して下さい。
TikiWikiに存在するバグによって、ユーザが悪意あるPHPスクリプトをアップロードし実行することが可能です。
詳細についてはGLSA Announcementを参照して下さい。
VDRは昇格した権限を使って安全でない方法でファイルにアクセスするため、結果的に任意のファイルの上書きを招いてしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
f2cはシンボリックリンク攻撃に対して脆弱で、ローカルユーザによる任意のファイルの上書きを許してしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
ncpfsのユーティリティには複数の欠点が存在し、結果的にリモートからの任意のコードの実行やローカルユーザによる昇格した権限を使ったファイルアクセスなどを招く可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Portageユーティリティがまた1つ
Portageの検索ユーティリティの1つ、portagedbの名前がeix("Ebuild IndeX")に変更されました。開発者のPythonheadは、このesearchに代るものは「リリースの度に改善されている」と認めながら、彼自身のスレッドの一覧に追加しています。
beagleは使えるか?
今週のForums英語セクションは静かだったのですが、フランス語の方ではAppleがMac OS XのTigerに採用しようとしているSpotLightと同種のソフトウェアが大きく取り上げられていました。MonoをベースにしたBeagleは、Appleのリアルタイムデスクトップ検索機能をLinux完全に自由な形で提供し、ある程度のレベルには使えるようです。
ebuildのアップグレードポリシー
Jason Weverがebuildのアップグレードポリシーについてアナウンスを出しています。「つい最近、結構な数のebuildがアップグレードの際にarch keywordを削除していました。これは、特別の事情(セキュリティに関するバグ、依存関係の不具合など、詳しくはポリシー参照)がない限りしてはいけません。正当な理由がある場合も、影響の出るarchのメンバーにkeywordを削除する理由を連絡してください。」
コメントを募集中 eclassのバージョン管理
Daniel GollerとPatrick Lauereclassでバージョン管理を行なうことについて提案をしています。この提案(ほぼ半年おきに取り上げられる話題なのですが)は、gentoo-devにおける過去最大のフレーム合戦に火を付けました。まだ収拾はついていません。
gentoo-devがハッキングされてませんか?
「eclassのバージョン管理」のフレーム合戦とほぼ同時期に巨大なスレッドができました。こっちはメールのPGP署名、アイデンティティとパラノイアの話題です。 署名がおかしいというのがもともとの質問でしたがすでにそのことは忘れ去られ、開発者とユーザも巻き込んで、インターネットを通じてやりとりをする際のアイデンティティの問題やら、その他もろもろが論争になっています。
BAS/cでもごたごた
Ciaran McCreeshがBAS/c (Buildtime and Statistics client) ebuildの問題点を指摘しています。ebuildハッカーに役に立つebuildの書き方(と、悪い書き方の例)は、こちらのスレッドをどうぞ。
"複雑な心境である" これがSunのOpenSolarisのリリースに対するオープンソースコミュニティの評価として最もよい表現であろう。コミュニティがSunの動きに批判的であろうが、なかろうが関係なく、たくさんの著者がとても興味深い活動として、PortarisとGentoo/OpenSolarisプロジェクトに敬意を表します。以下は世界中でSunとGentooのアナウンスを受けて書かれた記事のリストです。
Mad Penguin dot org(2005年1月25日)
"Gentoo done right"はVidalinuxについてのMad Penguinの記事のタイトルで、このディストリビューションで、GentooはRedHatのAnacondaでのインストールとGentooコア システムでのバイナリ提供する仕組みを分離独立させました。本質的にはstage 3のインストールを行う、このプエルトリコのディストリビューションは、熱烈なレビューを受けました。そして創設者のAdam Doxtaterは、「Gentoo Linuxを試したいが、基本システムを立ち上げ、運用するためにスクラッチから全てをコンパイルする時間がないユーザ向けです。」とディストリビューションをまとめています。
ドイツのオンラインLinuxマガジンは、GentooをプレインストールしたPegasosPPC-Workstationsの記事でGenesi社のOpen Desktop Workstations(以下ODW)の発売を特集しています。Pro-Linuxは先週のGWNのアナウンスを引用し、一般的なプラットフォームに関するいくつかの注意点と「Amigaの生まれ変わり」としてODWの数ある特徴について付け加えています。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。2005年1月23日から2005年1月30日までのデータは以下のような結果になっています。
現在オープンしているバグ 7945個のうち、109個が「極めて重大(Blocker)」、240個が「重大(Critical)」、584個が「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました
Gentoo Weekly Newsletterに参加したいと思った方はメールください。
ご意見、ご感想はこちらへお送りください。あなたのメールがGWNをさらによくする手助けとなります。
Gentoo Weekly Newsletterを購読するには、gentoo-gwn-subscribe@gentoo.org宛に本文・件名に何も書かないでメールを送ってください。
Gentoo Weekly Newsletterの購読を解除するには、本文・件名に何も書かないでgentoo-gwn-unsubscribe@gentoo.org宛てにメールを送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます