Gentoo Weekly Newsletter: 2005年2月21日Boston Linux World Expo: 展示会の事後報告 先週、Linux World Conference and Expositionが、 アメリカ合衆国、マサチューセッツ州、ボストンにあるハインズコンベンションセンターで開催されました。 Gentoo Linuxは、.orgパビリオンに出展しており、フロリダ出身の気さくな人々とLinux Terminal Serverプロジェクトの愛嬌のある人々の間に位置していました。 Gentooでサポートしている幅広いアーキテクチャのデモ装置が展示されていました。 明らかに一番注目されていたのは、Daniel Ostrowが持ってきた、シネマスクリーンを接続した小さなMac Miniでした。 DanielのSparc Ultra 60、いくつかのx86ノートPC、そして、AMD64、とMike Frysingerが持ってきたいくつかの組み込み機器もありました。 完全にボランティアで仲間たちがブースを配置するのを手伝ってくれました。 MikeとDanielに加えて、 Seemant Kulleen、Chris Gianelloni、Dylan Carlson、Jeffrey Forman、Peter Johanson、Luke Macken (lewk)、Rajiv Manglani、Andy Fant、Chris AniszczykそしてAaron Griffisがやってきて、 ブースで手伝ってくれました。
CD(持ってきていた)とTシャツ(持ち合わせがなかった)に対するよくある要求に加えて、 PPCリリースに対して興味を持っている人が着実に増えてきているようでした。 また、Gentooはエンタープライズにおいても役に立つと悟った人々による喜ばしい数のコメントがありました。 また、注目すべきは、Gentooベースの新しいプロジェクトが開始されたということです。 これは、契約ユーザに対して、標準的なPortageメカニズムを通し、カスタムバイナリパッケージを提供します。 その週の目玉は、非公式BOFでした(訳注:"BOF"は、"Birds Of a Feather"の略で、 特定のテーマに関連や関心のある人が集まり、自由に議論したり情報交換したりする場のこと。)。 ここでは、30~40人のユーザと開発者がGlobe Bar and Grillの最上階を占有し、 直接会って話す機会がありました。 LWEがニューヨークの代わりにボストンで開催されたのは今年が初めてでした。 そして、誰に聞いても、成功でした。 ベンダーの展示は20%増加し、入場者も同様な増員がありました。 LWEは、また来年の冬にやってくると思われますので、来年の予定を考えまじめましょう。 わたしたちの展示出展を成功させるのを手伝ってくれた全ての人に感謝します。 西海岸の人々へ、LWEは8月の8日~11日にサンフランシスコで開催される予定です。 Gentooブースを手伝うことに興味があるなら、PRチームと連絡を取ってください。 ブリュッセルのUniversite Libre de Bruxellesで2月26日および27日に開催されるFOSDEMには、40人以上のGentoo 開発者、活動家やパワーユーザが出席するもようです。開催地のユースホステルは、事実上Gentoo DevRoomの参加者グループに占領されてしまっています。FOSDEMは、ヨーロッパ中の開発者がプレゼンテーションを披露するヨーロッパ最大のオープンソースカンファレンスです。開催地がブリュッセルで、しかも前日は週末ということもあり、日曜日の午前中に予定されているGentoo開発者ミーティングのスケジュールには疑問の声があがっています。 University of SalfordとLondon Internet Exchange(LINX)がスポンサーとして支援してくれたおかげで、ManchesterのUniversity of Salfordで3月12日に開催予定のGentoo UK Conferenceの入場料は引き下げられることになり、無料になりました。 Michael Kohlが、Gentooが提供するRSSフィードのうち、"Gentoo Linux news"、"Gentoo Linux Security Announcements (GLSA)"とx86向けのパッケージRSSフィードを自動的に購読できるOPMLファイルを公開しています。OPMLファイルは多くのRSSリーダでサポートされていて、購読しているRSSフィードの管理が簡単になります。 玄箱とは、Linuxハッカー向けに設計されたトースターサイズのPowerPC NAS(Network Attached Storage)のことで、うまい名前が付けられています。この製品名の英訳は単純に「黒」とするのがより良いのですが、玄箱の「玄」は、その色と暗闇に隠れていて目で見ることができないと言うことにヒントを得ています。Freescale MPC8241(603e processor)が基になっており、これには以下の2つのバージョンが存在します。
実際の所、それがBuffalo Technologyの"LinkStation"ストレージデバイスシリーズとして量産されていることが覆い隠されていて、たぶん現在、市場の最も安価なLinux/PPC開発環境です。
玄箱の歴史は、2004年前半の日本で、バッファローの姉妹会社である玄人志向が、「パワーユーザ」市場に古いLinkStationの在庫を販売すると決めたことから始まります。したがって、最も古くて最も大きい玄箱のハッカーコミュニティは日本にあり、彼らのLinkstation Wikiや山下康成のblogにある多くのドキュメントがそれがどれくらい活気があるかを示します。数ヶ月で、玄箱はRevogearによってアメリカやヨーロッパでも販売され、現在フォーラムとwikiを中心に置く新しい日本以外のコミュニティは、それらに利用可能な多くの英語の情報を持っています。 両方のコミュニティで、最初の玄箱がおよそ1年前に出荷されて以来ストックファームウェアをより多くの一般のLinuxディストリビューションに置き換えることへのいくつかの試みがありました。オリジナルのファームウェアはあまりにもNAS指向で、例えばファイルやプリンタサーバになるように設計されているだけですが、完全なLinuxディストリビューションは簡単な実験とプラットホームの最大限の能力の限定解除ができるようになるでしょう。玄箱へのGentooシステムの設定でさえ以前に試みられました。jmgdeanがGentoo Total Conversion alpha1をリリースし、ほとんどの作業は日本人コミュニティで行われました。しかしながら、それらの以前の試みのすべてはオリジナルのファームウェア上でのGentoo Linuxの複雑なインストールでした。toolchainsはいまだにgcc-2.95ベースで、多くのファイルはPortageで管理されず、内部にはいくつかのフリーではないコードがありました。一方で、私のbeta1 releaseは、ソースを完全にビルドし、排他的にPortageを経由します。これは以下のように構成されています。
インストールの工程は、まだセットアップされていないときに玄箱が起動されるいわゆる「EMモード」で始まるのを除けば、「標準の」Gentooシステムとほとんど同様です。これはftpとtelnetの両方からアクセスできる非常に最小な環境です。ここから、ドライブを準備し、chrootを行い、stage3イメージをインストールすることができます。その後玄箱を「通常モード」に切り替えれば、sshでアクセスすることができる新しいGentooシステムで玄箱が再起動するでしょう。詳細な説明はWikiページにあります。 既存の制限と将来の作業 容易にハッキング可能でないただ一つのものはFlashROMの内容、例えば、EMモードシステムとカーネルです。フラッシュイメージのフォーマットはよく知られており、(少なくともいくつかの日本のWebサイトで)文章にされていますが、他のLinuxベースのデバイスと対照的に、あなたがいったんそれに触れると、失敗した場合に完全に後戻りができません。フラッシュエラーや悪く設定されたカーネルなどは、玄箱を容易に破壊します。このため、ほとんどのユーザはいまだに完全とはほど遠いオリジナルの2.4.17カーネルに留まっています。現在、この限界を克服するために探られた2つの方法があります。
他の今後の活動には以下のようなものがあります。
PowerDNSに存在する脆弱性は、一時的なDoSを引き起こすおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 ht://Digはクロスサイトスクリプティング攻撃に対して脆弱です。 詳細についてはGLSA Announcementを参照して下さい。 Operaにはいくつかの脆弱性が存在し、結果的に情報を漏洩したり任意のコードの実行を手助けしてしまったりするおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 VMware Workstation: 信頼できないライブラリサーチパス VMwareは信頼できない書き込み可能なディレクトリから共有ライブラリをロードしてしまうため、結果的に任意のコードの実行を招いてしまいます。 詳細についてはGLSA Announcementを参照して下さい。 PostgreSQL: PL/PgSQLパーサのバッファオーバーフロー PostgreSQLのPL/PgSQLパーサには、任意のコードの実行を招くいくつかの脆弱性が存在しします。 詳細についてはGLSA Announcementを参照して下さい。 Emacs、XEmacs: movemailにおける書式指定文字列に関する脆弱性 EmacsとXEmacsに標準装備されているmovemailユーティリティにはいくつかの書式指定文字列に関する脆弱性が存在し、任意のコードの実行を招くおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 アタッカーは、スクリプトのソースがあたかもCGIもしくはFastCGIのアプリケーションとして実行されなければならないかのようにlighttpdを騙して、その内容を公開させることが可能です。 詳細についてはGLSA Announcementを参照して下さい。 wpa_supplicant: バッファオーバーフローの脆弱性 wpa_supplicantにはDoSを招いてしまうおそれのあるバッファオーバーフローが存在します。 詳細についてはGLSA Announcementを参照して下さい。 KStarsにはバッファオーバーフローの脆弱性が存在しており、昇格した権限を使って任意のコードを実行されるおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 Midnight Commanderにはいくつかの書式指定文字列に関するエラーが存在し、複数のバッファオーバーフローとひとつのバッファアンダーフローが任意のコードの実行を招くおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 SquidにはあるDNSレスポンスの扱いに関するバグが存在し、結果的にDoSを招くおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 GProFTPD: gprostatsの書式指定文字列に関する脆弱性 GProFTPDと一緒に配布されているgprostatsには書式指定文字列に関する脆弱性が存在し、任意のコードの実行を招くおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 gFTPはディレクトリトラバーサル攻撃に対して脆弱で、任意のファイルの作成や上書きを招くおそれがあります。 詳細についてはGLSA Announcementを参照して下さい。 エミュレータでGentoo MSのVirtualPCでGentooをインストールするのに失敗して, あるユーザがエミュレーション環境のGentoo体験談について質問しています。参考になる体験談は(Windows環境ばかりですが)こちらをどうぞ。 Portageのパフォーマンスが向上 あるユーザがPortageのボトルネックを取り除いたところ、起動時間をおよそ50%短縮しました。ちょっと極端な例かもしれませんが、Portageが最適化されているというにはほど遠いようです。 GLEP33: Eclass restructure 先日のeclassの変更をめぐるフレーム大合戦の末、John MylchreestとBrian Harringが広範囲にわたる新しい提案を行なっています。その提案はこちらをご覧ください。 Runtime vs. devel packages Stuart Herbertが、ebuildを分割について意見を述べています。「RedHatはもう長い間、あるパッケージの実行時に必要なパッケージと、コンパイル時にだけ必要になるヘッダなどを含む "devel-"パッケージの2種類に分けています。この方法が優れているのは、サーバを構築する際に、コンパイラなどをインストールせずにすむことです。インストールされるものが少なければ、それだけ管理、アップグレードの手間も省けますし、ブラックハットに悪用されることもありません」。けれども、「Gentoo流のやりかた」にもそれなりに意味があるのです。それぞれのメリットデメリットはこちらをどうぞ。 先週の”Security Focus”の記事の議論の後で、Gentoo開発者でGentoo Linuxのセキュリティチームの運営マネージャであるThierry Carrezは、先週の月曜日に以下のようなコラムを、現在、掲載しています。"More advisories,more security"(訳注:セキュリティ勧告が多いことは、より安全な証拠です)は、Linuvディストリビューションのセキュリティ部門の活動と全体的なユーザの安全性との関係に関する記事です。「ソフトウェアの開発元やパッケージャーから提供されるセキュリティ勧告は、悪いニュースとして見られるべきではありません。ソフトウェアには脆弱性がいつも存在し、セキュリティ勧告が出される時は、これらの欠陥の1つが特定され、修正されたことを意味します。」とThierryは説明します。「それはまた、善人が下調べを済ませ、悪人があなたに危害を加えるために利用する欠陥の1つを減らしたことを意味します。」 オーストリアからリポートされた華やかなインストール手記が先週月曜日のオンラインマガジン、Linux Timesを飾りました。そのタイトルは、"One week with Gentoo Linux."(訳注:Gentoo Linuxで1週間)です。その記事は、少し年代物のハードウェアを使っていますが、Gentoo Linuxのインストールについて詳細に説明しています。そしてGentooの手を出しにくいという神話を打ち砕こうとしています。「月並みだが、もしほとんど全てのGNU/Linuxのリストがあったとして、Gentooのインストールがこのリストの中で一番難しいだろう。あなただけにGentooを簡単にインストールするための内緒の方法を教えてあげましょう。」と著者で、Vienna Universityの学生のImre Kalomistaは言っています。それで十分でなければ、4日前のLinux Times紙上のトピックとしてGentooは再び名が通りました。そのトピックとは、Vidalinux 1.1のリリースのレビュー記事で、”本物の”Gentooシステムと直接比較されています。その記事は、プエルトリコ製のバイナリ版Gentooクローンが、奇妙にもバイナリパッケージのサポートに欠けていること、しかし会員のプリコンパイル済みパッケージのリポジトリにアクセスできることについて説明していました。 Using Xorg 6.8.2 & Composite(訳注:Xorg 6.8.2を混成して使用する)は、Ben Rockwoodのブログにエントリーされたトピックで、Xorgの新しい透過機能について書いています。その中で「Gentooよ、ありがとう。簡単にXFree86を取っ払い(unmerge)、Xorg 6.8.2をインストール(merge)することができました。」という、Gentooの環境にインストールすることが容易であるという嬉しいニュースを書いています。 Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。2005年2月13日から2005年2月20日までのデータは以下のような結果になっています。
現在オープンしているバグ 8040個のうち、101個が「極めて重大(Blocker)」、240個が「重大(Critical)」、596個個が「中(Major)」とラベル付けされています。 本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました
Gentoo Weekly Newsletterに参加したいと思った方はメールください。 ご意見、ご感想はこちらへお送りください。あなたのメールがGWNをさらによくする手助けとなります。 Gentoo Weekly Newsletterを購読するには、gentoo-gwn-subscribe@gentoo.org宛に本文・件名に何も書かないでメールを送ってください。 Gentoo Weekly Newsletterの購読を解除するには、本文・件名に何も書かないでgentoo-gwn-unsubscribe@gentoo.org宛てにメールを送ってください。 Gentoo Weekly Newsletterは以下の言語でも読むことができます |
|
