図 2.1: mardukとしても知られているAlbert Hopkins
Gentoo Linux 2005.0の最終リリースがビルドされるちょうど前に gaimとmozilla-firefox(遠隔から侵害可能な脆弱性)、および、 qtとkdelibs(ローカルから侵害可能な脆弱性)にセキュリティの脆弱性に関するバグが発見されました。 ビルドが中断し、完了を予定していた数時間前に作業を終えることができなくなってしまいましたが、 Gentooのリリースエンジニアリングチームは、満場一致で、これを破棄し、 リリースメディアをリリースすることより重要なすべてのセキュリティバグ修正を行ったものに再構築することを決定しました。 バグを見つけてくれたGentooセキュリティチームと、 遅れに負けず、それぞれのアーキテクチャのビルドをテストするプロファイルの先導的な開発者に感謝します。
Gentoo rsyncのマスターサーバを段階的に置き換え予定
ありがたいことに、NvidiaからOpteron 246サーバが寄贈されたため、 Gentooは、現在稼動しているミラーおよびマスターrsyncサーバを新しいハードウェアに置き換える予定です。 Lance AlbertsonとNick Jonesは、 先週水曜日、ほとんど、あるいは全く問題なく、Portageを再び配信する引越しを完了しました。 このサーバは、CVSに30毎に同期しており、大量のI/Oが発生し、完了に時間がかかるdepcacheを再生成しています。 一般公開されているrsyncサーバはそこから同期します。 古いサーバは、1GHzのPentium IIIが1つのマシンで、 この再生性プロセスを10~30分以内に完了させることができました。 新しいOpteronサーバは、同じことをわずか1~2分ででやってのけます。 これは、驚くべき改善で、Portageツリーは成長し続けるので、明らかに役立つでしょう。 ちょっと注意しておくと、更新頻度は変更されていませんので、2分毎に更新しようとして時間を無駄にしないでください。
また、distfilesを除くミラーリングファイルの大部分が1ヶ月前にこのサーバに移動されました。古いサーバはディスクの容量が不足している状態で稼動させていましたが、この新しいサーバは、もっとたくさんの容量があります。現在、Nick Jonesは、足りないdistfilesを見つけ出し、古い物を削除する改良したスクリプトを作成しています。わたしたちは、このサーバ上の他のプロジェクトのために容量を節約するために、このスクリプトを今後数週間の間に実運用を開始したいと思っています。
たぶん近いうちに、Gentoo Forumsの機能強化について特集が必要になるでしょう。ここ数週間だけでも何度もアップデートが繰り返されていますが、これはさらに大きな変更のための布石に過ぎません。特に注目すべきは「プロジェクトUTF-8」で、Forumsを完全にUnicodeへ移行する作業が進められています。数ヶ月後に控えた移行作業に向けて、必要なツールもすでに導入されています。
この2週間のあいだ、重要な変更が3つ行なわれました。
Ciaran McCreeshが、Portageのsys-appsカテゴリにある200以上のパッケージを、懸命に別のカテゴリへ移行しています。一部のパッケージは新設されるカテゴリに移されます。対象となるアプリケーションはCiaranの開発者用Webスペースにあるファイルに掲載されています。パッケージが移動して問題が起きた場合は、バグを報告するか、直接Ciaranにirc.freenode.netで連絡してみてください。sys-appsでPORTAGE_OVERLAYしているユーザは、特に注意してください。
Gentooを実生活に役立てている人からの情報を、私たちはいつも心待ちにしています。レンダーファームや、デスクトップ環境や、中小企業のファイアウォールとしてなどなど、何でも結構です。こうした情報があれば、Gentooの現状の把握と、これから重点を置くべき点を見極めることができます。Gentooの成功談をぜひとも聞きたいのです!大規模な環境や特殊な分野での話なら大歓迎です。今すぐにでも体験談をusage-feedback@gentoo.orgに送ってください!
注意: すごいプロジェクトなら間違いなくGWNに掲載しますけれども、公開できないプロジェクトであれば、きちんと秘密は守ります。そうした体験談は、「匿名希望」と明記した上で体験談募集係宛に送ってください。その場合、送られた情報は直接関わりのある開発者内だけで取り扱われます。 |
「Gentooの最も素晴らしいところはコミュニティである。」 -- Albert Hopkins (marduk)
図 2.1: mardukとしても知られているAlbert Hopkins |
|
今週の主演開発者であるMardukは、GentooのWeb上の存在のうち最もエキサイティングな要素の1つであるpackages.gentoo.orgサイトを開発し、保守することに責任がある基礎構造グループのメンバーです。彼はGentooのその他多くの部分について興味がありますが、パッケージデータベースサイトが稼働しているかの確認に、バグの修正に、そしてそれ以上に開発に彼の自由な時間のほとんどを費やします。ですがそれは、彼が全ての提案を書き直す過程の途上であることを阻止しませんし、彼は新しいサイトへの、ここで表すにはあまりに多すぎる野心を持っています。
図 2.2: 将来の見た目:パッケージデータベースの改装 |
 |
Gentooは彼の今日までの最も重要なOSSプロジェクトですが、Mardukは数年間オープンソースソフトウェアを開発していました。彼は、ディストリビューションに含まれているLinuxマガジンやPythonブックでレビューと同時に多くの賞賛を受けた、LinbotというPythonで書かれたWebクローラー・リンク検証ツールのプログラムを作成しました。「私はPythonプログラム言語について非常に情熱的です。私はPythonを1997年からハックし続けています。私がときおり他のプログラム言語を見渡すときでも、いつもPythonに帰ってきます。」とMardukは言います。不幸にも、Linbotの名前が見たところでは商業アプリケーションの名前にあまりにも近かったので、彼はある日「排除勧告」の手紙を受け取り、そして彼はその時からソフトウェアに取り組んだり配布したりはしませんでした。彼が配布し続けている少しの小さなプログラムは彼のサイトにあります。
Mardukは主要な合衆国検査室のLinuxやLinuxのようなシステムの管理者です。大学を中退したにもかかわらずコーネル大学に出席して電気工学を専攻し、彼はスーパーコンピュータ施設で働き、そして常に高性能計算に対しての生き生きした興味を持ち、それを愛していましたが、ハードウェアを買う余裕がないのを残念に思っていました。彼の現在のメインコンピュータはちょうど最近AMD64にアップグレードされ、「全て付け合わせのものだ」とMardukは語ります。「私が最初に起動したアプリケーションはevolutionで、もしあなたが私のコンピュータでpsを実行すれば、ほぼいつでもvim、epiphany、gnome-terminal、そしてもちろんpythonが見つかるでしょう。」
MardukはダラスのTXエリアに住んでいます。彼は独身(現在婚約者を募集中です)で、インタビュー中に言及する価値があると考えたコンピュータ以外の趣味には、映画、彼のAudi TTロードスターによる長距離ドライブ、インディーズ音楽、静寂、科学、そして社会学があります。
Lars Weiler、Tobias ScherbaumとJens Blaesche ("Mr. Big")らは、今年のChemnitzer LinuxtageにおいてGentooの代表をつとめました。 Chemnitzer Linuxtageとはドイツ東部のザクセン地方で開催されるカンファレンスで、昨年初めて開催され、今年はその重要性が増してきていました。 カンファレンスでは発表が増え、展示会場には常連団体が顔を揃え、主にザクセン地方からの来訪者で混み合っていましたが、ドイツの他の地方からの訪問者も目立ちました。 GentooブースにはPegasos Open Desktop WorkstationやGentooが動いているSun Ultra10、そして最近ベルギーのブリュッセルで発明された/dev/snackお菓子デバイスが来訪者の目を一様に引いていました。 昨年のイベントにも参加した関係者にとってうれしい話は、去年ブースに訪問してくれた人達の多くは「Gentooって何?」と質問してきたのが、今年は「Portage addict」のTシャツを着て、Gentoo Linuxが動いているラップトップパソコンを持ってくるようになった事です。 KDEおよびdistfilesソース一式を収容したドイツ語版Fizzlewizzle LiveDVD(先週のFOSDEMレポートを参照)が、この地方イベントでの売れ筋商品でした。高速インターネット接続があまり普及していないこの地方では、このLiveDVDが歓迎されるのでしょう。
図 3.1: 左: Gentooブース、中央: Pylon、右: dertobi123とMr. Big |
 |
今度の週末は二つのイベントが予定されています。一つはStuart Herbertの呼びかけによる第二回Gentoo UK Conferenceで、英国在住の開発者やユーザが集まりそうです。もう一つは、ドイツのスイス国境近くにあるLorrachで開催されるエキスポで、Gentooのブースが用意されます。
サポートフォーラムや他方「ユーザ独自によるサポートの高まり」不足が、O'Reillyのoperating systemsマガジンのトピックとなっています。著者のSteve Mallettは、"Where is the SuSE Community?"(訳注:SuSEコミュニティはどこへ行ったんだ?)と問いかけています。そして居なくなってしまったユーザコミュニティの行き場をその他の著名なディストリビューションのユーザコミュニティになぞらえています。「例えばFedora、MandrakeやGentooを見てみれば、簡単にフォーラム、wiki、公式と非公式のFAQを見つけることができるでしょう。そこで生存確認ができるのではないでしょうか?」とOSdir.comの編集長は見解を述べています。
Apple-Linux.org (2005年3月3日 フランスより)
著者のProsperは、Appleコンピュータ向けフランスのLinuxフォーラム上の記事でgentoo-statsプロジェクトについて説明しています。「basc(訳注:Buildtime And Statistics Clientの略でgentoo-statsクライアントの後継)プロジェクトは、ebuildをインストールした回数の計算を可能にすることです。パッケージはGU(Gentoo units)によって表されており、1個のGUをシステム上でコンパイルするのに何秒かかるか知りたいならば、単純にそれをカウントアップさせるだけで十分です。
Todo-Linux.com (2005年2月28日 スペインより)
スペインのオンラインマガジンは、ユーザ領域における64ビットコンピューティングの利用を強く推奨するIntelとAMDについてリポートをしました。そして、マイクロソフトが(それら64ビットの)ハードウェアをフルサポートしたOSを現在提供しておらず、一方Linuxディストリビューション、「例えばGentoo」は、64ビット環境下で完全に機能していると紹介されていますと説明してます。
今何をしているのか(あるいはこれから何をするのか)を示してくれるEmergeのフラグがいくつかあります。以前、portage-2.0.51で追加された新しいフラグをいくつかご紹介しましたが、ユーザが既に忘れてしまっているかもしれない古いスイッチもありますので、そのうちの二つを手早く見ていくことにしましょう。
多分、少しだけより多く利用されているのは最初に紹介するこのスイッチ、--verbose、あるいは-vです。パッケージが理解するUSEフラグと、現時点でのそのフラグの有効/無効を表示してくれます。emergeを--newuseフラグ付きで起動すると、前回そのパッケージがビルドされた時点以降にフラグが有効化/無効化されている場合はそのフラグにアスタリスクを付けてさえくれます。更には、emergeされるべき全てのパッケージの合計のダウンロードサイズに加えて、個々のパッケージのダウンロードに必要なファイルのサイズも表示してます。
二つ目は--tree、あるいは-tです。依存関係をインデントした依存関係のツリーを表示してくれます。このフラグの効果を示した例がこちらです:
コード表示 5.1: 依存関係を表示しているインデントされたパッケージ |
[ebuild N ] x11-plugins/gkrellm-sensors-0.1 (これからわかることは、gkrellm-sensorsが) [ebuild N ] app-admin/gkrellm-1.2.13 (gkrellmとlm_sensorsを要求していて、) [ebuild N ] sys-apps/lm_sensors-2.8.7 (lm_sensorsがi2cを要求している、ということです) [ebuild N ] sys-apps/i2c-2.8.7 |
--verboseと--treeを併用することで、より明確にemergeの動作を理解することができます。言うまでもなく、これによってあなたのUSEフラグのカスタマイズがもっと簡単になり、インストールされることになるパッケージに対してよりよいコントロールができるようになります。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました
MediaWikiは、クロスサイトスクリプティングやデータ操作およびセキュリティ迂回攻撃に対して脆弱です。
詳細についてはGLSA Announcementを参照して下さい。
Qtは、誰でも書き込み可能な信頼できないディレクトリからライブラリをロードしてしまうため、結果として任意のコードの実行を招いてしまいます。
詳細についてはGLSA Announcementを参照して下さい。
いくつかの脆弱性が原因で、リモートのアタッカーがphpBBの管理者権限を取得したり、機密データを外部に晒したり操作したりすることが可能になっています。
詳細についてはGLSA Announcementを参照して下さい。
リモートのアタッカーによるアプリケーションクラッシュを許してしまう可能性のある複数の脆弱性がGaimに発見されました。
詳細についてはGLSA Announcementを参照して下さい。
phpWebSite: 任意のPHPスクリプトの実行とパス情報の漏洩
リモートのアタッカーが任意のPHPスクリプトをアップロードして実行することが可能です。またスクリプトのフルパスが漏れてしまうという別の弱点もあります。
詳細についてはGLSA Announcementを参照して下さい。
xliとxloadimageは任意のコードの実行を招く可能性のある複数の問題に対して脆弱です。
詳細についてはGLSA Announcementを参照して下さい。
BidWatcherには書式指定文字列に関する脆弱性が存在し、任意のコードの実行を招くおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
phpMyAdminには、コマンドの実行やクロスサイトスクリプティングおよびセキュリティ上の制限の迂回などの問題を招く可能性のある複数の脆弱性が存在します。
詳細についてはGLSA Announcementを参照して下さい。
OpenMotif、LessTif: libXpmの新たなバッファオーバーフロー
OpenMotifとLessTifにインクルードされているlibXpmに新たな脆弱性が発見されました。リモートからのコードの実行を招くおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
xvには書式指定文字列に関する脆弱性が存在し、結果として任意のコードの実行を招くおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
Mozilla Firefoxは、ローカルファイルの削除に関する問題と、ユーザを騙してニセのウェブサイトを信用させたり権限のあるコンテンツを操作させることを可能にしてしまう様々な問題に対して脆弱です。
詳細についてはGLSA Announcementを参照して下さい。
ImageMagickには書式指定文字列に関する脆弱性が存在し、アタッカーに対して任意のコードの実行を許してしまうおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
Hashcashユーティリティに存在する書式指定文字列に関する脆弱性のために、アタッカーに任意のコードの実行を許してしまうおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。2005年2月27日から2005年3月6日までのデータは以下のような結果になっています。
現在オープンしているバグ 8186個のうち、97個が「極めて重大(Blocker)」、231個が「重大(Critical)」、602個が「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
よりよいGWNをお届けするために、ご意見ご感想をお待ちしています。
Gentoo Weekly Newsletterを購読するには、空メールをgentoo-gwn-subscribe@gentoo.orgに送ってください。
Gentoo Weekly Newsletterの配信を停止するには、配信先のメールアドレスから空メールをgentoo-gwn-unsubscribe@gentoo.orgに送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます。