Gentoo Weekly Newsletter: 2005年3月28日

1. Gentooニュース

Gentoo 2005.0リリース

Gentoo Linuxは待望のGentoo Linux 2005.0リリースのお知らせをみなさんにお伝えできることを誇りに思います!

このリリースは、完全な安全性を保証するためのリビルドを含めて、いくつかの障害がありました。しかしGentoo開発者コミュニティの中のたくさんのチームの助けにより、今までリリースした中で最高のリリースであると信じています。

このリリースには、新たにAlpha、AMD64、PPC、PPC64、SPARC、そしてx86の新しいインストールメディアが含まれており、加えてIA64とSPARC32のstageファイルも含まれています。 mirrorサイト一覧(日本語)から自分に一番近いダウンロードサイトを調べてください(訳注:日本のミラーサーバはhttp://mirror.gentoo.gr.jp/をお使いください)。また、2004.3と同様に、x86とPPC向けに最適化されたパッケージCDのイメージをbittorrentサーバとまた、ドイツのFriends of Gentoo e.V.によって提供された「非公式」なセカンダリbittorrentサーバ経由でダウンロードすることもできます。

Paypalを使用したGentooへの寄付

大変喜ばしいことに、Gentoo Foundationは、 www.gentoo.orgのページにPaypalによる寄付のリンクが復活したことをお知らせします。このリンクを使って、好みの金額を直接Gentoo Foundationに寄付することができます。 Gentoo Foundationの責任の一つは、Gentooの経済的な要求を処理することであり、さらに多くのGentoo Linux開発者に資金援助することです。資金提供の要望に関する詳細な情報は、Gentooウェブサイトで見るけることができます。

Gentoo Foundationが抱えているもっとも早急な資金調達の要求は、創業当初の口座の残高であるUS$500を集めることです(そして、これは、最小の残高として口座に残ります)。私たちは、ユーザと組織に対して、どんなに少なくてもよいので可能ならば寄付するように促しています。 Gentoo Linuxの継続的な支援をありがとう！

Gentoo BugzillaがSSLをサポート

2005年3月24日時点で、GentooのBugzillaは、SSLによる暗号化通信をサポートしました。これは、あまり保護されていないネットワーク環境(大学や暗号化されていない無線接続)にある人や、 Bugzillaに対してよりセキュアな接続を望む人の役に立ちます。認証とバグ送信は、パスワードの盗聴、あるいは、送信中のデータの改竄の脅威にさらされることなく、セキュアに行われます。では、楽しいバグ修正を！

2. Developer of the week

「Gentooは、すべてのユーザーらに道具を与えることによって、彼らの個別のニーズにコンピュータを構築する選択と自由を与える」 -- Marcus D. Hanwell (cryos)

図 2.1: Marcus D. Hanwell aka cryos

今週注目する開発者は、cryosとしても知られるMarcus D. Hanwellです。彼はシェフィールド大学の修士学生で、「金属や有機体のナノシステムとそれらのアプリケーションを感じることの構造」を学んでいます。彼はまた、Gentooベースの解決を専門的に扱う小さいITコンサルタント業会社を地元で運営しています。

初めは科学チームと一緒に行う仕事のために募集されましたが、彼の仕事や自宅のシステムがAMD64ベースなので、彼は今同じくAMD64チームをサポートします。更に興味のあることには、www-proxyやたいていのwebアプリですが、これに限定されているわけではありません。「私はGentooが科学的なアプリケーションのために最も良いプラットホームとして認知されていると思います。」と述べるMarcusは、新しい化学アプリケーションを多くGentooで動作できるようにしています。特に、物理学、数学、そしてパッケージや言語解析の拡張に集中しています。Gentooは彼の最初の本当のオープンソースプロジェクトですが、彼は石器時代（およそ1996年のことです）からLinuxを使っていました。Gentooに取り組む動機づけは、彼の大好きなディストリビューションから来ます。

彼のお気に入りのツールは、Thunderbird、Firefox、kdevelop、vim、gvim、 kvirc、irssi、kopete、povray、gimp、screen、konsole、そしてamarokです。彼のメインマシンは、もちろんAthlon64 3200+で、1GB Corsair LL RAM、NEC DVDライター、nVidia GeForce FX5900XT 128MB グラフィック、Creative Audigy 2 サウンド、Dolby 5.1スピーカーと、nVidia TwinViewを使用する2つの17インチLG TFTモニタと言った物が装備されています。彼のデスクトップ環境はKDE（特に3.4）で、起動時に彼はたいていkonsoleかThunderbirdをまず最初に起動します。kvircは彼のIRCクライアントに求める機能を満たしています。

コンピュータに夢中になれないときには、彼はジャーマン・シェパードを散歩に連れていき、彼が所有するカメラで若干のアマチュア写真撮影をします。彼はコンピュータ以外では、生活の大部分を婚約者（7月に結婚予定）と一緒に過ごします。けれども、Gentooに取り組むことは大変面白いことですから、他の活動が疎かになっています。彼は2月のFOSDEM Gentoo開発者会議と3月のイギリスの会議で他の開発者達に会うことを楽しみました。彼のモットーはアルバート・アインシュタインから取っています。「無限の物が2つある。1つは宇宙で、もう1つは人間の愚かさだ。そして私はまだ宇宙については詳しくない。」

3. コミュニティの話題

Web forumsより

Gentooでもforkbombingが可能

SecurityFocusに掲載されたある記事(Gentoo関連情報を参照)がきっかけになり、ulimitのデフォルト設定が妥当なのかについて熱い議論が交わされています。常識からいえば、それはシステム管理者の責任ですが、あるユーザが起動できるプロセス数に「安全弁」を設けるべき理由として、プロではないGentooユーザが多く存在することを指摘する声も多く聞かれました。この件を取り上げたバグレポートには開発者の見解が表明されています。セキュリティの向上に関するGentooドキュメンテーションと併せてご覧ください。

gentoo-devより

Portageを同期する他の方法は？

効果的なsync方法がForumのスレッドで考案されました。もしかすると、rsync(ファイアウォールのせいで使えないことが多い)やwebrsync(でかいtarballを丸ごとダウンロード、アップデートが面倒、アップデートの頻度も少ない)ではできなかったことが可能になるかもしれません。

Alternative tree sync methods?

GLEP 34が実装されました

Ciaran McCreeshによると、GLEP 34 (カテゴリのメタデータ)が実装されました(訳注: メタデータとは、ファイルシステムにおけるinodeやMAC情報のような、あるデータのデータのこと)。これで、検索対象のメタデータが増えるうえに、複数の言語で検索することさえできます！

glibcをアップデートしたら問題発生

Gentooで最も大きな問題といえば、toolchainのバグでしょう。コンパイラが動かなければアップデート作業もままなりません。そこまでひどくないにしても、こんなのは勘弁して欲しいですよね。「glibcをアップデートしてみたら、(中略)無限ループに突入してしまいました」こんなバグにぶち当たったら、メーリングリストではなく、bugs.gentoo.orgに報告してください。その際には、なるべく詳しくバグを報告してください。そうすれば原因を探し出して、よりよいGentooエクスペリエンスを提供できるのですから!

4. 世界のGentoo

日本: オープンソースカンファレンス 2005

東京は大久保にある日本電子工学院で開催されたオープンソースカンファレンス二日目、Gentooインストール祭にはLinux初心者からGentooユーザまで30人以上の来客がありました。最新版Gentooの簡単な説明の後、小町守さんによる、分散処理の強力さの紹介がありました。distccを使ったbootstrap行程です。 distccdをビルドの際に使うことで、インストール祭をやっている2時間の間に、部屋に設置された約15台以上のマシン達がGentoo化される予定だったのですが、最終的には一台もインストールできませんでした。このような結果になってはしまいましたが、皆さんはこのちょっと変わったインストール手順を楽しんでいました。インストール祭の後、GentooJPメンバと何人かの参加者で昼食にでかけ、新たなGentooJPプロジェクトについて議論しました。

Usata(訳注: 小町さん)にとっては、東京で開催されるイベントに参加できるのはこれが最後となります。この後、関西にある大学に通うことになるのです。これまでの貢献に感謝します。ありがとう。そしてご活躍を祈ります!

図 4.1: 東京の日本電子工学院におけるGentooJPインストール祭

5. Gentoo関連情報

SecurityFocus (2005年3月16日)

著者のJason Millerは、Mandrakeデスクトップ上でforkbombスクリプトを実行させてしまったので、うつむき、立ちすくんだ状態になりました。そして導入済みのGentooとRedHatをクラッシュさせるに十分なプロセスを彼の友人に生成させ続けました。彼のスクリプトで引き起こされたDoS攻撃の元でも大丈夫なBSDマシンとDebianについては幸せでしょう。彼の記事は、標準のulimitコマンドの設定やお互いにすべきカーネルセキュリティについて、完全に説明していません。しかし、かなりたくさんのその方法に関する質問や、追加情報の問い合わせコメントを完全に集めています。Millerの記事によって引き起こされたGentooフォーラムとBugzillaの議論は、現在もまだ活発に続けられています。

Linux Journal (2005年3月24日)

Gentooユーザでありフォーラムの常連のDovid Kopelは、Gentoo Linuxのデスクトップを使用して、Bluetooth経由でTreo 650スマートフォンとシンクロするための詳細な方法を記述しました。彼の記事は、使用するUSB Bluetoothアダプタへアクセスするために、カーネル設定を変更する必要があると説明しています。パッケージのインストールと設定をし、カレンダーやアドレスといったアプリケーションとhotsyncするために電話を使用します。しかし、Palm OS 5デバイスを通し、ブリッジネットワークを経由してインターネットとして、Linuxホストと接続します。

Software Design (2005年4月号)

Gentoo開発者で、戦略リーダのPieter Van den Abeeleは、日本の雑誌のSoftware Designに、OpenSolarisとそのLinuxとの関係から派生するビジネスという、今月の特集記事の中でインタビューをされました。「Solaris完全ガイド2005」と名付けられた記事は、オンラインで利用できませんが、日本の本屋さんで4月号として購入できます。

6. Gentooセキュリティ

Xzabite dyndnsupdate：複数の脆弱性

Xzabiteのdyndnsupdateソフトウェアは、リモートからの任意のコードの実行を結果的に招いてしまうおそれのある、複数の脆弱性に悩まされています。

詳細についてはGLSA Announcementを参照して下さい。

Sun Java： Webスタートパラメータのインジェクションに関する脆弱性

JavaのWebスタートJNLPファイル群は、サンドボックスの制限を回避し任意のコードを実行するために悪用されるおそれがあります。

詳細についてはGLSA Announcementを参照して下さい。

GnuPG： OpenPGPプロトコルアタック

自動的にGnuPGを使用することになっているシステムでは、暗号化されたメッセージのプレーンテキストの部分が漏れてしまうおそれがあります。

詳細についてはGLSA Announcementを参照して下さい。

Mozilla Suite：複数の脆弱性

Mozilla Suiteは、リモートからの任意のコードの実行に始まりユーザを騙してニセのウェブサイトを信用させたり権限の必要なコンテンツを操作させたりなどの様々な問題に至るまでの複数の問題に対して脆弱です。