図 1.1: プロジェクトDolphin - 復旧用途のLiveCD
先週の金曜日、Benjamin Judasは、リリースエンジニアリングチームが、システムレスキューを目的とした機能拡張版のLiveCDを提供するために"Project Dolphin"という新しい試験的なサブプロジェクトを立ち上げたことを発表しました。フランス発の非公式のSysRescueCDと同様に、 Gentoo LiveCDを元にして作られており、プロジェクトDolphinは、 インストール失敗、ハードディスクの故障や、その他のシステム復旧に必要とされるあらゆるツールを提供することを目的としています。
図 1.1: プロジェクトDolphin - 復旧用途のLiveCD |
|
CDの主な内容としては、zsh、samba、bacula、mc、dar、mutt、xfsdump、 ide-smart、netcat、nmap、chrootkit、partimage、ncftp、centericq、bind-tools、 alsa-utils、mpg321が含まれています。 非常に初期の試験的なISOイメージが、 Gentoo mirrorsの/experimental/x86/livecd/x86から、 試験的な扱いですがダウンロード可能で、積極的にテスターを募集しています。 ユーザの皆さんは、問題の報告でも機能追加の要望でもよいので、 ぜひ導入されたばかりのmeta-bugにコメントを寄せてください。 多大なサポートをありがとう!
先週、2つの新しいメーリングリストが作成されました。 現在、ドイツ語版のGentoo Weekly Newsletterは、英語のオリジナル版が翻訳され、少し遅れて、 gentoo-gwn-nl@gentoo.orgにプレーンテキストで電子メール配信されています。 他のニュースレターのメーリングリストのように、 このメーリングリストは配信されるだけです。 ドイツ語とフラマン語圏のGWN読者は、 gentoo-gwn-nl-subscribe@gentoo.orgに電子メールを送り、 確認メッセージの手順に従うことで、この新しいメーリングリストに参加できます。
先週、Konstantin V. Arkhipovが通知したように、 ロシア語Gentooユーザ向けに、通常のサポートと議論のためのメーリングリストが新設されました。 空のメッセージをgentoo-user-ru-subscribe@gentoo.orgに送信することで、 gentoo-user-ru@gentoo.orgに参加できます。 英語と、非英語の両方を含む公式Gentooメーリングリストの完全な一覧は、 参加方法の手順と共に、 メーリングリストのページに記載されています。
"Gentooとは禅を適用したソフトウェアだ" -- Patrick Lauer (bonsaikitten)
図 2.1: Bonsaikittenとしても知られるPatrick Lauer |
 |
今週注目する開発者はbonsaikittenで、本名をPatrick Lauerと言います。彼にはGentoo開発集団のどの特定の派閥にも入っておらず、すべてに少しだけ取り組むのが好きです。2004年後半から彼はまたGWNの常連寄稿家になり、特にgentoo-devメーリングリストの要約とそれに関する記事、そして開発者紹介セクションはたいてい彼が編集しています。
Patrickはgentooexperimental.orgサーバを運営しており、不思議な、未完成のアイデアのために提供しています。そのアイデアにはtinderbox、script repository、そして未来の(web-)rsyncに置き換わる候補が含まれています(それが全てではありませんが)。Planet Gentooは、Gentooインフラチームによって管理されている公式なハードウェアに移動するまでは、Patrickサーバで初めて管理された物でした。
彼が「匿名ネットワーク」に関する論文を書き始めたドイツのアーヘン工科大学でコンピュータサイエンスを学んでいる間、貴重な時間をいろいろな物につぎ込んでみましたが、大学での4年半後、彼は引っ越す準備が整ったと感じました。彼のコンピュータ環境は部屋いっぱいの安っぽく古いハードウェアの、Quad Xeon、2台のAthlons、そして(大学のCS学科から寄贈された)16-CPUクラスタです。
彼は、blackbox、firefox、licq、そして時にkonqueror、そしてベンダの締め込みにより、それぞれのバージョンであまり役に立たないように見えるevolutionのユーザです。「gnomeやtrollで全てをやるのと同じさ」とPatrickは言います。彼はPythonでの作業が好きですが、他の言語でも問題ありません。「Javaを呼び出してそれぞれの1文に付き長い呪文が必要になることがなければね。」天気が良いときには、彼はアーヘンのまわりの林や広場でマウンテンバイクに乗っています。彼はおいしい料理、うまい(ベルギーの)ビール、そして好みの非常に知的でセクシーな女性の存在を楽しみます(後者は望むほど頻繁に起こりはしませんが)。彼のモットーは、アルフレッドテニスン卿から借りています。「愛して失うことのほうが、まったく愛さなかったことよりましだ。」
xorg ebuildに追加
新しいものが三度の飯より好きなユーザのために、Donnie Berkholzが新しいxorg ebuildをPortageに取り込みました。ただいまbugレポートを募集中です。特におもしろそうなのは6.8.99.*のスナップショットです。ただし、動作は保証されていませんので、自己責任でどうぞ。
カテゴリ名の変更
いろんなプロキシサーバ(必ずしもそのうち全部がHTTPプロキシとは限らない)があるので、www-proxyカテゴリがnet-proxyに変更されるかもしれません。SOCKS、WWW、FTPなど各種プロキシを1つのカテゴリにまとめれば、見通しがずっとよくなることでしょう。
開発プラットフォームとしてのGentoo
Daniel Drakeが、CVSからしょっちゅうパッチを取ってくる作業が生じるような開発用プラットフォームとしてGentooを使う方法について議論をしています。Portageによる管理と修正作業を両立するにはどうすればよいでしょう?Portageの最新のCVSを反映したebuildをうまくサポートできないのでしょうか?その続きはこちらのスレッドでどうぞ。
Apacheでごたごた
すでにご存じかもしれませんが、Gentoo Apacheチームは、最新のApacheに大きな変更を加えてきました。これはメンテナンス性の向上(他にもいろいろ)などを目的としていましたが、移行作業が繁雑、設定ファイルを1から書き直すのは難しいなど、この変更でいろいろな問題も発生しました。このため、事態が改善されるまでのあいだ、最新のバージョンはpackage.maskされることになりました。
スイス: Pentoo - Gentooを使った侵入検知用LiveCD
「Pentoo」とは、「PENetration on genTOO」の略です。 Pentooはカーネルバージョン2.6.10ベースで、デスクトップ環境にはGnomeを採用し、侵入検知、侵入テスト、そしてセキュリティ調査のための仕組一式が揃っています。 LiveCDの内容は更新可能です。これにより、fingerprintや脆弱性のデータベースを最新に保つことができます。例えば、Nessusのプラグインや、各種スキャンソフトのfingerprintファイル、あるいはmetasploitなど、定期的に更新が必要なツールに対応できるということです。 これらのデータは、USBメモリスティックなどに保存することもできます。 Pentooの原作者Michael Zanettaは「十分にテストする時間がないので、まだベータ版と考えてください」と強調しています。 意見や感想は大歓迎です。bugs@pentoo.chまで送ってください。 プロジェクトの今後も公開されています。
図 4.1: Penetration testing based on Gentoo: Swiss 'Pentoo' |
 |
Somos libres (2005年4月25日 スペイン)
Somos Libresにあるペルーの"Free and Open Software User Group"のウェブサイトに今日掲載されたニュースは、アルゼンチンのブエノスアイレス中の大学で開発されている、Gentooから分離したプロジェクトであるUtutoのリーダの1人であるDaniel Oliveiraとのインタビュー記事です。Ututoを個々のユーザに勧めるだけでなく、積極的にアルゼンチンの地方自治体のサービスや中小企業にも勧めている37人の開発者で構成されるコアチームの代表であるOliveiraは、プロジェクトの歴史や現在の開発状況を説明しています。
Gentooチームから去った開発者
Gentooチームに新しく参加した開発者
Gentooチームで配置が変更になった開発者
アタッカーによるリモートからのCVSサーバの不正利用やDoSの発生を許してしまうおそれのあるいくつかの深刻な脆弱性がCVSに発見されました。
詳細についてはGLSA Announcementを参照して下さい。
結果的に任意のコードの実行を招いてしまうおそれのある複数の脆弱性がXVに発見されました。
詳細については GLSA Announcementを参照して下さい。
Mozilla Firefox、Mozilla Suite: 複数の脆弱性
メモリ情報の漏洩および権限の昇格によるJavaScriptコードの様々な実行方法を含む新たなセキュリティに関わる脆弱性は、Mozilla FirefoxとMozilla Suiteの新たなリリースによってfixされます。
詳細についてはGLSA Announcementを参照して下さい。
リモートからの任意のコードの実行を招くおそれのあるふたつの脆弱性がMPlayerに発見されました。
詳細についてはGLSA Announcementを参照して下さい。
openMosixview: テンポラリファイルの安全でない作成
openMosixviewとopenMosixcollectorデーモンはシンボリックリンク攻撃に対して脆弱で、ローカルユーザによる任意のファイルの上書きを許してしまうおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
RealPlayer、Helix Player: バッファオーバーフローの脆弱性
RealPlayerとHelix Playerはバッファオーバーフローに対して脆弱で、リモートからの任意のコードの実行を招くおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
KDE kimgio: PCXイメージ操作におけるバッファオーバーフロー
KDEはPCXイメージ操作時に入力値の適切な妥当性のチェックに失敗するため、結果的に任意のコードの実行を招いてしまうおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
Kommanderは確認なしにリモートのスクリプトを実行してしまうため、結果的に任意のコードの実行を招いてしまうおそれがあります。
詳細についてはGLSA Announcementを参照して下さい。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。2005年4月17日から2005年4月24日までのデータは以下のような結果になっています。
現在オープンしているバグ8497個のうち、89個が「極めて重大(Blocker)」、231個が「重大(Critical)」、628個が「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
あなたのご意見ご感想をお寄せください。よりよいGWNを発行する参考にさせて頂きます。
Gentoo Weekly Newsletterを定期購読するには、空メールをgentoo-gwn-subscribe@gentoo.orgに送ってください。
Gentoo Weekly Newsletterの購読を中止するには、配信先のメールアドレスから空メールをgentoo-gwn-unsubscribe@gentoo.orgに送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます。